Стана известно решение на Съда на ЕС по дело С – 210/16 с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Bundesverwaltungsgericht (Федерален административен съд, Германия) в рамките на производство по дело Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-Holstein GmbH=
Генерален адвокат: Y. Bot, мнението.
Преюдициалното запитване се отнася до тълкуването на Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни. Отнася се до фен-страница във Facebook. Wirtschaftsakademie предлага услуги за обучение чрез фен страница. Фен страниците представляват потребителски профили, които могат да бъдат конфигурирани във Facebook от частноправни субекти или от предприятия. За целта авторът на фен страницата, след като се регистрира във Facebook, може да използва поддържаната от него платформа, за да се представя на потребителите на тази социална мрежа, както и на посетителите на фен страницата, и за да прави изявления от всякакво естество на пазара на медии и мнения. Администраторите на фен страници могат да получават анонимни статистически данни за посетителите на такива страници с помощта на функция, наречена „Facebook Insight“, която им се предоставя безплатно от Facebook при условия на ползване, които не могат да бъдат променяни. Тези данни се събират с помощта на информационни файлове (наричани по-нататък „бисквитки“), всеки от които съдържа уникален код на потребителя, активен е в продължение на две години и се запазва от Facebook на твърдия диск на компютър или всякакъв друг носител на посетителите на фен страницата. Кодът на потребителя, който може да бъде комбиниран с данните за връзката на регистрираните във Facebook потребители, се събира и обработва в момента на отваряне на фен страниците. В това отношение от акта за преюдициално запитване следва, че нито Wirtschaftsakademie, нито Facebook Ireland Ltd упоменават операцията по запазване и функционирането на тази бисквитка, нито последващото обработване на данните, поне в хода на релевантния в главното производство отрязък от време.
Германски орган за личните данни иска WA да деактивира създадената от него фен страница във Facebook на адрес https://www.facebook.com/wirtschaftsakademie, защото не предупреждава потребителите за бисквитките. WA смята, че няма такова задължение и че органът е трябвало да предприеме действия пряко срещу Facebook.
В хода на спора Федерален административен съд – Германия решава да спре производството и да постави на Съда следните преюдициални въпроси:
„1) Трябва ли член 2, буква г) от Директива [95/46] да се тълкува в смисъл, че урежда окончателно и изчерпателно задълженията и отговорността за нарушения на правилата за защита на данните, или — в хипотеза на многостепенни отношения между доставчик и клиент на информация — в рамките на „подходящите мерки“ по член 24 от [тази директива] и на „ефективните правомощия на намеса“ по член 28, параграф 3, второ тире от [същата] е възможно структура, която не е „администратор“ по смисъла на член 2, буква г) от [посочената директива], да носи отговорност за избора на оператор за предлаганата от нея информация?
2) От задължението на държавите членки по член 17, параграф 2 от Директива [95/46] да предвидят, че когато обработването се извършва от негово име, администраторът трябва „да избере обработващ данните, който осигурява достатъчни гаранции по отношение на мерките за техническа безопасност и организационните мерки, регулиращи обработването, което следва да се извърши“, следва ли a contrario, че при друг вид отношения между доставчик и ползвател, които не са свързани с обработка на лични данни от името на администратора по смисъла на член 2, буква д) от [тази директива], не съществува задължение за полагане на дължимата грижа при избора и такова не [би могло] да се обоснове и по националното право?
3) В хипотези, в които установено извън Европейския съюз дружество майка поддържа юридически самостоятелни обекти (дъщерни дружества) в различни държави членки, има ли право съгласно член 4 и член 28, параграф 6 от Директива [95/46] надзорният орган на дадена държава членка (в настоящия случай Германия) да упражни правомощията си по член 28, параграф 3 от [същата] спрямо установен на негова територия обект, включително в случаите, когато този обект отговаря единствено за рекламирането и продажбата на рекламни пространства и за други маркетингови мерки, насочени към жителите на тази държава членка, докато съгласно вътрешнокорпоративното разпределение на дейностите за събирането и обработването на лични данни на цялата територия на Европейския съюз и следователно и на територията на другата държава членка (в настоящия случай Германия) отговаря изключително установеният в друга държава членка (в настоящия случай Ирландия) самостоятелен обект (дъщерно дружество), при положение че в действителност решението относно обработката на данни се взема от дружеството майка?
4) Трябва ли член 4, параграф 1 и член 28, параграф 3 от Директива [95/46] да се тълкуват в смисъл, че в хипотези, в които администраторът има обект на територията на държава членка (в настоящия случай Ирландия) и съществува друг, юридически самостоятелен обект на територията на друга държава членка (в настоящия случай Германия), който по-специално отговаря за продажбата на рекламни пространства и чиято дейност е насочена към жителите на тази държава членка, компетентният надзорен орган в тази друга държава членка (в настоящия случай Германия) може да предприеме мерки и да издаде разпореждания с цел прилагането на законодателството за защита на данните, включително срещу този друг обект (в настоящия случай в Германия), който според вътрешнокорпоративното разпределение на дейностите и отговорностите не отговаря за обработката на данни, или в такава хипотеза мерките и разпорежданията са в компетентността само на надзорния орган на държавата членка (в настоящия случай Ирландия), на чиято територия се намира седалището на структурата, която в рамките на групата отговаря за обработката на данните?
5) Трябва ли член 4, параграф 1, буква а) и член 28, параграфи 3 и 6 от Директива [95/46] да се тълкуват в смисъл, че в хипотези, в които надзорният орган на държава членка (в настоящия случай Германия) предприема мерки по член 28, параграф 3 от [тази директива] спрямо лице или структура, извършващи дейност на нейна територия, на основание, че не е положена дължимата грижа при избора на участващо в процеса на обработката на данни трето лице (в настоящия случай Facebook), тъй като това трето лице нарушавало законодателството за защита на данните, предприемащият мерки надзорен орган (в настоящия случай Германия) е обвързан с правната преценка относно спазването на правилата на защитата на данните на надзорния орган на другата държава членка, в която е установено отговорното за обработването на данните трето лице (в настоящия случай Ирландия), така че той не може да се отклонява от тази правна преценка, или пък предприемащият мерки надзорен орган (в настоящия случай Германия) може самостоятелно да проверява законосъобразността на обработката на данни от страна на установеното в друга държава членка (в настоящия случай Ирландия) трето лице като предварителен въпрос с оглед на предприемане на неговите собствени действия?
6) Доколкото предприемащият мерки надзорен орган (в настоящия случай Германия) [би могъл] да извършва самостоятелна проверка: трябва ли член 28, параграф 6, второ изречение от Директива [95/46] да се тълкува в смисъл, че надзорният орган може да упражнява предоставените му по член 28, параграф 3 от [тази директива] ефективни правомощия за намеса спрямо установени на неговата територия лице или структура на основание съвместна отговорност за нарушения на правилата за защита на данните, извършени от установеното в друга държава членка трето лице, само и едва когато предварително е поискал от надзорния орган на тази друга държава членка (в настоящия случай Ирландия) да упражни своите правомощия?“.
Съдът:
Член 2, буква г) от Директивата определя широко понятието „администратор“
Отнася се до субект, който „сам или съвместно с други“ определя целите и средствата за обработването на лични данни, това понятие не препраща непременно към само една структура, а може да се отнася до няколко субекта, участващи в обработването, за всеки от които при това положение съществува задължение да спазва приложимите разпоредби относно защитата на данните.
Facebook Inc., а по отношение на Съюза — Facebook Ireland, трябва да се разглеждат като главните определящи целите и средствата за обработването на личните данни на потребителите на Facebook, както и на лицата, посетили фен страниците, хоствани от Facebook, поради което те попадат в понятието „администратор“ по смисъла на член 2, буква г) от Директива 95/46, което не се поставя под съмнение по настоящото дело.
Wirtschaftsakademie допринася чрез тази фен страница за определянето, съвместно с Facebook Ireland и Facebook Inc., на целите и средствата за обработването на лични данни на посетителите на тази фен страница, и следователно може също да се счита за „администратор“.
Макар действително статистическите данни за аудиторията, изготвени от Facebook, да се предоставят само на администратора на фен страницата в анонимен вид, това не променя факта, че изготвянето на тези статистически данни се основава на предварителното събиране с помощта на бисквитки, инсталирани от Facebook на компютъра или друго устройство на лицата, които са посетили тази страница, както и на обработването на личните данни на тези посетители за подобни статистически цели.
WA следва да се квалифицира като администратор.
В заключение Съдът (голям състав) решаваьъефддн:
1) Член 2, буква г) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, трябва да се тълкува в смисъл, че понятието „администратор“ по смисъла на тази разпоредба включва администратора на хоствана от социална мрежа фен страница.
2) Членове 4 и 28 от Директива 95/46 трябва да се тълкуват в смисъл, че когато установено извън Европейския съюз предприятие има няколко обекта в различни държави членки, надзорният орган на държава членка има право да упражни правомощията си по член 28, параграф 3 от тази директива по отношение на разположен на територията на тази държава членка обект на това предприятие, въпреки че съгласно разпределението на дейностите в рамките на групата, от една страна, обектът отговаря единствено за продажбата на рекламни пространства и за други маркетингови дейности на територията на посочената държава членка, а от друга страна, изключителна отговорност за събирането и обработването на лични данни за цялата територия на Европейския съюз се носи от обект, разположен в друга държава членка.
3) Член 4, параграф 1, буква а) и член 28, параграфи 3 и 6 от Директива 95/46 трябва да се тълкуват в смисъл, че когато надзорният орган на държава членка възнамерява да упражни по отношение на организация, установена на територията на тази държава членка, правомощията за намеса по член 28, параграф 3 от тази директива заради нарушения на правилата относно защитата на лични данни, допуснати от отговарящото за обработването на тези данни като администратор трето лице със седалище в друга държава членка, този надзорен орган е компетентен да прецени самостоятелно от надзорния орган на последната държава членка законосъобразността на такова обработване на данни и може да упражни правомощията си за намеса по отношение на установената на негова територия организация, без предварително да поиска намесата на надзорния орган на другата държава членка.