Съдът на ЕС: Администраторът на фен страница във Facebook отговаря като администратор на данни съвместно с Facebook за обработката на данните на посетителите на своята страница

На 5 юни бе публикувано Решение по дело C-210/16 на Съда на ЕС, свързано в тълкуването на Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни. Искането е постъпило в съда на 14 април 2016 г. Директива 95/46/EО бе отменена с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (GDPR).

Според разширения състав на съда фактът, че даден администратор на фен страница използва създадената от Facebook платформа, за да се ползва от свързаните с нея услуги, не би могъл да го освободи от задълженията му в областта на защитата на личните данни.

Съдът на ЕС решава:

1)   Член 2, буква г) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, трябва да се тълкува в смисъл, че понятието „администратор“ по смисъла на тази разпоредба включва администратора на хоствана от социална мрежа фен страница.

Директива 95/46:

г) „администратор“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни; когато целите и средствата на обработката се определят от национални или общностни законови или подзаконови разпоредби, администраторът или специфичните критерии за неговото назначаване могат да бъдат определени в националното право или в правото на Общността;

2)      Членове 4 и 28 от Директива 95/46 трябва да се тълкуват в смисъл, че когато установено извън Европейския съюз предприятие има няколко обекта в различни държави членки, надзорният орган на държава членка има право да упражни правомощията си по член 28, параграф 3 от тази директива по отношение на разположен на територията на тази държава членка обект на това предприятие, въпреки че съгласно разпределението на дейностите в рамките на групата, от една страна, обектът отговаря единствено за продажбата на рекламни пространства и за други маркетингови дейности на територията на посочената държава членка, а от друга страна, изключителна отговорност за събирането и обработването на лични данни за цялата територия на Европейския съюз се носи от обект, разположен в друга държава членка.

Директива 95/46:

Член 4

Приложимо национално право

1.Всяка държава-членка прилага националните разпоредби, които приема в съответствие с настоящата директива, по отношение на обработването на лични данни, когато:

а) обработването се извършва в контекста на дейностите на клон на администратора на територията на държавата-членка; когато същият администратор е установен на територията на няколко държави-членки, той трябва да вземе необходимите мерки, за да гарантира, че всеки от тези клонове спазва задълженията, установени от националното право;

б) администраторът не е установен на територията на държава-членка, но се намира на място, в което националното право е приложимо по силата на международното публично право;

в) администраторът не е установен на територията на Общността, и за целите на обработването на лични данни използва автоматизирано или друго оборудване, намиращо се на територията на дадената държава-членка, освен ако оборудването се използва само за целите на транзитното преминаване през територията на Общността.

2. При обстоятелствата, посочени в параграф 1, буква в), администраторът трябва да посочи представител, установен на територията на тази държава-членка, без това да засяга съдебни искове, които биха могли да бъдат предявени срещу самия администратор.

Член 28

Надзорен орган

1. Всяка държава-членка предвижда, че на нейната територия един или повече държавни органи отговарят за контрола на прилагането на разпоредбите, приети от държавите-членки, съгласно настоящата директива.

Тези органи се ползват с пълна независимост при упражняване на функциите, които са им възложени.

2. Всяка държава-членка предвижда, че надзорните органи се консултират при разработването на административни мерки или разпоредби, отнасящи се до защитата на правата и свободите на лицата, по отношение на обработването на лични данни.

3. В частност, на всеки орган са предоставени:

– правомощия по разследване, като право на достъп до данните, съставляващи предмет на операциите по обработка, както и право на събиране на цялата информация, необходима за изпълнението на функциите по надзора,

– ефективни правомощия на намеса, като например право на предоставяне на становища, преди извършването на операции по обработка на данни съгласно член 20, и гарантиране на подходяща публичност на подобни становища; право на разпореждане на блокиране, изтриване или унищожаване на данни, на въвеждане на временна или окончателна забрана върху обработването, на отправяне на предупреждение или строга забележка към администратора, както и право да сезира националния парламент или други политически институции, 

– правомощие да води съдебни дела, когато са нарушени националните разпоредби, приети в съответствие с настоящата директива, или свеждане на тези нарушения до знанието на съдебните власти.

Решенията на надзорния орган, предмет на жалби, могат да бъдат обжалвани по съдебен ред.

4. Всеки надзорен орган разглежда искове, подадени от което и да е лице, от дружество, представляващо това лице, отнасящи се до защита на неговите права и свободи при обработването на лични данни. Лицето се уведомява за хода на иска.

Всеки надзорен орган, в частност, разглежда искове за проверка на законосъобразността на обработването на данни, подадени от което и да е лице, когато се прилагат националните разпоредби, приети съгласно член 13 на настоящата директива. Във всички случаи лицето се уведомява за извършената проверка.

5. Всеки надзорен орган изготвя периодично доклад за дейността си. Докладите са публично достояние.

6. Независимо от националното право, приложимо към въпросната обработка, всеки надзорен орган може да упражнява на територията на своята държава-членка правомощията, предоставени в съответствие с параграф 3. От всеки орган може да бъде поискано да упражни своите правомощия от страна на орган от друга държава-членка.

Надзорните органи си сътрудничат, доколкото е необходимо за изпълнението на техните функции, в частност, чрез обмен на полезна информация.

7. Държавите-членки предвиждат, че дори след изтичане на техните трудови правоотношения, членовете и персоналът на надзорния орган следва да подлежат на задължението да пазят професионална тайна по отношение на поверителната информация, до която имат достъп.

3)      Член 4, параграф 1, буква а) и член 28, параграфи 3 и 6 от Директива 95/46 трябва да се тълкуват в смисъл, че когато надзорният орган на държава членка възнамерява да упражни по отношение на организация, установена на територията на тази държава членка, правомощията за намеса по член 28, параграф 3 от тази директива заради нарушения на правилата относно защитата на лични данни, допуснати от отговарящото за обработването на тези данни като администратор трето лице със седалище в друга държава членка, този надзорен орган е компетентен да прецени самостоятелно от надзорния орган на последната държава членка законосъобразността на такова обработване на данни и може да упражни правомощията си за намеса по отношение на установената на негова територия организация, без предварително да поиска намесата на надзорния орган на другата държава членка.

DIRECTIVE_95_46_EO_BG