Achiziţii publiceAfaceri transfrontaliereArbitrajAsigurăriBankingConcurenţăConstrucţiiContencios administrativContravenţiiCorporateCyberlawData protectionDrept civilDrept comercialDrept constituţionalDrept penalDreptul familieiDreptul munciiDreptul sportuluiDreptul UEEnergieExecutare silităFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăLITIGIIMedia & publicitateMedierePiaţa de capitalProcedură civilăProprietate intelectualăProtecţia consumatorilorProtecţia mediuluiTelecom
 
Drept civil
ConferinţeDezbateriCărţiProfesionişti
STOICA & Asociatii
3 comentarii | 
Print Friendly, PDF & Email

Întrebare preliminară cu privire la răspunderea pentru încălcările normelor în materie de protecție a datelor. UPDATE: Hotărâre Marea Cameră

11.06.2018 | Mihaela MAZILU-BABEL, Adina MIHALACHE
Mihaela Mazilu-Babel

Mihaela Mazilu-Babel

11 iunie 2018: Curtea declară:

1) Articolul 2 litera (d) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie să fie interpretat în sensul că noțiunea „operator”, în sensul acestei dispoziții, înglobează administratorul unei pagini pentru fani găzduite pe o rețea socială.

2) Articolele 4 și 28 din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când o întreprindere stabilită în afara Uniunii Europene dispune de mai multe sedii în diferite state membre, autoritatea de supraveghere a unui stat membru este abilitată să exercite competențele pe care i le conferă articolul 28 alineatul (3) din această directivă în privința unui sediu al acestei întreprinderi situat pe teritoriul acestui stat membru, deși, potrivit repartizării misiunilor în cadrul grupului, pe de o parte, acest sediu răspunde doar de vânzarea de spații publicitare și de alte activități de marketing pe teritoriul statului membru menționat și, pe de altă parte, răspunderea exclusivă a colectării și a prelucrării datelor cu caracter personal incumbă, pentru întregul teritoriu al Uniunii Europene, unui sediu situat într‑un alt stat membru.

3) Articolul 4 alineatul (1) litera (a) și articolul 28 alineatele (3) și (6) din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când autoritatea de supraveghere a unui stat membru intenționează să exercite în privința unui organism stabilit pe teritoriul acestui stat membru competențele de intervenție prevăzute la articolul 28 alineatul (3) din această directivă ca urmare a unor atingeri aduse normelor referitoare la protecția datelor cu caracter personal, săvârșite de un terț operator al acestor date care are sediul în alt stat membru, această autoritate de supraveghere este competentă să aprecieze, în mod autonom în raport cu autoritatea de supraveghere a acestui din urmă stat membru, legalitatea unei astfel de prelucrări de date și își poate exercita competențele de intervenție în privința organismului stabilit pe teritoriul său fără a solicita în prealabil autorității de supraveghere a celuilalt stat membru să intervină.

:: hotărârea CJUE

***

26 octombrie 2017: Avocatul general propune:

„1) Articolul 2 litera (d) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003 al Parlamentului European și al Consiliului din 29 septembrie 2003, trebuie interpretat în sensul că constituie un operator, în sensul acestei dispoziții, administratorul unei pagini pentru fani de pe o rețea socială precum Facebook în ceea ce privește etapa prelucrării datelor cu caracter personal care constă în colectarea prin intermediul acestei rețele sociale a datelor referitoare la persoanele care consultă această pagină în vederea întocmirii de statistici cu privire la utilizatori referitoare la pagina amintită.

2) Articolul 4 alineatul (1) litera (a) din Directiva 95/46, astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003, trebuie interpretat în sensul că o prelucrare a datelor cu caracter personal precum cea în discuție în litigiul principal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care o întreprindere care exploatează o rețea socială înființează în acest stat membru o filială destinată promovării și vânzării spațiului publicitar propuse de această întreprindere, a cărei activitate este orientată către locuitorii acelui stat membru.

3) Într‑o situație precum cea în discuție în litigiul principal, în care dreptul intern aplicabil prelucrării datelor cu caracter personal în cauză este dreptul statului membru din care provine o autoritate de supraveghere, articolul 28 alineatele (1), (3) și (6) din Directiva 95/46, astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003, trebuie interpretat în sensul că această autoritate de supraveghere poate exercita în integralitate competențele efective de intervenție care i‑au fost conferite conform articolului 28 alineatul (3) din această directivă împotriva operatorului, inclusiv atunci când acest operator este stabilit în alt stat membru sau chiar într‑un stat terț.

4) Articolul 28 alineatele (1), (3) și (6) din Directiva 95/46, astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003, trebuie interpretat în sensul că, în circumstanțe precum cele în discuție în litigiul principal, autoritatea de supraveghere care provine din statul membru în care se află sediul operatorului poate să își exercite competențele de intervenție împotriva acestui operator în mod independent și fără a fi obligată să solicite în prealabil autorității de supraveghere din statul membru în care se află operatorul respectiv să își exercite competențele.” (s.n. – M.M.-B.)

:: concluzii AG

***

1 august 2016: Judecătorul german se întreabă cu privire la răspunderea pentru încălcările normelor în materie de protecție a datelor (C-210/16 Wirtschaftsakademie Schleswig-Holstein)

Situația de fapt:
1. aproprierea legislațiilor
2. necesitatea de a afla dacă o dispoziție a unei directive reglementează în mod definitiv și exhaustiv răspunderea pentru încălcările normelor în materie de protecție a datelor
3. necesitatea de a afla dacă dreptul Uniunii permite ca, în cadrul selecției unui operator a ofertei sale de informații, să răspundă și o autoritate care nu este responsabilă de prelucrarea datelor conform dreptului Uniunii
4. obligația care incumbă statelor membre de a prevedea ca operatorul, dacă prelucrarea este efectuată pe seama sa, „să aleagă o persoană care să prezinte suficiente garanții referitoare la măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată”
5. necesitatea de a afla situațiile în care nu ar exista o atare obligație de alegere atentă
6. o societate-mamă stabilită în afara Uniunii Europene are filiale cu personalitate juridică proprie în mai multe state membre (societăți-fiică)
7. necesitatea de a afla dacă autoritatea de supraveghere dintr-un stat membru (în speță Germania) este competentă să exercite competențele împotriva unei filiale stabilite pe teritoriul acestui stat membru, atunci când:
7.1. această filială răspunde numai de promovarea și de vânzarea de spații publicitare și de alte măsuri de marketing adresate locuitorilor acestui stat membru,
7.2. iar în conformitate cu repartizarea îndatoririlor în cadrul concernului, de colectarea și prelucrarea datelor cu caracter personal pe întregul teritoriu al Uniunii Europene și astfel inclusiv în acest stat membru (în speță, Germania) răspunde exclusiv filiala autonomă (societatea-fiică) din alt stat membru (în speță, Irlanda), atunci când decizia efectivă privind prelucrarea datelor este adoptată în fapt de societatea-mamă
8. operatorul deține o filială pe teritoriul unui stat membru (în speță, Irlanda) și o altă filială cu personalitate juridică proprie pe teritoriul altui stat membru (în speță, Germania), iar aceasta din urmă răspunde, printre altele, de vânzarea de spațiu de publicitate, activitatea sa fiind orientată către locuitorii acestui stat
9. necesitatea de a afla dacă autoritatea de supraveghere competentă din acest alt stat membru (în speță, Germania) poate lua măsuri și adopta decizii privind punerea în aplicare a normelor de protecție a datelor și împotriva filialei (din Germania) care, potrivit repartizării îndatoririlor și responsabilităților în cadrul concernului, nu răspunde de prelucrarea datelor
10. posibilitatea ca numai autoritatea de supraveghere din statul membru pe teritoriul căruia este stabilită filiala care răspunde de acest domeniu în cadrul concernului (în speță, Irlanda) poate lua asemenea măsuri și adopta asemenea decizii
11. lipsa de atenție la alegerea unui terț implicat în procesul de prelucrare a datelor (în speță, Facebook)
12. necesitatea de a afla dacă autoritatea de supraveghere care ia această măsură împotriva terțului (în speță, Germania) este obligată să respecte aprecierea privind legislația privind protecția datelor efectuată de autoritatea de supraveghere din celălalt stat membru în care se află sediul filialei terțului operator (în speță, Irlanda), în sensul că, în cadrul aprecierii sale juridice, nu poate deroga de la aprecierea acestei autorități
13. necesitatea de a afla dacă autoritatea din Germania poate totuși verifica în mod independent legalitatea prelucrării datelor de către un terț stabilit în alt stat membru (în speță, Irlanda), ca un aspect cu titlu preliminar
14. necesitatea de a afla dacă autoritatea de supraveghere interesată (în speță, Germania) poate efectua o verificare independentă, exercitându-și competențele efective de intervenție împotriva unei persoane sau a unui organism de pe teritoriul său în temeiul răspunderii lor pentru încălcarea normelor de protecție a datelor săvârșită de terțul stabilit pe teritoriul alt stat membru numai atunci când a solicitat anterior autorității de supraveghere din celălalt stat membru (în speță, Irlanda) să își exercite competențele
15. intervenient este Facebook Ireland Limited

Dispoziții incidente: articolul 2 litera (d) și litera (e), articolul 4, articolul 17 alineatul (2), articolul 24, articolul 28 alin. (3) a doua liniuță și alineatul (6) din Directiva 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date

Corespondențe pentru România: articolul 3, 20, 21, 31, 32, 33, 34 și 35 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată și completată de Legea nr. 102/2005 și de Legea nr. 278/2007

dr. Mihaela Mazilu-Babel
Adina Mihalache (corespondențe)
Masterand, Facultatea de Drept, Universitatea “Alexandru Ioan Cuza” din Iași


Aflaţi mai mult despre , , , , , ,

Au fost scrise până acum 3 de comentarii cu privire la articolul “Întrebare preliminară cu privire la răspunderea pentru încălcările normelor în materie de protecție a datelor. UPDATE: Hotărâre Marea Cameră”

  1. Cauza va fi judecată de Marea Cameră.

  2. Concluziile AG sosesc in data de 19 septembrie 2017.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important
Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile publicate sub numele real care respectă Politica JURIDICE.ro şi Condiţiile de publicare.