EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62016CN0210
Case C-210/16: Request for a preliminary ruling from the Bundesverwaltungsgericht (Germany) lodged on 14 April 2016 — Wirtschaftsakademie Schleswig-Holstein GmbH v Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Zadeva C-210/16: Predlog za sprejetje predhodne odločbe, ki ga je vložilo Bundesverwaltungsgericht (Nemčija) 14. aprila 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH
Zadeva C-210/16: Predlog za sprejetje predhodne odločbe, ki ga je vložilo Bundesverwaltungsgericht (Nemčija) 14. aprila 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH
OJ C 260, 18.7.2016, p. 18–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
18.7.2016 |
SL |
Uradni list Evropske unije |
C 260/18 |
Predlog za sprejetje predhodne odločbe, ki ga je vložilo Bundesverwaltungsgericht (Nemčija) 14. aprila 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH
(Zadeva C-210/16)
(2016/C 260/24)
Jezik postopka: nemščina
Predložitveno sodišče
Bundesverwaltungsgericht
Stranke v postopku v glavni stvari
Tožena stranka, pritožnica in revidentka: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Tožeča stranka, nasprotna stranka v postopku s pritožbo in respondentka: Wirtschaftsakademie Schleswig-Holstein GmbH
Intervenientka: Facebook Ireland Limited
Ob udeležbi: Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
Vprašanja za predhodno odločanje
1. |
Ali je treba člen 2(d) Direktive 95/46/ES (1) razlagati tako, da dokončno in izčrpno ureja jamstvo in odgovornost za kršitve varstva podatkov ali lahko v okviru „ustrezn[ih] ukrep[ov]“ na podlagi člena 24 Direktive 95/46/ES in „učinkovit[ih] pooblasti[l] za posredovanje“ na podlagi člena 28(3), druga alinea, Direktive 95/46/ES v večstopenjskih razmerjih med ponudniki informacij za izbiro vzdrževalca platforme, na kateri se ponujajo informacije, odgovarja tudi organ, ki ni upravljavec podatkov v smislu člena 2(d) Direktive 95/46/ES? |
2. |
Ali iz obveznosti držav članic na podlagi člena 17(2) Direktive 95/46/ES, da določijo, da mora upravljavec, kadar se obdelava podatkov izvaja v njegovem imenu, „izbrati obdelovalca, ki zagotavlja zadostne garancije glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba opraviti,“ na podlagi obratnega sklepanja izhaja, da pri drugih uporabniških razmerjih, ki niso povezana z obdelavo podatkov prek obdelovalca v smislu člena 2(e) Direktive 95/46/ES, ni podana obveznost skrbne izbire in taka obveznost tudi nima podlage v nacionalnem pravu? |
3. |
Ali ima v primerih, v katerih ima matični koncern s sedežem zunaj Evropske unije pravno samostojne poslovne enote (hčerinske družbe) v različnih državah članicah, nadzorni organ države članice (v obravnavanem primeru: Nemčije) na podlagi členov 4 in 28(6) Direktive 95/46/ES pravico izvajati pooblastila, ki so mu bila podeljena v skladu s členom 28(3) Direktive 95/46/ES, proti poslovni enoti na ozemlju lastne države članice tudi, če je ta poslovna enota zadolžena samo za pospeševanje prodaje reklam in druge ukrepe trženja, katerih ciljna skupina so prebivalci te države članice, medtem ko je samostojna poslovna enota (hčerinska družba) v drugi državi članici (v obravnavanem primeru: na Irskem) na podlagi notranje delitve nalog v koncernu izključno odgovorna za zbiranje in obdelavo osebnih podatkov v vsej Evropski uniji in tako tudi v drugi državi članici (v obravnavanem primeru: Nemčiji), če odločitev o obdelavi podatkov dejansko sprejme matični koncern? |
4. |
Ali je treba člena 4(1)(a) in 28(3) Direktive 95/46/ES razlagati tako, da lahko v primerih, v katerih ima upravljavec poslovno enoto na ozemlju države članice (v obravnavanem primeru: na Irskem) in še eno, pravno samostojno poslovno enoto na ozemlju druge države članice (v obravnavanem primeru: Nemčije), ki je med drugim zadolžena za prodajo reklamnih površin in katere dejavnost je namenjena prebivalcem te države, pristojni nadzorni organ v tej drugi državi članici (v obravnavanem primeru: Nemčiji) naslovi ukrepe in odredbe za uveljavljanje zakonodaje o varstvu podatkov tudi zoper drugo poslovno enoto (v obravnavanem primeru: v Nemčiji), ki na podlagi notranje delitve nalog in odgovornosti v koncernu ni odgovorna za obdelavo podatkov, ali lahko ukrepe in odredbe v takem primeru sprejema samo nadzorni organ države članice (v obravnavanem primeru: Irske), na ozemlju katere ima svoj sedež poslovna enota, ki je v koncernu odgovorna za obdelavo podatkov? |
5. |
Ali je treba člena 4(1)(a) in 28(3) in (6) Direktive 95/46/ES razlagati tako, da je v primerih, v katerih nadzorni organ države članice (v obravnavanem primeru: Nemčije) na podlagi člena 28(3) Direktive 95/46/ES ukrepa proti osebi ali organu, ki sta dejavna na njegovem ozemlju, zaradi neskrbne izbire tretje osebe, ki je vključena v proces obdelave podatkov (v obravnavanem primeru: Facebook), ker naj bi ta tretja oseba kršila zakonodajo o varstvu podatkov, nadzorni organ, ki ukrepa (v obravnavanem primeru: Nemčija), dolžan upoštevati presojo spoštovanja prava o varstvu podatkov, ki jo opravi nadzorni organ druge države članice, v kateri ima tretja oseba, ki je odgovorna za obdelavo podatkov, sedež (v obravnavanem primeru: na Irskem), tako, da njegova pravna presoja ne sme biti drugačna, ali lahko nadzorni organ, ki ukrepa (v obravnavanem primeru: Nemčija), v obliki predhodnega vprašanja v okviru svojega ukrepanja samostojno preizkusi zakonitost obdelave podatkov, ki jo izvaja tretja oseba s sedežem v drugi državi članici (v obravnavanem primeru: na Irskem)? |
6. |
Če ima nadzorni organ, ki ukrepa (v obravnavanem primeru: Nemčija), pravico do samostojnega preverjanja: Ali je treba člen 28(6), drugi stavek, Direktive 95/46/ES razlagati tako, da lahko ta nadzorni organ izvaja učinkovita pooblastila za posredovanje, ki so mu podeljena na podlagi člena 28(3) Direktive 95/46/ES, zoper osebo s prebivališčem ali organ s sedežem na njegovem ozemlju zaradi soodgovornosti za kršitve varstva podatkov, ki jih je storila tretja oseba s sedežem v drugi državi članici samo in šele, če je prej zaprosil nadzorni organ te druge države članice (v obravnavanem primeru: Irske) za izvajanje svojih pooblastil? |
(1) Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).