Правомощията на националните надзорни органи във връзка с трансграничното обработване на лични данни

Европейският съд: Член 58, параграф 5 от GDPR има директен ефект, така че национален надзорен орган може да се позове на посочената разпоредба, за да инициира или продължи съдебно производство срещу частноправни субекти, дори тази разпоредба да не е била специално въведена в законодателството на съответната държава членка.

Вчера беше публикувано решение на Съда на ЕС, в което се казва, че при определени условия национален надзорен орган може да упражни правомощието си да довежда твърдените нарушения на GDPR до знанието на юрисдикция на тази държава членка, дори да не е водещият орган във връзка с това обработване.

На 11 септември 2015 г. председателят на Белгийската комисия за защита на личния живот (наричана по-нататък „CPVP“) сезира Nederlandstalige rechtbank van eerste aanleg Brussel (Първоинстанционен нидерландскоезичен съд, Брюксел, Белгия) с иск за преустановяване на нарушение срещу Facebook Ireland, Facebook Inc. и Facebook Belgium с предмет да се прекратят нарушенията на законодателството за защитата на данните, за които се твърди, че са извършени от Facebook. Тези нарушения се състоят по-специално в събирането и използването на информация за поведението при сърфиране на белгийските интернет потребители, които притежават или не профил във Facebook, посредством различни технологии като cookies (бисквитки), социалните модули1 или пикселите.

На 16 февруари 2018 г. този съд се обявява за компетентен да се произнесе по иска, а по същество постановява, че социалната мрежа Facebook не е информирала в достатъчна степен белгийските интернет потребители за събирането и използването на съответната информация. От друга страна, даденото от интернет потребителите съгласие за събирането и обработването на посочената информация е прието за невалидно.

На 2 март 2018 г. Facebook Ireland, Facebook Inc. и Facebook Belgium обжалват това решение пред Hof van beroep te Brussel (Апелативен съд Брюксел, Белгия) –  запитващата юрисдикция по настоящото дело. Пред тази юрисдикция Белгийският орган за защита на личните данни (наричан по-нататък APD) действа като правоприемник на председателя на CPVP. Запитващата юрисдикция приема, че е компетентна да се произнесе само по въззивната жалба на Facebook Belgium.

Запитващата юрисдикция изпитва съмнения относно последиците от прилагането на механизма за „обслужване на едно гише“, предвиден в Регламента относно защитата на данните2 , за компетентността на APD, и по-специално поставя въпроса дали за фактите, настъпили след влизането в сила на GDPR, а именно 25 май 2018 г., APD може да предяви иск срещу Facebook Belgium, след като Facebook Ireland е идентифицирано като администратор на съответните данни. Всъщност след тази дата, и по-специално в приложение на предвидения в GDPR принцип за „обслужване на едно гише“, единствено Ирландският комисар за защита на личните данни бил компетентен да предяви иск за преустановяване на нарушение под надзора на ирландските юрисдикции.

В решението си, постановено от голям състав, Съдът уточнява правомощията на националните надзорни органи в рамките на GDPR. Така, той по-специално приема, че при определени условия този регламент допуска надзорен орган на държава членка да упражнява правомощието си да довежда твърдените нарушения на GDPR до знанието на юрисдикция на тази държава и да инициира съдебни производства във връзка с трансгранично обработване на данни3, при положение че не е водещият орган във връзка с това обработване.

Съображения на Съда

На първо място, Съдът уточнява условията, при които национален надзорен орган, който няма качеството на водещ орган, що се отнася до трансгранично третиране, трябва да упражни правомощието си да довежда твърдените нарушения на GDPR до знанието на юрисдикция на държава членка и по целесъобразност да инициира съдебни производства, за да осигури прилагането на този регламент. Така, от една страна, GDPR трябва да предостави на този надзорен орган компетентност да приеме решение, в което се установява нарушение на предвидените в този регламент правила, и от друга страна, това правомощие трябва да се упражнява при спазване на процедурите за сътрудничество и съгласуваност, предвидени в този регламент4.

Всъщност при трансграничното обработване GDPR предвижда механизма за „обслужване на едно гише“5, който се основава на разпределяне на правомощията между „водещ надзорен орган“ и съответните други национални надзорни органи. Този механизъм изисква тясно, лоялно и ефективно сътрудничество между тези органи, за да се осигури последователна и еднородна защита на правилата относно защитата на личните данни и за да се запази по този начин полезното му действие. GDPR установява за тази цел принципната компетентност на водещия надзорен орган да приеме решение, в което се установява, че трансгранично обработване нарушава предвидените в този регламент правила6, докато компетентността на другите национални надзорни органи да приемат подобно решение, дори временно, представлява изключение7. При упражняването на правомощията си обаче водещият надзорен орган не може да се освободи от задължителен диалог, както и от лоялно и ефективно сътрудничество със съответните други надзорни органи. Поради това в рамките на това сътрудничество водещият надзорен орган не може да пренебрегне становищата на другите засегнати надзорни органи, като всяко относимо и обосновано възражение, изразено от някой от последните органи, води до блокиране, поне временно, на приемането на проекторешението на водещия надзорен орган.

От друга страна, според Съда обстоятелството, че надзорен орган на държава членка, който не е водещият надзорен орган, що се отнася до трансгранично обработване на данни, може да упражни правомощието да довежда твърдените нарушения на GDPR до знанието на юрисдикция на тази държава и да инициира съдебни производства само при спазване на правилата за разпределяне на правомощията за вземане на решения между водещия надзорен орган и другите надзорни органи8 , съответства на членове 7, 8 и 47 от Хартата на основните права на Европейския съюз, които гарантират на засегнатото лице съответно правото на защита на личните му данни и правото на ефективни правни средства за защита.

На второ място, Съдът приема, че в случай на трансгранично обработване на данни упражняването на правомощието на надзорен орган на държава членка, различен от водещия надзорен орган, да инициира съдебно производство9, не изисква администраторът или обработващият лични данни, що се отнася до трансграничното обработване на лични данни, което е предмет на това съдебно производство, да разполага с основно място на установяване или с друго място на установяване на територията на тази държава членка. Упражняването на това правомощие обаче трябва да попада в териториалния обхват на GDPR10, което предполага администраторът или обработващият лични данни за трансграничното обработване да разполага с място на установяване на територията на Съюза.

На трето място, Съдът постановява, че в случай на трансгранично обработване на данни правомощието на надзорен орган на държава членка, различен от водещия надзорен орган, да довежда всички твърдени нарушения на GDPR до знанието на юрисдикция на тази държава и по целесъобразност да инициира съдебни производства, може да бъде упражнено както по отношение на основното място на установяване на администратора, което се намира в държавата членка на този орган, така и по отношение на друго място на установяване на този администратор, доколкото предметът на съдебното производство е обработване на данни в контекста на дейностите на това място на установяване и доколкото въпросният орган е компетентен да упражни това правомощие.

Съдът обаче уточнява, че упражняването на това правомощие предполага GDPR да е приложим. Тъй като в случая дейностите на намиращото се в Белгия място на установяване на групата Facebook са неразривно свързани с обработването на разглежданите в главното производство лични данни, чийто администратор е Facebook Ireland, що се отнася до територията на Съюза, това обработване се извършва „в контекста на дейностите на дадено място на установяване на администратора“ и следователно попада в обхвата на GDPR.

На четвърто място, Съдът постановява, че когато надзорен орган на държава членка, който не е „водещият надзорен орган“, е предявил иск с предмет трансгранично обработване на лични данни преди датата на влизане в сила на GDPR съдебно производство, по силата на правото на Съюза този иск може да бъде поддържан на основание на разпоредбите на Директивата за защита на данните11, която остава приложима по отношение на нарушенията на предвидените в нея правила, които нарушения са извършени до датата, на която тази директива е отменена. Освен това този орган може да предяви иск за нарушения, извършени след датата на влизане в сила на GDPR, доколкото става въпрос за едно от положенията, при които по изключение този регламент предоставя на същия орган компетентност да приеме решение, в което се установява, че съответното обработване на данни нарушава предвидените в този регламент правила и при спазване на предвидените в него процедури за сътрудничество.

На пето място, Съдът признава директния ефект на разпоредбата от GDPR, по силата на която всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на този регламент до знанието на съдебните органи и по целесъобразност да инициира съдебни производства. Следователно такъв орган може да се позове на тази разпоредба, за да инициира или продължи съдебен процес срещу частноправни субекти, дори тази разпоредба да не е била специално въведена в законодателството на съответната държава членка.

Това решение обвързва по същия начин останалите национални юрисдикции, когато са сезирани с подобен въпрос.

1 Например бутоните „Харесвам“ или „Споделям“.

2 Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“). Според член 56, параграф 1 от ОРЗД: „Без да се засяга член 55, надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни“.

3 По смисъла на член 4, точка 23 от GDPR.

4 Предвидени в членове 56 и 60 от GDPR.

5 Член 56, параграф 1 от GDPR.

6 Член 60, параграф 7 от GDPR.

7 Член 56, параграф 2 и член 66 от GDPR установява изключенията от принципа, че водещият надзорен орган е компетентен да взема решения.

8 Предвидени в членове 55 и 56 във връзка с член 60 от GDPR.

9 По силата на член 58, параграф 5 от GDPR.

10 Член 3, параграф 1 от GDPR предвижда, че този регламент се прилага за обработването на лични данни „в контекста на дейностите на дадено място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза или не“.

11 Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, глава 13, том 17, стр. 10).

 Преюдициалното запитване позволява на юрисдикциите на държавите членки, в рамките на спор, с който са сезирани, да се обърнат към Съда с въпрос относно тълкуването на правото на Съюза или валидността на акт на Съюза. Съдът не решава националния спор. Националната юрисдикция трябва да се произнесе по делото в съответствие с решението на Съда.

Можете да споделите: