Sag C-645/19

Facebook Ireland Limited,
Facebook Inc.
og
Facebook Belgium BVBA

mod

Gegevensbeschermingsautoriteit

(anmodning om præjudiciel afgørelse indgivet af hof van beroep te Brussel)

Domstolens dom (Store Afdeling) af 15. juni 2021

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – forordning (EU) 2016/679 – grænseoverskridende behandling af personoplysninger – »one-stop-shop«-mekanismen – effektivt og loyalt samarbejde mellem tilsynsmyndighederne – kompetencer og beføjelser – beføjelse til at indlede og deltage i retssager«

1. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – one-stop-shop-mekanisme – nationale tilsynsmyndigheder – beføjelser – beføjelse for en medlemsstats tilsynsmyndighed, der ikke er den ledende tilsynsmyndighed, til at indlede og deltage i retssager – grænseoverskridende behandling af oplysninger – betingelser for udøvelse – den ledende tilsynsmyndigheds kompetence vedrørende denne behandling – effektivt og loyalt samarbejde mellem tilsynsmyndighederne

   (Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 47; Europa-Parlamentets og Rådets forordning 2016/679, art. 55, stk. 1, art. 56-58 og art. 60-66)

   (jf. præmis 50-53, 56-59, 63-69 og 75 samt domskonkl. 1)

2. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – one-stop-shop-mekanisme – nationale tilsynsmyndigheder – beføjelser – beføjelse for en medlemsstats tilsynsmyndighed, der ikke er den ledende tilsynsmyndighed, til at indlede og deltage i retssager – grænseoverskridende behandling af oplysninger – betingelser for udøvelse – krav om, at den dataansvarlige eller databehandleren har en hovedvirksomhed eller en anden etablering på denne medlemsstats område – foreligger ikke

   (Europa-Parlamentets og Rådets forordning 2016/679, art. 3, stk. 1, art. 56, stk. 1, og art. 58, stk. 5)

   (jf. præmis 79-84 og domskonkl. 2)

3. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – one-stop-shop-mekanisme – nationale tilsynsmyndigheder – beføjelser – beføjelse for en medlemsstats tilsynsmyndighed, der ikke er den ledende tilsynsmyndighed, til at indlede og deltage i retssager – grænseoverskridende behandling af oplysninger – beføjelse, der udøves såvel i forhold til den dataansvarliges hovedvirksomhed i den medlemsstat, der er underlagt denne myndighed, som over for en anden af den dataansvarliges etableringer – betingelser for udøvelse

   (Europa-Parlamentets og Rådets forordning 2016/679, art. 56, stk. 1, og art. 58, stk. 5)

   (jf. præmis 88-91 og 94-96 samt domskonkl. 3)

4. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – one-stop-shop-mekanisme – nationale tilsynsmyndigheder – beføjelser – en medlemsstats tilsynsmyndighed, der ikke er den ledende tilsynsmyndighed – grænseoverskridende behandling af oplysninger – søgsmål rettet mod denne behandling indgivet af denne tilsynsmyndighed inden forordningens ikrafttræden – indvirkning på betingelserne for udøvelse af myndighedens beføjelse til at indlede og deltage i retssager – opretholdelse af dette søgsmål – betingelser

   (Europa-Parlamentets og Rådets forordning 2016/679, art. 56, stk. 1, og art. 58, stk. 5; Europa-Parlamentets og Rådets direktiv 95/46)

   (jf. præmis 99-105 og domskonkl. 4)

5. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – nationale tilsynsmyndigheder – beføjelser – bestemmelse, der fastsætter beføjelsen for en tilsynsmyndighed i en medlemsstat til at indlede og deltage i retssager – direkte virkning

   (Art. 288, stk. 2, TEUF; Europa-Parlamentets og Rådets forordning 2016/679, art. 58, stk. 5)

   (jf. præmis 109-113 og domskonkl. 5)

Resumé

Den generelle forordning om databeskyttelse (GDPR): Domstolen præciserer betingelserne for udøvelse af de nationale tilsynsmyndigheders beføjelser i forbindelse med grænseoverskridende behandling af oplysninger

På visse betingelser kan en national tilsynsmyndighed udøve sin beføjelse til at indbringe alle angivelige overtrædelser af GDPR for en retsinstans i denne medlemsstat, selv om den ikke er den ledende myndighed for denne behandling

Den 11. september 2015 anlagde formanden for den belgiske kommission for beskyttelse af privatlivets fred (herefter »CBPL«) et søgsmål med påstand om forbud mod Facebook Ireland, Facebook Inc. og Facebook Belgium ved Nederlandstalige rechtbank van eerste aanleg Brussel (den nederlandsksprogede ret i første instans i Bruxelles, Belgien) med det formål at standse Facebooks angivelige tilsidesættelse af lovgivningen om databeskyttelse. Denne tilsidesættelse bestod bl.a. i indsamling og anvendelse af oplysninger om de belgiske internetbrugeres adfærd, uanset om de er indehavere af en Facebook-konto, ved hjælp af forskellige teknologier, såsom cookies, sociale plug-ins ( 1 ) eller pixels.

Den 16. februar 2018 erklærede denne retsinstans sig kompetent til at træffe afgørelse om dette søgsmål og fastslog med hensyn til realiteten, at det sociale netværk Facebook ikke i tilstrækkelig grad havde oplyst de belgiske internetbrugere om indsamlingen og brugen af de pågældende oplysninger. I øvrigt blev det af internetbrugerne afgivne samtykke til indsamling og behandling af de nævnte oplysninger anset for ugyldigt.

Den 2. marts 2018 iværksatte Facebook Ireland, Facebook Inc. og Facebook Belgium appel til prøvelse af denne dom ved hof van beroep te Brussel (appeldomstolen i Bruxelles, Belgien), der er den forelæggende ret i den foreliggende sag. Den belgiske databeskyttelsesmyndighed (herefter »databeskyttelsesmyndigheden«) optrådte ved denne ret som retssuccessor for CBPL’s formand. Den forelæggende ret erklærede sig alene kompetent til at træffe afgørelse om den af Facebook Belgium iværksatte appel.

Den forelæggende ret var i tvivl om betydningen af anvendelsen af den »one-stop-shop«-mekanisme, der er fastsat i databeskyttelsesforordningen ( 2 ), på databeskyttelsesmyndighedens kompetencer og ønskede nærmere bestemt oplyst, om databeskyttelsesmyndigheden for så vidt angår de faktiske omstændigheder, der lå efter ikrafttrædelsen af GDPR, dvs. den 25. maj 2018, kan anlægge sag mod Facebook Belgium, eftersom Facebook Ireland er blevet identificeret som dataansvarlig for de pågældende oplysninger. Fra denne dato og navnlig i medfør af princippet om »one-stop-shop«, der er fastsat i GDPR, er det således alene den irske databeskyttelseskommissær, der er kompetent til at anlægge et søgsmål med påstand om forbud, som er undergivet de irske retters efterprøvelse.

Domstolen (Store Afdeling) præciserede i sin dom de nationale tilsynsmyndigheders beføjelser inden for rammerne af GDPR. Den fastslog bl.a., at denne forordning på visse betingelser tillader en tilsynsmyndighed i en medlemsstat at udøve sin beføjelse til at indbringe alle angivelige overtrædelser af GDPR for en retsinstans i denne medlemsstat og at indlede eller deltage i retssager for så vidt angår en grænseoverskridende behandling af oplysninger ( 3 ), selv om den ikke er den ledende tilsynsmyndighed for denne behandling.

Domstolens bemærkninger

For det første præciserede Domstolen de betingelser, hvorunder en national tilsynsmyndighed, der ikke er ledende tilsynsmyndighed for så vidt angår en grænseoverskridende behandling, skal udøve sin beføjelse til at indbringe alle angivelige overtrædelser af GDPR for en retsinstans i en medlemsstat og om nødvendigt indlede eller deltage i retssager med henblik på at sikre anvendelsen af denne forordning. Dels skal GDPR tillægge denne tilsynsmyndighed en kompetence til at vedtage en afgørelse, hvorved det fastslås, at denne behandling tilsidesætter de regler, der er fastsat i denne forordning, dels skal denne beføjelse udøves under overholdelse af de procedurer for samarbejde og sammenhæng, der er fastsat i denne forordning ( 4 ).

For så vidt angår grænseoverskridende behandlinger fastsætter GDPR således »one-stop-shop«-mekanismen ( 5 ), der er baseret på en kompetencefordeling mellem en »ledende tilsynsmyndighed« og de øvrige berørte nationale tilsynsmyndigheder. Denne mekanisme kræver et tæt, loyalt og effektivt samarbejde mellem disse myndigheder med henblik på at sikre en sammenhængende og ensartet beskyttelse af personoplysninger og således sikre dens effektive virkning. GDPR fastsætter i denne forbindelse den ledende tilsynsmyndigheds principielle kompetence til at vedtage en afgørelse, hvorved det fastslås, at en grænseoverskridende behandling tilsidesætter de regler, der er fastsat i denne forordning ( 6 ), mens de øvrige berørte tilsynsmyndigheders kompetence til at vedtage en sådan afgørelse, selv midlertidigt, udgør undtagelsen ( 7 ). Dog kan den ledende tilsynsmyndighed ikke ved udøvelsen af sine beføjelser se bort fra en nødvendig dialog og et loyalt og effektivt samarbejde med de andre berørte tilsynsmyndigheder. Af denne grund kan den ledende tilsynsmyndighed ikke se bort fra de øvrige berørte tilsynsmyndigheders synspunkter, og alle relevante og begrundede indsigelser fra en af disse sidstnævnte myndigheder bevirker, at vedtagelsen af udkastet til den ledende tilsynsmyndigheds afgørelse blokeres – i det mindste midlertidigt.

Domstolen præciserede i øvrigt, at den omstændighed, at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed for så vidt angår en grænseoverskridende behandling af oplysninger, kun kan udøve beføjelsen til at indbringe alle angivelige overtrædelser af GDPR for en retsinstans i denne medlemsstat og til at indlede eller deltage i retssager under overholdelse af reglerne om fordeling af beslutningskompetencen mellem den ledende tilsynsmyndighed og de øvrige tilsynsmyndigheder ( 8 ), er i overensstemmelse med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, der sikrer den berørte persons ret til beskyttelse af personoplysninger og dennes ret til effektive retsmidler.

For det andet fastslog Domstolen, at det, for at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indlede eller deltage i retssager ( 9 ) i forbindelse med grænseoverskridende behandling af personoplysninger, ikke kræves, at den dataansvarlige eller databehandleren for den grænseoverskridende behandling af personoplysninger, som dette søgsmål omhandler, har en hovedvirksomhed eller en anden etablering på denne medlemsstats område. Udøvelsen af denne beføjelse skal imidlertid henhøre under GDPR’s territoriale anvendelsesområde ( 10 ), hvilket forudsætter, at den dataansvarlige eller databehandleren for den grænseoverskridende behandling er etableret i Unionen.

For det tredje fastslog Domstolen, at i forbindelse med grænseoverskridende behandling af personoplysninger kan en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, gøre brug af beføjelsen til at indbringe alle angivelige overtrædelser af GDPR for en retsinstans i denne medlemsstat og om nødvendigt til at indlede eller deltage i retssager, både med hensyn til den dataansvarliges hovedvirksomhed, der ligger i den medlemsstat, som henhører under denne myndighed, og med hensyn til en anden af den ansvarliges etableringer, for så vidt som søgsmålet omhandler en behandling af oplysninger, der er foretaget inden for rammerne af denne etablerings aktiviteter, og at nævnte myndighed er kompetent til at udøve denne beføjelse.

Domstolen præciserede imidlertid, at udøvelsen af denne beføjelse forudsætter, at GDPR finder anvendelse. Da de aktiviteter, som den af Facebook-koncernens etableringer, der er beliggende i Belgien, udøver, i den foreliggende sag var uløseligt forbundet med den i hovedsagen omhandlede behandling af personoplysninger, som Facebook Ireland er ansvarlig for på Unionens område, er denne behandling foretaget »som led i aktiviteter, der udføres for en dataansvarlig«, og dermed omfattet af GDPR’s anvendelsesområde.

For det fjerde fastslog Domstolen, at når en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed« har anlagt et søgsmål om grænseoverskridende behandling af personoplysninger inden datoen for GDPR’s ikrafttræden, kan dette søgsmål, set fra et EU-retligt synspunkt, opretholdes på grundlag af bestemmelserne i databeskyttelsesdirektivet ( 11 ), som fortsat finder anvendelse for så vidt angår overtrædelser af de regler, som det fastsætter, der er begået indtil datoen for dette direktivs ophævelse. Dette søgsmål kan desuden anlægges af denne myndighed for overtrædelser, der er begået efter datoen for GDPR’s ikrafttræden, for så vidt som det er i en af de situationer, hvor denne forordning undtagelsesvis tillægger denne samme tilsynsmyndighed en kompetence til at vedtage en afgørelse, hvori det fastslås, at den omhandlede behandling af oplysninger tilsidesætter de regler, der er fastsat i denne forordning, under overholdelse af de samarbejds- og sammenhængsprocedurer, sidstnævnte forordning fastsætter.

Endelig og for det femte anerkendte Domstolen den direkte virkning af GDPR’s bestemmelse, ifølge hvilken hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller deltage i retssager. En sådan myndighed kan følgelig påberåbe sig denne bestemmelse for at anlægge eller genoptage en sag mod private, selv om den ikke specifikt er blevet gennemført i den pågældende medlemsstats lovgivning.

( 1 ) – F.eks. knapperne »synes godt om« eller »del«.

( 2 ) – Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »GDPR«). GDPR’s artikel 56, stk. 1, har følgende ordlyd: »Uden at det berører artikel 55, er tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering kompetent til at fungere som ledende tilsynsmyndighed for den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler.«

( 3 ) – Som omhandlet i GDPR’s artikel 4, nr. 23).

( 4 ) – Fastsat i GDPR’s artikel 56 og 60.

( 5 ) – GDPR’s artikel 56, stk. 1.

( 6 ) – GDPR’s artikel 60, stk. 7.

( 7 ) – GDPR’s artikel 56, stk. 2, og artikel 66 fastsætter undtagelserne til princippet om den ledende tilsynsmyndigheds beslutningskompetence.

( 8 ) – Fastsat i GDPR’s artikel 55 og 56, sammenholdt med GDPR’s artikel 60.

( 9 ) – I henhold til GDPR’s artikel 58, stk. 5.

( 10 ) – GDPR’s artikel 3, stk. 1, fastsætter, at denne forordning finder anvendelse på behandling af personoplysninger, som foretages »som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen eller ej«.

( 11 ) – Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).