Podle stanoviska generálního advokáta SD EU Michala Bobka zveřejněného 13. ledna 2021 ve věci C 645/19 je orgán pro ochranu údajů ve státě, kde má správce nebo zpracovatel hlavní provozovnu v EU, obecně příslušný zahájit soudní řízení pro porušení GDPR v souvislosti s přeshraničním zpracováním údajů. Ostatní dotčené vnitrostátní orgány pro ochranu údajů jsou nicméně oprávněny zahájit takové řízení v příslušném členském státě v situacích, kdy jim to GDPR výslovně dovoluje.

V září 2015 zahájil belgický orgán pro ochranu údajů řízení před belgickými soudy proti několika společnostem patřícím do skupiny Facebook (Facebook), konkrétně Facebook Inc., Facebook Ireland Ltd, která je hlavní provozovnou této skupiny v EU, a Facebook Belgium BVBA (Facebook Belgium). V tomto řízení se orgán pro ochranu údajů domáhal toho, aby bylo Facebooku uloženo, pokud jde o všechny uživatele internetu usazené v Belgii, aby přestal bez jejich souhlasu umisťovat určité soubory cookies na zařízení, která tyto osoby používají při prohlížení internetových stránek v doméně Facebook.com nebo když se ocitnou na internetové stránce třetí osoby, jakož i nepřiměřeným způsobem shromažďovat údaje prostřednictvím social pluginsa pixels na internetových stránkách třetích osob. Kromě toho se domáhal zničení všech osobních údajů získaných používáním technologií cookies a socialplugins o každém uživateli internetu usazeném v Belgii. Dotčené řízení v současné době probíhá před Hof van beroep te Brussel (odvolací soud v Bruselu, Belgie), avšak jeho rozsah se omezuje na společnost Facebook Belgium, jelikož tento soud již dříve rozhodl, že není příslušný, pokud jde o žaloby proti společnostem Facebook Inc. a Facebook Ireland Ltd.

V této souvislosti společnost Facebook Belgium tvrdí, že ode dne nabytí účinnosti obecného nařízení o ochraně osobních údajů (GDPR)[1] již není belgický orgán pro ochranu údajů příslušný k tomu, aby nadále vedl dotčené soudní řízení proti Facebooku. Tvrdí, že podle GDPR je pouze orgán pro ochranu údajů státu, v němž má Facebook hlavní provozovnu v EU (tzv. „vedoucí“ orgán pro ochranu údajů v EU pro Facebook), a sice irský Výbor pro ochranu osobních údajů, oprávněn nadále vést soudní řízení proti Facebooku pro porušení GDPR v souvislosti s přeshraničním zpracováním údajů. Za těchto okolností se Hof van beroep te Brussel Soudního dvora táže, zda GDPR skutečně brání jinému vnitrostátnímu orgánu pro ochranu údajů než vedoucímu orgánu pro ochranu údajů, aby zahájil soudní řízení ve svém členském státě pro porušení pravidel tohoto nařízení, pokud jde o přeshraniční zpracování údajů.

Ve svém stanovisku generální advokát Michal Bobek zaprvé konstatuje, že ze znění[2] GDPR vyplývá, že v případě přeshraničního zpracování údajů má obecnou příslušnost vedoucí orgán pro ochranu údajů, včetně zahájení soudního řízení pro porušení GDPR, a z tohoto důvodu mají ostatní dotčené orgány pro ochranu údajů jen omezenou pravomoc činit v tomto ohledu nějaké úkony.

Pokud jde o skutečnost, že podle GDPR je každý orgán pro ochranu údajů příslušný zahájit soudní řízení proti možným porušením, která mají dopad na jeho území, generální advokát uvádí, že tato příslušnost je výslovně omezena, pokud jde o přeshraniční zpracování údajů, a to právě s cílem umožnit vedoucímu orgánu pro ochranu údajů vykonávat v tomto ohledu své úkoly.

Zadruhé generální advokát připomíná, že samotným důvodem pro zavedení mechanismu jednotného kontaktního místa zakotveného v GDPR, když vedoucímu orgánu pro ochranu údajů byla dána významná role a byly vytvořeny mechanismy spolupráce, které zapojují další orgány pro ochranu údajů, bylo řešit určité nedostatky vyplývající z dřívější právní úpravy[3]. Od hospodářských subjektů bylo totiž vyžadováno, aby dodržovaly rozličné soubory vnitrostátních norem provádějících tuto právní úpravu a zároveň spolupracovaly se všemi vnitrostátními orgány pro ochranu údajů, což se pro tyto subjekty ukázalo jako nákladné, tíživé a časově náročné a bylo to nevyhnutelně zdrojem nejistoty a konfliktů u těchto subjektů a jejich zákazníků.
Pokud jde o argumenty týkající se přístupu dotčených subjektů údajů k soudům, generální advokát zdůrazňuje, že tyto subjekty mohou přímo zahájit řízení proti správcům nebo zpracovatelům údajů, zejména u soudů členského státu svého bydliště. Generální advokát dále zdůrazňuje, že subjekty údajů mohou podat stížnost u orgánu pro ochranu údajů svého členského státu, i když je vedoucím orgánem pro ochranu údajů orgán pro ochranu údajů jiného členského státu. Pokud bude stížnost zamítnuta, rozhodnutí o ní bude přijato a oznámeno stěžovateli prvně uvedeným orgánem, čímž bude moci stěžovatel podat žalobu k soudu svého bydliště.

Zatřetí generální advokát zdůrazňuje, že vedoucí orgán pro ochranu údajů nelze považovat za jediný orgán vymáhající GDPR v přeshraničních situacích a musí v souladu s příslušnými pravidly a lhůtami stanovenými v GDPR úzce spolupracovat s ostatními dotčenými orgány pro ochranu údajů, jejichž přínos je v této oblasti zásadní.

Začtvrté generální advokát zdůrazňuje, že vnitrostátní orgány pro ochranu údajů, i když nejednají jako vedoucí orgány, mohou v případě přeshraničního zpracování v různých situacích přesto podat žalobu k soudu svého příslušného členského státu. Jde zejména o situace, kdy vnitrostátní orgány pro ochranu údajů i) jednají mimo věcnou působnost GDPR; ii)vyšetřují přeshraniční zpracování údajů prováděné orgány veřejné moci, ve veřejném zájmu a při výkonu veřejné moci nebo prováděné správci, kteří nejsou usazeni v Unii; iii)přijímají naléhavá opatření; nebo iv) zasahují poté, co se vedoucí orgán pro ochranu údajů rozhodne věcí nezabývat.

Za těchto podmínek má generální advokát za to, že GDPR dovoluje orgánu pro ochranu údajů členského státu zahájit řízení u soudu tohoto státu pro údajné porušení GDPR, pokud jde o přeshraniční zpracování údajů, ačkoli tento orgán není vedoucím orgánem pro ochranu údajů, kterému byla svěřena obecná příslušnost zahájit takové řízení, pokud tak učiní v situacích, kdy mu GDPR konkrétně svěřuje pravomoci za tímto účelem, a podle odpovídajících postupů stanovených v GDPR.

Úplné znění stanoviska

Zdroj: Soudní dvůr EU
Foto: Pixabay

[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Úř. věst. 2006, L119, s. 1). GDPR vstoupilo v platnost dne 24. Května 2016 a nabylo účinnosti dne 25. května 2018.

[2] Bod 124 odůvodnění, čl. 56 odst. 1 a 6.

[3] Směrnice 95/46/ES.