GDPR: Διευκρινίσεις από το Δικαστήριο της ΕΕ για τις προϋποθέσεις ασκήσεως των εξουσιών των εθνικών αρχών για διασυνοριακή επεξεργασία δεδομένων

Με σημερινή του απόφαση το Δικαστήριο της Ευρωπαϊκής Ένωσης διευκρινίζει τις προϋποθέσεις ασκήσεως των εξουσιών των εθνικών εποπτικών αρχών για τη διασυνοριακή επεξεργασία δεδομένων με βάση τον Γενικό Κανονισμό για την προστασία των δεδομένων (ΓΚΠΔ).

Όπως διευκρινίζει το ΔΕΕ, υπό ορισμένες προϋποθέσεις, εθνική εποπτική αρχή μπορεί να ασκήσει την εξουσία της να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του ΓΚΠΔ ενώπιον δικαστηρίου κράτους μέλους, έστω και αν η ίδια δεν είναι η επικεφαλής αρχή για την επεξεργασία αυτή.

Ιστορικό της υπόθεσης

Στις 11 Σεπτεμβρίου 2015, ο πρόεδρος της Βελγικής Επιτροπής για την προστασία της ιδιωτικής ζωής (στο εξής: ΕΠΙΖ) άσκησε κατά της Facebook Ireland, της Facebook Inc. και της Facebook Belgium ενώπιον του Nederlandstalige rechtbank van eerste aanleg Brussel (ολλανδόφωνου πρωτοδικείου Βρυξελλών, Βέλγιο) αγωγή παραλείψεως με αίτημα να παύσει η Facebook τις προβαλλόμενες παραβάσεις της νομοθεσίας περί προστασίας των δεδομένων. Οι παραβάσεις αυτές συνίσταντο, μεταξύ άλλων, στη συλλογή και τη χρήση πληροφοριών σχετικά με τη συμπεριφορά πλοηγήσεως των Βέλγων χρηστών του διαδικτύου, κατόχων ή μη λογαριασμού στη Facebook, μέσω διαφόρων τεχνολογιών, όπως είναι τα «cookies», τα «social plugins» 1 ή τα «pixels».

Στις 16 Φεβρουαρίου 2018, το ως άνω δικαστήριο έκρινε εαυτό αρμόδιο να αποφανθεί επί της αγωγής και, επί της ουσίας, έκρινε ότι το μέσο κοινωνικής δικτυώσεως Facebook δεν είχε ενημερώσει επαρκώς τους Βέλγους χρήστες του διαδικτύου για τη συλλογή και τη χρήση των σχετικών πληροφοριών. Εξάλλου, η συγκατάθεση την οποία έδιδαν οι χρήστες του διαδικτύου για τη συλλογή και την επεξεργασία των εν λόγω πληροφοριών κρίθηκε ως μη έγκυρη.

Στις 2 Μαρτίου 2018, η Facebook Ireland, η Facebook Inc. και η Facebook Belgium άσκησαν έφεση κατά της αποφάσεως αυτής ενώπιον του Hof van beroep te Brussel (εφετείου Βρυξελλών, Βέλγιο), ήτοι του αιτούντος δικαστηρίου στην παρούσα υπόθεση. Ενώπιον του δικαστηρίου αυτού, η βελγική Αρχή προστασίας δεδομένων (στο εξής: AΠΔ) ενήργησε ως κατά νόμον διάδοχος του προέδρου της ΕΠΙΖ. Το αιτούν δικαστήριο έκρινε ότι είναι αρμόδιο να αποφανθεί αποκλειστικώς επί της εφέσεως που άσκησε η Facebook Belgium.

Το αιτούν δικαστήριο έχει αμφιβολίες ως προς τις συνέπειες της εφαρμογής του μηχανισμού «μίας στάσεως» που προβλέπει ο ΓΚΠΔ 2 στις αρμοδιότητες της AΠΔ και διερωτάται ειδικότερα αν, για πραγματικά περιστατικά μεταγενέστερα της θέσεως σε ισχύ του ΓΚΠΔ, ήτοι στις 25 Μαΐου 2018, η AΠΔ μπορεί να στραφεί κατά της Facebook Belgium, δεδομένου ότι η Facebook Ireland είναι αυτή που κρίθηκε υπεύθυνη για την επεξεργασία των οικείων δεδομένων. Συγκεκριμένα, από την ημερομηνία αυτή και ιδίως κατ’ εφαρμογήν της αρχής της «μίας στάσεως» που προβλέπει ο ΓΚΠΔ, μόνον ο Ιρλανδός Επίτροπος προστασίας δεδομένων είναι αρμόδιος να ασκήσει αγωγή παραλείψεως, υπό τον έλεγχο των ιρλανδικών δικαστηρίων.

Με την απόφασή του, η οποία εκδόθηκε από το τμήμα μείζονος συνθέσεως, το Δικαστήριο διευκρινίζει τις εξουσίες των εθνικών εποπτικών αρχών στο πλαίσιο του ΓΚΠΔ. Κρίνει, μεταξύ άλλων, ότι ο κανονισμός αυτός επιτρέπει, υπό ορισμένες προϋποθέσεις, σε εποπτική αρχή κράτους μέλους να ασκήσει την εξουσία της να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του ΓΚΠΔ στις δικαστικές αρχές του κράτους αυτού και να κινεί ένδικες διαδικασίες όσον αφορά διασυνοριακή επεξεργασία δεδομένων 3, μολονότι δεν είναι η επικεφαλής αρχή όσον αφορά την εν λόγω επεξεργασία δεδομένων.

Εκτίμηση του Δικαστηρίου

Πρώτον, το Δικαστήριο διευκρινίζει τις προϋποθέσεις υπό τις οποίες μια εθνική εποπτική αρχή, μη έχουσα την ιδιότητα της επικεφαλής αρχής όσον αφορά τη διασυνοριακή επεξεργασία, πρέπει να ασκεί την εξουσία της να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του ΓΚΠΔ στις δικαστικές αρχές κράτους μέλους και να κινεί, κατά περίπτωση, ένδικες διαδικασίες προκειμένου να διασφαλίσει την εφαρμογή του εν λόγω κανονισμού. Επομένως, αφενός, ο ΓΚΠΔ πρέπει να απονέμει στην συγκεκριμένη εποπτική αρχή αρμοδιότητα προς έκδοση αποφάσεως διαπιστώνουσας ότι η εν λόγω επεξεργασία αντιβαίνει στους προβλεπόμενους σε αυτόν κανόνες και, αφετέρου, η εξουσία αυτή πρέπει να ασκείται τηρουμένων των διαδικασιών συνεργασίας και εφαρμοζομένου του μηχανισμού συνεκτικότητας που προβλέπει ο ΓΚΠΔ 4.

Πράγματι, για τη διασυνοριακή επεξεργασία, ο ΓΚΠΔ προβλέπει τον μηχανισμό «μίας στάσεως» 5, ο οποίος βασίζεται στην κατανομή των αρμοδιοτήτων μεταξύ μιας «επικεφαλής εποπτικής αρχής» και των λοιπών ενδιαφερόμενων εθνικών εποπτικών αρχών. Ο μηχανισμός αυτός απαιτεί στενή, καλόπιστη και αποτελεσματική συνεργασία μεταξύ των αρχών αυτών, προκειμένου να διασφαλίζεται η συνεκτική και ομοιόμορφη εφαρμογή των κανόνων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και να διαφυλάσσεται τοιουτοτρόπως η πρακτική αποτελεσματικότητά του. Ο ΓΚΠΔ κατοχυρώνει συναφώς την κατ’ αρχήν αρμοδιότητα της επικεφαλής εποπτικής αρχής προς έκδοση αποφάσεως διαπιστώνουσας ότι ορισμένη διασυνοριακή επεξεργασία αντιβαίνει στους κανόνες του εν λόγω κανονισμού 6, ενώ η αρμοδιότητα των άλλων εθνικών εποπτικών αρχών προς έκδοση παρόμοιας αποφάσεως, έστω και προσωρινώς, αποτελεί την εξαίρεση 7. Εντούτοις, κατά την άσκηση των αρμοδιοτήτων της, η επικεφαλής εποπτική αρχή δεν μπορεί να μην προβεί στον αναγκαίο διάλογο καθώς και σε καλόπιστη και αποτελεσματική συνεργασία με τις άλλες ενδιαφερόμενες εποπτικές αρχές. Ως εκ τούτου, στο πλαίσιο της συνεργασίας αυτής, η επικεφαλής εποπτική αρχή δεν μπορεί να αγνοήσει τις απόψεις των λοιπών ενδιαφερόμενων  αρχών ελέγχου, ενώ κάθε σχετική και αιτιολογημένη ένσταση που διατυπώνει οποιαδήποτε από τις αρχές αυτές έχει ως αποτέλεσμα να εμποδίζει, τουλάχιστον προσωρινώς, την έγκριση του σχεδίου αποφάσεως της επικεφαλής εποπτικής αρχής.

Το Δικαστήριο διευκρινίζει, εξάλλου, ότι το να μπορεί μια εποπτική αρχή κράτους μέλους η οποία δεν είναι επικεφαλής εποπτική αρχή όσον αφορά τη διασυνοριακή επεξεργασία δεδομένων να ασκήσει την εξουσία γνωστοποιήσεως οποιασδήποτε προβαλλόμενης παραβάσεως του ΓΚΠΔ στις δικαστικές αρχές του κράτους αυτού και να κινεί νομικές διαδικασίες μόνον εντός των ορίων των κανόνων κατανομής των αρμοδιοτήτων λήψεως αποφάσεων μεταξύ της επικεφαλής εποπτικής αρχής και των λοιπών εποπτικών αρχών 8 είναι σύμφωνο προς τα άρθρα 7, 8 και 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, που διασφαλίζουν στο οικείο πρόσωπο, αντιστοίχως, την προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και το δικαίωμα πραγματικής προσφυγής.

Δεύτερον, το Δικαστήριο κρίνει ότι, σε περίπτωση διασυνοριακής επεξεργασίας δεδομένων, η άσκηση της εξουσίας εποπτικής αρχής κράτους μέλους, πλην της επικεφαλής εποπτικής αρχής, να κινήσει ένδικη διαδικασία 9 δεν απαιτεί να διαθέτει ο υπεύθυνος επεξεργασίας ή ο εκτελών τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα την οποία αφορά η ένδικη αυτή διαδικασία κύρια εγκατάσταση ή άλλη εγκατάσταση στο έδαφος του εν λόγω κράτους μέλους. Εντούτοις, η άσκηση της εξουσίας αυτής πρέπει να εμπίπτει στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ 10, όπερ προϋποθέτει ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών τη διασυνοριακή επεξεργασία διαθέτει εγκατάσταση στο έδαφος της Ένωσης.

Τρίτον, το Δικαστήριο αποφαίνεται ότι, σε περίπτωση διασυνοριακής επεξεργασίας δεδομένων, η εξουσία εποπτικής αρχής κράτους μέλους, πλην της επικεφαλής αρχής ελέγχου, να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του ΓΚΠΔ στις δικαστικές αρχές του κράτους αυτού και να κινεί, κατά περίπτωση, ένδικες διαδικασίες μπορεί να ασκηθεί τόσο κατά της κύριας εγκαταστάσεως του υπευθύνου επεξεργασίας ο οποίος ευρίσκεται στο κράτος μέλος στο οποίο υπάγεται η εν λόγω αρχή όσο και κατά άλλης εγκαταστάσεως του εν λόγω υπευθύνου, εφόσον η ένδικη διαδικασία αφορά επεξεργασία δεδομένων η οποία πραγματοποιείται στο πλαίσιο των δραστηριοτήτων της εγκαταστάσεως αυτής και εφόσον η εν λόγω αρχή έχει αρμοδιότητα ασκήσεως της ως άνω εξουσίας.

Εντούτοις, το Δικαστήριο διευκρινίζει ότι η άσκηση της εξουσίας αυτής προϋποθέτει ότι ο ΓΚΠΔ έχει εφαρμογή. Εν προκειμένω, δεδομένου ότι οι δραστηριότητες της εγκαταστάσεως του ομίλου Facebook στο Βέλγιο συνδέονται άρρηκτα με την επίμαχη στην κύρια δίκη επεξεργασία δεδομένων προσωπικού χαρακτήρα, για την οποία υπεύθυνη είναι η Facebook Ireland όσον αφορά το έδαφος της Ένωσης, η επεξεργασία αυτή πραγματοποιείται «στο πλαίσιο των δραστηριοτήτων εγκατάστασης του υπευθύνου της επεξεργασίας» και, ως εκ τούτου, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.

Τέταρτον, το Δικαστήριο κρίνει ότι, όταν μια εποπτική αρχή κράτους μέλους που δεν είναι η «επικεφαλής εποπτική αρχή» έχει ασκήσει, πριν από την ημερομηνία ενάρξεως ισχύος του ΓΚΠΔ, αγωγή με αντικείμενο τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα, μπορεί να διατηρηθεί η εκκρεμοδικία της εν λόγω αγωγής, από απόψεως δικαίου της Ένωσης, βάσει των διατάξεων της οδηγίας για την προστασία των δεδομένων 11, η οποία εξακολουθεί να εφαρμόζεται όσον αφορά τις παραβάσεις των κανόνων τους οποίους αυτή προβλέπει οι οποίες διαπράχθηκαν έως την ημερομηνία καταργήσεώς της. Επιπλέον, η εν λόγω αρχή μπορεί να ασκήσει αγωγή για παραβάσεις οι οποίες διαπράχθηκαν μετά την ημερομηνία ενάρξεως ισχύος του ΓΚΠΔ, εφόσον πρόκειται για περίπτωση κατά την οποία, κατ’ εξαίρεση, ο ΓΚΠΔ παρέχει στην ίδια αυτή αρχή αρμοδιότητα προς έκδοση αποφάσεως διαπιστώνουσας ότι η οικεία επεξεργασία δεδομένων αντιβαίνει στους προβλεπόμενους στον εν λόγω κανονισμό κανόνες και εφόσον τηρούνται οι διαδικασίες συνεργασίας που αυτός προβλέπει.

Πέμπτον, το Δικαστήριο αναγνωρίζει το άμεσο αποτέλεσμα της διατάξεως του ΓΚΠΔ δυνάμει της οποίας κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική αρχή του έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές οποιαδήποτε παράβαση του κανονισμού αυτού και, κατά περίπτωση, να κινεί νομικές διαδικασίες. Κατά συνέπεια, μια τέτοια αρχή μπορεί να επικαλεσθεί την ως άνω διάταξη προκειμένου να κινήσει ή να συνεχίσει ένδικη διαδικασία κατά ιδιωτών, ακόμη και αν η εν λόγω διάταξη δεν έχει τεθεί ειδικώς σε εφαρμογή στη νομοθεσία του οικείου κράτους μέλους.

Το πλήρες κείμενο της αποφάσεως είναι διαθέσιμο στην ιστοσελίδα CURIA

 

1 Παραδείγματος χάριν, τα κουμπιά «Μου αρέσει» ή «Κοινοποίηση».

2 Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ). Σύμφωνα με το άρθρο 56, παράγραφος  1, του ΓΚΠΔ: «Με την επιφύλαξη του άρθρου 55, η εποπτική αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία».

3 Κατά την έννοια του άρθρου 4, σημείο 23, του ΓΚΠΔ.

4 Όπως προβλέπονται στα άρθρα 56 και 60 του ΓΚΠΔ.

5 Άρθρο 56, παράγραφος 1, του ΓΚΠΔ.

6 Άρθρο 60 παράγραφος 7, του ΓΚΠΔ.

7 Με το άρθρο 56, παράγραφος 2, και το άρθρο 66 του ΓΚΠΔ εισάγονται οι εξαιρέσεις από την αρχή της αρμοδιότητας της επικεφαλής εποπτικής αρχής προς λήψη αποφάσεων.

8 Όπως προβλέπονται στα άρθρα 55 και 56, σε συνδυασμό με το άρθρο 60 του ΓΚΠΔ.

9 Δυνάμει του άρθρου 58, παράγραφος 5, του ΓΚΠΔ.

10 Το άρθρο 3, παράγραφος 1, του ΓΚΠΔ ορίζει ότι ο εν λόγω κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται «στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης».

11 Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ.31).