Všeobecná príslušnosť úradu na ochranu osobných údajov pri cezhraničnom prenose údajov

Orgán na ochranu údajov v štáte, kde má prevádzkovateľ alebo sprostredkovateľ svoju hlavnú prevádzkareň v EÚ, má všeobecnú príslušnosť začať súdne konanie pre porušenia GDPR v súvislosti s cezhraničným spracúvaním osobných údajov.

Redakcia 15. 01. 2021 5 min.

Ostatné dotknuté vnútroštátne orgány na ochranu údajov sú však oprávnené začať také konanie vo svojom príslušnom členskom štáte v situáciách, keď im to GDPR výslovne dovoľuje.

V septembri 2015 začal belgický Úrad na ochranu osobných údajov konanie na belgických súdoch proti viacerým spoločnostiam patriacim do skupiny Facebook (Facebook), konkrétne Facebook INC, Facebook Ireland Ltd, ktorá je hlavnou prevádzkarňou tejto skupiny v EÚ, a Facebook Belgium BVBA (Facebook Belgium). V tomto konaní Úrad na ochranu osobných údajov žiadal, aby Facebook vo vzťahu ku všetkým používateľom internetu usadeným na území Belgicka upustil jednak od umiestňovania určitých „cookies“ bez ich súhlasu na zariadeniach, ktoré títo jednotlivci používajú pri prehliadaní internetovej stránky v rámci domény Facebook.com alebo internetovej stránky tretej strany, a jednak od nadmerného zhromažďovania údajov prostredníctvom sociálnych zásuvných modulov a pixelov na webstránkach tretích strán. Okrem toho požiadal o úplné zničenie všetkých osobných údajov získaných o každom používateľovi internetu usadenom v Belgicku prostredníctvom „cookies“ a sociálnych zásuvných modulov.

Dotknuté konanie v súčasnosti prebieha na Hof van beroep te Brussel (Odvolací súd Brusel, Belgicko), avšak jeho rozsah sa obmedzuje na Facebook Belgium, keďže tento súd už predtým rozhodol, že nemá právomoc, pokiaľ ide o žaloby proti spoločnostiam Facebook Inc. a Facebook Ireland Ltd. V tomto kontexte Facebook Belgium tvrdí, že odo dňa nadobudnutia účinnosti všeobecného nariadenia o ochrane údajov (GDPR)1 už belgický Úrad na ochranu osobných údajov nie je príslušný pokračovať v dotknutom konaní proti spoločnosti Facebook. Tvrdí, že podľa GDPR iba orgán na ochranu údajov štátu, v ktorom má Facebook hlavnú prevádzkareň v EÚ (takzvaný „vedúci“ dozorný orgán v EÚ pre Facebook), konkrétne Irish Data Protection Commission (Írska komisia pre ochranu údajov), je príslušný pokračovať k súdnom konaní proti spoločnosti Facebook pre porušenia GDPR v súvislosti s cezhraničným spracúvaním osobných údajov.

Za týchto okolností sa Hof van beroep te Brussel (Odvolací súd Brusel) Súdneho dvora pýta, či nariadenie GDPR skutočne bráni inému vnútroštátnemu dozornému orgánu, než je vedúci dozorný orgán, aby začal súdne konanie vo svojom členskom štáte proti porušeniam pravidiel tohto nariadenia v súvislosti s cezhraničným spracúvaním osobných údajov.


V dnešných návrhoch generálny advokát Michal Bobek po prvé konštatuje, že zo znenia2 nariadenia GDPR vyplýva, že vedúci dozorný orgán má všeobecnú príslušnosť týkajúcu sa cezhraničného spracúvania osobných údajov, vrátane začatia súdneho konania pre porušenie nariadenia GDPR, a z toho vyplýva, že príslušnosť iných dotknutých dozorných orgánov je v tejto súvislosti obmedzená.


Pokiaľ ide o skutočnosť, že podľa GDPR je akýkoľvek dozorný orgán oprávnený podať návrh na začatie súdneho konania proti možným porušeniam, ktoré majú dosah na ich územie, generálny advokát uvádza, že táto právomoc je výslovne obmedzená, pokiaľ ide o cezhraničné spracúvanie osobných údajov, a to práve s cieľom umožniť vedúcemu dozornému orgánu plniť v tejto súvislosti svoje úlohy.

Generálny advokát po druhé pripomína, že samotným dôvodom pre zavedenie mechanizmu jednotného kontaktného miesta zakotveného v nariadení GDPR, keď vedúcemu dozornému orgánu bola daná významná rola a boli vytvorené mechanizmy spolupráce, ktoré mali zabezpečiť účasť ďalších dozorných orgánov, bolo vyriešenie určitých nedostatkov vyplývajúcich z predchádzajúcej právnej úpravy.3 Od hospodárskych subjektov sa totiž vyžadovalo dodržiavať rôzne súbory vnútroštátnych pravidiel, ktoré tú právnu úpravu preberali, a zároveň byť v kontakte so všetkými vnútroštátnymi orgánmi na ochranu údajov, čo sa ukázalo nákladné, zaťažujúce a časovo náročne, a pre tieto subjekty a ich zákazníkov to bolo nevyhnutným zdrojom neistoty a konfliktov.


Pokiaľ ide o argumenty týkajúce sa prístupu dotknutých osôb k súdu, generálny advokát zdôrazňuje, že tieto osoby môžu podať priamo návrh na začatie súdneho konania proti prevádzkovateľom a sprostredkovateľom okrem iného na súdoch členského štátu svojho pobytu. Generálny advokát ďalej zdôrazňuje, že dotknuté osoby môžu podať sťažnosť dozornému orgánu svojho členského štátu, aj keď je vedúcim dozorným orgánom dozorný orgán iného členského štátu. Ak bude sťažnosť odmietnutá, prvý uvedený orgán prijme príslušné rozhodnutie a oznámi ho sťažovateľovi, z čoho vyplýva, že sťažovateľ bude môcť podať žalobu na súde svojho bydliska.


Generálny advokát po tretie zdôrazňuje, že vedúci dozorný orgán nemožno považovať za jediný subjekt, ktorý nariadenie GDPR presadzuje v cezhraničných situáciách a musí v súlade s príslušnými pravidlami a lehotami stanovenými v nariadení GDPR úzko spolupracovať s inými dotknutými orgánmi na ochranu údajov, ktorých prínos je v tejto oblasti zásadný.


Generálny advokát po štvrté zdôrazňuje, že vnútroštátne orgány na ochranu údajov, aj keď nekonajú ako vedúci dozorný orgán, môžu v prípade cezhraničného spracúvania osobných údajov v rôznych situáciách napriek tomu podať žalobu na súd svojho príslušného členského štátu. Ide predovšetkým o tieto situácie: keď vnútroštátne orgány na ochranu údajov (i) konajú mimo vecnej pôsobnosti nariadenia GDPR; (ii) vyšetrujú cezhraničné spracúvanie osobných údajov orgánmi verejnej moci, vo verejnom záujme alebo pri výkone úradnej moci alebo vykonávané prevádzkovateľmi, ktorí nie sú usadení v Únii; (iii) prijímajú naliehavé opatrenia; alebo (iv) zasahujú po tom, čo sa vedúci dozorný orgán rozhodne prípadom nezaoberať.


Za týchto podmienok sa generálny advokát domnieva, že nariadenie GDPR umožňuje orgánu na ochranu údajov členského štátu podať návrh na začatie konania na súde tohto štátu z dôvodu údajného porušenia nariadenia GDPR v súvislosti s cezhraničným spracúvaním osobných údajov, aj napriek tomu, že tento orgán nie je vedúcim dozorným orgánom, ktorému bola zverená všeobecná príslušnosť podať návrh na začatie takého súdneho konania, za predpokladu, že takýto návrh podá v situáciách, keď mu nariadenie GDPR konkrétne zveruje právomoci na tento účel a v súlade s postupmi, ktoré sú upravené v nariadení GDPR.

Zdroj: Curia

  • Poznámky pod čiarou