Curtea de Justiție a Uniunii Europene
â
Concluziile avocatului general în cauza C-645/19
Facebook Ireland Limited, Facebook INC, Facebook Belgium
BVBA/Gegevensbeschermingsautoriteit
Avocatul general Bobek: autoritatea pentru protecția datelor din statul în care
operatorul de date sau persoana împuternicită de operator are sediul principal în
Uniunea Europeană are o competență generală de a iniția proceduri judiciare pentru
încălcări ale RGPD în legătură cu prelucrarea transfrontalieră a datelor
Celelalte autorități naționale pentru protecția datelor vizate au totuși dreptul să inițieze astfel de
proceduri în statul lor membru respectiv în situații în care RGPD le permite în mod specific să
procedeze astfel
În luna septembrie 2015, autoritatea pentru protecția datelor belgiană a introdus o acțiune în fața instanțelor belgiene împotriva mai multor societăți aparținând grupului Facebook (denumit în continuare „Facebook”), și anume Facebook INC, Facebook Ireland Ltd, care este sediul principal al grupului în Uniunea Europeană, și Facebook Belgium BVBA (denumită în continuare „Facebook Belgium”). În această acțiune, autoritatea pentru protecția datelor a solicitat ca Facebook să fie obligată să înceteze, cu privire la orice utilizator de internet stabilit în Belgia, plasarea, fără consimțământul acestora, a anumitor cookie-uri pe dispozitivul pe care aceste persoane îl utilizează atunci când navighează pe o pagină web în domeniul Facebook.com sau atunci când acestea ajung pe site-ul unei terțe părți, precum și colectarea de date prin intermediul extensiilor pentru social media și al pixelilor de pe site-urile terțe într-o manieră excesivă. În plus, aceasta a solicitat distrugerea tuturor datelor personale obținute prin intermediul cookie-urilor și al extensiilor pentru social media, despre fiecare utilizator de internet stabilit în Belgia.
Procedura respectivă se află în prezent pe rolul Hof van beroep te Brussel (Curtea de Apel, Bruxelles, Belgia), având totuși cadrul limitat la Facebook Belgia, întrucât această instanță a decis anterior că nu are competență în ceea ce privește acțiunile introduse împotriva Facebook INC și Facebook Ireland Ltd. În acest context, Facebook Belgium arată că, de la data la care Regulamentul general privind protecția datelor (RGPD) a devenit aplicabil, autoritatea pentru protecția datelor belgiană a pierdut competența de a continua procedura judiciară în discuție
împotriva Facebook. Aceasta susține că, potrivit RGPD, numai autoritatea pentru protecția datelor din statul sediului principal al Facebook în Uniunea Europeană (așa-numita autoritate pentru protecția datelor „principală” în Uniunea Europeană pentru Facebook), și anume Comisia irlandeză pentru protecția datelor, este competentă să inițieze o procedură judiciară împotriva Facebook pentru încălcări ale RGPD în legătură cu prelucrarea transfrontalieră de date.
În aceste împrejurări, Hof van beroep te Brussel a solicitat Curții de Justiție să stabilească dacă RGPD interzice de fapt unei alte autorități pentru protecția datelor naționale decât autoritatea pentru protecția datelor principală să inițieze proceduri judiciare în statul său membru împotriva încălcărilor dispozițiilor sale în ceea ce privește prelucrarea transfrontalieră a datelor.
KIT GDPR Premium
În concluziile prezentate astăzi, domnul avocat general Michal Bobek constată, în primul rând, că din modul de redactare a RGPD reiese că autoritatea pentru protecția datelor principală are o competență generală privind prelucrarea transfrontalieră a datelor, inclusiv inițierea unei proceduri judiciare pentru încălcarea RGPD, și, implicit, celelalte autorități pentru protecția datelor vizate se bucură de o competență mai limitată de a acționa în această privință.
În ceea ce privește faptul că RGPD conferă oricărei autorități pentru protecția datelor competența de a iniția proceduri judiciare împotriva posibilelor încălcări care le afectează teritoriile, avocatul general arată că această competență este redusă în mod expres în ceea ce privește prelucrarea transfrontalieră a datelor tocmai în scopul de a permite autorității pentru protecția datelor principale de a-și exercita sarcinile în această privință.
În al doilea rând, avocatul general amintește că motivul pentru introducerea mecanismului ghișeului unic consacrat în RGPD, în cadrul căruia un rol semnificativ a fost acordat autorității pentru protecția datelor principale și prin care au fost instituite mecanisme de cooperare pentru a implica alte autorități pentru protecția datelor, a fost tocmai de a remedia anumite deficiențe care rezultă din legislația anterioară.
Într-adevăr, operatorilor economici li se solicita să respecte diferitele seturi de norme naționale de punere în aplicare a legislației respectivei și să relaționeze, în același timp, cu toate autoritățile naționale pentru protecția datelor, ceea ce s-a dovedit a fi costisitor, împovărător și consumator de timp pentru acei operatori și o sursă inevitabilă de incertitudine și conflicte pentru aceștia și clienții lor.
Te-ar putea interesa și:
În ceea ce privește argumentele privind accesul la instanțe al persoanelor vizate, avocatul general subliniază că aceste persoane pot introduce direct acțiuni împotriva operatorilor sau persoanelor împuternicite de operatori, în fața, inter alia, a instanțelor statului membru în care își au reședința. În plus, avocatul general subliniază că persoanele vizate pot depune o plângere la autoritatea pentru protecția datelor a statului lor membru chiar și în cazul în care autoritatea pentru protecția datelor principală este autoritatea pentru protecția datelor a unui alt stat membru. În cazul în care plângerea ar fi respinsă, decizia în acest sens va fi adoptată și notificată reclamantului de prima autoritate, astfel fiind posibil pentru reclamant să o atace în fața instanțelor de la reședința sa.
În al treilea rând, avocatul general subliniază că autoritatea pentru protecția datelor principală nu poate fi considerată ca fiind singurul executor al RGPD în situații transfrontaliere și trebuie, cu respectarea dispozițiilor relevante și a termenelor prevăzute de RGPD, să coopereze strâns cu celelalte autorități pentru protecția datelor vizate, a căror contribuție este crucială în acest domeniu.
În al patrulea rând, avocatul general subliniază că autoritățile naționale pentru protecția datelor, chiar și atunci când nu acționează ca autoritate principală, pot totuși să inițieze proceduri în fața instanțelor statului lor membru respectiv în cazul prelucrării transfrontaliere în diferite situații. Aceste situații sunt, în special, următoarele: atunci când autoritățile naționale pentru protecția datelor i.) acționează în afara domeniului material de aplicare al RGPD; ii.) investighează prelucrarea transfrontalieră a datelor efectuată de autorități publice, în interes public, în exercitarea autorității oficiale sau de operatori care nu sunt stabiliți în Uniune; iii.) adoptă măsuri urgente; sau iv.) intervin ca urmare a deciziei autorității pentru protecția datelor principale de a nu trata un caz.
În aceste condiții, avocatul general consideră că RGPD permite autorității pentru protecția datelor dintr-un stat membru să inițieze proceduri judiciare în fața unei instanțe din acest stat pentru o presupusă încălcare a RGPD în ceea ce privește prelucrarea transfrontalieră a
datelor, în pofida faptului că aceasta nu este autoritatea pentru protecția datelor principală însărcinată cu o competență generală de a iniția astfel de proceduri, cu condiția să procedeze astfel în situațiile în care RGPD îi conferă în mod specific competențe în acest scop și în conformitate cu procedurile corespunzătoare prevăzute în RGPD.
Sursa: Comunicat de presă CJUE