EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62017CJ0507

Απόφαση του Δικαστηρίου (τμήμα μείζονος συνθέσεως) της 24ης Σεπτεμβρίου 2019.
Google LLC, διάδοχος της Google Inc., κατά Commission nationale de l'informatique et des libertés (CNIL).
Αίτηση του Conseil d'État για την έκδοση προδικαστικής αποφάσεως.
Προδικαστική παραπομπή – Δεδομένα προσωπικού χαρακτήρα – Προστασία φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων αυτών – Οδηγία 95/46/ΕΚ – Κανονισμός (ΕΕ) 2016/679 – Διαδικτυακές μηχανές αναζήτησης – Επεξεργασία δεδομένων που περιλαμβάνονται σε ιστοσελίδες – Εδαφικό πεδίο του δικαιώματος διαγραφής συνδέσμων.
Υπόθεση C-507/17.

Digital reports (Court Reports - general - 'Information on unpublished decisions' section)

ECLI identifier: ECLI:EU:C:2019:772

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τμήμα μείζονος συνθέσεως)

της 24ης Σεπτεμβρίου 2019 ( *1 )

«Προδικαστική παραπομπή – Δεδομένα προσωπικού χαρακτήρα – Προστασία φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων αυτών – Οδηγία 95/46/ΕΚ – Κανονισμός (ΕΕ) 2016/679 – Διαδικτυακές μηχανές αναζήτησης – Επεξεργασία δεδομένων που περιλαμβάνονται σε ιστοσελίδες – Εδαφικό πεδίο του δικαιώματος διαγραφής συνδέσμων»

Στην υπόθεση C‑507/17,

με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Conseil d’État (Συμβούλιο της Επικρατείας, Γαλλία) με απόφαση της 19ης Ιουλίου 2017, η οποία περιήλθε στο Δικαστήριο στις 21 Αυγούστου 2017, στο πλαίσιο της δίκης

Google LLC, διάδοχος της Google Inc.,

κατά

Commission nationale de l’informatique et des libertés (CNIL),

παρισταμένων των:

Wikimedia Foundation Inc.,

Fondation pour la liberté de la presse,

Microsoft Corp.,

Reporters Committee for Freedom of the Press κ.λπ.,

Article 19 κ.λπ.,

Internet Freedom Foundation κ.λπ.,

Défenseur des droits,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τμήμα μείζονος συνθέσεως),

συγκείμενο από τους K. Lenaerts, Πρόεδρο, A. Arabadjiev, E. Regan, T. von Danwitz, C. Toader και F. Biltgen, προέδρους τμήματος, M. Ilešič (εισηγητή), L. Bay Larsen, M. Safjan, D. Šváby, C. G. Fernlund, C. Vajda και S. Rodin, δικαστές,

γενικός εισαγγελέας: M. Szpunar

γραμματέας: V. Giacobbo-Peyronnel, διοικητική υπάλληλος,

έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 11ης Σεπτεμβρίου 2018,

λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:

η Google LLC, εκπροσωπούμενη από τους P. Spinosi, Y. Pelosi και W. Maxwell, avocats,

η Commission nationale de l’informatique et des libertés (CNIL), εκπροσωπούμενη από την I. Falque-Pierrotin και τους J. Lessi και G. Le Grand,

η Wikimedia Foundation Inc., εκπροσωπούμενη από την C. Rameix‑Seguin, avocate,

το Fondation pour la liberté de la presse, εκπροσωπούμενο από τον T. Haas, avocat,

η Microsoft Corp., εκπροσωπούμενη από τον E. Piwnica, avocat,

οι Reporters Committee for Freedom of the Press κ.λπ., εκπροσωπούμενοι από τον F. Louis, avocat, καθώς και από τους H.‑G. Kamann, C. Schwedler και M. Braun, Rechtsanwälte,

οι Article 19 κ.λπ., εκπροσωπούμενοι από τους G. Tapie, avocat, G. Facenna, QC, και E. Metcalfe, barrister,

οι Internet Freedom Foundation κ.λπ., εκπροσωπούμενοι από τον T. Haas, avocat,

ο Défenseur des droits, εκπροσωπούμενος από τον J. Toubon,

η Γαλλική Κυβέρνηση, εκπροσωπούμενη από τους D. Colas και R. Coesme και από τις E. de Moustier και S. Ghiandoni,

η Ιρλανδία, εκπροσωπούμενη από τις M. Browne, G. Hodge και J. Quaney, καθώς από τον A. Joyce, επικουρούμενους από την M. Gray, BL,

η Ελληνική Κυβέρνηση, εκπροσωπούμενη από τις Έ.-M. Μαμούνα, Γ. Παπαδάκη, Ε. Ζήση και Σ. Παπαϊωάννου,

η Ιταλική Κυβέρνηση, εκπροσωπούμενη από την G. Palmieri, επικουρούμενη από την R. Guizzi, avvocato dello Stato,

η Αυστριακή Κυβέρνηση, εκπροσωπούμενη από τους G. Eberhard και G. Kunnert,

η Πολωνική Κυβέρνηση, εκπροσωπούμενη από τον B. Majczyna και τις M. Pawlicka και J. Sawicka,

η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους A. Buchet, H. Kranenborg και D. Nardi,

αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 10ης Ιανουαρίου 2019,

εκδίδει την ακόλουθη

Απόφαση

1

Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31).

2

Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της Google LLC, διαδόχου της Google Inc., και της Commission nationale de l’informatique et des libertés (CNIL) (Εθνικής Επιτροπής Πληροφορικής και Ελευθεριών, Γαλλία) με αντικείμενο κύρωση 100000 ευρώ την οποία επέβαλε η δεύτερη στην Google, επειδή η εταιρία αυτή αρνείται, όταν κάνει δεκτή αίτηση διαγραφής συνδέσμων, να διαγράφει τους συνδέσμους ως προς το σύνολο των ονομάτων τομέα που χρησιμοποιεί για τη μηχανή αναζήτησης που εκμεταλλεύεται.

Το νομικό πλαίσιο

Το δίκαιο της Ένωσης

Η οδηγία 95/46

3

Σκοπός της οδηγίας 95/46, κατά το άρθρο της 1, παράγραφος 1, είναι η προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και η εξάλειψη των εμποδίων στην ελεύθερη κυκλοφορία των δεδομένων αυτών.

4

Οι αιτιολογικές σκέψεις 2, 7, 10, 18, 20 και 37 της οδηγίας 95/46 έχουν ως εξής:

«(2)

[εκτιμώντας] ότι τα συστήματα επεξεργασίας δεδομένων υπηρετούν τον άνθρωπο· ότι πρέπει, ανεξαρτήτως ιθαγένειας ή κατοικίας των φυσικών προσώπων, να σέβονται τις θεμελιώδεις ελευθερίες και τα δικαιώματά τους, και ιδίως την ιδιωτική ζωή, και να συμβάλλουν στην […] ευημερία του ατόμου·

[…]

(7)

[εκτιμώντας] ότι οι διαφορές που υπάρχουν στα κράτη μέλη ως προς το επίπεδο προστασίας των δικαιωμάτων και ελευθεριών του ατόμου, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι δυνατόν να εμποδίζουν τη διαβίβαση των δεδομένων αυτών από το έδαφος ενός στο έδαφος άλλου κράτους μέλους· ότι οι διαφορές αυτές ενδέχεται συνεπώς να φέρουν εμπόδια στην άσκηση πολλών οικονομικών δραστηριοτήτων σε κοινοτικό επίπεδο, […]

[…]

(10)

[εκτιμώντας] ότι στόχος των εθνικών νομοθεσιών όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι η διασφάλιση της προστασίας των θεμελιωδών δικαιωμάτων και ιδίως της ιδιωτικής ζωής, όπως επίσης αναγνωρίζεται στο άρθρο 8 της ευρωπαϊκής σύμβασης περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών[, η οποία υπεγράφη στη Ρώμη στις 4 Νοεμβρίου 1950], καθώς και στις γενικές αρχές του κοινοτικού δικαίου· ότι, για το λόγο αυτό, η προσέγγιση των εν λόγω νομοθεσιών δεν πρέπει να οδηγήσει στην εξασθένηση της προστασίας που εξασφαλίζουν αλλά, αντιθέτως, πρέπει να έχει ως στόχο την κατοχύρωση υψηλού επιπέδου προστασίας στην Κοινότητα·

[…]

(18)

[εκτιμώντας] ότι, προκειμένου να αποφευχθεί ο αποκλεισμός ενός προσώπου από την δυνάμει της παρούσας οδηγίας προστασία, είναι απαραίτητο κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στην Κοινότητα να τηρεί τη νομοθεσία ενός από τα κράτη μέλη· […]

[…]

(20)

[εκτιμώντας] ότι η εγκατάσταση σε τρίτη χώρα του υπευθύνου της επεξεργασίας δεν πρέπει να αποτελεί εμπόδιο στην προστασία των προσώπων που προβλέπεται από την παρούσα οδηγία· ότι, στην περίπτωση αυτή, ενδείκνυται οι εκτελούμενες επεξεργασίες να υπάγονται στη νομοθεσία του κράτους μέλους στο οποίο βρίσκονται τα μέσα που χρησιμοποιούνται για την επεξεργασία και να παρέχονται εγγυήσεις ώστε τα δικαιώματα και οι υποχρεώσεις που προβλέπονται από την παρούσα οδηγία να γίνονται πράγματι σεβαστά·

[…]

(37)

[εκτιμώντας] ότι ως προς την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς καθώς και για καλλιτεχνική ή λογοτεχνική έκφραση, ιδίως στον οπτικοακουστικό τομέα, πρέπει να προβλέπονται εξαιρέσεις και περιορισμοί από τις διατάξεις της παρούσας οδηγίας οι οποίοι είναι αναγκαίοι για το συμβιβασμό των θεμελιωδών δικαιωμάτων του προσώπου με την ελευθερία της έκφρασης, και ιδίως την ελευθερία να λαμβάνει κανείς ή να παρέχει πληροφορίες, όπως αυτή κατοχυρώνεται στο άρθρο 10 της ευρωπαϊκής σύμβασης περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών. Κατά συνέπεια, εναπόκειται στα κράτη μέλη να θεσπίσουν, για την ιεράρχηση των θεμελιωδών δικαιωμάτων, τις αναγκαίες εξαιρέσεις και περιορισμούς όσον αφορά τους εν γένει κανόνες νομιμότητας της επεξεργασίας των δεδομένων, […]».

5

Το άρθρο 2 της οδηγίας αυτής ορίζει τα εξής:

«Για τους σκοπούς της παρούσας οδηγίας νοούνται ως:

α)

“δεδομένα προσωπικού χαρακτήρα”, κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί “το πρόσωπο στο οποίο αναφέρονται τα δεδομένα”· […]

β)

“επεξεργασία δεδομένων προσωπικού χαρακτήρα”“επεξεργασία”, κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή·

[…]

δ)

“υπεύθυνος της επεξεργασίας”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· […]

[…]».

6

Το άρθρο 4 της εν λόγω οδηγίας, με τίτλο «Εφαρμοστέο εθνικό δίκαιο», προβλέπει τα εξής:

«1.   Κάθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει δυνάμει της παρούσας οδηγίας σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον:

α)

η επεξεργασία εκτελείται στα πλαίσια των δραστηριοτήτων υπευθύνου εγκατεστημένου στο έδαφος του κράτους μέλους. Όταν ο ίδιος υπεύθυνος είναι εγκατεστημένος στο έδαφος περισσοτέρων του ενός κρατών μελών, πρέπει να λαμβάνει τα αναγκαία μέτρα ώστε να εξασφαλίζεται ότι κάθε εγκατάστασή του πληροί τις απαιτήσεις που προβλέπει η εφαρμοστέα εθνική νομοθεσία·

β)

ο υπεύθυνος δεν είναι εγκατεστημένος στο έδαφος του κράτους μέλους, αλλά σε τόπο όπου εφαρμόζεται η εθνική του νομοθεσία δυνάμει του δημοσίου διεθνούς δικαίου·

γ)

ο υπεύθυνος της επεξεργασίας δεν είναι εγκατεστημένος στο έδαφος της Κοινότητας και για τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα προσφεύγει σε μέσα, αυτοματοποιημένα ή όχι, ευρισκόμενα στο έδαφος του εν λόγω κράτους μέλους, εκτός εάν τα μέσα αυτά χρησιμοποιούνται μόνο με σκοπό τη διέλευση από το έδαφος της Ευρωπαϊκής Κοινότητας.

2.   Στην περίπτωση που αναφέρεται στην παράγραφο 1 στοιχείο γ), ο υπεύθυνος της επεξεργασίας πρέπει να υποδείξει έναν αντιπρόσωπο εγκατεστημένο στο έδαφος του εν λόγω κράτους μέλους. Δεν θίγεται η τυχόν ανάληψη νομικών ενεργειών κατά του ιδίου του υπευθύνου της επεξεργασίας.»

7

Το άρθρο 9 της οδηγίας 95/46, με τίτλο «Επεξεργασία δεδομένων προσωπικού χαρακτήρα και ελευθερία έκφρασης», ορίζει τα εξής:

«Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται αποκλειστικώς για δημοσιογραφικούς σκοπούς ή στο πλαίσιο καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη προβλέπουν τις εξαιρέσεις ή παρεκκλίσεις από τις διατάξεις του παρόντος κεφαλαίου, του κεφαλαίου IV και του κεφαλαίου VI μόνο στο βαθμό που είναι αναγκαίες ώστε το δικαίωμα της ιδιωτικής ζωής να συμβιβάζεται με τους κανόνες που διέπουν την ελευθερία έκφρασης.»

8

Το άρθρο 12 της οδηγίας αυτής, με τίτλο «Δικαίωμα πρόσβασης», προβλέπει τα εξής:

«Τα κράτη μέλη εγγυώνται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα το δικαίωμα να λαμβάνουν από τον υπεύθυνο της επεξεργασίας:

[…]

β)

κατά περίπτωση, τη διόρθωση, τη διαγραφή ή το κλείδωμα των δεδομένων των οποίων η επεξεργασία δεν είναι σύμφωνη προς τις διατάξεις της παρούσας οδηγίας, ιδίως λόγω ελλιπούς ή ανακριβούς χαρακτήρα των δεδομένων·

[…]».

9

Το άρθρο 14 της εν λόγω οδηγίας, με τίτλο «Δικαίωμα αντίταξης του προσώπου στο οποίο αναφέρονται τα δεδομένα», έχει ως εξής:

«Τα κράτη μέλη αναγνωρίζουν στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα το δικαίωμα:

α)

τουλάχιστον στις περιπτώσεις του άρθρου 7, στοιχεία ε) και στ), να αντιτάσσεται ανά πάσα στιγμή, για επιτακτικούς και νόμιμους λόγους σχετικούς με την προσωπική του κατάσταση, στην επεξεργασία των δεδομένων που το αφορούν, εκτός εάν στην εθνική νομοθεσία ορίζεται άλλως. Σε περίπτωση αιτιολογημένης αντίταξης, η επεξεργασία δεν μπορεί πλέον να αφορά τα δεδομένα αυτά·

[…]».

10

Το άρθρο 24 της οδηγίας 95/46, με τίτλο «Κυρώσεις», προβλέπει τα εξής:

«Τα κράτη μέλη λαμβάνουν τα κατάλληλα μέτρα για να εξασφαλίσουν την πλήρη εφαρμογή των διατάξεων της παρούσας οδηγίας και προβλέπουν ιδίως κυρώσεις για παράβαση των διατάξεων εφαρμογής της.»

11

Το άρθρο 28 της οδηγίας αυτής, με τίτλο «Αρχή ελέγχου», έχει ως εξής:

«1.   Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφός του, των εθνικών διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ’ εφαρμογήν της παρούσας οδηγίας.

[…]

3.   Κάθε αρχή ελέγχου διαθέτει συγκεκριμένα:

μέσα για τη διεξαγωγή έρευνας, όπως το δικαίωμα να έχει πρόσβαση στα δεδομένα που αποτελούν αντικείμενο επεξεργασίας και το δικαίωμα να συλλέγει κάθε αναγκαία πληροφορία για την εκπλήρωση της αποστολής ελέγχου,

αποτελεσματικές εξουσίες παρέμβασης, όπως για παράδειγμα την εξουσία […] να επιτάσσει τη δέσμευση, διαγραφή ή την καταστροφή δεδομένων, να απαγορεύει επίσης προσωρινά ή οριστικά την επεξεργασία […]

[…]

Κατά των αποφάσεων της αρχής ελέγχου μπορούν να ασκηθούν ένδικα μέσα.

4.   Κάθε πρόσωπο ή κάθε ένωση που το εκπροσωπεί μπορεί να υποβάλει σε κάθε αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο αιτών ενημερώνεται σχετικά με τη συνέχεια που δίδεται στην αίτησή του.

[…]

6.   Κάθε αρχή ελέγχου είναι αρμόδια, ανεξάρτητα από την εθνική νομοθεσία που εφαρμόζεται στη συγκεκριμένη επεξεργασία, για την άσκηση, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, των εξουσιών που διαθέτει σύμφωνα με την παράγραφο 3 του παρόντος άρθρου. Κάθε αρχή μπορεί να κληθεί να ασκήσει τις εξουσίες της από αρχή άλλου κράτους μέλους.

Οι αρχές ελέγχου διατηρούν μεταξύ τους την αναγκαία συνεργασία για την εκπλήρωση της αποστολής τους, ιδίως με την ανταλλαγή όλων των χρήσιμων πληροφοριών.

[…]»

Ο κανονισμός (ΕΕ) 2016/679

12

Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2018, L 127, σ. 2), ο οποίος στηρίζεται στο άρθρο 16 ΣΛΕΕ, έχει εφαρμογή, δυνάμει του άρθρου του 99, παράγραφος 2, από τις 25 Μαΐου 2018. Το άρθρο 94, παράγραφος 1, του κανονισμού αυτού ορίζει ότι η οδηγία 95/46 καταργείται από την ίδια ημερομηνία.

13

Οι αιτιολογικές σκέψεις 1, 4, 9 έως 11, 13, 22 έως 25 και 65 του εν λόγω κανονισμού έχουν ως εξής:

«(1)

Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (“Χάρτης”) και το άρθρο 16 παράγραφος 1 [ΣΛΕΕ] ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

[…]

(4)

Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον Χάρτη όπως κατοχυρώνονται στις Συνθήκες, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, […] την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, […]

[…]

(9)

[…] η οδηγία [95/46] δεν κατόρθωσε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας των δεδομένων σε ολόκληρη την Ένωση […]. Διαφορές στο επίπεδο προστασίας […] στα κράτη μέλη, ενδέχεται να εμποδίζουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Επομένως, οι διαφορές αυτές μπορεί να συνιστούν εμπόδιο για την άσκηση οικονομικών δραστηριοτήτων στο επίπεδο της Ένωσης, […].

(10)

Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. […]

(11)

Η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων, καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και των αντίστοιχων εξουσιών παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και των αντίστοιχων κυρώσεων για τις παραβιάσεις στα κράτη μέλη.

[…]

(13)

Για να διασφαλιστεί συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, […] και θα προβλέπει για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων, καθώς και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλιστεί η συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διάφορων κρατών μελών. Για την ομαλή λειτουργία της εσωτερικής αγοράς, η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν πρέπει να περιορίζεται, ούτε να απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. […]

[…]

(22)

Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων της εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση θα πρέπει να διενεργείται σύμφωνα με τον παρόντα κανονισμό, ανεξάρτητα από το εάν η ίδια η επεξεργασία πραγματοποιείται εντός Ένωσης. […]

(23)

Για να διασφαλιστεί ότι τα φυσικά πρόσωπα δεν στερούνται την προστασία που δικαιούνται βάσει του παρόντος κανονισμού, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα υποκειμένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση θα πρέπει να διέπεται από τον παρόντα κανονισμό, εφόσον οι δραστηριότητες επεξεργασίας σχετίζονται με την παροχή αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων, ανεξάρτητα από το εάν συνδέονται με πληρωμή. Για να κριθεί εάν ένας τέτοιος υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία προσφέρει αγαθά ή υπηρεσίες σε υποκείμενα των δεδομένων που βρίσκονται στην Ένωση, θα πρέπει να εξακριβωθεί αν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία προδήλως αποσκοπεί να παράσχει υπηρεσίες στα υποκείμενα των δεδομένων σε ένα ή περισσότερα κράτη μέλη της Ένωσης. […]

(24)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση θα πρέπει επίσης να διέπεται από τον παρόντα κανονισμό, εφόσον αφορά την παρακολούθηση της συμπεριφοράς των εν λόγω υποκειμένων των δεδομένων στον βαθμό που η συμπεριφορά τους λαμβάνει χώρα εντός της Ένωσης. Για τον καθορισμό του κατά πόσον μια δραστηριότητα επεξεργασίας μπορεί να θεωρηθεί ότι παρακολουθεί τη συμπεριφορά υποκειμένου των δεδομένων, θα πρέπει να εξακριβωθεί κατά πόσον φυσικά πρόσωπα παρακολουθούνται στο Διαδίκτυο, συμπεριλαμβανομένης της δυνητικής μετέπειτα χρήσης τεχνικών επεξεργασίας δεδομένων προσωπικού χαρακτήρα οι οποίες συνίστανται στη διαμόρφωση του “προφίλ” ενός φυσικού προσώπου, ιδίως με σκοπό να ληφθούν αποφάσεις που το αφορούν ή να αναλυθούν ή να προβλεφθούν οι προσωπικές προτιμήσεις, οι συμπεριφορές και οι νοοτροπίες του.

(25)

Αν το δίκαιο κράτους μέλους εφαρμόζεται δυνάμει του δημόσιου διεθνούς δικαίου, ο παρών κανονισμός θα πρέπει να ισχύει επίσης για υπεύθυνο επεξεργασίας μη εγκατεστημένο στην Ένωση, όπως, λόγου χάρη, για τη διπλωματική αποστολή ή την προξενική αρχή κράτους μέλους.

[…]

(65)

Ένα υποκείμενο των δεδομένων θα πρέπει να έχει […] το “δικαίωμα στη λήθη”, εάν η διατήρηση των εν λόγω δεδομένων παραβιάζει τον παρόντα κανονισμό ή το δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. […] Ωστόσο, η περαιτέρω διατήρηση των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη όταν είναι αναγκαία για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και ενημέρωσης, […]».

14

Το άρθρο 3 του κανονισμού 2016/679, με τίτλο «Εδαφικό πεδίο εφαρμογής», έχει ως εξής:

«1.   Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης.

2.   Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με:

α)

την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή

β)

την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.

3.   Ο παρών κανονισμός εφαρμόζεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη εγκατεστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου.»

15

Το άρθρο 4, σημείο 23, του κανονισμού αυτού ορίζει ότι ως «διασυνοριακή επεξεργασία» νοείται:

«α)

η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή

β)

η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη».

16

Το άρθρο 17 του εν λόγω κανονισμού, με τίτλο «Δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)», έχει ως εξής:

«1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

α)

τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,

β)

το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

γ)

το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2,

δ)

τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

ε)

τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,

στ)

τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1.

[…]

3.   Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:

α)

για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση,

[…]».

17

Το άρθρο 21 του ίδιου κανονισμού, με τίτλο «Δικαίωμα εναντίωσης», προβλέπει στην παράγραφο 1 τα εξής:

«Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.»

18

Το άρθρο 55, με τίτλο «Αρμοδιότητα», που περιλαμβάνεται στο κεφάλαιο VI του κανονισμού 2016/679, το οποίο τιτλοφορείται «Ανεξάρτητες εποπτικές αρχές», ορίζει στην παράγραφο 1 τα εξής:

«Κάθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό στο έδαφος του κράτους μέλους της.»

19

Το άρθρο 56 του εν λόγω κανονισμού, με τίτλο «Αρμοδιότητα της επικεφαλής εποπτικής αρχής», προβλέπει τα εξής:

«1.   Με την επιφύλαξη του άρθρου 55, η εποπτική αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60.

2.   Κατά παρέκκλιση από την παράγραφο 1, κάθε εποπτική αρχή είναι αρμόδια για την εξέταση υποβληθείσας καταγγελίας ή για την αντιμετώπιση ενδεχόμενης παραβίασης του παρόντος κανονισμού, εάν το αντικείμενο αφορά μόνο εγκατάσταση στο οικείο κράτος μέλος ή επηρεάζει ουσιαστικώς υποκείμενα των δεδομένων μόνο στο οικείο κράτος μέλος.

3.   Στις περιπτώσεις της παραγράφου 2 του παρόντος άρθρου, η εποπτική αρχή ενημερώνει περί αυτού την επικεφαλής εποπτική αρχή χωρίς καθυστέρηση. Εντός τριών εβδομάδων από την ενημέρωσή της, η επικεφαλής εποπτική αρχή αποφασίζει εάν θα επιληφθεί της υπόθεσης κατά τη διαδικασία του άρθρου 60, λαμβάνοντας υπόψη εάν υπάρχει ή όχι εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που την ενημέρωσε.

4.   Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να επιληφθεί της υπόθεσης, εφαρμόζεται η διαδικασία που προβλέπεται στο άρθρο 60. Η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή δύναται να υποβάλει στην επικεφαλής αρχή σχέδιο απόφασης. Η επικεφαλής εποπτική αρχή λαμβάνει ιδιαιτέρως υπόψη το σχέδιο αυτό κατά την προετοιμασία του σχεδίου απόφασης που αναφέρεται στο άρθρο 60 παράγραφος 3.

5.   Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να μην επιληφθεί της υπόθεσης, η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή επιλαμβάνεται της υπόθεσης σύμφωνα με τα άρθρα 61 και 62.

6.   Η επικεφαλής εποπτική αρχή είναι ο μοναδικός συνομιλητής του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη διασυνοριακή πράξη επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.»

20

Το άρθρο 58 του ίδιου κανονισμού, με τίτλο «Εξουσίες», προβλέπει στην παράγραφο 2 τα εξής:

«Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:

[…]

ζ)

να δίνει εντολή […] διαγραφής δεδομένων προσωπικού χαρακτήρα […] δυνάμει των άρθρων […] 17 […],

[…]

θ)

να επιβάλλει διοικητικό πρόστιμο […], επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης».

21

Στο κεφάλαιο VII του κανονισμού 2016/679, με τίτλο «Συνεργασία και συνεκτικότητα», το τμήμα I, με τίτλο «Συνεργασία», περιλαμβάνει τα άρθρα 60 έως 62. Το εν λόγω άρθρο 60, με τίτλο «Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων ενδιαφερόμενων εποπτικών αρχών», ορίζει τα εξής:

«1.   Η επικεφαλής εποπτική αρχή συνεργάζεται με τις άλλες ενδιαφερόμενες εποπτικές αρχές σύμφωνα με το παρόν άρθρο με σκοπό να επιτύχει συναίνεση. Η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές ανταλλάσ[σ]ουν μεταξύ τους κάθε συναφή πληροφορία.

2.   Η επικεφαλής εποπτική αρχή μπορεί να ζητεί ανά πάσα στιγμή από άλλες ενδιαφερόμενες εποπτικές αρχές να παράσχουν αμοιβαία συνδρομή δυνάμει του άρθρου 61 και μπορεί να διεξάγει κοινές επιχειρήσεις δυνάμει του άρθρου 62, ιδίως για την εκτέλεση ερευνών ή για την παρακολούθηση της εφαρμογής μέτρου που αφορά υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία εγκατεστημένο σε άλλο κράτος μέλος.

3.   Η επικεφαλής εποπτική αρχή ανακοινώνει χωρίς καθυστέρηση τις συναφείς πληροφορίες για το θέμα αυτό στις άλλες ενδιαφερόμενες εποπτικές αρχές. Υποβάλλει χωρίς καθυστέρηση σχέδιο απόφασης στις άλλες ενδιαφερόμενες εποπτικές αρχές προς διατύπωση γνώμης και λαμβάνει δεόντως υπόψη τις απόψεις τους.

4.   Εάν οποιαδήποτε από τις άλλες ενδιαφερόμενες εποπτικές αρχές, εντός προθεσμίας τεσσάρων εβδομάδων από την αίτηση γνωμοδότησης, σύμφωνα με την παράγραφο 3 του παρόντος άρθρου, προβά[λ]ει σχετική και αιτιολογημένη ένσταση για το σχέδιο απόφασης, η επικεφαλής εποπτική αρχή, εάν δεν ακολουθήσει τη σχετική και αιτιολογημένη ένσταση ή είναι της γνώμης ότι η ένσταση δεν είναι σχετική ή αιτιολογημένη, υποβάλλει το ζήτημα στον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

5.   Εάν η επικεφαλής εποπτική αρχή σκοπεύει να ακολουθήσει τη διατυπωθείσα σχετική και αιτιολογημένη ένσταση, υποβάλλει στις άλλες ενδιαφερόμενες εποπτικές αρχές αναθεωρημένο σχέδιο απόφασης για να εκφέρουν τη γνώμη τους. Αυτό το αναθεωρημένο σχέδιο απόφασης υπόκειται στη διαδικασία που αναφέρεται στην παράγραφο 4, εντός προθεσμίας δύο εβδομάδων.

6.   Όταν καμία από τις άλλες ενδιαφερόμενες εποπτικές αρχές δεν έχει διατυπώσει ένσταση για το σχέδιο απόφασης που υπέβαλε η επικεφαλής εποπτική αρχή εντός της προθεσμίας που αναφέρεται στις παραγράφους 4 και 5, τεκμαίρεται ότι η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές συμφωνούν με το εν λόγω σχέδιο απόφασης και δεσμεύονται από αυτό.

7.   Η επικεφαλής εποπτική αρχή εκδίδει και κοινοποιεί την απόφαση στην κύρια ή, αναλόγως, τη μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και ενημερώνει τις άλλες ενδιαφερόμενες εποπτικές αρχές και το Συμβούλιο Προστασίας Δεδομένων για την απόφαση αυτή, παρέχοντας μεταξύ άλλων σύνοψη των πραγματικών περιστατικών και των νομικών ισχυρισμών. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα σχετικά με την απόφαση.

8.   Κατά παρέκκλιση από την παράγραφο 7, εάν μια καταγγελία έχει κριθεί απαράδεκτη ή έχει απορριφθεί, η εποπτική αρχή προς την οποία υποβλήθηκε η καταγγελία εκδίδει την απόφαση, την κοινοποιεί στον καταγγέλλοντα και ενημερώνει σχετικά τον υπεύθυνο επεξεργασίας.

9.   Εάν η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές συμφωνούν να κρίνουν απαράδεκτα ή να απορρίψουν τμήματα μιας καταγγελίας και να ενεργήσουν ως προς άλλα τμήματα της ίδιας καταγγελίας, εκδίδεται χωριστή απόφαση για καθένα από τα τμήματα αυτά. […]

10.   Μετά την κοινοποίηση της απόφασης της επικεφαλής εποπτικής αρχής σύμφωνα με τις παραγράφους 7 και 9, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία λαμβάνει τα αναγκαία μέτρα για να διασφαλίσει τη συμμόρφωση με την απόφαση όσον αφορά τις δραστηριότητες επεξεργασίας σε όλες τις εγκαταστάσεις του στην Ένωση. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποιεί τα ληφθέντα μέτρα για τη συμμόρφωση με την απόφαση στην επικεφαλής εποπτική αρχή, η οποία ενημερώνει τις άλλες ενδιαφερόμενες εποπτικές αρχές.

11.   Εάν, σε έκτακτες περιστάσεις, μια ενδιαφερόμενη εποπτική αρχή έχει λόγους να κρίνει ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα συμφέροντα των υποκειμένων των δεδομένων, εφαρμόζεται η επείγουσα διαδικασία που αναφέρεται στο άρθρο 66.

[…]»

22

Το άρθρο 61 του εν λόγω κανονισμού, με τίτλο «Αμοιβαία συνδρομή», ορίζει στην παράγραφο 1 τα εξής:

«Οι εποπτικές αρχές παρέχουν η μια στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή, ώστε να υλοποιήσουν και να εφαρμόσουν τον παρόντα κανονισμό με συνεκτικό τρόπο, και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, ιδίως, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου, παραδείγματος χάρη αιτήματα για προηγούμενες διαβουλεύσεις και εγκρίσεις, ελέγχους και έρευνες.»

23

Το άρθρο 62 του ίδιου κανονισμού, με τίτλο «Κοινές επιχειρήσεις αρχών ελέγχου», προβλέπει τα εξής:

«1.   Οι εποπτικές αρχές πραγματοποιούν, όταν χρειάζεται, κοινές επιχειρήσεις, μεταξύ άλλων και κοινές έρευνες και κοινά μέτρα επιβολής, στα οποία συμμετέχουν μέλη ή υπάλληλοι από εποπτικές αρχές άλλων κρατών μελών.

2.   Όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε πολλά κράτη μέλη ή σε περιπτώσεις στις οποίες σημαντικός αριθμός υποκειμένων των δεδομένων σε περισσότερα του ενός κράτη μέλη ενδέχεται να επηρεάζονται σημαντικά από πράξεις επεξεργασίας, μια εποπτική αρχή από καθένα από αυτά τα κράτη μέλη δικαιούται να συμμετέχει στις κοινές επιχειρήσεις. […]»

24

Το τμήμα 2, με τίτλο «Συνεκτικότητα», του κεφαλαίου VII του κανονισμού 2016/679 περιλαμβάνει τα άρθρα 63 έως 67. Το ως άνω άρθρο 63, με τίτλο «Μηχανισμός συνεκτικότητας», έχει ως εξής:

«Προκειμένου να συμβάλλουν στη συνεκτική εφαρμογή του παρόντος κανονισμού στο σύνολο της Ένωσης, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και, εφόσον απαιτείται, με την Επιτροπή, μέσω του μηχανισμού συνεκτικότητας όπως προβλέπεται στο παρόν τμήμα.»

25

Το άρθρο 65 του εν λόγω κανονισμού, με τίτλο «Επίλυση διαφορών από το Συμβούλιο Προστασίας Δεδομένων», προβλέπει στην παράγραφο 1 τα εξής:

«Προκειμένου να διασφαλίζεται η ορθή και συνεκτική εφαρμογή του παρόντος κανονισμού σε μεμονωμένες περιπτώσεις, το Συμβούλιο Προστασίας Δεδομένων εκδίδει δεσμευτική απόφαση στις ακόλουθες περιπτώσεις:

α)

όταν, στην περίπτωση που αναφέρεται στο άρθρο 60 παράγραφος 4, η ενδιαφερόμενη εποπτική αρχή έχει διατυπώσει σχετική και αιτιολογημένη ένσταση ως προς σχέδιο απόφασης της επικεφαλής αρχής και η επικεφαλής αρχή δεν έχει ακολουθήσει την ένσταση ή έχει απορρίψει την εν λόγω ένσταση ως μη σχετική ή αιτιολογημένη. Η δεσμευτική απόφαση αφορά όλα τα θέματα που αποτελούν το αντικείμενο της σχετικής και αιτιολογημένης ένστασης, ιδίως όταν υπάρχει παράβαση του παρόντος κανονισμού,

β)

αν υπάρχουν αντικρουόμενες απόψεις σχετικά με το ποια από τις ενδιαφερόμενες εποπτικές αρχές είναι αρμόδια για την κύρια εγκατάσταση,

[…]».

26

Το άρθρο 66 του ίδιου κανονισμού, με τίτλο «Επείγουσα διαδικασία», προβλέπει στην παράγραφο 1 τα εξής:

«Σε εξαιρετικές περιπτώσεις, όταν μια ενδιαφερόμενη εποπτική αρχή θεωρεί ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων, δύναται, κατά παρέκκλιση από τον μηχανισμό συνεκτικότητας των άρθρων 63, 64 και 65 ή τη διαδικασία του άρθρου 60, να θεσπίσει πάραυτα προσωρινά μέτρα που προορίζονται να παράγουν νομικά αποτελέσματα εντός της επικράτειάς της, με συγκεκριμένη διάρκεια ισχύος η οποία δεν υπερβαίνει τους τρεις μήνες. Η εποπτική αρχή ανακοινώνει αμελλητί τα εν λόγω μέτρα, καθώς και την αιτιολόγηση για τη θέσπισή τους, στις υπόλοιπες ενδιαφερόμενες εποπτικές αρχές, στο Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή.»

27

Το άρθρο 85 του κανονισμού 2016/679, με τίτλο «Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης», ορίζει τα εξής:

«1.   Τα κράτη μέλη διά νόμου συμβιβάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης.

2.   Για την επεξεργασία που διενεργείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη προβλέπουν εξαιρέσεις ή παρεκκλίσεις από το κεφάλαιο ΙΙ (αρχές), το κεφάλαιο ΙΙΙ (δικαιώματα του υποκειμένου των δεδομένων), το κεφάλαιο IV (υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία), το κεφάλαιο V (διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς), το κεφάλαιο VI (ανεξάρτητες εποπτικές αρχές), το κεφάλαιο VII (συνεργασία και συνεκτικότητα) και το κεφάλαιο ΙΧ (ειδικές περιπτώσεις επεξεργασίας δεδομένων), εφόσον αυτές είναι αναγκαίες για να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την ελευθερία της έκφρασης και πληροφόρησης.

[…]»

Το γαλλικό δίκαιο

28

Η εφαρμογή της οδηγίας 95/46 στη γαλλική έννομη τάξη διασφαλίζεται με τον loi no 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (νόμο 78-17, της 6ης Ιανουαρίου 1978, περί πληροφορικής, αρχείων και ελευθεριών), όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της κύριας δίκης (στο εξής: νόμος της 6ης Ιανουαρίου 1978).

29

Το άρθρο 45 του ως άνω νόμου ορίζει ότι, στην περίπτωση που ο υπεύθυνος επεξεργασίας δεν τηρεί τις υποχρεώσεις που απορρέουν από τον νόμο αυτόν, ο πρόεδρος της CNIL μπορεί να του απευθύνει προειδοποίηση και να του τάξει προθεσμία για την παύση της διαπιστωθείσας παράβασης. Εάν ο υπεύθυνος επεξεργασίας δεν συμμορφωθεί προς την προειδοποίηση που του απευθύνθηκε, η CNIL, συνεδριάζοντας σε περιορισμένη σύνθεση, μπορεί, κατόπιν κατ’ αντιπαράθεση διαδικασίας, να του επιβάλει, μεταξύ άλλων, χρηματική κύρωση.

Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα

30

Με απόφαση της 21ης Μαΐου 2015, η πρόεδρος της CNIL απηύθυνε προειδοποίηση στην Google, καλώντας την, στην περίπτωση που ικανοποιεί αίτημα φυσικού προσώπου για την απάλειψη συνδέσμων προς ιστοσελίδες από τον κατάλογο αποτελεσμάτων που εμφανίζεται κατόπιν αναζήτησης με βάση το ονοματεπώνυμό του, να απαλείφει τους συνδέσμους αυτούς ως προς όλα τα ονόματα τομέα που χρησιμοποιεί για τη μηχανή αναζήτησης την οποία εκμεταλλεύεται.

31

Η Google αρνήθηκε να συμμορφωθεί προς την προειδοποίηση αυτή και περιορίστηκε στην απάλειψη των επίμαχων συνδέσμων μόνον από τα αποτελέσματα των αναζητήσεων που γίνονται από ονόματα τομέα της ως άνω μηχανής αναζήτησης τα οποία αντιστοιχούν στα κράτη μέλη της Ευρωπαϊκής Ένωσης.

32

Εξάλλου, η CNIL έκρινε ανεπαρκή τη συμπληρωματική πρόταση εφαρμογής του λεγόμενου «γεωγραφικού αποκλεισμού», την οποία υπέβαλε η Google μετά τη λήξη της ταχθείσας προθεσμίας για συμμόρφωση και η οποία συνίσταται στον αποκλεισμό της πρόσβασης, από διεύθυνση IP (Internet Protocol) που τεκμαίρεται ότι βρίσκεται στο κράτος κατοικίας του υποκειμένου των δεδομένων, στα επίμαχα αποτελέσματα που εμφανίζονται κατόπιν αναζήτησης με βάση το ονοματεπώνυμo του υποκειμένου αυτού, ανεξαρτήτως του συγκεκριμένου ονόματος τομέα της ως άνω μηχανής αναζήτησης που χρησιμοποιεί ο χρήστης του διαδικτύου.

33

Η CNIL, αφού διαπίστωσε ότι η Google δεν είχε συμμορφωθεί με την εν λόγω προειδοποίηση εντός της ταχθείσας προθεσμίας, της επέβαλε, με απόφαση της 10ης Μαρτίου 2016, κύρωση ποσού 100000 ευρώ, η οποία δημοσιοποιήθηκε.

34

Η Google προσέφυγε ενώπιον του Conseil d’État (Συμβουλίου της Επικρατείας, Γαλλία) ζητώντας την ακύρωση της απόφασης αυτής.

35

Το Conseil d’État (Συμβούλιο της Επικρατείας) διαπιστώνει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τη μηχανή αναζήτησης την οποία εκμεταλλεύεται η Google εμπίπτει στο πεδίο εφαρμογής του νόμου της 6ης Ιανουαρίου 1978, λαμβανομένων υπόψη των δραστηριοτήτων προώθησης και πώλησης διαφημιστικού χώρου που ασκεί στη Γαλλία η θυγατρική της εταιρία Google France.

36

Το Conseil d’État (Συμβούλιο της Επικρατείας) επισημαίνει εξάλλου ότι η Google χρησιμοποιεί για τη μηχανή αναζήτησης που εκμεταλλεύεται ονόματα τομέα με διαφορετικές γεωγραφικές καταλήξεις, προκειμένου τα εμφανιζόμενα αποτελέσματα να προσαρμόζονται στις γλωσσικές ιδίως ιδιαιτερότητες των διαφόρων κρατών στα οποία δραστηριοποιείται η εταιρία αυτή. Όταν η αναζήτηση πραγματοποιείται από τον διαδικτυακό τόπο «google.com», η Google προβαίνει καταρχήν σε αυτόματη ανακατεύθυνση της αναζήτησης προς το όνομα τομέα που αντιστοιχεί στο κράτος από το οποίο τεκμαίρεται, βάσει της αναγνώρισης της διεύθυνσης IP του χρήστη του διαδικτύου, ότι πραγματοποιείται η αναζήτηση αυτή. Εντούτοις, ο χρήστης του διαδικτύου μπορεί να πραγματοποιήσει τις αναζητήσεις του μέσω άλλων ονομάτων τομέα της μηχανής αναζήτησης, ανεξάρτητα από τον τόπο στον οποίο αυτός βρίσκεται. Εξάλλου, μολονότι τα αποτελέσματα ενδέχεται να διαφέρουν ανάλογα με το όνομα τομέα της μηχανής αναζήτησης μέσω του οποίου πραγματοποιείται η αναζήτηση, δεν αμφισβητείται ότι οι εμφανιζόμενοι ως απάντηση στην αναζήτηση σύνδεσμοι προέρχονται από κοινές βάσεις δεδομένων και κοινή ευρετηρίαση.

37

Κατά το Conseil d’État (Συμβούλιο της Επικρατείας), δεδομένου ότι, αφενός, όλα τα ονόματα τομέα της μηχανής αναζήτησης της Google είναι προσβάσιμα από το γαλλικό έδαφος και, αφετέρου, υπάρχουν δίοδοι επικοινωνίας μεταξύ των διαφόρων ονομάτων τομέα, όπως μαρτυρεί ιδίως η αυτόματη ανακατεύθυνση και η ύπαρξη cookies για ονόματα τομέα διαφορετικά από εκείνα για τα οποία αυτά είχαν αρχικά εγκατασταθεί, πρέπει να γίνει δεκτό ότι η εν λόγω μηχανή αναζήτησης, για την οποία εξάλλου έχει υποβληθεί μία μόνο δήλωση στην CNIL, διενεργεί ενιαία επεξεργασία δεδομένων προσωπικού χαρακτήρα όσον αφορά την εφαρμογή του νόμου της 6ης Ιανουαρίου 1978. Κατά συνέπεια, η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω της μηχανής αναζήτησης που εκμεταλλεύεται η Google διενεργείται στο πλαίσιο μιας από τις εγκαταστάσεις της, ήτοι της Google France η οποία είναι εγκατεστημένη στη γαλλική επικράτεια και υπόκειται, ως εκ τούτου, στον νόμο της 6ης Ιανουαρίου 1978.

38

Ενώπιον του Conseil d’État (Συμβουλίου της Επικρατείας), η Google υποστήριξε ότι η επίδικη κύρωση στηρίζεται σε εσφαλμένη ερμηνεία των διατάξεων του νόμου της 6ης Ιανουαρίου 1978 οι οποίες μεταφέρουν στο εσωτερικό δίκαιο το άρθρο 12, στοιχείο βʹ, και το άρθρο14, πρώτο εδάφιο, στοιχείο αʹ, της οδηγίας 95/46, βάσει των οποίων το Δικαστήριο αναγνώρισε, με την απόφαση της 13ης Μαΐου 2014, Google Spain και Google (C‑131/12, EU:C:2014:317), «δικαίωμα διαγραφής συνδέσμων». Η Google προβάλλει ότι το δικαίωμα αυτό δεν συνεπάγεται κατ’ ανάγκην ότι η διαγραφή των επίδικων συνδέσμων πρέπει να καλύπτει, χωρίς εδαφικό περιορισμό, όλα τα ονόματα τομέα της μηχανής αναζήτησης. Περαιτέρω, δεχόμενη μια τέτοια ερμηνεία, η CNIL παραβίασε, κατά την άποψη της Google, τις αναγνωρισμένες από το δημόσιο διεθνές δίκαιο αρχές της αβροφροσύνης και της μη επέμβασης και έθιξε δυσανάλογα τις ελευθερίες έκφρασης, πληροφόρησης και επικοινωνίας και την ελευθερία του Τύπου, τις οποίες κατοχυρώνει μεταξύ άλλων το άρθρο 11 του Χάρτη.

39

Το Conseil d’État (Συμβούλιο της Επικρατείας), αφού διαπίστωσε ότι η επιχειρηματολογία αυτή θέτει πλειάδα σοβαρών ερμηνευτικών ζητημάτων σχετικά με την οδηγία 95/46, αποφάσισε να αναστείλει τη διαδικασία και να υποβάλει στο Δικαστήριο τα εξής προδικαστικά ερωτήματα:

«1)

Έχει το “δικαίωμα διαγραφής συνδέσμων”, όπως καθιερώθηκε από το [Δικαστήριο] στην απόφαση [της 13ης Μαΐου 2014, Google Spain και Google (C‑131/12, EU:C:2014:317)], βάσει των διατάξεων του άρθρου 12, στοιχείο βʹ, και του άρθρου 14, [πρώτο εδάφιο,] στοιχείο αʹ, της οδηγίας [95/46], την έννοια ότι ο φορέας εκμετάλλευσης μηχανής αναζήτησης οφείλει, όταν κάνει δεκτή αίτηση διαγραφής συνδέσμων, να εφαρμόζει τη διαγραφή ως προς το σύνολο των ονομάτων τομέα της μηχανής αναζήτησης που εκμεταλλεύεται, ώστε οι επίμαχοι σύνδεσμοι να μην εμφανίζονται πλέον, ανεξάρτητα από τον τόπο από τον οποίο πραγματοποιείται η αναζήτηση με βάση το ονοματεπώνυμο του αιτούντος, ακόμη και εκτός του εδαφικού πεδίου εφαρμογής της οδηγίας [95/46];

2)

Σε περίπτωση αρνητικής απάντησης στο πρώτο ερώτημα, έχει το “δικαίωμα διαγραφής συνδέσμων”, όπως καθιερώθηκε από το [Δικαστήριο] με την προμνημονευθείσα απόφασή του, την έννοια ότι ο φορέας εκμετάλλευσης μηχανής αναζήτησης οφείλει, όταν κάνει δεκτή αίτηση διαγραφής συνδέσμων, να απαλείφει τους επίμαχους συνδέσμους μόνον από τα αποτελέσματα που εμφανίζονται κατόπιν αναζήτησης που πραγματοποιείται με βάση το ονοματεπώνυμο του αιτούντος από το όνομα τομέα που αντιστοιχεί στο κράτος στο οποίο τεκμαίρεται ότι υποβλήθηκε η αίτηση ή, γενικότερα, από τα ονόματα τομέα της μηχανής αναζήτησης που αντιστοιχούν στις εθνικές καταλήξεις ονομάτων τομέα της εν λόγω μηχανής αναζήτησης για το σύνολο των κρατών μελών […];

3)

Επιπλέον, συμπληρωματικά προς την υποχρέωση που μνημονεύεται [στο δεύτερο ερώτημα], έχει το “δικαίωμα διαγραφής συνδέσμων”, όπως καθιερώθηκε από το [Δικαστήριο] με την προμνημονευθείσα απόφασή του, την έννοια ότι ο φορέας εκμετάλλευσης μηχανής αναζήτησης που κάνει δεκτή αίτηση διαγραφής συνδέσμων οφείλει να απαλείφει, διά της τεχνικής του γεωγραφικού αποκλεισμού, ως προς διεύθυνση IP η οποία τεκμαίρεται ότι βρίσκεται στο κράτος κατοικίας του φορέα του “δικαιώματος διαγραφής συνδέσμων”, τα επίμαχα αποτελέσματα των αναζητήσεων που πραγματοποιούνται με βάση το ονοματεπώνυμό του, ή ακόμη, γενικότερα, ως προς διεύθυνση IP η οποία τεκμαίρεται ότι βρίσκεται σε κράτος μέλος που υπόκειται στην οδηγία [95/46], και τούτο ανεξάρτητα από το όνομα τομέα που χρησιμοποιεί ο χρήστης του διαδικτύου που πραγματοποιεί την αναζήτηση;»

Επί των προδικαστικών ερωτημάτων

40

Η υπόθεση της κύριας δίκης αφορά ένδικη διαφορά μεταξύ της Google και της CNIL σχετικά με τον τρόπο με τον οποίο ο φορέας εκμετάλλευσης μηχανής αναζήτησης πρέπει να εφαρμόσει το δικαίωμα διαγραφής συνδέσμων, όταν διαπιστώνει ότι το υποκείμενο των δεδομένων δικαιούται να απαλειφθούν από τον κατάλογο αποτελεσμάτων που προκύπτει κατόπιν αναζήτησης με βάση το ονοματεπώνυμό του ένας ή περισσότεροι σύνδεσμοι προς ιστοσελίδες οι οποίες περιέχουν δεδομένα προσωπικού χαρακτήρα που αφορούν το υποκείμενο αυτό. Κατά την ημερομηνία υποβολής της αιτήσεως προδικαστικής αποφάσεως είχε εφαρμογή η οδηγία 95/46, η οποία όμως καταργήθηκε από την 25η Μαΐου 2018, ημερομηνία από την οποία έχει εφαρμογή ο κανονισμός 2016/679.

41

Το Δικαστήριο θα εξετάσει τα υποβληθέντα ερωτήματα υπό το πρίσμα τόσο της οδηγίας όσο και του κανονισμού, προκειμένου να διασφαλίσει ότι οι απαντήσεις του θα είναι, σε κάθε περίπτωση, χρήσιμες για το αιτούν δικαστήριο.

42

Κατά τη διαδικασία ενώπιον του Δικαστηρίου, η Google δήλωσε ότι, μετά την υποβολή της αιτήσεως προδικαστικής αποφάσεως, εισήγαγε νέα παρουσίαση των ανά χώρα εκδοχών της μηχανής αναζήτησης που εκμεταλλεύεται, στο πλαίσιο της οποίας το όνομα τομέα που εισάγει ο χρήστης του διαδικτύου δεν καθορίζει πλέον τη συγκεκριμένη ανά χώρα εκδοχή της μηχανής αναζήτησης στην οποία έχει πρόσβαση. Ειδικότερα, γίνεται αυτόματη ανακατεύθυνση του χρήστη του διαδικτύου προς την εκδοχή της μηχανής αναζήτησης της Google που αντιστοιχεί στη χώρα όπου βρίσκεται ο τόπος από τον οποίο τεκμαίρεται ότι αυτός πραγματοποιεί την αναζήτηση και, για την εμφάνιση των αποτελεσμάτων, λαμβάνεται υπόψη ο τόπος αυτός, τον οποίο η Google προσδιορίζει εφαρμόζοντας μέθοδο εντοπισμού της γεωγραφικής θέσης.

43

Υπό τις συνθήκες αυτές, πρέπει να γίνει δεκτό ότι τα υποβληθέντα ερωτήματα, τα οποία πρέπει να εξεταστούν από κοινού, αφορούν κατ’ ουσίαν το ζήτημα αν το άρθρο 12, στοιχείο βʹ, και το άρθρο 14, πρώτο εδάφιο, στοιχείο αʹ, της οδηγίας 95/46, καθώς και το άρθρο 17, παράγραφος 1, του κανονισμού 2016/679, έχουν την έννοια ότι ο φορέας εκμετάλλευσης μηχανής αναζήτησης, όταν κάνει δεκτή αίτηση διαγραφής συνδέσμων κατ’ εφαρμογήν των διατάξεων αυτών, υποχρεούται να διαγράφει τους συνδέσμους αυτούς ως προς όλες τις εκδοχές της μηχανής αναζήτησης που εκμεταλλεύεται ή αν, αντιθέτως, υποχρεούται να τους διαγράφει μόνον ως προς τις εκδοχές της που αντιστοιχούν στο σύνολο των κρατών μελών, ή και μόνον ως προς αυτήν που αντιστοιχεί στο κράτος μέλος εντός του οποίου υποβλήθηκε η αίτηση διαγραφής συνδέσμων, κατά περίπτωση σε συνδυασμό με την τεχνική του λεγόμενου «γεωγραφικού αποκλεισμού», προκειμένου να διασφαλίζει ότι ο χρήστης του διαδικτύου, ανεξαρτήτως της συγκεκριμένης ανά χώρα εκδοχής της μηχανής αναζήτησης που χρησιμοποιεί, δεν θα έχει πρόσβαση στους διαγραφόμενους συνδέσμους όταν πραγματοποιεί αναζήτηση από διεύθυνση IP που τεκμαίρεται ότι βρίσκεται στο κράτος μέλος κατοικίας του φορέα του δικαιώματος διαγραφής συνδέσμων ή γενικότερα σε κράτος μέλος.

44

Υπενθυμίζεται καταρχάς ότι το Δικαστήριο έκρινε ότι το άρθρο 12, στοιχείο βʹ, και το άρθρο 14, πρώτο εδάφιο, στοιχείο αʹ, της οδηγίας 95/46 έχουν την έννοια ότι, προκειμένου να προστατεύονται τα δικαιώματα που προβλέπουν οι διατάξεις αυτές και εφόσον πληρούνται πράγματι οι οριζόμενες από αυτές προϋποθέσεις, ο φορέας εκμετάλλευσης μηχανής αναζήτησης υποχρεούται να απαλείφει από τον κατάλογο αποτελεσμάτων, ο οποίος εμφανίζεται κατόπιν αναζήτησης που έχει διενεργηθεί με βάση το ονοματεπώνυμο ενός προσώπου, συνδέσμους προς δημοσιευμένες από τρίτους ιστοσελίδες που περιέχουν πληροφορίες σχετικές με το πρόσωπο αυτό, και στην περίπτωση κατά την οποία το ονοματεπώνυμο αυτό ή οι πληροφορίες αυτές δεν έχουν διαγραφεί προηγουμένως ή ταυτοχρόνως από τις ως άνω ιστοσελίδες, η υποχρέωση δε αυτή ισχύει, κατά περίπτωση, ακόμη και όταν αυτή καθαυτήν η δημοσίευση των επίμαχων πληροφοριών στις εν λόγω ιστοσελίδες είναι νόμιμη (απόφαση της 13ης Μαΐου 2014, Google Spain και Google, C‑131/12, EU:C:2014:317, σκέψη 88).

45

Το Δικαστήριο διευκρίνισε περαιτέρω ότι, στο πλαίσιο της εκτίμησης σχετικά με τη συνδρομή των προϋποθέσεων εφαρμογής των εν λόγω διατάξεων, πρέπει μεταξύ άλλων να εξετάζεται αν το υποκείμενο των δεδομένων έχει δικαίωμα να παύσει η σχετική με το πρόσωπό του πληροφορία να συνδέεται, επί του παρόντος, με το ονοματεπώνυμό του μέσω του καταλόγου αποτελεσμάτων ο οποίος προκύπτει κατόπιν αναζήτησης που έχει διενεργηθεί με βάση το ονοματεπώνυμο αυτό, χωρίς πάντως η αναγνώριση του δικαιώματος αυτού να προϋποθέτει ότι η εμφάνιση της επίμαχης πληροφορίας στον κατάλογο αποτελεσμάτων προκαλεί βλάβη στο υποκείμενο των δεδομένων. Δεδομένου ότι το υποκείμενο των δεδομένων μπορεί, βάσει των θεμελιωδών δικαιωμάτων του κατά τα άρθρα 7 και 8 του Χάρτη, να ζητήσει να παύσει η επίμαχη πληροφορία να τίθεται στη διάθεση του ευρέος κοινού μέσω της εμφάνισής της στον προαναφερθέντα κατάλογο αποτελεσμάτων, τα δικαιώματα αυτά καταρχήν υπερέχουν όχι μόνο του οικονομικού συμφέροντος του φορέα εκμετάλλευσης της μηχανής αναζήτησης, αλλά και του συμφέροντος του κοινού να αποκτήσει πρόσβαση στην πληροφορία αυτή στο πλαίσιο αναζήτησης με βάση το ονοματεπώνυμο του εν λόγω υποκειμένου. Εντούτοις, η διαπίστωση αυτή δεν ισχύει όταν, για ειδικούς λόγους, όπως ο ρόλος που διαδραματίζει το εν λόγω υποκείμενο στον δημόσιο βίο, προκύπτει ότι η επέμβαση στα θεμελιώδη δικαιώματά του δικαιολογείται από το υπέρτερο συμφέρον του κοινού για πρόσβαση στην επίμαχη πληροφορία μέσω της εμφάνισής της στον προαναφερθέντα κατάλογο (απόφαση της 13ης Μαΐου 2014, Google Spain και Google, C‑131/12, EU:C:2014:317, σκέψη 99).

46

Στο πλαίσιο του κανονισμού 2016/679, το ως άνω δικαίωμα διαγραφής συνδέσμων βρίσκει πλέον έρεισμα στο άρθρο 17 που ρυθμίζει ειδικά το «δικαίωμα διαγραφής», το οποίο αποκαλείται επίσης στον τίτλο του άρθρου «δικαίωμα στη λήθη».

47

Κατ’ εφαρμογήν του άρθρου 17, παράγραφος 1, του κανονισμού 2016/679, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους λόγους που απαριθμούνται στη διάταξη αυτή. Το άρθρο 17, παράγραφος 3, διευκρινίζει ότι, στον βαθμό που η επίμαχη επεξεργασία είναι απαραίτητη για έναν από τους λόγους που απαριθμούνται σε αυτό, το άρθρο 17, παράγραφος 1, δεν εφαρμόζεται. Οι λόγοι αυτοί καλύπτουν, μεταξύ άλλων, δυνάμει του άρθρου 17, παράγραφος 3, στοιχείο αʹ, του εν λόγω κανονισμού, την άσκηση του δικαιώματος, μεταξύ άλλων, των χρηστών του διαδικτύου στην ελευθερία της πληροφόρησης.

48

Από το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 και το άρθρο 3, παράγραφος 1, του κανονισμού 2016/679 προκύπτει ότι τόσο η οδηγία όσο και ο κανονισμός επιτρέπουν στα υποκείμενα των δεδομένων να προβάλλουν το δικαίωμα τους σε διαγραφή συνδέσμων έναντι του φορέα εκμετάλλευσης μηχανής αναζήτησης ο οποίος έχει μία ή περισσότερες εγκαταστάσεις στην Ένωση και πραγματοποιεί στο πλαίσιο των δραστηριοτήτων των εγκαταστάσεων αυτών επεξεργασία προσωπικών δεδομένων των ως άνω υποκειμένων, ανεξαρτήτως του αν η επεξεργασία πραγματοποιείται εντός της Ένωσης.

49

Ως προς το ζήτημα αυτό, το Δικαστήριο έχει κρίνει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων της εγκατάστασης που έχει ο υπεύθυνος της επεξεργασίας αυτής στο έδαφος κράτους μέλους, όταν ο φορέας εκμετάλλευσης της μηχανής αναζήτησης ιδρύει σε ορισμένο κράτος μέλος υποκατάστημα ή θυγατρική που έχει ως σκοπό την προώθηση και την πώληση του διαφημιστικού χώρου ο οποίος διατίθεται στο πλαίσιο της μηχανής αναζήτησης και που ασκεί δραστηριότητα απευθυνόμενη προς τους κατοίκους του εν λόγω κράτους μέλους (απόφαση της 13ης Μαΐου 2014, Google Spain και Google, C‑131/12, EU:C:2014:317, σκέψη 60).

50

Πράγματι, υπό τις περιστάσεις αυτές, οι δραστηριότητες του φορέα εκμετάλλευσης της μηχανής αναζήτησης και οι δραστηριότητες της εγκατάστασής του εντός της Ένωσης είναι αδιάσπαστα συνδεδεμένες, εφόσον οι σχετικές με τον διαφημιστικό χώρο δραστηριότητες αποτελούν το μέσο για να καταστεί η επίμαχη μηχανή αναζήτησης οικονομικώς αποδοτική και εφόσον η μηχανή αυτή είναι συγχρόνως το μέσο που καθιστά δυνατή την άσκηση των ως άνω δραστηριοτήτων, δεδομένου ότι η εμφάνιση των αποτελεσμάτων συνοδεύεται, στην ίδια σελίδα, από την εμφάνιση διαφημιστικών μηνυμάτων που συνδέονται με τους όρους αναζήτησης (πρβλ. απόφαση της 13ης Μαΐου 2014, Google Spain και Google, C‑131/12, EU:C:2014:317, σκέψεις 56 και 57).

51

Υπό τις συνθήκες αυτές, το γεγονός ότι την ως άνω μηχανή αναζήτησης εκμεταλλεύεται επιχείρηση που εδρεύει σε τρίτο κράτος δεν μπορεί να έχει ως συνέπεια να μην υπόκειται στις υποχρεώσεις και στις εγγυήσεις της οδηγίας 95/46 και του κανονισμού 2016/679 η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται για τις ανάγκες λειτουργίας της εν λόγω μηχανής αναζήτησης στο πλαίσιο της διαφημιστικής και εμπορικής δραστηριότητας την οποία αναπτύσσει η εγκατάσταση του υπευθύνου της επεξεργασίας αυτής στο έδαφος κράτους μέλους (πρβλ. απόφαση της 13ης Μαΐου 2014, Google Spain και Google, C‑131/12, EU:C:2014:317, σκέψη 58).

52

Εν προκειμένω, όπως προκύπτει από τα εκτιθέμενα στην απόφαση περί παραπομπής, αφενός, η εγκατάσταση την οποία διατηρεί η Google στη γαλλική επικράτεια ασκεί δραστηριότητες, ιδίως εμπορικές και διαφημιστικές, οι οποίες είναι αδιάσπαστα συνδεδεμένες με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται για τις ανάγκες λειτουργίας της συγκεκριμένης μηχανής αναζήτησης και, αφετέρου, πρέπει να γίνει δεκτό ότι η μηχανή αυτή αναζήτησης διενεργεί ενιαία επεξεργασία δεδομένων προσωπικού χαρακτήρα, λαμβανομένης υπόψη μεταξύ άλλων της ύπαρξης διόδων επικοινωνίας μεταξύ των διαφόρων ανά χώρα εκδοχών της. Το αιτούν δικαστήριο θεωρεί ότι, υπό τις συνθήκες αυτές, η εν λόγω επεξεργασία πραγματοποιείται από την εγκατάσταση της Google που βρίσκεται στη γαλλική επικράτεια. Από τα ανωτέρω προκύπτει ότι η περίπτωση αυτή εμπίπτει στο εδαφικό πεδίο εφαρμογής της οδηγίας 95/46 και του κανονισμού 2016/679.

53

Με τα προδικαστικά ερωτήματα, το αιτούν δικαστήριο ζητεί να προσδιοριστεί το εδαφικό πεδίο που θα πρέπει να καλύπτει η διαγραφή συνδέσμων σε μια τέτοια περίπτωση.

54

Ως προς το ζήτημα αυτό, από την αιτιολογική σκέψη 10 της οδηγίας 95/46 και τις αιτιολογικές σκέψεις 10, 11 και 13 του κανονισμού 2016/679, ο οποίος εκδόθηκε βάσει του άρθρου 16 ΣΛΕΕ, προκύπτει ότι σκοπός της οδηγίας και του κανονισμού είναι η διασφάλιση υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση.

55

Βεβαίως, η διαγραφή των συνδέσμων ως προς το σύνολο των εκδοχών μιας μηχανής αναζήτησης είναι ικανή να εκπληρώσει πλήρως τον σκοπό αυτόν.

56

Πράγματι, το διαδίκτυο είναι παγκόσμιο δίκτυο χωρίς σύνορα και, χάρη στις μηχανές αναζήτησης, οι πληροφορίες και οι σύνδεσμοι που περιλαμβάνονται στον κατάλογο αποτελεσμάτων ο οποίος εμφανίζεται κατόπιν αναζήτησης με βάση το ονοματεπώνυμο ενός φυσικού προσώπου είναι προσβάσιμοι από παντού (πρβλ. αποφάσεις της 13ης Μαΐου 2014, Google Spain και Google, C‑131/12, EU:C:2014:317, σκέψη 80, και της 17ης Οκτωβρίου 2017, Bolagsupplysningen και Ilsjan, C‑194/16, EU:C:2017:766, σκέψη 48).

57

Σε ένα παγκοσμιοποιημένο περιβάλλον, η πρόσβαση των χρηστών του διαδικτύου, και ιδίως εκείνων που βρίσκονται εκτός της Ένωσης, σε σύνδεσμο προς πληροφορίες σχετικά με πρόσωπο του οποίο το κέντρο των συμφερόντων βρίσκεται στην Ένωση μπορεί ως εκ τούτου να έχει, για το πρόσωπο αυτό, άμεσες και ουσιώδεις επιπτώσεις εντός της ίδιας της Ένωσης.

58

Οι ως άνω εκτιμήσεις μπορούν να δικαιολογήσουν την αρμοδιότητα του νομοθέτη της Ένωσης να προβλέψει υποχρέωση του φορέα εκμετάλλευσης μηχανής αναζήτησης, όταν κάνει δεκτή αίτηση διαγραφής συνδέσμων η οποία υποβάλλεται από τέτοιο πρόσωπο, να διαγράφει τους συνδέσμους για το σύνολο των εκδοχών της μηχανής αναζήτησης που εκμεταλλεύεται.

59

Πρέπει εντούτοις να τονιστεί ότι σε μεγάλο αριθμό τρίτων κρατών είτε δεν υφίσταται δικαίωμα διαγραφής συνδέσμων είτε ακολουθείται διαφορετική προσέγγιση ως προς το δικαίωμα αυτό.

60

Εξάλλου, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο, αλλά πρέπει να εκτιμάται σε σχέση με τον ρόλο που επιτελεί στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, τηρουμένης της αρχής της αναλογικότητας [πρβλ. απόφαση της 9ης Νοεμβρίου 2010, Volker und Markus Schecke και Eifert, C‑92/09 και C‑93/09, EU:C:2010:662, σκέψη 48, καθώς και γνωμοδότηση 1/15 (Συμφωνία PNR μεταξύ ΕΕ και Καναδά), της 26ης Ιουλίου 2017, EU:C:2017:592, σκέψη 136]. Επιπλέον, η στάθμιση μεταξύ του δικαιώματος στον σεβασμό της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα, αφενός, και της ελευθερίας πληροφόρησης των χρηστών του διαδικτύου, αφετέρου, μπορεί να διαφέρει ουσιωδώς ανά τον κόσμο.

61

Μολονότι όμως ο νομοθέτης της Ένωσης προέβη, στο άρθρο 17, παράγραφος 3, στοιχείο αʹ, του κανονισμού 2016/679, σε στάθμιση μεταξύ του ως άνω δικαιώματος και της ελευθερίας αυτής όσον αφορά την Ένωση [πρβλ. σημερινή απόφαση, GC κ.λπ. (Διαγραφή συνδέσμων προς ευαίσθητα δεδομένα), C‑136/17, σκέψη 59], επιβάλλεται η διαπίστωση ότι, αντιθέτως, δεν έχει προβεί στο παρόν στάδιο εξελίξεως σε τέτοια στάθμιση όσον αφορά το πεδίο εφαρμογής της διαγραφής συνδέσμων εκτός της Ένωσης.

62

Ειδικότερα, ουδόλως προκύπτει από το γράμμα του άρθρου 12, στοιχείο βʹ, και του άρθρου 14, πρώτο εδάφιο, στοιχείο αʹ, της οδηγίας 95/46 ή του άρθρου 17 του κανονισμού 2016/679 ότι ο νομοθέτης της Ένωσης επέλεξε, προκειμένου να διασφαλίσει την επίτευξη του σκοπού που μνημονεύθηκε στη σκέψη 54 της παρούσας απόφασης, να επεκτείνει το πεδίο εφαρμογής των διατάξεων αυτών πέραν του εδάφους των κρατών μελών και ότι θέλησε να επιβάλει σε φορέα εκμετάλλευσης ο οποίος, όπως η Google, εμπίπτει στο πεδίο εφαρμογής της οδηγίας ή του κανονισμού υποχρέωση διαγραφής συνδέσμων και για τις ανά χώρα εκδοχές της μηχανής αναζήτησης που εκμεταλλεύεται οι οποίες δεν αντιστοιχούν στα κράτη μέλη.

63

Εξάλλου, μολονότι ο κανονισμός 2016/679 παρέχει, στα άρθρα 56 και 60 έως 66, στις εποπτικές αρχές των κρατών μελών τα μέσα και τους μηχανισμούς που τους καθιστούν δυνατό, εφόσον απαιτείται, να συνεργάζονται προκειμένου να καταλήγουν σε κοινή απόφαση η οποία να στηρίζεται σε στάθμιση μεταξύ του δικαιώματος του υποκειμένου των δεδομένων στον σεβασμό της ιδιωτικής του ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και του συμφέροντος του κοινού σε περισσότερα του ενός κράτη μέλη για πρόσβαση σε ορισμένη πληροφορία, επιβάλλεται εντούτοις η διαπίστωση ότι το δίκαιο της Ένωσης δεν προβλέπει επί του παρόντος τέτοια μέσα και μηχανισμούς συνεργασίας όσον αφορά το πεδίο εφαρμογής της διαγραφής συνδέσμων εκτός της Ένωσης.

64

Κατά συνέπεια, στο παρόν στάδιο εξελίξεως, ο φορέας εκμετάλλευσης μηχανής αναζήτησης ο οποίος κάνει δεκτή αίτηση του υποκειμένου των δεδομένων για διαγραφή συνδέσμων, ενδεχομένως κατόπιν εντολής εποπτικής ή δικαστικής αρχής κράτους μέλους, δεν υπέχει υποχρέωση από το δίκαιο της Ένωσης να προβεί στη διαγραφή αυτή ως προς το σύνολο των εκδοχών της μηχανής αναζήτησης που εκμεταλλεύεται.

65

Λαμβανομένων υπόψη των ανωτέρω εκτιμήσεων, ο φορέας εκμετάλλευσης μηχανής αναζήτησης δεν μπορεί να υποχρεωθεί, δυνάμει του άρθρου 12, στοιχείο βʹ, και του άρθρου 14, πρώτο εδάφιο, στοιχείο αʹ, της οδηγίας 95/46, καθώς και του άρθρου 17, παράγραφος 1, του κανονισμού 2016/679, σε διαγραφή συνδέσμων η οποία να αφορά το σύνολο των εκδοχών της μηχανής αναζήτησης που εκμεταλλεύεται.

66

Όσον αφορά το ζήτημα αν η ως άνω διαγραφή συνδέσμων πρέπει να αφορά τις εκδοχές της μηχανής αναζήτησης που αντιστοιχούν στα κράτη μέλη ή μόνο την εκδοχή της μηχανής αναζήτησης που αντιστοιχεί στο κράτος μέλος κατοικίας του δικαιούχου, από την επιλογή του νομοθέτη της Ένωσης να θεσπίζονται πλέον οι κανόνες σχετικά με την προστασία των δεδομένων με κανονισμό, ο οποίος ισχύει άμεσα σε όλα τα κράτη μέλη, με σκοπό, όπως τονίζει η αιτιολογική σκέψη 10 του κανονισμού 2016/679, να διασφαλιστεί συνεκτική και υψηλού επιπέδου προστασία σε ολόκληρη την Ένωση και να αρθούν τα εμπόδια στις ροές δεδομένων προσωπικού χαρακτήρα εντός αυτής, προκύπτει ότι η επίμαχη διαγραφή συνδέσμων πρέπει να διενεργείται όσον αφορά το σύνολο των κρατών μελών.

67

Επιβάλλεται, εντούτοις, η διαπίστωση ότι, ακόμη και εντός της Ένωσης, το συμφέρον του κοινού για πρόσβαση σε ορισμένη πληροφορία ενδέχεται να διαφέρει ανάλογα με το κράτος μέλος και, επομένως, το αποτέλεσμα της στάθμισης που πρέπει να πραγματοποιείται μεταξύ, αφενός, του συμφέροντος αυτού και, αφετέρου, των δικαιωμάτων στον σεβασμό της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων δεν είναι κατ’ ανάγκην το ίδιο για όλα τα κράτη μέλη, κατά μείζονα δε λόγο διότι, δυνάμει του άρθρου 9 της οδηγίας 95/46 και του άρθρου 85 του κανονισμού 2016/679, εναπόκειται στα κράτη μέλη να προβλέπουν, ιδίως για την επεξεργασία που διενεργείται αποκλειστικά για δημοσιογραφικούς σκοπούς ή για σκοπούς καλλιτεχνικής ή λογοτεχνικής έκφρασης, τις αναγκαίες εξαιρέσεις ή παρεκκλίσεις για να συμβιβαστούν τα ως άνω δικαιώματα, μεταξύ άλλων, με την ελευθερία πληροφόρησης.

68

Όπως προκύπτει ιδίως από τα άρθρα 56 και 60 του κανονισμού 2016/679, για τη διασυνοριακή επεξεργασία κατά την έννοια του άρθρου 4, σημείο 23, του κανονισμού και με την επιφύλαξη του άρθρου 56, παράγραφος 2, οι διάφορες ενδιαφερόμενες εθνικές εποπτικές αρχές πρέπει να συνεργάζονται, τηρώντας τη διαδικασία που προβλέπεται στις διατάξεις αυτές, προκειμένου να επιτευχθεί η συναίνεση και η έκδοση απόφασης δεσμευτικής για όλες τις αρχές αυτές, προς την οποία πρέπει να συμμορφωθεί ο υπεύθυνος επεξεργασίας όσον αφορά τις δραστηριότητες επεξεργασίας σε όλες τις εγκαταστάσεις του στην Ένωση. Περαιτέρω, το άρθρο 61, παράγραφος 1, του κανονισμού 2016/679 επιβάλλει στις εποπτικές αρχές, μεταξύ άλλων, την υποχρέωση να παρέχουν η μία στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή, ώστε να υλοποιούν και να εφαρμόζουν τον κανονισμό αυτόν με συνεκτικό τρόπο σε ολόκληρη την Ένωση, το δε άρθρο 63 του κανονισμού διευκρινίζει ότι ο μηχανισμός συνεκτικότητας που προβλέπεται στα άρθρα 64 και 65 θεσπίζεται ακριβώς προς τούτο. Τέλος, σύμφωνα με την επείγουσα διαδικασία που προβλέπεται στο άρθρο 66 του κανονισμού 2016/679, σε εξαιρετικές περιπτώσεις, όταν μια ενδιαφερόμενη εποπτική αρχή θεωρεί ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων, δύναται να θεσπίσει πάραυτα προσωρινά μέτρα που προορίζονται να παράγουν νομικά αποτελέσματα στο έδαφός της, με συγκεκριμένη διάρκεια ισχύος η οποία δεν υπερβαίνει τους τρεις μήνες.

69

Ως εκ τούτου, το ως άνω ρυθμιστικό πλαίσιο παρέχει στις εθνικές εποπτικές αρχές τα αναγκαία μέσα και μηχανισμούς προκειμένου να συμβιβάζουν τα δικαιώματα στον σεβασμό της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων με το συμφέρον για πρόσβαση στην επίμαχη πληροφορία το οποίο έχει το κοινό των κρατών μελών στο σύνολό του και, συνεπώς, να εκδίδουν, εφόσον απαιτείται, απόφαση για διαγραφή συνδέσμων η οποία να καλύπτει το σύνολο των αναζητήσεων που πραγματοποιούνται με βάση το ονοματεπώνυμο του υποκειμένου των δεδομένων από το έδαφος της Ένωσης.

70

Επιπλέον, ο φορέας εκμετάλλευσης της μηχανής αναζήτησης οφείλει να λαμβάνει, εφόσον είναι αναγκαίο, επαρκώς αποτελεσματικά μέτρα ώστε να διασφαλίζεται η πραγματική προστασία των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων. Τα εν λόγω μέτρα πρέπει αυτά καθαυτά να πληρούν όλες τις νόμιμες προϋποθέσεις και να έχουν ως αποτέλεσμα να εμποδίζουν ή τουλάχιστον να αποθαρρύνουν έντονα την πρόσβαση των χρηστών του διαδικτύου εντός των κρατών μελών στους επίμαχους συνδέσμους κατόπιν αναζήτησης με βάση το ονοματεπώνυμο του υποκειμένου των δεδομένων (βλ., κατ’ αναλογίαν, αποφάσεις της 27ης Μαρτίου 2014, UPC Telekabel Wien, C‑314/12, EU:C:2014:192, σκέψη 62, και της 15ης Σεπτεμβρίου 2016, Mc Fadden, C‑484/14, EU:C:2016:689, σκέψη 96).

71

Στο αιτούν δικαστήριο εναπόκειται να ελέγξει αν, λαμβανομένων επίσης υπόψη των πρόσφατων τροποποιήσεων της μηχανής αναζήτησης οι οποίες εκτέθηκαν στη σκέψη 42 της παρούσας απόφασης, τα ληφθέντα ή προτεινόμενα από την Google μέτρα πληρούν τις ως άνω προϋποθέσεις.

72

Πρέπει τέλος να τονιστεί ότι, όπως επισημάνθηκε στη σκέψη 64 της παρούσας απόφασης, το δίκαιο της Ένωσης δεν επιβάλλει μεν, στο παρόν στάδιο εξελίξεως, τη διαγραφή των συνδέσμων, κατόπιν αποδοχής σχετικής αίτησης, ως προς όλες τις εκδοχές της μηχανής αναζήτησης, αλλά ούτε και την απαγορεύει. Κατά συνέπεια, οι εποπτικές ή δικαστικές αρχές των κρατών μελών διατηρούν την αρμοδιότητα να προβαίνουν, σύμφωνα με τα εθνικά πρότυπα προστασίας των θεμελιωδών δικαιωμάτων (πρβλ. αποφάσεις της 26ης Φεβρουαρίου 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, σκέψη 29, και της 26ης Φεβρουαρίου 2013, Melloni, C‑399/11, EU:C:2013:107, σκέψη 60), σε στάθμιση μεταξύ, αφενός, του δικαιώματος του υποκειμένου των δεδομένων στον σεβασμό της ιδιωτικής του ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και, αφετέρου, του δικαιώματος στην ελευθερία πληροφόρησης και, κατόπιν της σταθμίσεως αυτής, να υποχρεώνουν, εφόσον απαιτείται, τον φορέα εκμετάλλευσης της μηχανής αναζήτησης να διαγράψει τους συνδέσμους όσον αφορά το σύνολο των εκδοχών της εν λόγω μηχανής αναζήτησης.

73

Κατόπιν των ανωτέρω σκέψεων, στα υποβληθέντα προδικαστικά ερωτήματα πρέπει να δοθεί η απάντηση ότι το άρθρο 12, στοιχείο βʹ, και το άρθρο 14, πρώτο εδάφιο, στοιχείο αʹ, της οδηγίας 95/46, καθώς και το άρθρο 17, παράγραφος 1, του κανονισμού 2016/679, έχουν την έννοια ότι ο φορέας εκμετάλλευσης μηχανής αναζήτησης, όταν κάνει δεκτή αίτηση διαγραφής συνδέσμων κατ’ εφαρμογήν των διατάξεων αυτών, δεν υποχρεούται να διαγράφει τους συνδέσμους αυτούς ως προς όλες τις εκδοχές της μηχανής αναζήτησης που εκμεταλλεύεται, αλλά μόνον ως προς τις εκδοχές της που αντιστοιχούν στο σύνολο των κρατών μελών, σε συνδυασμό, εφόσον είναι αναγκαίο, με μέτρα τα οποία αφενός πληρούν τις νόμιμες προϋποθέσεις και αφετέρου εμποδίζουν αποτελεσματικά τους χρήστες του διαδικτύου που πραγματοποιούν εντός κράτους μέλους αναζήτηση με βάση το ονοματεπώνυμο του υποκειμένου των δεδομένων να έχουν πρόσβαση, μέσω του καταλόγου αποτελεσμάτων, στους συνδέσμους τους οποίους αφορά η ως άνω αίτηση ή τουλάχιστον αποθαρρύνουν έντονα την πρόσβαση αυτή.

Επί των δικαστικών εξόδων

74

Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

 

Για τους λόγους αυτούς, το Δικαστήριο (τμήμα μείζονος συνθέσεως) αποφαίνεται:

 

Το άρθρο 12, στοιχείο βʹ, και το άρθρο 14, πρώτο εδάφιο, στοιχείο αʹ, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, καθώς και το άρθρο 17, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), έχουν την έννοια ότι ο φορέας εκμετάλλευσης μηχανής αναζήτησης, όταν κάνει δεκτή αίτηση διαγραφής συνδέσμων κατ’ εφαρμογήν των διατάξεων αυτών, δεν υποχρεούται να διαγράφει τους συνδέσμους αυτούς ως προς όλες τις εκδοχές της μηχανής αναζήτησης που εκμεταλλεύεται, αλλά μόνον ως προς τις εκδοχές της που αντιστοιχούν στο σύνολο των κρατών μελών, σε συνδυασμό, εφόσον είναι αναγκαίο, με μέτρα τα οποία αφενός πληρούν τις νόμιμες προϋποθέσεις και αφετέρου εμποδίζουν αποτελεσματικά τους χρήστες του διαδικτύου που πραγματοποιούν εντός κράτους μέλους αναζήτηση με βάση το ονοματεπώνυμο του υποκειμένου των δεδομένων να έχουν πρόσβαση, μέσω του καταλόγου αποτελεσμάτων, στους συνδέσμους τους οποίους αφορά η ως άνω αίτηση ή τουλάχιστον αποθαρρύνουν έντονα την πρόσβαση αυτή.

 

(υπογραφές)


( *1 ) Γλώσσα διαδικασίας: η γαλλική.

Top