EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62014CJ0230
Judgment of the Court (Third Chamber) of 1 October 2015.#Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság.#Request for a preliminary ruling from the Kúria.#Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Directive 95/46/EC — Articles 4(1) and 28(1), (3) and (6) — Controller who is formally established in a Member State — Impairment of the right to the protection of personal data concerning natural persons in another Member State — Determination of the applicable law and the competent supervisory authority — Exercise of the powers of the supervisory authority — Power to impose penalties.#Case C-230/14.
Hotărârea Curții (Camera a treia) din 1 octombrie 2015.
Weltimmo s.r.o. împotriva Nemzeti Adatvédelmi és Információszabadság Hatóság.
Cerere de decizie preliminară formulată de Kúria.
Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46/CE – Articolul 4 alineatul (1) și articolul 28 alineatele (1), (3) și (6) – Operator stabilit în mod formal într‑un stat membru – Atingere adusă dreptului la protecția datelor cu caracter personal privind persoanele fizice dintr‑un alt stat membru – Stabilirea dreptului aplicabil și a autorității de supraveghere competente – Exercitarea competențelor autorității de supraveghere – Competență de sancționare.
Cauza C-230/14.
Hotărârea Curții (Camera a treia) din 1 octombrie 2015.
Weltimmo s.r.o. împotriva Nemzeti Adatvédelmi és Információszabadság Hatóság.
Cerere de decizie preliminară formulată de Kúria.
Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46/CE – Articolul 4 alineatul (1) și articolul 28 alineatele (1), (3) și (6) – Operator stabilit în mod formal într‑un stat membru – Atingere adusă dreptului la protecția datelor cu caracter personal privind persoanele fizice dintr‑un alt stat membru – Stabilirea dreptului aplicabil și a autorității de supraveghere competente – Exercitarea competențelor autorității de supraveghere – Competență de sancționare.
Cauza C-230/14.
Court reports – general
ECLI identifier: ECLI:EU:C:2015:639
HOTĂRÂREA CURȚII (Camera a treia)
1 octombrie 2015 ( * )
„Trimitere preliminară — Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal — Directiva 95/46/CE — Articolul 4 alineatul (1) și articolul 28 alineatele (1), (3) și (6) — Operator stabilit în mod formal într‑un stat membru — Atingere adusă dreptului la protecția datelor cu caracter personal privind persoanele fizice dintr‑un alt stat membru — Stabilirea dreptului aplicabil și a autorității de supraveghere competente — Exercitarea competențelor autorității de supraveghere — Competență de sancționare”
În cauza C‑230/14,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Kúria (Ungaria), prin decizia din 22 aprilie 2014, primită de Curte la 12 mai 2014, în procedura
Weltimmo s. r. o.
împotriva
Nemzeti Adatvédelmi és Információszabadság Hatóság,
CURTEA (Camera a treia),
compusă din domnul M. Ilešič, președinte de cameră, domnul A. Ó Caoimh, doamna C. Toader și domnii E. Jarašiūnas și C. G. Fernlund (raportor), judecători,
avocat general: domnul P. Cruz Villalón,
grefier: domnul I. Illessy, administrator,
având în vedere procedura scrisă și în urma ședinței din 12 martie 2015,
luând în considerare observațiile prezentate:
— |
pentru Nemzeti Adatvédelmi és Információszabadság Hatóság, de A. Péterfalvi, în calitate de agent, asistat de G. Dudás, ügyvéd; |
— |
pentru guvernul maghiar, de M. Z. Fehér, de G. Koós și de A. Pálfy, în calitate de agenți; |
— |
pentru guvernul polonez, de B. Majczyna, de M. Kamejsza și de M. Pawlicka, în calitate de agenți; |
— |
pentru guvernul slovac, de B. Ricziová, în calitate de agent; |
— |
pentru guvernul Regatului Unit, de M. Holt, în calitate de agent, asistat de J. Holmes, barrister; |
— |
pentru Comisia Europeană, de A. Tokár, de B. Martenczuk și de J. Vondung, în calitate de agenți, |
după ascultarea concluziilor avocatului general în ședința din 25 iunie 2015,
pronunță prezenta
Hotărâre
1 |
Cererea de decizie preliminară privește interpretarea articolului 4 alineatul (1) litera (a) și a articolului 28 alineatele (1), (3) și (6) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10). |
2 |
Această cerere a fost formulată în cadrul unui litigiu între Weltimmo s. r. o. (denumită în continuare „Weltimmo”), societate al cărei sediu este situat în Slovacia, pe de o parte, și Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoritatea națională însărcinată cu protecția datelor și cu libertatea informației, denumită în continuare și „autoritatea de supraveghere maghiară” sau „autoritatea maghiară pentru protecția datelor”), pe de altă parte, în legătură cu o amendă aplicată de aceasta din urmă pentru încălcarea Legii nr. CXII din 2011 privind autodeterminarea în materie de informare și libertatea informației (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, denumită în continuare „Legea informației”), care a transpus Directiva 95/46 în dreptul maghiar. |
Cadrul juridic
Dreptul Uniunii
3 |
Considerentele (3), (18) și (19) ale Directivei 95/46 au următorul cuprins:
[…]
|
4 |
Articolul 2 din Directiva 95/46 prevede: „În sensul prezentei directive: […]
[…]” |
5 |
Articolul 4 alineatul (1) litera (a) din Directiva 95/46 prevede: „(1) Fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul prezentei directive pentru prelucrarea datelor cu caracter personal atunci când:
|
6 |
Potrivit articolului 28 alineatele (1), (3) și (6) din Directiva 95/46: „(1) Fiecare stat membru prevede una sau mai multe autorități publice să fie responsabile de supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei directive. Aceste autorități acționează în condiții de independență deplină în exercitarea atribuțiilor cu care sunt învestite. […] (3) Fiecare autoritate este, în special, învestită cu:
Deciziile autorităților de supraveghere care dau naștere unor plângeri pot face obiectul unei acțiuni în justiție. […] (6) Fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil prelucrării în cauză, să exercite pe teritoriul statului membru din care provine competențele conferite în conformitate cu alineatul (3). Fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru. Autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informații utile.” |
Dreptul maghiar
7 |
Articolul 2 alineatul 1 din Legea informației prevede: „Domeniul de aplicare al acestei legi cuprinde atât prelucrarea, cât și operațiunile tehnice de prelucrare pe teritoriul Ungariei a datelor referitoare la persoane fizice, precum și a datelor de interes public sau care sunt accesibile din motive de interes public.” |
8 |
Articolul 3 punctele 10 și 17 din Legea informației conține următoarele definiții: „10. «prelucrarea datelor cu caracter personal» înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor, indiferent de mijlocul utilizat, cum ar fi colectarea, înregistrarea, organizarea, stocarea, modificarea, utilizarea, solicitarea, transmiterea, publicarea, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea, precum și împiedicarea utilizării cu alt scop a datelor, captarea fotografiilor, a sunetelor și a imaginilor sau înregistrarea caracteristicilor fizice folosite pentru identificarea persoanelor (de exemplu, amprente digitale sau ale palmei, mostre de ADN sau imagini ale irisului); […] 17. «operațiuni tehnice de prelucrare » [«adatfeldolgozás»] înseamnă executarea de sarcini tehnice referitoare la operațiunile de prelucrare a datelor, indiferent de metoda și de mijlocul utilizate pentru efectuarea respectivelor operațiuni, precum și indiferent de locul în care se desfășoară, cu condiția ca sarcinile tehnice să fie executate pe baza datelor.” |
Litigiul principal și întrebările preliminare
9 |
Weltimmo, societate înmatriculată în Slovacia, administrează o pagină de internet pe care publică anunțuri privind imobile situate în Ungaria. În cadrul acestei activități prelucrează datele cu caracter personal ale autorilor anunțurilor. Anunțurile sunt publicate gratuit timp de o lună, ulterior serviciul fiind contra cost. După expirarea perioadei de gratuitate, mulți dintre autorii anunțurilor au solicitat, pe cale electronică, eliminarea respectivelor anunțuri, precum și a datelor lor cu caracter personal. Weltimmo nu a eliminat însă datele respective și a facturat contravaloarea serviciilor. Ca urmare a neachitării facturilor, această societate a transmis datele cu caracter personal ale autorilor anunțurilor către societăți de recuperare a creanțelor. |
10 |
Autorii anunțurilor au formulat plângeri în fața Nemzeti Adatvédelmi és Információszabadság Hatóság. Aceasta s‑a declarat competentă în temeiul articolului 2 alineatul 1 din Legea informației, considerând că colectarea datelor respective avusese loc pe teritoriul maghiar și că aceasta constituia o prelucrare de date sau o procesare de date în legătură cu persoane fizice. Considerând că Weltimmo încălcase Legea informației, Nemzeti Adatvédelmi és Információszabadság Hatóság a aplicat societății menționate o amendă în cuantum de 10 milioane de forinți maghiari (HUF) (aproximativ 32000 euro). |
11 |
Weltimmo a sesizat atunci Fővárosi Közigazgatási és Munkaügyi Bíróság (Tribunalul administrativ și de litigii de muncă din Budapesta), care a considerat că faptul că această societate nu dispunea de un sediu social sau de o unitate în Ungaria nu constituia o apărare valabilă, având în vedere că atât furnizarea datelor referitoare la bunurile imobile maghiare în cauză, cât și prelucrarea datelor referitoare la bunurile respective avuseseră lor în Ungaria. Acest tribunal a anulat totuși decizia Nemzeti Adatvédelmi és Információszabadság Hatóság pentru alte motive, legate de faptul că unele elemente privind situația de fapt nu fuseseră suficient clarificate. |
12 |
Weltimmo a declarat recurs în fața instanței de trimitere susținând că nu se impune clarificarea suplimentară a situației de fapt, deoarece, conform articolului 4 alineatul (1) litera (a) din Directiva 95/46, Nemzeti Adatvédelmi és Információszabadság Hatóság, în speță, nu era competentă și nu putea aplica dreptul maghiar unui prestator de servicii stabilit într‑un alt stat membru. Weltimmo a susținut că, în conformitate cu articolul 28 alineatul (6) din Directiva 95/46, această autoritate ar fi trebuit să solicite autorității slovace competente în materie să acționeze în locul său. |
13 |
Nemzeti Adatvédelmi és Információszabadság Hatóság a arătat că Weltimmo avea în Ungaria un reprezentant de cetățenie maghiară, respectiv unul dintre proprietarii acestei societăți, care a reprezentat‑o pe aceasta atât în cursul procedurii administrative, cât și în cursul procedurii judiciare desfășurate în acest stat membru. Această autoritate a adăugat că serverele internet ale Weltimmo erau probabil instalate în Germania sau în Austria, dar că proprietarii acestei societăți locuiau în Ungaria. În sfârșit, potrivit autorității menționate, rezultă din articolul 28 alineatul (6) din Directiva 95/46 că aceasta este competentă în toate cazurile, indiferent de dreptul aplicabil. |
14 |
Având îndoieli în ceea ce privește determinarea dreptului aplicabil și competențele de care dispune autoritatea de supraveghere maghiară din perspectiva articolului 4 alineatul (1) și a articolului 28 din Directiva 95/46, Kúria (Curtea Supremă) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
|
Cu privire la întrebările preliminare
Observații introductive
15 |
În ceea ce privește, mai întâi, cadrul factual din litigiul principal, este necesară menționarea anumitor informații suplimentare, prezentate de Nemzeti Adatvédelmi és Információszabadság Hatóság în observațiile sale scrise și în ședința în fața Curții. |
16 |
Rezultă din aceste informații, în primul rând, că această autoritate ar fi aflat de la omoloaga sa slovacă, în mod informal, că Weltimmo nu exercita nicio activitate la locul sediului său social, în Slovacia. Pe de altă parte, Weltimmo ar fi deplasat de mai multe ori acest sediu dintr‑un stat în altul. În al doilea rând, Weltimmo ar fi dezvoltat două site‑uri de anunțuri imobiliare, redactate exclusiv în limba maghiară. Ea ar fi deschis un cont bancar în Ungaria, destinat recuperării creanțelor sale, și ar fi dispus de o cutie poștală în acest stat membru, pentru afacerile sale curente. Curierul ar fi fost în mod regulat ridicat și transmis Weltimmo pe cale electronică. În al treilea rând, autorii anunțurilor trebuiau ei înșiși nu doar să înscrie datele referitoare la bunurile lor imobile pe site‑ul Weltimmo, dar și să șteargă aceste date de pe site dacă doreau ca acestea să nu mai figureze acolo dincolo de termenul de o lună evocat anterior. Weltimmo ar fi invocat o problemă de gestiune informatică pentru a explica faptul că această ștergere nu putuse fi efectuată. În al patrulea rând, Weltimmo ar fi o societate compusă doar din una sau două persoane. Reprezentantul său în Ungaria ar fi încercat să negocieze cu autorii anunțurilor reglarea creanțelor neplătite. |
17 |
În ceea ce privește, apoi, textul întrebărilor adresate, deși instanța de trimitere utilizează termenii „stabilit exclusiv” în prima și în a doua întrebare, reiese din decizia de trimitere și din observațiile scrise și orale prezentate de Nemzeti Adatvédelmi és Információszabadság Hatóság că, deși Weltimmo este înmatriculată în Slovacia și este, în consecință, stabilită în acest stat membru în sensul dreptului societăților, există o îndoială cu privire la aspectul dacă ea este „stabilită” doar în acest stat membru, în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46. Întrebând Curtea cu privire la interpretarea acestei dispoziții, instanța de trimitere încearcă, astfel, să afle ce acoperă noțiunea „sediu” utilizată de această dispoziție. |
18 |
În sfârșit, trebuie arătat că în prima și în a doua întrebare, instanța de trimitere arată că serverul utilizat de Weltimmo este instalat în Slovacia, în timp ce, într‑un alt pasaj din decizia de trimitere, ea menționează posibilitatea ca serverele acestei societăți să se afle în Germania sau în Austria. În aceste condiții, este oportun să se considere că aspectul referitor la statul membru în care sunt instalate serverele utilizate de societatea menționată nu este tranșat. |
Cu privire la primele șase întrebări
19 |
Prin intermediul primelor șase întrebări, care trebuie examinate împreună, instanța de trimitere solicită să se stabilească în esență dacă articolul 4 alineatul (1) litera (a) și articolul 28 alineatul (1) din Directiva 95/46 trebuie interpretate în sensul că, în împrejurări precum cele în discuție în litigiul principal, permit autorității de supraveghere dintr‑un stat membru să aplice legislația sa națională privind protecția datelor în privința unui operator de date a cărui societate este înmatriculată într‑un alt stat membru și care exploatează un site internet de anunțuri imobiliare privind bunuri imobile situate pe teritoriul primului dintre aceste două state. Ea întreabă în special dacă este pertinent faptul că acest stat membru este cel:
|
20 |
În ceea ce privește dreptul aplicabil, instanța de trimitere menționează îndeosebi dreptul slovac și dreptul maghiar, primul dintre acestea fiind cel al statului membru în care este înmatriculat operatorul datelor cu caracter personal în discuție, iar cel de al doilea fiind cel al statului membru vizat de site‑urile internet în discuție în litigiul principal, pe al cărui teritoriu sunt situate bunurile imobile care fac obiectul anunțurilor publicate. |
21 |
În această privință, trebuie constatat că articolul 4 din Directiva 95/46, intitulat „Dreptul național aplicabil”, care figurează în capitolul I din această directivă, intitulat „Dispoziții generale”, guvernează tocmai întrebarea adresată. |
22 |
Articolul 28 din Directiva 95/46, intitulat „Autoritatea de supraveghere”, este, în schimb, consacrat rolului și competențelor acestei autorități. În temeiul articolului 28 alineatul (1), aceasta este responsabilă de supravegherea aplicării pe teritoriul statului membru din care provine a dispozițiilor adoptate de statele membre în temeiul directivei amintite. Conform articolului 28 alineatul (6) din directiva menționată, autoritatea de supraveghere exercită competențele conferite, indiferent de dreptul intern aplicabil prelucrării de date cu caracter personal. |
23 |
Prin urmare, dreptul național aplicabil operatorului trebuie determinat nu prin raportare la articolul 28 din Directiva 95/46, ci la articolul 4 din aceasta din urmă. |
24 |
Potrivit articolului 4 alineatul (1) litera (a) din Directiva 95/46, fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul acestei directive pentru prelucrarea datelor cu caracter personal atunci când prelucrarea este efectuată în cadrul activităților operatorului cu sediul pe teritoriul statului membru. |
25 |
Având în vedere obiectivul urmărit de Directiva 95/46, constând în a asigura protejarea eficientă și completă a drepturilor și a libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal, expresia „în cadrul activităților unui sediu” nu poate primi o interpretare restrictivă (a se vedea în acest sens Hotărârea Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 53). |
26 |
Pentru a atinge acest obiectiv și pentru a garanta că persoanele nu sunt private de protecția la care au dreptul conform acestei directive, considerentul (18) al directivei menționate enunță că orice prelucrare a datelor cu caracter personal în Uniunea Europeană trebuie efectuată în conformitate cu legislația unuia dintre statele membre și că prelucrarea efectuată sub responsabilitatea unui operator stabilit într‑un stat membru se supune legislației statului respectiv. |
27 |
Legiuitorul Uniunii a prevăzut astfel un domeniu de aplicare teritorial al Directivei 95/46 deosebit de larg, pe care l‑a înscris la articolul 4 din aceasta (a se vedea în acest sens Hotărârea Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 54). |
28 |
În ceea ce privește, în primul rând, noțiunea „stabilire”, trebuie amintit că considerentul (19) al Directivei 95/46 enunță că stabilirea pe teritoriul unui stat membru presupune exercitarea efectivă și reală a unei activități într‑o formă de instalare stabilă și că forma juridică a stabilirii, fie că este doar sucursală, fie că este filială cu personalitate juridică, nu este factorul determinant (Hotărârea Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 48). Acest considerent precizează, pe de altă parte, că dacă un singur operator are sediul pe teritoriul mai multor state membre, acesta trebuie să se asigure, pentru a evita orice eludare a reglementărilor de drept intern, că fiecare sediu îndeplinește obligațiile prevăzute de dreptul intern aplicabil activităților sale. |
29 |
Rezultă de aici, așa cum a arătat în esență avocatul general la punctele 28 și 32-34 din concluzii, o concepție suplă a noțiunii de sediu, care înlătură orice abordare formalistă conform căreia o întreprindere ar fi stabilită exclusiv în locul în care este înmatriculată. Astfel, pentru a determina dacă o societate, operator de date, dispune de un sediu, în sensul Directivei 95/46, într‑un alt stat membru decât statul membru sau țara terță unde este înmatriculată, se impune evaluarea atât a gradului de stabilitate a formei de instalare, cât și a efectivității desfășurării de activități în acest alt stat membru, ținând seama de natura specifică a activităților economice și a prestărilor de servicii în cauză. Această afirmație este valabilă îndeosebi pentru întreprinderile care oferă servicii exclusiv pe internet. |
30 |
În această privință, este necesar mai ales să se considere, în lumina obiectivului urmărit de această directivă, care constă în asigurarea unei protecții eficiente și complete a dreptului la viața privată și în evitarea oricărei eludări, că prezența unui singur reprezentant poate, în anumite împrejurări, să fie suficientă pentru a constitui o formă de instalare stabilă dacă acesta acționează cu un grad suficient de stabilitate cu ajutorul mijloacelor necesare prestării serviciilor concrete respective în statul membru în discuție. |
31 |
În plus, pentru realizarea obiectivului menționat, este necesar să se considere că noțiunea „sediu” în sensul Directivei 95/46 se extinde la orice activitate reală și efectivă, chiar minimă, exercitată într‑o formă de instalare stabilă. |
32 |
În speță, activitatea exercitată de Weltimmo constă, cel puțin, în exploatarea unuia sau a mai multe site‑uri internet de anunțuri imobiliare privind bunuri situate în Ungaria, care sunt redactate în limba maghiară, anunțuri care devin cu plată după trecerea unui termen de o lună. Prin urmare, este necesar să se constate că această societate desfășoară o activitate reală și efectivă în Ungaria. |
33 |
În plus, reiese îndeosebi din precizările aduse de Nemzeti Adatvédelmi és Információszabadság Hatóság că Weltimmo dispune de un reprezentant în Ungaria, care este menționat în registrul slovac al societăților cu o adresă situată în Ungaria și care a încercat să negocieze cu autorii anunțurilor reglarea creanțelor neplătite. Acest reprezentant a servit drept contact între societate și persoanele care au formulat plângerile și a reprezentat societatea în cadrul procedurii administrative și a celei judiciare. În plus, această societate a deschis un cont bancar în Ungaria, destinat recuperării creanțelor sale, și utilizează o cutie poștală pe teritoriul acestui stat membru, pentru gestionarea afacerilor sale curente. Aceste elemente, care trebuie verificate de instanța de trimitere, sunt susceptibile să dovedească, într‑o situație precum cea în discuție în litigiul principal, existența unui „sediu” în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46. |
34 |
În al doilea rând, trebuie stabilit dacă prelucrarea datelor cu caracter personal în cauză este efectuată „în cadrul activităților” acestui sediu. |
35 |
Curtea a considerat deja că articolul 4 alineatul (1) litera (a) din Directiva 95/46 nu impune ca prelucrarea datelor cu caracter personal în discuție să fie efectuată „de” însuși sediul în cauză, ci doar ca ea să fie efectuată „în cadrul activităților” acestuia (Hotărârea Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 52). |
36 |
În speță, prelucrarea în discuție în litigiul principal constă îndeosebi în publicarea, pe site‑urile internet de anunțuri imobiliare ale Weltimmo, de date cu caracter personal referitoare la proprietarii acestor bunuri, precum și, eventual, în utilizarea acestor date în scopul facturării anunțurilor la capătul unui termen de o lună. |
37 |
În această privință, trebuie amintit că, în ceea ce privește în special internetul, Curtea a avut deja ocazia să constate că operațiunea care constă în a încărca date cu caracter personal pe o pagină de internet trebuie considerată o „prelucrare” în sensul articolului 2 litera (b) din Directiva 95/46 (Hotărârea Lindqvist, C‑101/01, EU:C:2003:596, punctul 25, precum și Hotărârea Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 26). |
38 |
Or, această prelucrare are loc neîndoielnic în cadrul activităților, descrise la punctul 32 din prezenta hotărâre, pe care le desfășoară Weltimmo în Ungaria. |
39 |
Prin urmare, sub rezerva verificărilor amintite la punctul 33 din prezenta hotărâre, care trebuie efectuate de instanța de trimitere pentru a stabili, dacă este cazul, existența unui sediu al operatorului în Ungaria, este necesar să se considere că prelucrarea respectivă este realizată în cadrul activităților acestui sediu și că articolul 4 alineatul (1) litera (a) din Directiva 96/46 permite, într‑o situație precum cea în discuție în litigiul principal, aplicarea dreptului maghiar privind protecția datelor cu caracter personal. |
40 |
Împrejurarea că proprietarii bunurilor care fac obiectul anunțurilor imobiliare au cetățenie maghiară nu este în schimb nicidecum pertinentă pentru determinarea dreptului național aplicabil prelucrării datelor în discuție în litigiul principal. |
41 |
Având în vedere ansamblul considerațiilor care precedă trebuie să se răspundă la primele șase întrebări după cum urmează:
|
Cu privire la a șaptea întrebare
42 |
A șaptea întrebare este adresată doar pentru ipoteza în care autoritatea de supraveghere maghiară ar considera că Weltimmo dispune, nu în Ungaria, ci într‑un alt stat membru, de un sediu, în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46, care exercită activități în cadrul cărora este efectuată prelucrarea datelor cu caracter personal în cauză. |
43 |
Prin intermediul acestei întrebări, instanța de trimitere solicită să se stabilească în esență dacă, în cazul în care autoritatea de supraveghere maghiară ar ajunge la concluzia că dreptul aplicabil prelucrării datelor cu caracter personal este nu dreptul maghiar, ci dreptul unui alt stat membru, articolul 28 alineatele (1), (3) și (6) din Directiva 95/46 ar trebui interpretat în sensul că această autoritate nu ar putea exercita decât competențele prevăzute la articolul 28 alineatul (3) din această directivă, în conformitate cu dreptul acestui alt stat membru, și nu ar putea aplica sancțiuni. |
44 |
În ceea ce privește, în primul rând, competența unei autorități de supraveghere de a acționa în această situație, este necesar să se arate că, în temeiul articolului 28 alineatul (4) din Directiva 95/46, fiecare autoritate de supraveghere poate fi sesizată de orice persoană printr‑o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal. |
45 |
În consecință, într‑o situație precum cea în discuție în litigiul principal, autoritatea de supraveghere maghiară poate fi sesizată de persoane care, precum autorii anunțurilor privind bunuri imobile în discuție în litigiul principal, se consideră victime ale unei prelucrări ilegale a datelor lor cu caracter personal în statul membru în care dețin aceste bunuri. |
46 |
Trebuie analizat, în al doilea rând, care sunt competențele acestei autorități de supraveghere, în lumina articolului 28 alineatele (1), (3) și (6) din Directiva 95/46. |
47 |
Rezultă din articolul 28 alineatul (1) din această directivă că fiecare autoritate de supraveghere instituită de un stat membru veghează la respectarea pe teritoriul acestui stat membru a dispozițiilor adoptate de statele membre în temeiul Directivei 95/46. |
48 |
Pe baza articolului 28 alineatul (3) din Directiva 95/46, aceste autorități de supraveghere sunt în special, învestite cu competențe de investigare, cum ar fi cea de a colecta toate informațiile necesare pentru îndeplinirea îndatoririlor de supraveghere, și cu competențe efective de intervenție, cum ar fi cele de a ordona blocarea, ștergerea sau distrugerea datelor, de a impune interdicția temporară sau definitivă de prelucrare, de a avertiza sau de a admonesta operatorul. |
49 |
Ținând seama de caracterul neexhaustiv al competențelor astfel enumerate și de tipul de competențe de intervenție menționate la această dispoziție, precum și de marja de manevră de care dispun statele membre pentru transpunerea Directivei 95/46, este necesar să se considere că aceste competențe de intervenție o pot cuprinde pe cea de sancționare a operatorului de date, prin aplicarea, dacă este cazul, a unei amenzi. |
50 |
Competențele acordate autorităților de supraveghere trebuie să fie exercitate în conformitate cu dreptul procesual al statului membru din care provin. |
51 |
Reiese din cuprinsul articolului 28 alineatele (1) și (3) din Directiva 95/46 că fiecare autoritate de supraveghere exercită ansamblul competențelor care i‑au fost conferite pe teritoriul statului membru din care provine, pentru a asigura pe acest teritoriu respectarea normelor în materie de protecție a datelor. |
52 |
Această aplicare teritorială a competențelor fiecărei autorități de supraveghere este confirmată la articolul 28 alineatul (6) din această directivă, care enunță că fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil, să exercite pe teritoriul statului membru din care provine competențele conferite în conformitate cu articolul 28 alineatul (3) din directiva menționată. Acest articol 28 alineatul (6) precizează totodată că fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru și că autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informații utile. |
53 |
Această dispoziție este necesară pentru asigurarea liberei circulații a datelor cu caracter personal în Uniune, veghind la respectarea normelor care vizează protejarea vieții private a persoanelor fizice prevăzute de Directiva 95/46. Astfel, în absența dispoziției menționate, în cazul în care operatorul de date cu caracter personal ar fi supus legii unui stat membru, însă ar încălca dreptul la protecția vieții private al persoanelor fizice într‑un alt stat membru, îndeosebi prin orientarea activității sale către acest alt stat membru fără a fi totuși stabilit acolo în sensul acestei directive, ar fi dificil, dacă nu chiar imposibil, pentru aceste persoane să obțină respectarea dreptului lor la această protecție. |
54 |
Rezultă astfel din cuprinsul articolului 28 alineatul (6) din Directiva 95/46 că autoritatea de supraveghere a unui stat membru, care este sesizată de persoane fizice cu o plângere referitoare la prelucrarea datelor lor cu caracter personal în temeiul articolului 28 alineatul (4) din această directivă, poate examina această plângere indiferent de dreptul aplicabil și, în consecință, chiar dacă dreptul aplicabil prelucrării datelor în cauză este cel al unui alt stat membru. |
55 |
În această ipoteză însă, competențele acestei autorități nu cuprind în mod necesar ansamblul celor cu care este învestită în conformitate cu dreptul statului membru din care provine. |
56 |
În acest sens, așa cum a arătat avocatul general la punctul 50 din concluzii, decurge din cerințele derivate din suveranitatea teritorială a statului membru în cauză, din principiul legalității și din noțiunea de stat de drept că exercitarea competenței sancționatorii nu poate avea loc, în principiu, în afara limitelor legale în care autoritatea administrativă este autorizată să acționeze în conformitate cu dreptul statului membru din care provine. |
57 |
Astfel, atunci când o autoritate de supraveghere este sesizată cu o plângere, conform articolului 28 alineatul (4) din Directiva 95/46, această autoritate își poate exercita competențele de investigare indiferent de dreptul aplicabil și chiar înainte de a ști care este dreptul național care este aplicabil prelucrării în cauză. Cu toate acestea, dacă ajunge la concluzia că este aplicabil dreptul unui alt stat membru, ea nu poate impune sancțiuni în afara teritoriului statului membru din care provine. Într‑o asemenea situație, îi revine, în executarea obligației de cooperare pe care o prevede articolul 28 alineatul (6) din această directivă, să solicite autorității de supraveghere din acest alt stat membru să constate o eventuală încălcare a acestui drept și să impună sancțiuni, dacă acesta din urmă le permite, sprijinindu‑se, eventual, pe informațiile pe care ea i le va fi transmis. |
58 |
Autoritatea de supraveghere sesizată cu o asemenea plângere poate, în cadrul acestei cooperări, să fie pusă în situația să efectueze alte investigații, potrivit instrucțiunilor autorității de supraveghere a celuilalt stat membru. |
59 |
Rezultă că, într‑o situație precum cea în discuție în litigiul principal, în ipoteza în care dreptul aplicabil ar fi cel al unui alt stat membru decât Ungaria, autoritatea de supraveghere maghiară nu ar putea exercita competențele de sancționare pe care i le‑a încredințat dreptul maghiar. |
60 |
Rezultă din considerațiile care precedă că trebuie să se răspundă la a șaptea întrebare că, în ipoteza în care autoritatea de supraveghere a unui stat membru sesizată cu plângeri, conform articolului 28 alineatul (4) din Directiva 95/46, ar ajunge la concluzia că dreptul aplicabil prelucrării datelor cu caracter personal în cauză este nu dreptul statului membru respectiv, ci cel al unui alt stat membru, articolul 28 alineatele (1), (3) și (6) din această directivă trebuie interpretat în sensul că această autoritate de supraveghere nu ar putea exercita competențele efective de intervenție care i‑au fost conferite în conformitate cu articolul 28 alineatul (3) din directiva menționată decât pe teritoriul statului membru din care provine. Prin urmare, ea nu poate aplica sancțiuni pe baza dreptului acestui stat membru operatorului acestor date care nu este stabilit pe acest teritoriu, ci ar trebui, în temeiul articolului 28 alineatul (6) din aceeași directivă, să solicite autorității de supraveghere provenind din statul membru al cărui drept este aplicabil să intervină. |
Cu privire la a opta întrebare
61 |
Prin intermediul celei de a opta întrebări, instanța de trimitere solicită Curții să stabilească conținutul noțiunii „adatfeldolgozás” (operațiuni tehnice de prelucrare de date), utilizată în special la articolul 4 alineatul (1) litera (a) din Directiva 95/46, referitor la determinarea dreptului aplicabil, și la articolul 28 alineatul (6) din această directivă, referitor la competența autorității de supraveghere. |
62 |
Reiese din versiunea în limba maghiară a Directivei 95/46 că aceasta utilizează sistematic termenul „adatfeldolgozás”. |
63 |
Instanța de trimitere indică faptul că Legea informației utilizează, îndeosebi în dispozițiile sale care urmăresc transpunerea dispozițiilor Directivei 95/46 referitoare la competența autorităților de supraveghere, termenul „adatkezelés” (prelucrare de date). Or, astfel cum reiese din cuprinsul articolului 3 punctul 10 din această lege, termenul respectiv are un sens mai larg decât cel al termenului „adatfeldolgozás”, definit la articolul 3 punctul 17 din legea menționată, și înglobează acest din urmă termen. |
64 |
Deși noțiunea „adatfeldolgozás”, potrivit accepțiunii sale obișnuite și astfel cum reiese din Legea informației, are un sens mai restrâns decât noțiunea „adatkezelés”, se impune totuși a sublinia că versiunea în limba maghiară a Directivei 95/46 definește termenul „adatfeldolgozás” la articolul 2 litera (b) într‑o manieră largă, corespunzătoare termenului „adatkezelés”. |
65 |
Rezultă că trebuie să se răspundă la a opta întrebare că Directiva 95/46 trebuie interpretată în sensul că noțiunea „adatfeldolgozás” (operațiuni tehnice de prelucrare de date), utilizată în versiunea în limba maghiară a acestei directive, în special la articolul 4 alineatul (1) litera (a) și la articolul 28 alineatul (6) din aceasta, trebuie înțeleasă într‑un sens identic cu cel al termenului „adatkezelés” (prelucrare de date). |
Cu privire la cheltuielile de judecată
66 |
Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări. |
Pentru aceste motive, Curtea (Camera a treia) declară: |
|
|
|
Semnături |
( * ) Limba de procedură: maghiara.