ΔΕΕ: Προϋποθέσεις ασκήσεως των εξουσιών των εθνικών εποπτικών αρχών για τη διασυνοριακή επεξεργασία δεδομένων (GDPR)

June 15, 2021: Διεθνή Νομικά Νέα


ethemis

ΔΕΕ: Προϋποθέσεις ασκήσεως των εξουσιών των εθνικών εποπτικών αρχών για τη διασυνοριακή επεξεργασία δεδομένων (GDPR)

Γενικός κανονισμός για την προστασία των δεδομένων (ΓΚΠΔ): Το Δικαστήριο διευκρινίζει τις προϋποθέσεις ασκήσεως των εξουσιών των εθνικών εποπτικών αρχών για τη διασυνοριακή επεξεργασία δεδομένων

Υπό ορισμένες προϋποθέσεις, εθνική εποπτική αρχή μπορεί να ασκήσει την εξουσία της να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του ΓΚΠΔ ενώπιον δικαστηρίου κράτους μέλους, έστω και αν η ίδια δεν είναι η επικεφαλής αρχή για την επεξεργασία αυτή

Στις 11 Σεπτεμβρίου 2015, ο πρόεδρος της Βελγικής Επιτροπής για την προστασία της ιδιωτικής ζωής (στο εξής: ΕΠΙΖ) άσκησε κατά της Facebook Ireland, της Facebook Inc. και της Facebook Belgium ενώπιον του Nederlandstalige rechtbank van eerste aanleg Brussel (ολλανδόφωνου πρωτοδικείου Βρυξελλών, Βέλγιο) αγωγή παραλείψεως με αίτημα να παύσει η Facebook τις προβαλλόμενες παραβάσεις της νομοθεσίας περί προστασίας των δεδομένων. Οι παραβάσεις αυτές συνίσταντο, μεταξύ άλλων, στη συλλογή και τη χρήση πληροφοριών σχετικά με τη συμπεριφορά πλοηγήσεως των Βέλγων χρηστών του διαδικτύου, κατόχων ή μη λογαριασμού στη Facebook, μέσω διαφόρων τεχνολογιών, όπως είναι τα «cookies», τα «social plugins» ή τα «pixels».

Στις 16 Φεβρουαρίου 2018, το ως άνω δικαστήριο έκρινε εαυτό αρμόδιο να αποφανθεί επί της αγωγής και, επί της ουσίας, έκρινε ότι το μέσο κοινωνικής δικτυώσεως Facebook δεν είχε ενημερώσει επαρκώς τους Βέλγους χρήστες του διαδικτύου για τη συλλογή και τη χρήση των σχετικών πληροφοριών. Εξάλλου, η συγκατάθεση την οποία έδιδαν οι χρήστες του διαδικτύου για τη συλλογή και την επεξεργασία των εν λόγω πληροφοριών κρίθηκε ως μη έγκυρη.

Στις 2 Μαρτίου 2018, η Facebook Ireland, η Facebook Inc. και η Facebook Belgium άσκησαν έφεση κατά της αποφάσεως αυτής ενώπιον του Hof van beroep te Brussel (εφετείου Βρυξελλών, Βέλγιο), ήτοι του αιτούντος δικαστηρίου στην παρούσα υπόθεση. Ενώπιον του δικαστηρίου αυτού, η βελγική Αρχή προστασίας δεδομένων (στο εξής: AΠΔ) ενήργησε ως κατά νόμον διάδοχος του προέδρου της ΕΠΙΖ.

Το αιτούν δικαστήριο έκρινε ότι είναι αρμόδιο να αποφανθεί αποκλειστικώς επί της εφέσεως που άσκησε η Facebook Belgium. Το αιτούν δικαστήριο έχει αμφιβολίες ως προς τις συνέπειες της εφαρμογής του μηχανισμού «μίας στάσεως» που προβλέπει ο ΓΚΠΔ  στις αρμοδιότητες της AΠΔ και διερωτάται ειδικότερα αν, για πραγματικά περιστατικά μεταγενέστερα της θέσεως σε ισχύ του ΓΚΠΔ, ήτοι στις 25 Μαΐου 2018, η AΠΔ μπορεί να στραφεί κατά της Facebook Belgium, δεδομένου ότι η Facebook Ireland είναι αυτή που κρίθηκε υπεύθυνη για την επεξεργασία των οικείων δεδομένων. Συγκεκριμένα, από την ημερομηνία αυτή και ιδίως κατ’ εφαρμογήν της αρχής της «μίας στάσεως» που προβλέπει ο ΓΚΠΔ, μόνον ο Ιρλανδός Επίτροπος προστασίας δεδομένων είναι αρμόδιος να ασκήσει αγωγή παραλείψεως, υπό τον έλεγχο των ιρλανδικών δικαστηρίων.

Με την απόφασή του, η οποία εκδόθηκε από το τμήμα μείζονος συνθέσεως, το Δικαστήριο διευκρινίζει τις εξουσίες των εθνικών εποπτικών αρχών στο πλαίσιο του ΓΚΠΔ. Κρίνει, μεταξύ άλλων, ότι ο κανονισμός αυτός επιτρέπει, υπό ορισμένες προϋποθέσεις, σε εποπτική αρχή κράτους μέλους να ασκήσει την εξουσία της να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του ΓΚΠΔ στις δικαστικές αρχές του κράτους αυτού και να κινεί ένδικες διαδικασίες όσον αφορά διασυνοριακή επεξεργασία δεδομένων  , μολονότι δεν είναι η επικεφαλής αρχή όσον αφορά την εν λόγω επεξεργασία δεδομένων.

Εκτίμηση του Δικαστηρίου 

Πρώτον, το Δικαστήριο διευκρινίζει τις προϋποθέσεις υπό τις οποίες μια εθνική εποπτική αρχή, μη έχουσα την ιδιότητα της επικεφαλής αρχής όσον αφορά τη διασυνοριακή επεξεργασία, πρέπει να ασκεί την εξουσία της να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του ΓΚΠΔ στις δικαστικές αρχές κράτους μέλους και να κινεί, κατά περίπτωση, ένδικες διαδικασίες προκειμένου να διασφαλίσει την εφαρμογή του εν λόγω κανονισμού. Επομένως, αφενός, ο ΓΚΠΔ πρέπει να απονέμει στην συγκεκριμένη εποπτική αρχή αρμοδιότητα προς έκδοση αποφάσεως διαπιστώνουσας ότι η εν λόγω επεξεργασία αντιβαίνει στους προβλεπόμενους σε αυτόν κανόνες και, αφετέρου, η εξουσία αυτή πρέπει να ασκείται τηρουμένων των διαδικασιών συνεργασίας και εφαρμοζομένου του μηχανισμού συνεκτικότητας που προβλέπει ο ΓΚΠΔ .

Πράγματι, για τη διασυνοριακή επεξεργασία, ο ΓΚΠΔ προβλέπει τον μηχανισμό «μίας στάσεως»  , ο οποίος βασίζεται στην κατανομή των αρμοδιοτήτων μεταξύ μιας «επικεφαλής εποπτικής αρχής» και των λοιπών ενδιαφερόμενων εθνικών εποπτικών αρχών. Ο μηχανισμός αυτός απαιτεί στενή, καλόπιστη και αποτελεσματική συνεργασία μεταξύ των αρχών αυτών, προκειμένου να διασφαλίζεται η συνεκτική και ομοιόμορφη εφαρμογή των κανόνων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και να διαφυλάσσεται τοιουτοτρόπως η πρακτική αποτελεσματικότητά του. Ο ΓΚΠΔ κατοχυρώνει συναφώς την κατ’ αρχήν αρμοδιότητα της επικεφαλής εποπτικής αρχής προς έκδοση αποφάσεως διαπιστώνουσας ότι ορισμένη διασυνοριακή επεξεργασία αντιβαίνει στους κανόνες του εν λόγω κανονισμού, ενώ η αρμοδιότητα των άλλων εθνικών εποπτικών αρχών προς έκδοση παρόμοιας αποφάσεως, έστω και προσωρινώς, αποτελεί την εξαίρεση. Εντούτοις, κατά την άσκηση των αρμοδιοτήτων της, η επικεφαλής εποπτική αρχή δεν μπορεί να μην προβεί στον αναγκαίο διάλογο καθώς και σε καλόπιστη και αποτελεσματική συνεργασία με τις άλλες ενδιαφερόμενες εποπτικές αρχές. Ως εκ τούτου, στο πλαίσιο της συνεργασίας αυτής, η επικεφαλής εποπτική αρχή δεν μπορεί να αγνοήσει τις απόψεις των λοιπών ενδιαφερόμενων αρχών ελέγχου, ενώ κάθε σχετική και αιτιολογημένη ένσταση που διατυπώνει οποιαδήποτε από τις αρχές αυτές έχει ως αποτέλεσμα να εμποδίζει, τουλάχιστον προσωρινώς, την έγκριση του σχεδίου αποφάσεως της επικεφαλής εποπτικής αρχής.

Το Δικαστήριο διευκρινίζει, εξάλλου, ότι το να μπορεί μια εποπτική αρχή κράτους μέλους η οποία δεν είναι επικεφαλής εποπτική αρχή όσον αφορά τη διασυνοριακή επεξεργασία δεδομένων να ασκήσει την εξουσία γνωστοποιήσεως οποιασδήποτε προβαλλόμενης παραβάσεως του ΓΚΠΔ στις δικαστικές αρχές του κράτους αυτού και να κινεί νομικές διαδικασίες μόνον εντός των ορίων των κανόνων κατανομής των αρμοδιοτήτων λήψεως αποφάσεων μεταξύ της επικεφαλής εποπτικής αρχής και των λοιπών εποπτικών αρχών είναι σύμφωνο προς τα άρθρα 7, 8 και 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, που διασφαλίζουν στο οικείο πρόσωπο, αντιστοίχως, την προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και το δικαίωμα πραγματικής προσφυγής.

Δεύτερον, το Δικαστήριο κρίνει ότι, σε περίπτωση διασυνοριακής επεξεργασίας δεδομένων, η άσκηση της εξουσίας εποπτικής αρχής κράτους μέλους, πλην της επικεφαλής εποπτικής αρχής, να κινήσει ένδικη διαδικασία δεν απαιτεί να διαθέτει ο υπεύθυνος επεξεργασίας ή ο εκτελών τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα την οποία αφορά η ένδικη αυτή διαδικασία κύρια εγκατάσταση ή άλλη εγκατάσταση στο έδαφος του εν λόγω κράτους μέλους. Εντούτοις, η άσκηση της εξουσίας αυτής πρέπει να εμπίπτει στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ 10, όπερ προϋποθέτει ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών τη διασυνοριακή επεξεργασία διαθέτει εγκατάσταση στο έδαφος της Ένωσης.

Τρίτον, το Δικαστήριο αποφαίνεται ότι, σε περίπτωση διασυνοριακής επεξεργασίας δεδομένων, η εξουσία εποπτικής αρχής κράτους μέλους, πλην της επικεφαλής αρχής ελέγχου, να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του ΓΚΠΔ στις δικαστικές αρχές του κράτους αυτού και να κινεί, κατά περίπτωση, ένδικες διαδικασίες μπορεί να ασκηθεί τόσο κατά της κύριας εγκαταστάσεως του υπευθύνου επεξεργασίας ο οποίος ευρίσκεται στο κράτος μέλος στο οποίο υπάγεται η εν λόγω αρχή όσο και κατά άλλης εγκαταστάσεως του εν λόγω υπευθύνου, εφόσον η ένδικη διαδικασία αφορά επεξεργασία δεδομένων η οποία πραγματοποιείται στο πλαίσιο των δραστηριοτήτων της εγκαταστάσεως αυτής και εφόσον η εν λόγω αρχή έχει αρμοδιότητα ασκήσεως της ως άνω εξουσίας.

Εντούτοις, το Δικαστήριο διευκρινίζει ότι η άσκηση της εξουσίας αυτής προϋποθέτει ότι ο ΓΚΠΔ έχει εφαρμογή. Εν προκειμένω, δεδομένου ότι οι δραστηριότητες της εγκαταστάσεως του ομίλου Facebook στο Βέλγιο συνδέονται άρρηκτα με την επίμαχη στην κύρια δίκη επεξεργασία δεδομένων προσωπικού χαρακτήρα, για την οποία υπεύθυνη είναι η Facebook Ireland όσον αφορά το έδαφος της Ένωσης, η επεξεργασία αυτή πραγματοποιείται «στο πλαίσιο των δραστηριοτήτων εγκατάστασης του υπευθύνου της επεξεργασίας» και, ως εκ τούτου, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.

Τέταρτον, το Δικαστήριο κρίνει ότι, όταν μια εποπτική αρχή κράτους μέλους που δεν είναι η «επικεφαλής εποπτική αρχή» έχει ασκήσει, πριν από την ημερομηνία ενάρξεως ισχύος του ΓΚΠΔ, αγωγή με αντικείμενο τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα, μπορεί να διατηρηθεί η εκκρεμοδικία της εν λόγω αγωγής, από απόψεως δικαίου της Ένωσης, βάσει των διατάξεων της οδηγίας για την προστασία των δεδομένων, η οποία εξακολουθεί να εφαρμόζεται όσον αφορά τις παραβάσεις των κανόνων τους οποίους αυτή προβλέπει οι οποίες διαπράχθηκαν έως την ημερομηνία καταργήσεώς της. Επιπλέον, η εν λόγω αρχή μπορεί να ασκήσει αγωγή για παραβάσεις οι οποίες διαπράχθηκαν μετά την ημερομηνία ενάρξεως ισχύος του ΓΚΠΔ, εφόσον πρόκειται για περίπτωση κατά την οποία, κατ’ εξαίρεση, ο ΓΚΠΔ παρέχει στην ίδια αυτή αρχή αρμοδιότητα προς έκδοση αποφάσεως διαπιστώνουσας ότι η οικεία επεξεργασία δεδομένων αντιβαίνει στους προβλεπόμενους στον εν λόγω κανονισμό κανόνες και εφόσον τηρούνται οι διαδικασίες συνεργασίας που αυτός προβλέπει.

Πέμπτον, το Δικαστήριο αναγνωρίζει το άμεσο αποτέλεσμα της διατάξεως του ΓΚΠΔ δυνάμει της οποίας κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική αρχή του έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές οποιαδήποτε παράβαση του κανονισμού αυτού και, κατά περίπτωση, να κινεί νομικές διαδικασίες. Κατά συνέπεια, μια τέτοια αρχή μπορεί να επικαλεσθεί την ως άνω διάταξη προκειμένου να κινήσει ή να συνεχίσει ένδικη διαδικασία κατά ιδιωτών, ακόμη και αν η εν λόγω διάταξη δεν έχει τεθεί ειδικώς σε εφαρμογή στη νομοθεσία του οικείου κράτους μέλους.

Δικαστήριο της Ευρωπαϊκής Ένωσης



Source/ Author:Απόφαση στην υπόθεση C-645/19 Facebook Ireland | Download PDF
LATEST POSTS



ethemis map

Προκηρύξεις/ Αγγελίες

Προκηρύξεις, Διαγωνισμοί και Αγγελίες για δικηγόρους, ασκούμενους & νομικούς.

View more
newsroom

ΝewsRoom/      ΡΟΗ ΕΙΔΗΣΕΩΝ

Τρέχουσα Νομική Επικαιρότητα

View more
ethemis case law

Noμολογία

Σημαντικές δικαστικές αποφάσεις, ιδίως των ανωτάτων δικαστηρίων της χώρας

View more
ethemis case law

Noμοθεσία

Οι νόμοι που έχουν δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως

View more
ethemis legal studies

Εκπαιδευτικά           Προγράμματα

Για νομικούς & δικηγόρους από εκπαιδευτικούς φορείς στην Ελλάδα και το εξωτερικό.

View more
ethemis.gr

EΚΔΗΛΩΣΕΙΣ            ΦΟΡΕΩΝ

Εκδηλώσεις Nομικού Eνδιαφέροντος από ποικίλους θεσμικούς Φορείς

View more
ethemis international news

Διεθνή                      Νέα

Διεθνή Νομικά Νέα και Αρθρογραφία, Νομολογία ΕΔΔΑ και αποφάσεις Διεθνών Δικαστηρίων

View more
ethemis map

Δελτία            Τύπου

Ανακοινώσεις ΔΣΑ, δικαστικών ενώσεων, ανεξάρτητων αρχών, θεσμικών φορέων.

View more
ethemis

Συντακτική            Ομάδα

Η Επιστημονική Ομάδα του Ethemis.gr

View more
ethemis.gr

ΣΥΝΕΔΡΙΑ             ΕΚΔΗΛΩΣΕΙΣ             e-ΘΕΜΙΣ

Ο Κατάλογος Συνεδρίων και Εκδηλώσεων που έχει διοργανώσει η Ένωση Ελλήνων Νομικών

View more

newsroom