18.7.2016   

SL

Uradni list Evropske unije

C 260/18

1.

Ali je treba člen 2(d) Direktive 95/46/ES (1) razlagati tako, da dokončno in izčrpno ureja jamstvo in odgovornost za kršitve varstva podatkov ali lahko v okviru „ustrezn[ih] ukrep[ov]“ na podlagi člena 24 Direktive 95/46/ES in „učinkovit[ih] pooblasti[l] za posredovanje“ na podlagi člena 28(3), druga alinea, Direktive 95/46/ES v večstopenjskih razmerjih med ponudniki informacij za izbiro vzdrževalca platforme, na kateri se ponujajo informacije, odgovarja tudi organ, ki ni upravljavec podatkov v smislu člena 2(d) Direktive 95/46/ES?

2.

Ali iz obveznosti držav članic na podlagi člena 17(2) Direktive 95/46/ES, da določijo, da mora upravljavec, kadar se obdelava podatkov izvaja v njegovem imenu, „izbrati obdelovalca, ki zagotavlja zadostne garancije glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba opraviti,“ na podlagi obratnega sklepanja izhaja, da pri drugih uporabniških razmerjih, ki niso povezana z obdelavo podatkov prek obdelovalca v smislu člena 2(e) Direktive 95/46/ES, ni podana obveznost skrbne izbire in taka obveznost tudi nima podlage v nacionalnem pravu?

3.

Ali ima v primerih, v katerih ima matični koncern s sedežem zunaj Evropske unije pravno samostojne poslovne enote (hčerinske družbe) v različnih državah članicah, nadzorni organ države članice (v obravnavanem primeru: Nemčije) na podlagi členov 4 in 28(6) Direktive 95/46/ES pravico izvajati pooblastila, ki so mu bila podeljena v skladu s členom 28(3) Direktive 95/46/ES, proti poslovni enoti na ozemlju lastne države članice tudi, če je ta poslovna enota zadolžena samo za pospeševanje prodaje reklam in druge ukrepe trženja, katerih ciljna skupina so prebivalci te države članice, medtem ko je samostojna poslovna enota (hčerinska družba) v drugi državi članici (v obravnavanem primeru: na Irskem) na podlagi notranje delitve nalog v koncernu izključno odgovorna za zbiranje in obdelavo osebnih podatkov v vsej Evropski uniji in tako tudi v drugi državi članici (v obravnavanem primeru: Nemčiji), če odločitev o obdelavi podatkov dejansko sprejme matični koncern?

4.

Ali je treba člena 4(1)(a) in 28(3) Direktive 95/46/ES razlagati tako, da lahko v primerih, v katerih ima upravljavec poslovno enoto na ozemlju države članice (v obravnavanem primeru: na Irskem) in še eno, pravno samostojno poslovno enoto na ozemlju druge države članice (v obravnavanem primeru: Nemčije), ki je med drugim zadolžena za prodajo reklamnih površin in katere dejavnost je namenjena prebivalcem te države, pristojni nadzorni organ v tej drugi državi članici (v obravnavanem primeru: Nemčiji) naslovi ukrepe in odredbe za uveljavljanje zakonodaje o varstvu podatkov tudi zoper drugo poslovno enoto (v obravnavanem primeru: v Nemčiji), ki na podlagi notranje delitve nalog in odgovornosti v koncernu ni odgovorna za obdelavo podatkov, ali lahko ukrepe in odredbe v takem primeru sprejema samo nadzorni organ države članice (v obravnavanem primeru: Irske), na ozemlju katere ima svoj sedež poslovna enota, ki je v koncernu odgovorna za obdelavo podatkov?

5.

Ali je treba člena 4(1)(a) in 28(3) in (6) Direktive 95/46/ES razlagati tako, da je v primerih, v katerih nadzorni organ države članice (v obravnavanem primeru: Nemčije) na podlagi člena 28(3) Direktive 95/46/ES ukrepa proti osebi ali organu, ki sta dejavna na njegovem ozemlju, zaradi neskrbne izbire tretje osebe, ki je vključena v proces obdelave podatkov (v obravnavanem primeru: Facebook), ker naj bi ta tretja oseba kršila zakonodajo o varstvu podatkov, nadzorni organ, ki ukrepa (v obravnavanem primeru: Nemčija), dolžan upoštevati presojo spoštovanja prava o varstvu podatkov, ki jo opravi nadzorni organ druge države članice, v kateri ima tretja oseba, ki je odgovorna za obdelavo podatkov, sedež (v obravnavanem primeru: na Irskem), tako, da njegova pravna presoja ne sme biti drugačna, ali lahko nadzorni organ, ki ukrepa (v obravnavanem primeru: Nemčija), v obliki predhodnega vprašanja v okviru svojega ukrepanja samostojno preizkusi zakonitost obdelave podatkov, ki jo izvaja tretja oseba s sedežem v drugi državi članici (v obravnavanem primeru: na Irskem)?

6.

Če ima nadzorni organ, ki ukrepa (v obravnavanem primeru: Nemčija), pravico do samostojnega preverjanja: Ali je treba člen 28(6), drugi stavek, Direktive 95/46/ES razlagati tako, da lahko ta nadzorni organ izvaja učinkovita pooblastila za posredovanje, ki so mu podeljena na podlagi člena 28(3) Direktive 95/46/ES, zoper osebo s prebivališčem ali organ s sedežem na njegovem ozemlju zaradi soodgovornosti za kršitve varstva podatkov, ki jih je storila tretja oseba s sedežem v drugi državi članici samo in šele, če je prej zaprosil nadzorni organ te druge države članice (v obravnavanem primeru: Irske) za izvajanje svojih pooblastil?