This document is an excerpt from the EUR-Lex website
Document 62016CJ0210
Wyrok Trybunału (wielka izba) z dnia 5 czerwca 2018 r.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH.
Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Dane osobowe – Ochrona osób fizycznych w zakresie przetwarzania tych danych – Nakaz dezaktywacji strony Facebooka (fanpage’a) pozwalającej na gromadzenie i przetwarzanie pewnych danych dotyczących osób odwiedzających tę stronę – Artykuł 2 lit. d) – Administrator danych osobowych – Artykuł 4 – Prawo krajowe znajdujące zastosowanie – Artykuł 28 – Krajowe organy kontroli – Uprawnienia interwencyjne tych organów.
Sprawa C-210/16.
Wyrok Trybunału (wielka izba) z dnia 5 czerwca 2018 r.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH.
Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Dane osobowe – Ochrona osób fizycznych w zakresie przetwarzania tych danych – Nakaz dezaktywacji strony Facebooka (fanpage’a) pozwalającej na gromadzenie i przetwarzanie pewnych danych dotyczących osób odwiedzających tę stronę – Artykuł 2 lit. d) – Administrator danych osobowych – Artykuł 4 – Prawo krajowe znajdujące zastosowanie – Artykuł 28 – Krajowe organy kontroli – Uprawnienia interwencyjne tych organów.
Sprawa C-210/16.
Court reports – general
Sprawa C‑210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
przeciwko
Wirtschaftsakademie Schleswig-Holstein GmbH
(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesverwaltungsgericht)
Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Dane osobowe – Ochrona osób fizycznych w zakresie przetwarzania tych danych – Nakaz dezaktywacji strony Facebooka (fanpage’a) pozwalającej na gromadzenie i przetwarzanie pewnych danych dotyczących osób odwiedzających tę stronę – Artykuł 2 lit. d) – Administrator danych osobowych – Artykuł 4 – Prawo krajowe znajdujące zastosowanie – Artykuł 28 – Krajowe organy kontroli – Uprawnienia interwencyjne tych organów
Streszczenie – wyrok Trybunału (wielka izba) z dnia 5 czerwca 2018 r.
Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Administrator danych – Pojęcie – Administrator fanpage’a prowadzonego na portalu społecznościowym – Włączenie
[dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 2 lit. d)]
Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Krajowe organy kontroli – Uprawnienia – Uprawnienia do prowadzenia dochodzenia, uprawnienia interwencyjne i prawo pozywania – Upoważnienie organu kontroli państwa członkowskiego do wykonywania tych uprawnień w stosunku do przedsiębiorstwa znajdującego się na terytorium tego państwa członkowskiego – Przynależność przedsiębiorstwa do grupy, która powierzyła odpowiedzialność za gromadzenie i przetwarzanie danych osobowych oddziałowi położonemu w innym państwie członkowskim – Brak wpływu
(dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 4, 28)
Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Krajowe organy kontroli – Uprawnienia – Uprawnienia interwencyjne – Wykonywanie wobec osoby trzeciej odpowiedzialnej za przetwarzanie danych osobowych znajdującej się w innym państwie członkowskim – Właściwość do oceny zgodności z prawem przetwarzania i interweniowania bez korzystania z pomocy organu kontroli innego państwa członkowskiego
[dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 4 ust. 1 lit. a), art. 28 ust. 3, 6]
Artykuł 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że pojęcie „administratora danych” w rozumieniu tego przepisu obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym.
Tymczasem wprawdzie sam fakt korzystania z portalu społecznościowego, takiego jak Facebook, nie sprawia, że użytkownik Facebooka staje się współodpowiedzialny za przetwarzanie danych osobowych dokonywane przez ów portal, należy jednak zaznaczyć, że administrator fanpage’a prowadzonego na Facebooku, tworząc taką stronę, daje Facebookowi możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage’a bez względu na to, czy osoba ta posiada konto na Facebooku czy też nie. W tych okolicznościach należy uznać, że administrator fanpage’a prowadzonego na Facebooku, taki jak Wirtschaftsakademie, uczestniczy, podejmując działania polegające na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego fanpage’a. Z tego względu w niniejszym przypadku należy uznać, że ów administrator fanpage’a ponosi na poziomie Unii wspólną odpowiedzialność z Facebook Ireland za przetwarzanie danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Okoliczność, iż administrator fanpage’a korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych, nie zwalnia go bowiem z jego obowiązków w dziedzinie ochrony danych osobowych. W tych okolicznościach uwzględnienie wspólnej odpowiedzialności operatora portalu społecznościowego i administratora fanpage’a prowadzonego na tym portalu w związku z przetwarzaniem danych osobowych osób odwiedzających ów fanpage przyczynia się do zapewnienia bardziej kompleksowej ochrony praw przysługujących osobom, które odwiedzają fanpage’a, zgodnie z wymogami dyrektywy 95/46.
(zob. pkt 35, 39, 40, 42, 44; pkt 1 sentencji)
Artykuły 4 i 28 dyrektywy 95/46 należy interpretować w ten sposób, że w przypadku gdy przedsiębiorstwo z siedzibą poza Unią Europejską ma kilka oddziałów w różnych państwach członkowskich, organ nadzorczy państwa członkowskiego może wykonywać uprawnienia przyznane mu przez art. 28 ust. 3 tej dyrektywy w stosunku do oddziału tego przedsiębiorstwa, znajdującego się na terytorium tego państwa członkowskiego, nawet jeżeli zgodnie z podziałem zadań w obrębie grupy, po pierwsze, ów oddział jest wyłącznie odpowiedzialny za sprzedaż przestrzeni reklamowej i inne działania marketingowe na terytorium rzeczonego państwa członkowskiego, a po drugie, wyłączną odpowiedzialność za gromadzenie i przetwarzanie danych osobowych ponosi w zakresie całego terytorium Unii Europejskiej oddział położony w innym państwie członkowskim.
(zob. pkt 64; pkt 2 sentencji)
Artykuł 4 ust. 1 lit. a) i art. 28 ust. 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, że w przypadku gdy organ nadzorczy państwa członkowskiego zamierza wykonać w stosunku do podmiotu mającego siedzibę na terytorium tego państwa członkowskiego uprawnienia interwencyjne, o których mowa w art. 28 ust. 3 tej dyrektywy, z powodu naruszeń przepisów o ochronie danych osobowych popełnionych przez administrującą tymi danymi osobę trzecią mającą siedzibę w innym państwie członkowskim, ów organ nadzorczy jest właściwy do dokonania oceny, w sposób niezależny od organu nadzorczego tego ostatniego państwa członkowskiego, zgodności z prawem takiego przetwarzania danych i może wykonywać przysługujące mu uprawnienia interwencyjne w stosunku do podmiotu mającego siedzibę na jego terytorium bez uprzedniego zwrócenia się do organu nadzorczego drugiego państwa członkowskiego o podjęcie działań.
(zob. pkt 74; pkt 3 sentencji)