« Flux noutăţi
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateCyberlawDrept comercialEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecomTransporturi
ProtectiveDrepturile omuluiDreptul Uniunii EuropeneDrept constituţionalDrept civilData protectionDreptul familieiDreptul munciiDreptul sportuluiMalpraxis medicalProtecţia animalelorProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Dreptul Uniunii Europene
DezbateriCărţiProfesionişti
 

CJUE. C-645/19, Facebook Ireland și alții. Regulamentul general privind protecția datelor (RGPD): Curtea precizează condițiile de exercitare a competențelor autorităților naționale de supraveghere pentru prelucrarea transfrontalieră a datelor
15.06.2021 | JURIDICE.ro

JURIDICE - In Law We Trust Video juridice

În anumite condiții, o autoritate națională de supraveghere își poate exercita competența de a aduce orice pretins caz de încălcare a RGPD în fața unei instanțe a unui stat membru, chiar dacă nu este autoritatea principală pentru această prelucrare 

La 11 septembrie 2015, președintele Comisiei belgiene pentru protecția vieții private (denumită în  continuare „CPVP”) a sesizat Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunalul de Primă Instanță neerlandofon din Bruxelles, Belgia) cu o acțiune în încetare împotriva Facebook Ireland, a Facebook Inc. și a Facebook Belgium, având ca obiect încetarea unor încălcări, pretins săvârșite de Facebook, ale legislației referitoare la protecția datelor. Aceste încălcări constau în special în colectarea și în utilizarea de informații privind comportamentul de navigare al utilizatorilor de internet belgieni, deținători sau nedeținători ai unui cont de Facebook, prin intermediul diferitor tehnologii, cum ar fi cookies, extensii pentru social media[1] sau pixelii.

La 16 februarie 2018, instanța menționată s-a declarat competentă să se pronunțe cu privire la această acțiune și, pe fond, a statuat că rețeaua socială Facebook nu informase suficient utilizatorii de internet belgieni cu privire la colectarea și la utilizarea informațiilor în cauză. Pe de altă parte, consimțământul dat de utilizatorii de internet pentru colectarea și prelucrarea informațiilor menționate a fost considerat nevalabil.

La 2 martie 2018, Facebook Ireland, Facebook Inc. și Facebook Belgium au declarat apel împotriva acestei hotărâri la Hof van beroep te Brussel (Curtea de Apel din Bruxelles, Belgia), instanța de trimitere din prezenta cauză. În fața acestei instanțe, Autoritatea belgiană de Protecție a Datelor (Belgia) (APD) a acționat în calitate de succesor legal al președintelui CPVP. Instanța de trimitere s-a declarat competentă să se pronunțe doar cu privire la apelul formulat de Facebook Belgium.

Instanța de trimitere a exprimat îndoieli cu privire la incidența aplicării mecanismului „ghișeului  unic” prevăzut de RGPD[2] asupra competențelor APD și a ridicat, mai precis, problema dacă, pentru faptele ulterioare intrării în vigoare a RGPD, și anume 25 mai 2018, APD poate acționa împotriva Facebook Belgium, din moment ce Facebook Ireland a fost identificat drept operator al datelor în cauză. Astfel, de la această dată și în special în temeiul principiului „ghișeului unic” prevăzut de RGPD, numai Comisarul irlandez pentru protecția datelor ar fi competent să introducă o acțiune în încetare, sub controlul instanțelor irlandeze.

În hotărârea sa, pronunțată în Marea Cameră, Curtea precizează competențele autorităților naționale de supraveghere în cadrul RGPD. Astfel, aceasta statuează printre altele că regulamentul menționat autorizează, în anumite condiții, o autoritate de supraveghere a unui stat membru să își exercite competența de a aduce orice pretins caz de încălcare a RGPD în fața unei instanțe a acestui stat și să inițieze proceduri judiciare în ceea ce privește o prelucrare de date transfrontalieră[3], deși ea nu este autoritatea principală pentru această prelucrare.

Aprecierea Curții 

În primul rând, Curtea precizează condițiile în care o autoritate națională de supraveghere, care nu  are calitatea de autoritate principală în ceea ce privește o prelucrare transfrontalieră, trebuie să își exercite competența de a aduce orice pretins caz de încălcare a RGPD în fața unei instanțe a unui  stat membru și, după caz, de a iniția proceduri judiciare pentru a asigura aplicarea acestui  regulament. Astfel, pe de o parte, RGPD trebuie să confere acestei autorități de supraveghere  competența de a adopta o decizie prin care se constată că prelucrarea menționată încalcă normele  prevăzute de acesta și, pe de altă parte, această competență trebuie exercitată cu respectarea  procedurilor de cooperare și de asigurare a coerenței prevăzute de acest regulament[4].

Prin urmare, pentru prelucrările transfrontaliere, RGPD prevede mecanismul „ghișeului unic”[5], care  se întemeiază pe o repartizare a competențelor între o „autoritate de supraveghere principală” și  celelalte autorități naționale de supraveghere în cauză. Acest mecanism impune o cooperare strânsă, loială și eficientă între aceste autorități, pentru a asigura o protecție coerentă și omogenă a normelor privind protecția datelor cu caracter personal și pentru a menține astfel efectul său util. RGPD consacră în această privință competența de principiu a autorității de supraveghere principale de a adopta o decizie prin care se constată că o prelucrare transfrontalieră încalcă normele prevăzute de acest regulament[6], în timp ce competența celorlalte autorități naționale de supraveghere de a adopta o asemenea decizie, fie și cu titlu provizoriu, constituie excepția[7]. Cu toate acestea, în exercitarea competențelor sale, autoritatea de supraveghere principală nu poate renunța la un dialog indispensabil, precum și la o cooperare loială și eficientă cu celelalte autorități de supraveghere vizate. Prin urmare, în cadrul acestei cooperări, autoritatea de supraveghere principală nu poate ignora punctele de vedere ale celorlalte autorități de supraveghere vizate, iar orice obiecție relevantă și motivată formulată de una dintre aceste din urmă autorități are ca efect blocarea, cel puțin temporar, a adoptării proiectului de decizie al autorității de supraveghere principale.

Pe de altă parte, Curtea precizează că împrejurarea că o autoritate de supraveghere a unui stat membru care nu este autoritatea de supraveghere principală în ceea ce privește o prelucrare transfrontalieră de date nu își poate exercita competența de a aduce orice pretins caz de încălcare a RGPD în fața unei instanțe a acestui stat și de a iniția proceduri judiciare decât cu respectarea normelor de repartizare a competențelor decizionale între autoritatea de supraveghere principală și celelalte autorități de supraveghere[8] este conformă cu articolele 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene, care garantează persoanei vizate dreptul la protecția datelor sale cu caracter personal și dreptul la o cale de atac efectivă.

În al doilea rând, Curtea statuează că, în cazul prelucrării transfrontaliere de date, exercitarea  competenței de către o autoritate de supraveghere a unui stat membru, alta decât autoritatea de  supraveghere principală, de a iniția o procedură judiciară[9] nu impune ca operatorul sau persoana  împuternicită de operator în ceea ce privește prelucrarea transfrontalieră de date cu caracter personal vizată de această procedură să dispună de un sediu principal sau de un alt sediu pe teritoriul acestui stat membru. Cu toate acestea, exercitarea acestei competențe trebuie să intre în domeniul de aplicare teritorial al RGPD[10], ceea ce presupune că operatorul sau persoana împuternicită de operator pentru prelucrarea transfrontalieră dispune de un sediu pe teritoriul Uniunii.

În al treilea rând, Curtea declară că, în cazul prelucrării de date transfrontaliere, competența unei  autorități de supraveghere a unui stat membru, alta decât autoritatea de supraveghere principală, de a aduce în fața unei instanțe din acest stat orice pretins caz de încălcare a RGPD și, după caz, de a iniția proceduri judiciare poate fi exercitată atât în ceea ce privește sediul principalal  operatorului care se află în statul membru de care aparține această autoritate, cât și în ceea ce  privește un alt sediu al acestui operator, cu condiția ca acțiunea în justiție să vizeze o prelucrare a datelor efectuată în cadrul activităților acestui sediu și ca autoritatea menționată să fie competentă să exercite această competență.

Cu toate acestea, Curtea precizează că exercitarea acestei competențe presupune ca RGPD să fie aplicabilă. În speță, întrucât activitățile sediului grupului Facebook situat în Belgia sunt indisociabil legate de prelucrarea datelor cu caracter personal în discuție în litigiul principal, iar Facebook Ireland este operatorul acestuia în ceea ce privește teritoriul Uniunii, această prelucrare este efectuată „în cadrul activităților unui sediu al operatorului” și, prin urmare, intră în domeniul de aplicare al RGPD.

În al patrulea rând, Curtea statuează că, atunci când o autoritate de supraveghere a unui stat membru care nu este „autoritatea de supraveghere principală” a introdus, înainte de data intrării în vigoare a RGPD, o acțiune în justiție având ca obiect o prelucrare transfrontalieră de date cu caracter personal, această acțiune poate fi menținută, potrivit dreptului Uniunii, în temeiul dispozițiilor Directivei privind protecția datelor[11], care rămâne aplicabilă în ceea ce privește încălcările normelor pe care le prevede până la data la care această directivă a fost abrogată. În plus, acțiunea menționată poate fi introdusă de această autoritate pentru încălcări săvârșite după data intrării în vigoare a RGPD, cu condiția ca aceasta să intre sub incidența uneia dintre situațiile în care, cu titlu de excepție, acest regulament conferă aceleiași autorități o competență de a adopta o decizie prin care să se constate că prelucrarea datelor în cauză încalcă normele prevăzute de acest regulament și cu respectarea procedurilor de cooperare pe care acesta din urmă le prevede.

În al cincilea rând, Curtea recunoaște efectul direct al dispoziției din RGPD în temeiul căreia fiecare stat membru prevede, prin lege, că autoritatea sa de supraveghere are competența de a aduce orice caz de încălcare în fața autorităților judiciare și, după caz, să inițieze proceduri judiciare. În consecință, o astfel de autoritate poate invoca această dispoziție pentru a intenta sau a relua o acțiune împotriva unor particulari chiar dacă această dispoziție nu a fost pusă în aplicare în mod specific în legislația statului membru în cauză.


[1] De exemplu butoanele „Îmi place” sau „Distribuie”.
[2] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”). Potrivit articolului 56 alineatul (1) din RGPD: „Fără a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei împuternicite de operator este competentă să acționeze în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană împuternicită în cauză”.
[3] În sensul articolului 4 punctul 23 din RGPD.
[4] Prevăzute la articolul 56 și 60 din RGPD.
[5] Articolul 56 alineatul (1) din RGPD.
[6] Articolul 60 alineatul (7) din RGPD.
[7] Articolul 56 alineatul (2) și articolul 66 din RGPD consacră excepțiile de la principiul competenței decizionale a autorității de supraveghere principale.
[8] Prevăzute la articolele 55 și 56 coroborate cu articolul 60 din RGPD.
[9] Potrivit articolului 58 alineatul (5) din RGPD.
[10] Articolul 3 alineatul (1) din RGPD prevede că acest regulament se aplică prelucrării datelor cu caracter personal „în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii”.
[11] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).


:: Hotărârea

Cuvinte cheie: , , , ,
Secţiuni: CJUE, Cyberlaw, DATA PROTECTION, Dreptul Uniunii Europene, JURISPRUDENȚĂ, SELECTED TOP LEGAL | Toate secţiunile
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus Încurajăm utilizarea RNPM - Registrul Naţional de Publicitate Mobiliară Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill

Faci un comentariu sau dai un răspuns?

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.
PLATINUM Signature      

PLATINUM  ACADEMIC

GOLD                        

VIDEO   STANDARD