2.8.2021 |
DA |
Den Europæiske Unions Tidende |
C 310/3 |
Domstolens dom (Store Afdeling) af 15. juni 2021 — Facebook Ireland Limited, Facebook Inc. og Facebook Belgium BVBA mod Gegevensbeschermingsautoriteit (anmodning om præjudiciel afgørelse fra Hof van beroep te Brussel — Belgien)
(Sag C-645/19) (1)
(Præjudiciel forelæggelse - beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger - Den Europæiske Unions charter om grundlæggende rettigheder - artikel 7, 8 og 47 - forordning (EU) 2016/679 - grænseoverskridende behandling af personoplysninger - »one-stop-shop«-mekanismen - effektivt og loyalt samarbejde mellem tilsynsmyndighederne - kompetencer og beføjelser - beføjelse til at indlede og deltage i retssager«)
(2021/C 310/03)
Processprog: nederlandsk
Den forelæggende ret
Hof van beroep te Brussel
Parter i hovedsagen
Sagsøgere: Facebook Ireland Limited, Facebook Inc. og Facebook Belgium BVBA
Sagsøgt: Gegevensbeschermingsautoriteit
Konklusion
1) |
Artikel 55, stk. 1, artikel 56-58 og artikel 60-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en medlemsstats tilsynsmyndighed, som i henhold til den nationale lovgivning, der er vedtaget til gennemførelse af denne forordnings artikel 58, stk. 5, har beføjelse til at indbringe alle angivelige overtrædelser af nævnte forordning for en retsinstans i denne medlemsstat og om nødvendigt indlede eller deltage i retssager, kan udøve denne beføjelse for så vidt angår en grænseoverskridende behandling af oplysninger, selv om den ikke er den »ledende tilsynsmyndighed« som omhandlet i samme forordnings artikel 56, stk. 1, for så vidt angår denne behandling af oplysninger, for så vidt som der er tale om en af de situationer, hvor forordning 2016/679 tillægger denne tilsynsmyndighed en kompetence til at vedtage en afgørelse, hvorved det fastslås, at nævnte behandling tilsidesætter de regler, som den indeholder, og overholder de procedurer for samarbejde og sammenhæng, der er fastsat i denne forordning. |
2) |
Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at det, for at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indlede eller deltage i retssager som omhandlet i denne bestemmelse, i forbindelse med grænseoverskridende behandling af personoplysninger, ikke kræves, at den dataansvarlige eller databehandleren for den grænseoverskridende behandling af personoplysninger, som dette søgsmål er rettet mod, har en hovedvirksomhed eller en anden etablering på denne medlemsstats område. |
3) |
Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indbringe alle angivelige overtrædelser af denne forordning for en retsinstans i denne medlemsstat og om nødvendigt at indlede eller deltage i retssager som omhandlet i denne bestemmelse, både med hensyn til den dataansvarliges hovedvirksomhed, der ligger i den medlemsstat, som henhører under denne myndighed, og med hensyn til en anden af den ansvarliges etableringer, for så vidt som søgsmålet omhandler en behandling af oplysninger, der er foretaget inden for rammerne af denne etablerings aktiviteter, og at nævnte myndighed er kompetent til at udøve denne beføjelse i overensstemmelse med det, der er anført som svar på det første spørgsmål. |
4) |
Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at når en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed« som omhandlet i denne forordnings artikel 56, stk. 1, har anlagt et søgsmål om grænseoverskridende behandling af personoplysninger inden den 25. maj 2018, dvs. inden den dato, hvor den nævnte forordning fandt anvendelse, kan dette søgsmål, set fra et EU-retligt synspunkt, opretholdes på grundlag af bestemmelserne i direktiv 95/46, som fortsat finder anvendelse for så vidt angår overtrædelser af de regler, som det fastsætter, der er begået indtil datoen for dette direktivs ophævelse. Nævnte søgsmål kan desuden anlægges af denne myndighed for overtrædelser, der er begået efter denne dato på grundlag af artikel 58, stk. 5, i forordning 2016/679, for så vidt som det er i en af de situationer, hvor denne forordning undtagelsesvis tillægger en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed«, en kompetence til at vedtage en afgørelse, hvori det fastslås, at den omhandlede behandling af oplysninger tilsidesætter de regler, der er fastsat i nævnte forordning for så vidt angår beskyttelsen af fysiske personers rettigheder i forbindelse med behandling af personoplysninger og under overholdelse af de samarbejds- og sammenhængsprocedurer, der er fastsat i denne forordning, hvilket det tilkommer den forelæggende ret at efterprøve. |
5) |
Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at denne bestemmelse har direkte virkning, således at en national tilsynsmyndighed kan påberåbe sig den nævnte bestemmelse for at anlægge eller genoptage en sag mod private, selv om den samme bestemmelse ikke specifikt er blevet gennemført i den pågældende medlemsstats lovgivning. |