Curtea de Justiție a Uniunii Europene (CJUE) a precizat, într-o cauză în care Facebook a fost acuzat de încălcarea protecției datelor, care sunt condițiile de exercitare a competențelor autorităților naționale de supraveghere pentru prelucrarea transfrontalieră a datelor. Potrivit CJUE, în anumite condiții, o autoritate națională de supraveghere își poate exercita competența de a aduce orice pretins caz de încălcare a Regulamentului General de Protecție a Datelor (RGPD) în fața unei instanțe a unui stat membru, chiar dacă nu este autoritatea principală pentru această prelucrare.
Cazul în care s-a pronunțat CJUE a pornit în septembrie 2015, când președintele Comisiei belgiene pentru protecția vieții private a sesizat o instanță belgiană în legătură cu pretinse încălcări, de către Facebook Ireland, Facebook Inc. și Facebook Belgium, ale legislației referitoare la protecția datelor.
”Aceste încălcări constau în special în colectarea și în utilizarea de informații privind comportamentul de navigare al utilizatorilor de internet belgieni, deținători sau nedeținători ai unui cont de Facebook, prin intermediul diferitor tehnologii, cum ar fi cookies, extensii pentru social media sau pixelii”, se arată în documentele CJUE.
După aproape 3 ani, instanța belgiană a statuat că rețeaua socială Facebook nu informase suficient utilizatorii de internet belgieni cu privire la colectarea și la utilizarea informațiilor în cauză. Pe de altă parte, consimțământul dat de utilizatorii de internet pentru colectarea și prelucrarea informațiilor menționate a fost considerat nevalabil.
Facebook Ireland, Facebook Inc. și Facebook Belgium au declarat apel împotriva acestei hotărâri la Curtea de Apel din Bruxelles, care s-a declarat competentă să se pronunțe doar cu privire la apelul formulat de Facebook Belgium.
”Instanța de trimitere a exprimat îndoieli cu privire la incidența aplicării mecanismului „ghișeului unic” prevăzut de RGPD asupra competențelor Autorității belgiene de Protecție a Datelor – APD și a ridicat, mai precis, problema dacă, pentru faptele ulterioare intrării în vigoare a RGPD, și anume 25 mai 2018, APD poate acționa împotriva Facebook Belgium, din moment ce Facebook Ireland a fost identificat drept operator al datelor în cauză. Astfel, de la această dată și în special în temeiul principiului „ghișeului unic” prevăzut de RGPD, numai Comisarul irlandez pentru protecția datelor ar fi competent să introducă o acțiune în încetare, sub controlul instanțelor irlandeze”, a transmis CJUE, într-un comunicat de presă.
Aprecierea Curții de Justiție a Uniunii Europene
În primul rând, Curtea precizează condițiile în care o autoritate națională de supraveghere, care nu are calitatea de autoritate principală în ceea ce privește o prelucrare transfrontalieră, trebuie să își exercite competența de a aduce orice pretins caz de încălcare a RGPD în fața unei instanțe a unui stat membru și, după caz, de a iniția proceduri judiciare pentru a asigura aplicarea acestui regulament. Astfel, pe de o parte, RGPD trebuie să confere acestei autorități de supraveghere competența de a adopta o decizie prin care se constată că prelucrarea menționată încalcă normele prevăzute de acesta și, pe de altă parte, această competență trebuie exercitată cu respectarea procedurilor de cooperare și de asigurare a coerenței prevăzute de acest regulament.
Prin urmare, pentru prelucrările transfrontaliere, RGPD prevede mecanismul „ghișeului unic”, care se întemeiază pe o repartizare a competențelor între o „autoritate de supraveghere principală” și celelalte autorități naționale de supraveghere în cauză. Acest mecanism impune o cooperare strânsă, loială și eficientă între aceste autorități, pentru a asigura o protecție coerentă și omogenă a normelor privind protecția datelor cu caracter personal și pentru a menține astfel efectul său util. RGPD consacră în această privință competența de principiu a autorității de supraveghere principale de a adopta o decizie prin care se constată că o prelucrare transfrontalieră încalcă normele prevăzute de acest regulament6, în timp ce competența celorlalte autorități naționale de supraveghere de a adopta o asemenea decizie, fie și cu titlu provizoriu, constituie excepția.
Cu toate acestea, în exercitarea competențelor sale, autoritatea de supraveghere principală nu poate renunța la un dialog indispensabil, precum și la o cooperare loială și eficientă cu celelalte autorități de supraveghere vizate. Prin urmare, în cadrul acestei cooperări, autoritatea de supraveghere principală nu poate ignora punctele de vedere ale celorlalte autorități de supraveghere vizate, iar orice obiecție relevantă și motivată formulată de una dintre aceste din urmă autorități are ca efect blocarea, cel puțin temporar, a adoptării proiectului de decizie al autorității de supraveghere principale.
Pe de altă parte, Curtea precizează că împrejurarea că o autoritate de supraveghere a unui stat membru care nu este autoritatea de supraveghere principală în ceea ce privește o prelucrare transfrontalieră de date nu își poate exercita competența de a aduce orice pretins caz de încălcare a RGPD în fața unei instanțe a acestui stat și de a iniția proceduri judiciare decât cu respectarea normelor de repartizare a competențelor decizionale între autoritatea de supraveghere principală și celelalte autorități de supraveghere este conformă cu articolele 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene, care garantează persoanei vizate dreptul la protecția datelor sale cu caracter personal și dreptul la o cale de atac efectivă.
În al doilea rând, Curtea statuează că, în cazul prelucrării transfrontaliere de date, exercitarea competenței de către o autoritate de supraveghere a unui stat membru, alta decât autoritatea de supraveghere principală, de a iniția o procedură judiciară nu impune ca operatorul sau persoana împuternicită de operator în ceea ce privește prelucrarea transfrontalieră de date cu caracter personal vizată de această procedură să dispună de un sediu principal sau de un alt sediu pe teritoriul acestui stat membru.
Cu toate acestea, exercitarea acestei competențe trebuie să intre în domeniul de aplicare teritorial al RGPD, ceea ce presupune că operatorul sau persoana împuternicită de operator pentru prelucrarea transfrontalieră dispune de un sediu pe teritoriul Uniunii.
În al treilea rând, Curtea declară că, în cazul prelucrării de date transfrontaliere, competența unei autorități de supraveghere a unui stat membru, alta decât autoritatea de supraveghere principală, de a aduce în fața unei instanțe din acest stat orice pretins caz de încălcare a RGPD și, după caz, de a iniția proceduri judiciare poate fi exercitată atât în ceea ce privește sediul principal al operatorului care se află în statul membru de care aparține această autoritate, cât și în ceea ce privește un alt sediu al acestui operator, cu condiția ca acțiunea în justiție să vizeze o prelucrare a datelor efectuată în cadrul activităților acestui sediu și ca autoritatea menționată să fie competentă să exercite această competență.
Cu toate acestea, Curtea precizează că exercitarea acestei competențe presupune ca RGPD să fie aplicabilă. În speță, întrucât activitățile sediului grupului Facebook situat în Belgia sunt indisociabil legate de prelucrarea datelor cu caracter personal în discuție în litigiul principal, iar Facebook Ireland este operatorul acestuia în ceea ce privește teritoriul Uniunii, această prelucrare este efectuată „în cadrul activităților unui sediu al operatorului” și, prin urmare, intră în domeniul de aplicare al RGPD.
În al patrulea rând, Curtea statuează că, atunci când o autoritate de supraveghere a unui stat membru care nu este „autoritatea de supraveghere principală” a introdus, înainte de data intrării în vigoare a RGPD, o acțiune în justiție având ca obiect o prelucrare transfrontalieră de date cu caracter personal, această acțiune poate fi menținută, potrivit dreptului Uniunii, în temeiul dispozițiilor Directivei privind protecția datelor, care rămâne aplicabilă în ceea ce privește încălcările normelor pe care le prevede până la data la care această directivă a fost abrogată.
În plus, acțiunea menționată poate fi introdusă de această autoritate pentru încălcări săvârșite după data intrării în vigoare a RGPD, cu condiția ca aceasta să intre sub incidența uneia dintre situațiile în care, cu titlu de excepție, acest regulament conferă aceleiași autorități o competență de a adopta o decizie prin care să se constate că prelucrarea datelor în cauză încalcă normele prevăzute de acest regulament și cu respectarea procedurilor de cooperare pe care acesta din urmă le prevede.
În al cincilea rând, Curtea recunoaște efectul direct al dispoziției din RGPD în temeiul căreia fiecare stat membru prevede, prin lege, că autoritatea sa de supraveghere are competența de a aduce orice caz de încălcare în fața autorităților judiciare și, după caz, să inițieze proceduri judiciare. În consecință, o astfel de autoritate poate invoca această dispoziție pentru a intenta sau a relua o acțiune împotriva unor particulari chiar dacă această dispoziție nu a fost pusă în aplicare în mod specific în legislația statului membru în cauză.
DOCUMENT – Comunicat referitor la hotărârea în cauza C-645/19, Facebook Ireland și alții:
