« Flux noutăţi
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateCyberlawDrept comercialEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecomTransporturi
ProtectiveDrepturile omuluiData protectionDreptul familieiDreptul munciiDreptul sportuluiMalpraxis medicalProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Materii principale: CyberlawDreptul Uniunii EuropeneDrepturile omuluiDrept constituţionalDrept civilProcedură civilăDrept penalDreptul muncii
Dreptul Uniunii Europene
DezbateriCărţiProfesionişti
 

CJUE. C-645/19. Avocatul general Bobek: autoritatea pentru protecția datelor din statul în care operatorul de date sau persoana împuternicită de operator are sediul principal în UE are o competență generală de a iniția proceduri judiciare pentru încălcări ale RGPD în legătură cu prelucrarea transfrontalieră a datelor
13.01.2021 | JURIDICE.ro

JURIDICE - In Law We Trust

Celelalte autorități naționale pentru protecția datelor vizate au totuși dreptul să inițieze astfel de proceduri în statul lor membru respectiv în situații în care RGPD le permite în mod specific să  procedeze astfel 

În luna septembrie 2015, autoritatea pentru protecția datelor belgiană a introdus o acțiune în fața  instanțelor belgiene împotriva mai multor societăți aparținând grupului Facebook (denumit în  continuare „Facebook”), și anume Facebook INC, Facebook Ireland Ltd, care este sediul principal al grupului în Uniunea Europeană, și Facebook Belgium BVBA (denumită în continuare „Facebook Belgium”). În această acțiune, autoritatea pentru protecția datelor a solicitat ca Facebook să fie obligată să înceteze, cu privire la orice utilizator de internet stabilit în Belgia, plasarea, fără consimțământul acestora, a anumitor cookie-uri pe dispozitivul pe care aceste persoane îl utilizează atunci când navighează pe o pagină web în domeniul Facebook.com sau atunci când acestea ajung pe site-ul unei terțe părți, precum și colectarea de date prin intermediul extensiilor pentru social media și al pixelilor de pe site-urile terțe într-o manieră excesivă. În plus, aceasta a solicitat distrugerea tuturor datelor personale obținute prin intermediul cookie-urilor și al extensiilor pentru social media, despre fiecare utilizator de internet stabilit în Belgia.

Procedura respectivă se află în prezent pe rolul Hof van beroep te Brussel (Curtea de Apel, Bruxelles, Belgia), având totuși cadrul limitat la Facebook Belgia, întrucât această instanță a decis anterior că nu are competență în ceea ce privește acțiunile introduse împotriva Facebook INC și Facebook Ireland Ltd. În acest context, Facebook Belgium arată că, de la data la care Regulamentul general privind protecția datelor (RGPD)[1] a devenit aplicabil, autoritatea pentru protecția datelor belgiană a pierdut competența de a continua procedura judiciară în discuție împotriva Facebook. Aceasta susține că, potrivit RGPD, numai autoritatea pentru protecția datelor din statul sediului principal al Facebook în Uniunea Europeană (așa-numita autoritate pentru protecția datelor „principală” în Uniunea Europeană pentru Facebook), și anume Comisia irlandeză  pentru protecția datelor, este competentă să inițieze o procedură judiciară împotriva Facebook pentru încălcări ale RGPD în legătură cu prelucrarea transfrontalieră de date.

În aceste împrejurări, Hof van beroep te Brussel a solicitat Curții de Justiție să stabilească dacă  RGPD interzice de fapt unei alte autorități pentru protecția datelor naționale decât autoritatea  pentru protecția datelor principală să inițieze proceduri judiciare în statul său membru împotriva  încălcărilor dispozițiilor sale în ceea ce privește prelucrarea transfrontalieră a datelor.

În concluziile prezentate astăzi, avocatul general Michal Bobek constată, în primul rând, că din modul de redactare[2] a RGPD reiese că autoritatea pentru protecția datelor principală are o competență generală privind prelucrarea transfrontalieră a datelor, inclusiv inițierea unei  proceduri judiciare pentru încălcarea RGPD, și, implicit, celelalte autorități pentru protecția  datelor vizate se bucură de o competență mai limitată de a acționa în această privință.

În ceea ce privește faptul că RGPD conferă oricărei autorități pentru protecția datelor competența de a iniția proceduri judiciare împotriva posibilelor încălcări care le afectează teritoriile, avocatul  general arată că această competență este redusă în mod expres în ceea ce privește prelucrarea transfrontalieră a datelor tocmai în scopul de a permite autorității pentru protecția datelor principale de a-și exercita sarcinile în această privință.

În al doilea rând, avocatul general amintește că motivul pentru introducerea mecanismului ghișeului unic consacrat în RGPD, în cadrul căruia un rol semnificativ a fost acordat autorității pentru protecția datelor principale și prin care au fost instituite mecanisme de cooperare pentru a implica alte autorități pentru protecția datelor, a fost tocmai de a remedia anumite deficiențe care rezultă din legislația anterioară.[3] Într-adevăr, operatorilor economici li se solicita să respecte diferitele seturi de norme naționale de punere în aplicare a legislației respectivei și să relaționeze, în același timp, cu toate autoritățile naționale pentru protecția datelor, ceea ce s-a dovedit a fi costisitor, împovărător și consumator de timp pentru acei operatori și o sursă inevitabilă de incertitudine și conflicte pentru aceștia și clienții lor.

În ceea ce privește argumentele privind accesul la instanțe al persoanelor vizate, avocatul general  subliniază că aceste persoane pot introduce direct acțiuni împotriva operatorilor sau persoanelor  împuternicite de operatori, în fața, inter alia, a instanțelor statului membru în care își au reședința. În plus, avocatul general subliniază că persoanele vizate pot depune o plângere la autoritatea pentru protecția datelor a statului lor membru chiar și în cazul în care autoritatea pentru protecția datelor principală este autoritatea pentru protecția datelor a unui alt stat membru. În cazul în care plângerea ar fi respinsă, decizia în acest sens va fi adoptată și notificată reclamantului de prima autoritate, astfel fiind posibil pentru reclamant să o atace în fața instanțelor de la reședința sa.

În al treilea rând, avocatul general subliniază că autoritatea pentru protecția datelor principală  nu poate fi considerată ca fiind singurul executor al RGPD în situații transfrontaliere și  trebuie, cu respectarea dispozițiilor relevante și a termenelor prevăzute de RGPD, să coopereze  strâns cu celelalte autorități pentru protecția datelor vizate, a căror contribuție este crucială în  acest domeniu.

În al patrulea rând, avocatul general subliniază că autoritățile naționale pentru protecția datelor,  chiar și atunci când nu acționează ca autoritate principală, pot totuși să inițieze proceduri în fața  instanțelor statului lor membru respectiv în cazul prelucrării transfrontaliere în diferite situații.  Aceste situații sunt, în special, următoarele: atunci când autoritățile naționale pentru protecția  datelor i.) acționează în afara domeniului material de aplicare al RGPD; ii.) investighează prelucrarea transfrontalieră a datelor efectuată de autorități publice, în interes public, în exercitarea  autorității oficiale sau de operatori care nu sunt stabiliți în Uniune; iii.) adoptă măsuri urgente; sau iv.) intervin ca urmare a deciziei autorității pentru protecția datelor principale de a nu trata un caz.

În aceste condiții, avocatul general consideră că RGPD permite autorității pentru protecția  datelor dintr-un stat membru să inițieze proceduri judiciare în fața unei instanțe din acest stat pentru o presupusă încălcare a RGPD în ceea ce privește prelucrarea transfrontalieră a datelor, în pofida faptului că aceasta nu este autoritatea pentru protecția datelor principală însărcinată cu o competență generală de a iniția astfel de proceduri, cu condiția să  procedeze astfel în situațiile în care RGPD îi conferă în mod specific competențe în acest scop și în conformitate cu procedurile corespunzătoare prevăzute în RGPD.


[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (JO 2016 L 119, p. 1). GDPR a intrat în vigoare la 24 mai 2016 și se aplică începând cu 25 mai 2018.
[2] Considerentul (124), articolul 56 alineatele (1) și (6).
[3] Directiva 95/46/CE.


PLATINUM+
PLATINUM Signature       

PLATINUM  ACADEMIC

GOLD                                

VIDEO STANDARD
Aflaţi mai mult despre , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!












Încurajăm utilizarea RNPM - Registrul Naţional de Publicitate Mobiliară

Securitatea electronică este importantă pentru avocaţi
 Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează şi recomandă SmartBill

Lex Discipulo Laus

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.