This document is an excerpt from the EUR-Lex website
Document 62019CA0645
Case C-645/19: Judgment of the Court (Grand Chamber) of 15 June 2021 (request for a preliminary ruling from the Hof van beroep te Brussel — Belgium) — Facebook Ireland Ltd, Facebook Inc., Facebook Belgium BVBA v Gegevensbeschermingsautoriteit (Reference for a preliminary ruling — Protection of natural persons with regard to the processing of personal data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Regulation (EU) 2016/679 — Cross-border processing of personal data — ‘One-stop shop’ mechanism — Sincere and effective cooperation between supervisory authorities — Competences and powers — Power to initiate or engage in legal proceedings)
Sprawa C-645/19: Wyrok Trybunału (wielka izba) z dnia 15 czerwca 2021 r. (wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Hof van beroep te Brussel – Belgia) – Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit [Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 47 – Rozporządzenie (UE) 2016/679 – Transgraniczne przetwarzanie danych osobowych – Mechanizm kompleksowej współpracy – Lojalna i skuteczna współpraca między organami nadzorczymi – Właściwość i uprawnienia – Uprawnienie do wszczęcia postępowania sądowego]
Sprawa C-645/19: Wyrok Trybunału (wielka izba) z dnia 15 czerwca 2021 r. (wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Hof van beroep te Brussel – Belgia) – Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit [Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 47 – Rozporządzenie (UE) 2016/679 – Transgraniczne przetwarzanie danych osobowych – Mechanizm kompleksowej współpracy – Lojalna i skuteczna współpraca między organami nadzorczymi – Właściwość i uprawnienia – Uprawnienie do wszczęcia postępowania sądowego]
Dz.U. C 310 z 2.8.2021, p. 3–4
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
2.8.2021 |
PL |
Dziennik Urzędowy Unii Europejskiej |
C 310/3 |
Wyrok Trybunału (wielka izba) z dnia 15 czerwca 2021 r. (wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Hof van beroep te Brussel – Belgia) – Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit
(Sprawa C-645/19) (1)
(Odesłanie prejudycjalne - Ochrona osób fizycznych w zakresie przetwarzania danych osobowych - Karta praw podstawowych Unii Europejskiej - Artykuły 7, 8 i 47 - Rozporządzenie (UE) 2016/679 - Transgraniczne przetwarzanie danych osobowych - Mechanizm kompleksowej współpracy - Lojalna i skuteczna współpraca między organami nadzorczymi - Właściwość i uprawnienia - Uprawnienie do wszczęcia postępowania sądowego)
(2021/C 310/03)
Język postępowania: niderlandzki
Sąd odsyłający
Hof van beroep te Brussel
Strony w postępowaniu głównym
Strona wnosząca odwołanie: Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA
Druga strona postępowania: Gegevensbeschermingsautoriteit
Sentencja
|
1) |
Artykuł 55 ust. 1, art. 56–58 oraz art. 60–66 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w związku z art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że organ nadzorczy państwa członkowskiego, który na podstawie ustawodawstwa krajowego wydanego w wykonaniu art. 58 ust. 5 tego rozporządzenia jest uprawniony do podnoszenia wszelkich zarzucanych naruszeń tego rozporządzenia przed sądami tego państwa członkowskiego i, w stosownych przypadkach, do wszczęcia postępowania sądowego, może wykonywać to uprawnienie w zakresie dotyczącym transgranicznego przetwarzania danych, pomimo tego, że nie jest on w odniesieniu do takiego przetwarzania danych „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 tego rozporządzenia, pod warunkiem że jest to jeden z przypadków, w których rozporządzenie 2016/679 przyznaje temu organowi nadzorczemu uprawnienie do wydania decyzji stwierdzającej, iż owo przetwarzanie narusza normy ustanowione w tym rozporządzeniu, i że uprawnienie to jest wykonywane z poszanowaniem ustanowionych w tym rozporządzeniu procedur współpracy i kontroli spójności. |
|
2) |
Artykuł 58 ust. 5 rozporządzenia 2016/679 należy interpretować w ten sposób, że w przypadku transgranicznego przetwarzania danych wykonywanie przysługującego organowi nadzorczemu państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienia do wszczęcia postępowania sądowego w rozumieniu tego przepisu nie wiąże się z wymogiem, aby administrator danych lub podmiot dokonujący transgranicznego przetwarzania danych osobowych, przeciwko któremu zostało wytoczone powództwo, posiadał główną lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego. |
|
3) |
Artykuł 58 ust. 5 rozporządzenia 2016/679 należy interpretować w ten sposób, że przysługujące organowi nadzorczemu danego państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienie do podnoszenia przed sądami tego państwa wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w rozumieniu tego przepisu, może być wykonywane zarówno w odniesieniu do głównej jednostki organizacyjnej administratora danych znajdującej się w państwie członkowskim owego organu, jak i w odniesieniu do innej jednostki organizacyjnej tego administratora, pod warunkiem że powództwo dotyczy przetwarzania danych dokonywanego w związku z działalnością prowadzoną przez tę jednostkę, a organ ten jest właściwy do wykonywania tego uprawnienia, zgodnie z tym, co zostało wskazane w odpowiedzi na pierwsze z zadanych pytań prejudycjalnych. |
|
4) |
Artykuł 58 ust. 5 rozporządzenia 2016/679 należy interpretować w ten sposób, że jeżeli organ nadzorczy państwa członkowskiego, który nie jest „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 tego rozporządzenia, wniósł do sądu powództwo dotyczące transgranicznego przetwarzania danych osobowych przed dniem 25 maja 2018 r., czyli przed dniem, począwszy od którego rozporządzenie to ma zastosowanie, powództwo to może, z punktu widzenia prawa Unii, zostać podtrzymane na podstawie przepisów dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, mającej nadal zastosowanie w zakresie dotyczącym naruszeń przewidzianych w niej norm, których dopuszczono się aż do dnia, w którym dyrektywa ta została uchylona. Takie powództwo może także zostać wniesione przez ten organ w związku z naruszeniami popełnionymi po tej dacie na podstawie art. 58 ust. 5 rozporządzenia 2016/679, pod warunkiem że ma to miejsce w jednej z sytuacji, w których w drodze wyjątku rozporządzenie to przyznaje organowi nadzorczemu państwa członkowskiego, który nie jest „wiodącym organem nadzorczym”, uprawnienie do wydania decyzji stwierdzającej, że rozpatrywane przetwarzanie danych narusza zawarte w tym rozporządzeniu przepisy dotyczące ochrony praw osób fizycznych w zakresie przetwarzania danych osobowych, i to w poszanowaniu przewidzianych w tym samym rozporządzeniu procedur współpracy i kontroli spójności, czego sprawdzenie należy do sądu odsyłającego. |
|
5) |
Artykuł 58 ust. 5 rozporządzenia 2016/679 należy interpretować w ten sposób, że przepis ten ma bezpośrednią skuteczność, wobec czego krajowy organ nadzorczy może powołać się na ten przepis w celu wszczęcia lub dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli nie został on konkretnie przetransponowany do ustawodawstwa danego państwa członkowskiego. |