Dňa 11. septembra 2015 podal predseda belgickej Komisie na ochranu súkromia (ďalej len „CBPL“) na Nederlandstalige rechtbank van eerste aanleg Brussel (Holandskojazyčný súd prvého stupňa v Bruseli, Belgicko) návrh na zdržanie sa konania proti spoločnostiam Facebook Ireland, Facebook Inc. a Facebook Belgium, ktorým sa domáhal skončenia údajného porušovania právnych predpisov o ochrane údajov zo strany spoločnosti Facebook. Tieto porušenia spočívali najmä v získavaní a používaní informácií o správaní belgických používateľov internetu, ktorí mali účet na Facebooku, ako aj tých, ktorý taký účet nemali, pri surfovaní, a to rôznymi technológiami, ako sú súbory cookies, moduly sociálnych sietí1 alebo technológiou pixels.

Dňa 16. februára 2018 tento súd vyhlásil, že má právomoc rozhodovať o tejto žalobe, a pokiaľ ide o meritum veci, rozhodol, že sociálna sieť Facebook dostatočne neinformovala belgických používateľov internetu o zbieraní dotknutých informácií a ich použití. Okrem toho rozhodol, že súhlas daný používateľmi internetu so zbieraním a spracúvaním týchto informácií bol neplatný.

Dňa 2. marca 2018 Facebook Ireland, Facebook Inc. a Facebook Belgium podali proti tomuto rozsudku odvolanie na Hof van beroep te Brussel (Odvolací súd Brusel, Belgicko), t. j. vnútroštátny súd v prejednávanej veci. Pred týmto súdom Úrad na ochranu osobných údajov (Belgicko) (ďalej len „GBA“) koná ako právny nástupca predsedu CBPL. Vnútroštátny súd rozhodol, že má právomoc rozhodovať o odvolaní podanom len spoločnosťou Facebook Belgium.

Vnútroštátny súd mal pochybnosti o vplyve uplatnenia mechanizmu „jednotného kontaktného miesta“ stanoveného v GDPR2 na právomoci GBA a presnejšie sa pýtal na to, či v súvislosti so skutkovými okolnosťami po nadobudnutí účinnosti GDPR, t. j. po 25. máji 2018, môže GBA podať žalobu proti spoločnosti Facebook Belgium, vzhľadom na to, že ako prevádzkovateľ spracúvania dotknutých údajov bola identifikovaná Facebook Ireland. Od tohto dátumu a najmä na základe zásady „jednotného kontaktného miesta“ stanovenej v GDPR právomoc podať žalobu o zdržanie sa konania totiž má len írsky komisár pre ochranu údajov pod dohľadom írskych súdov.

Súdny dvor vo svojom rozsudku vyhlásenom veľkou komorou spresnil právomoci vnútroštátnych dozorných orgánov v rámci GDPR. Rozhodol najmä, že toto nariadenie oprávňuje za určitých podmienok dozorný orgán členského štátu vykonávať svoju právomoc, ktorou je upozorniť súd tohto členského štátu na akékoľvek údajné porušenie GDPR a začať súdne konanie v súvislosti s cezhraničným spracúvaním údajov3, hoci nie je vedúcim dozorným orgánom pre toto spracúvanie.

Posúdenie Súdnym dvorom

Po prvé Súdny dvor spresnil podmienky, za akých vnútroštátny dozorný orgán, ktorý nemá postavenie vedúceho orgánu, pokiaľ ide o cezhraničné spracúvanie, musí vykonávať svoju právomoc, ktorou je upozorniť súd členského štátu na akékoľvek údajné porušenie GDPR a prípadne začať súdne konanie na účely zabezpečenia uplatňovania tohto nariadenia. Podľa GDPR sa teda tomuto dozornému orgánu jednak musí priznávať právomoc na prijatie rozhodnutia konštatujúceho, že uvedené spracúvanie porušuje pravidlá, ktoré sú v ňom uvedené, a jednak pri výkone tejto právomoci musia byť dodržané postupy spolupráce a konzistentnosti stanovené v tomto nariadení.4

V prípade cezhraničného spracúvania totiž GDPR stanovuje mechanizmus „jednotného kontaktného miesta“5 založený na rozdelení právomocí medzi „vedúcim dozorným orgánom“ a inými dotknutými dozornými orgánmi. Tento mechanizmus vyžaduje úzku, lojálnu a účinnú spoluprácu medzi týmito orgánmi s cieľom zabezpečiť konzistentnú a jednotnú ochranu pravidiel týkajúcich sa ochrany osobných údajov a zachovať tak jej potrebný účinok. GDPR v tejto súvislosti zakotvuje zásadnú právomoc vedúceho dozorného orgánu prijať rozhodnutie konštatujúce, že cezhraničné zaobchádzanie porušuje pravidlá stanovené týmto nariadením6, zatiaľ čo právomoc ostatných vnútroštátnych dozorných orgánov prijať takéto rozhodnutie, hoci aj predbežné, predstavuje výnimku.7 Vedúci dozorný orgán však nemôže pri výkone svojich právomocí upustiť od nevyhnutného dialógu, ako ani od lojálnej a účinnej spolupráce s ostatnými dotknutými dozornými orgánmi. Z tohto dôvodu vedúci dozorný orgán nemôže ignorovať názory ostatných dotknutých dozorných orgánov a každá relevantná a odôvodnená námietka niektorého z týchto orgánov má za následok aspoň dočasné zablokovanie prijatia návrhu rozhodnutia vedúceho dozorného orgánu.

Súdny dvor okrem toho spresnil, že okolnosť, že dozorný orgán členského štátu, ktorý nie je vedúcim dozorným orgánom s ohľadom na cezhraničné spracúvanie údajov, môže vykonávať právomoc upozorniť súd tohto členského štátu na akékoľvek údajné porušenie GDPR a začať súdne konanie v súvislosti s cezhraničným spracúvaním údajov len v súlade s pravidlami rozdelenia rozhodovacích právomocí medzi vedúcim dozorným orgánom a inými dozornými orgánmi,8 je v súlade s článkami 7, 8 a 47 Charty základných práv Európskej únie, ktoré zaručujú dotknutej osobe právo na ochranu jej osobných údajov, resp. právo na účinný prostriedok nápravy.

Po druhé Súdny dvor rozhodol, že v prípade cezhraničného spracúvania údajov výkon právomoci dozorného orgánu iného členského štátu než vedúceho dozorného orgánu podať žalobu na súde9 nevyžaduje, aby prevádzkovateľ alebo sprostredkovateľ cezhraničného spracúvania osobných údajov, proti ktorému bola táto žaloba podaná, mal hlavnú prevádzkareň alebo inú prevádzkareň na území tohto členského štátu. Výkon tejto právomoci však musí spadať do územnej pôsobnosti GDPR10, čo predpokladá, že prevádzkovateľ alebo sprostredkovateľ cezhraničného spracúvania má prevádzkareň na území Únie.

Po tretie Súdny dvor rozhodol, že v prípade cezhraničného spracúvania údajov sa výkon právomoci dozorného orgánu iného členského štátu než vedúceho dozorného orgánu, ktorou je upozorniť súd tohto členského štátu na akékoľvek údajné porušenie GDPR a prípadne začať súdne konanie, môže uplatniť tak voči tejto hlavnej prevádzkarni prevádzkovateľa nachádzajúcej sa v členskom štáte tohto orgánu, ako aj voči inej prevádzkarni tohto prevádzkovateľa, pokiaľ sa žaloba týka spracúvania údajov vykonávaného v rámci činnosti danej prevádzkarne a uvedený orgán môže túto právomoc vykonať.

Súdny dvor však spresnil, že výkon tejto právomoci predpokladá, že sa GDPR uplatní. V prejednávanej veci, keďže činnosti vykonávané prevádzkarňou skupiny Facebook nachádzajúcou sa v Belgicku sú neoddeliteľne spojené so spracúvaním osobných údajov, o ktoré ide vo veci samej, za ktoré je Facebook Ireland zodpovedná vzhľadom na územie Únie, toto spracúvanie je vykonávané „v rámci činnosti prevádzk[arne] prevádzkovateľa“, a teda patrí do pôsobnosti nariadenia GDPR.

Po štvrté Súdny dvor rozhodol, že ak dozorný orgán členského štátu, ktorý nie je „vedúcim dozorným orgánom“, podal pred nadobudnutím účinnosti nariadenia GDPR žalobu týkajúcu sa cezhraničného spracúvania osobných údajov, v konaní o tejto žalobe sa môže podľa práva Únie pokračovať na základe ustanovení smernice o ochrane údajov11, ktorá sa naďalej uplatňuje s ohľadom na porušenia pravidiel, ktoré sú v nej stanovené a ku ktorým dochádzalo až do dátumu jej zrušenia. Okrem toho dôvodom na podanie uvedenej žaloby zo strany tohto orgánu môžu byť navyše porušenia, ku ktorým došlo po dátume nadobudnutia účinnosti GDPR, ak ide o niektorú zo situácií, pre ktoré toto nariadenie výnimočne priznáva tomuto istému dozornému orgánu právomoc na prijatie rozhodnutia konštatujúceho, že predmetné spracúvanie dotknutých údajov je v rozpore s pravidlami stanovenými v uvedenom nariadení, a pod podmienkou, že budú dodržané postupy spolupráce stanovené v tomto istom nariadení.

Po piate Súdny dvor uznáva priamy účinok ustanovenia GDPR, podľa ktorého každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie. V dôsledku toho sa takýto orgán môže odvolávať na toto ustanovenie s cieľom podať žalobu alebo pokračovať v konaní o žalobe, a to napriek tomu, že toto ustanovenie nebolo osobitne vykonané v právnej úprave dotknutého členského štátu.

UPOZORNENIE: Návrh na začatie prejudiciálneho konania umožňuje súdom členských štátov v rámci sporu, ktorý rozhodujú, položiť Súdnemu dvoru otázky o výklade práva Únie alebo o platnosti aktu práva Únie. Súdny dvor nerozhoduje vnútroštátny spor. Vnútroštátnemu súdu prináleží, aby rozhodol právnu vec v súlade s rozhodnutím Súdneho dvora. Týmto rozhodnutím sú rovnako viazané ostatné vnútroštátne súdne orgány, na ktoré bol podaný návrh s podobným problémom.

[1] 1 Napríklad tlačidlá „Páči sa mi to“ alebo „Zdieľať“.
[2] 2 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“). Podľa článku 56 ods. 1 RGPD: „Bez toho, aby bol dotknutý článok 55, dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa je príslušný konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa alebo sprostredkovateľa...“.
[3] V zmysle článku 4 bodu 23 GDPR.
[4] Stanovené v článkoch 56 a 60 GDPR.
[5] Článok 56 ods. 1 GDPR.
[6] Článok 60 ods. 7 GDPR.
[7] Článok 56 ods. 2 a článok 66 GDPR zakotvujú výnimky zo zásady rozhodovacej právomoci vedúceho dozorného orgánu.
[8] Stanovené v článkoch 55 a 56 v spojení s článkom 60 GDPR.
[9] Podľa článku 58 ods. 5 nariadenia GDPR.
[10] Článok 3 ods. 1 GDPR stanovuje, že toto nariadenie sa vzťahuje na spracúvanie osobných údajov „v rámci činnosti prevádzk[arne] prevádzkovateľa alebo sprostredkovateľa v Únii, a to bez ohľadu na to, či sa spracúvanie vykonáva v Únii alebo nie“.

Zdroj:
Súdny dvor Európskej únie
TLAČOVÉ KOMUNIKÉ č. 103/21, 15. júna 2021
Rozsudok vo veci C-645/19
Facebook Ireland a i.