Soudní dvůr Evropské unie zveřejnil dne 15. června 2021 rozsudek ve věci C-645/19 Facebook Ireland a další, v němž upřesnil podmínky výkonu pravomocí vnitrostátních dozorových úřadů v souvislosti s přeshraničním zpracováním údajů. Za určitých podmínek může vnitrostátní dozorový úřad použít svou pravomoc upozornit na údajné porušení GDPR soud členského státu, i když není pro toto zpracování vedoucím úřadem.

 

Dne 11. září 2015 podal předseda belgické Commission de la protection de la vie privée (Výbor pro ochranu soukromí, dále jen „CBPL“) k Nederlandstalige rechtbank van eerste aanleg Brussel (nizozemskojazyčný soud prvního stupně v Bruselu, Belgie) proti společnostem Facebook Ireland, Facebook Inc. a Facebook Belgium žalobu na zdržení se jednání, jejímž cílem bylo ukončit porušování právních předpisů týkajících se ochrany údajů, kterých se údajně společnost Facebook dopustila. Toto porušování spočívalo zejména ve shromažďování a využívání informací o chování belgických uživatelů internetu, ať již mají účet na Facebooku, či nikoliv, při prohlížení internetu, a to prostřednictvím různých technologií, jako jsou cookies, social plugins¹ nebo pixels.

Dne 16. února 2018 se tento soud prohlásil za příslušný k rozhodnutí o této žalobě a ve věci samé rozhodl, že sociální síť Facebook neinformovala dostatečně belgické uživatele internetu o shromažďování dotčených informací a o jejich využití. Kromě toho posoudil souhlas se shromažďováním a zpracováním uvedených informací udělený uživateli internetu jako neplatný.

Dne 2. března 2018 podaly společnosti Facebook Ireland, Facebook Inc. a Facebook Belgium proti tomuto rozhodnutí odvolání k Hof van beroep te Brussel (odvolací soud v Bruselu, Belgie), předkládajícímu soudu v této věci. Před tímto soudem vystupuje Gegevensbeschermingsautoriteit (belgický úřad na ochranu údajů, dále jen „GBA“) jako právní nástupce předsedy CBPL. Předkládající soud se prohlásil za příslušný pouze k rozhodnutí o odvolání společnosti Facebook Belgium.

Předkládající soud má pochybnosti o tom, jaký dopad má uplatnění mechanismu „jediného kontaktního místa“, který stanoví GDPR², na příslušnost GBA, a klade si zejména otázku, zda v souvislosti se skutkovými okolnostmi po vstupu GDPR v platnost, tedy po 25. květnu 2018, může GBA žalovat společnost Facebook Belgium, jelikož za správce dotčených údajů byla označena společnost Facebook Ireland. Od tohoto data, a zejména na základě zásady „jediného kontaktního místa“ stanovené GDPR je k podání žaloby na zdržení se jednání příslušný pouze irský komisař pro ochranu údajů, pod dohledem irských soudů.

Soudní dvůr v rozsudku velkého senátu upřesnil pravomoci vnitrostátních dozorových úřadů v rámci GDPR. Soudní dvůr zejména rozhodl, že toto nařízení za určitých podmínek opravňuje dozorový úřad členského státu k výkonu jeho pravomoci upozornit na údajné porušení GDPR soud tohoto členského státu a zahájit soudní řízení v souvislosti s přeshraničním zpracováním údajů³, i když není pro toto zpracování vedoucím úřadem.

 

Závěry Soudního dvora EU

Soudní dvůr zaprvé upřesnil podmínky, za kterých musí vnitrostátní dozorový úřad, který nemá postavení vedoucího úřadu, pokud jde o přeshraniční zpracování, vykonávat pravomoc upozornit na údajné porušení GDPR soud členského státu, a pokud je to vhodné, zahájit soudní řízení za účelem zajistit dodržení tohoto nařízení. GDPR tak musí tomuto dozorovému úřadu přiznávat pravomoc přijmout rozhodnutí konstatující, že toto zpracování porušuje pravidla stanovená tímto nařízením, a tato pravomoc musí být použita v souladu s postupy spolupráce a jednotnosti stanovenými tímto nařízením⁴.

Pro přeshraniční zpracování totiž GDPR stanoví mechanismus „jediného kontaktního místa“⁵, který je založen na rozdělení pravomocí mezi „vedoucí dozorový úřad“ a ostatní dotčené vnitrostátní dozorové úřady. Tento mechanismus vyžaduje úzkou, loajální a účinnou spolupráci mezi těmito úřady s cílem zajistit soudržné a jednotné uplatňování pravidel ochrany osobních údajů, a zachovat tak jeho užitečný účinek. GDPR za tímto účelem stanoví, že k přijetí rozhodnutí konstatujícího, že přeshraniční zpracování porušuje pravidla stanovená tímto nařízením, je v zásadě příslušný vedoucí dozorový úřad⁶, zatímco příslušnost ostatních dozorových úřadů k přijetí takového rozhodnutí, a to i prozatímně, představuje výjimku⁷. Vedoucí dozorový úřad se však při výkonu svých pravomocí nemůže vyhnout nezbytnému dialogu, jakož i loajální a účinné spolupráci s ostatními dotčenými dozorovými úřady. V rámci této spolupráce tedy vedoucí dozorový úřad nemůže opomíjet názory ostatních dotčených dozorových úřadů a jakákoli relevantní a odůvodněná námitka vyjádřená některým z těchto úřadů má za následek zablokování, přinejmenším dočasné, přijetí návrhu rozhodnutí vedoucího dozorového úřadu.

Soudní dvůr kromě toho upřesnil, že okolnost, že dozorový úřad členského státu, který není vedoucím dozorovým úřadem, pokud jde o přeshraniční zpracování údajů, může vykonávat pravomoc upozornit na údajné porušení GDPR soud tohoto členského státu a zahájit soudní řízení pouze při dodržení pravidel pro rozdělení příslušnosti k rozhodování mezi vedoucí dozorový úřad a ostatní dotčené dozorové úřady⁸, je v souladu s články 7, 8 a 47 Listiny základních práv Evropské unie, které zaručují dotčené osobě právo na ochranu jejích osobních údajů a právo na účinnou právní ochranu.

Zadruhé Soudní dvůr rozhodl, že v případě přeshraničního zpracování údajů nevyžaduje výkon pravomoci jiného dozorového úřadu členského státu, než je vedoucí dozorový úřad, zahájit soudní řízení⁹, aby správce nebo zpracovatel provádějící přeshraniční zpracování osobních údajů, kterého se toto řízení týká, měl na území tohoto členského státu hlavní provozovnu nebo jinou provozovnu. Výkon této pravomoci však musí spadat do místní působnosti GDPR¹⁰, což předpokládá, že správce nebo zpracovatel pro přeshraniční zpracování má provozovnu na území Unie.

Zatřetí Soudní dvůr rozhodl, že v případě přeshraničního zpracování údajů může být pravomoc jiného dozorového úřadu členského státu, než je vedoucí dozorový úřad, upozornit na údajné porušení GDPR soud tohoto státu, a pokud je to vhodné, zahájit soudní řízení, vykonávána ve vztahu jak k hlavní provozovně správce, která se nachází v členském státě tohoto úřadu, tak k jiné provozovně tohoto správce, pokud se žaloba týká zpracování údajů prováděného v souvislosti s činnostmi této provozovny a uvedený úřad je příslušný k výkonu této pravomoci.

Soudní dvůr však upřesňuje, že výkon této pravomoci předpokládá, že GDPR je použitelné. Vzhledem k tomu, že v projednávaném případě jsou činnosti provozovny skupiny Facebook nacházející se v Belgii neoddělitelně spojeny se zpracováním osobních údajů dotčeným v původním řízení, u něhož je pro území Unie správcem společnost Facebook Ireland, je takové zpracování prováděno „v souvislosti s činnostmi provozovny správce“, a spadá tedy do působnosti GDPR.

Začtvrté Soudní dvůr rozhodl, že pokud dozorový úřad členského státu, který není „vedoucím dozorovým úřadem“ podal žalobu týkající se přeshraničního zpracování osobních údajů před vstupem GDPR v platnost, může podle unijního práva řízení pokračovat na základě ustanovení směrnice o ochraně údajů¹¹, která zůstává použitelná na porušení pravidel, která stanoví, k nimž došlo do dne jejího zrušení. Uvedené řízení může nadto tento úřad zahájit v případě porušení, k nimž došlo po dni vstupu GDPR v platnost, za předpokladu, že jde o některou ze situací, kdy toto nařízení výjimečně přiznává tomuto úřadu příslušnost k přijetí rozhodnutí, kterým se konstatuje, že předmětné zpracování údajů je v rozporu s pravidly stanovenými tímto nařízením, a při dodržení postupů spolupráce, které toto nařízení stanoví.

Zapáté Soudní dvůr uznal přímý účinek ustanovení GDPR, podle kterého každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení. Takový úřad se tedy může dovolávat tohoto ustanovení, aby zahájil soudní řízení proti jednotlivcům nebo v tomto řízení pokračoval, a to i pokud toto ustanovení nebylo v právních předpisech dotyčného členského státu specificky provedeno.

Úplné znění rozsudku je zveřejněno na internetové stránce curia.europa.eu v den vyhlášení.

 

Zdroj: Soudní dvůr EU
Foto: canva.com

 

 

---

¹ Například tlačítka „To se mi líbí“ nebo „Sdílet“.

² Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, str. 1, dále jen „GDPR“). Článek 56 odst. 1 GDPR stanoví: „Aniž je dotčen článek 55, je dozorový úřad pro hlavní nebo jedinou provozovnu správce či zpracovatele příslušný k tomu, aby jednal jako vedoucí dozorový úřad v případě přeshraničního zpracování prováděného tímto správcem či zpracovatelem v souladu s postupem stanoveným v článku 60.“

³ Ve smyslu čl. 4 bodu 23 GDPR.

⁴ Stanovenými v článcích 56 a 60 GDPR.

⁵ Článek 56 odst. 1 GDPR.

⁶ Článek 60 odst. 7 GDPR.

⁷ Článek 56 odst. 2 a článek 66 GDPR zakotvují výjimky ze zásady, že k rozhodování je příslušný vedoucí dozorový úřad.

⁸ Stanovených v článcích 55 a 56 ve spojení s článkem 60 GDPR.

⁹ Na základě čl. 58 odst. 5 GDPR.

¹⁰ Článek 3 odst. 1 GDPR stanoví, že toto nařízení se vztahuje na zpracování osobních údajů „v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni“.