Fortolkning af GDPR: Nationale tilsynsmyndigheders beføjelser ved grænseoverskridende databehandling

Sagen omhandler en anmodning om præjudiciel afgørelse fra Belgien vedrørende fortolkningen af databeskyttelsesforordningen (GDPR) i forbindelse med en tvist mellem Facebook Ireland og den belgiske databeskyttelsesmyndighed.

Baggrunden for sagen er, at den belgiske databeskyttelsesmyndighed har anlagt sag mod Facebook for at have behandlet personoplysninger om belgiske internetbrugere i strid med databeskyttelsesreglerne. Facebook har argumenteret for, at den belgiske myndighed ikke er kompetent til at behandle sagen, da Facebook Ireland er den dataansvarlige for behandlingen af personoplysninger i hele EU, og at kun den irske databeskyttelsesmyndighed (Data Protection Commissioner) er kompetent i henhold til GDPR's "one-stop-shop"-mekanisme.

Den forelæggende ret ønsker at vide, om en national tilsynsmyndighed, der ikke er den ledende tilsynsmyndighed, kan indlede en retssag vedrørende grænseoverskridende behandling af personoplysninger, og hvilken betydning det har, hvis den dataansvarlige har en anden etablering i medlemsstaten.

Domstolen fastslår, at en national tilsynsmyndighed kan udøve sine beføjelser, selvom den ikke er den ledende tilsynsmyndighed, forudsat at der er tale om en situation, hvor forordningen tillægger denne tilsynsmyndighed kompetence, og at samarbejds- og sammenhængsprocedurerne overholdes. Domstolen præciserer også, at det ikke er en betingelse, at den dataansvarlige har en hovedvirksomhed eller anden etablering i den pågældende medlemsstat.

Afgørelse

Domstolen fastslog:

1. Artikel 55, stk. 1, artikel 56-58 og artikel 60-66 i forordning 2016/679, sammenholdt med artikel 7, 8 og 47 i chartret, skal fortolkes således, at en national tilsynsmyndighed kan udøve sine beføjelser vedrørende grænseoverskridende behandling af oplysninger, selvom den ikke er den ledende tilsynsmyndighed, forudsat at der er tale om en situation, hvor forordningen tillægger denne tilsynsmyndighed kompetence til at træffe afgørelse om, at behandlingen tilsidesætter reglerne, og at samarbejds- og sammenhængsprocedurerne overholdes.
2. Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at det ikke kræves, at den dataansvarlige har en hovedvirksomhed eller anden etablering i den pågældende medlemsstat, for at tilsynsmyndigheden kan udøve sine beføjelser vedrørende grænseoverskridende behandling af personoplysninger.
3. Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at en national tilsynsmyndighed kan udøve sine beføjelser både over for den dataansvarliges hovedvirksomhed og andre etableringer, forudsat at søgsmålet vedrører behandling af oplysninger inden for rammerne af etableringens aktiviteter, og at myndigheden er kompetent i overensstemmelse med svaret på det første spørgsmål.
4. Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at et søgsmål anlagt før 25. maj 2018 kan opretholdes på grundlag af direktiv 95/46 for overtrædelser begået indtil denne dato. Søgsmålet kan også anlægges for overtrædelser begået efter denne dato på grundlag af artikel 58, stk. 5, i forordning 2016/679, forudsat at det er i en situation, hvor forordningen undtagelsesvis tillægger tilsynsmyndigheden kompetence, og at samarbejds- og sammenhængsprocedurerne overholdes.
5. Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at bestemmelsen har direkte virkning, således at en national tilsynsmyndighed kan påberåbe sig den for at anlægge eller genoptage en sag mod private, selvom den ikke specifikt er gennemført i national lovgivning.

Retlige principper

Domstolen fremhævede følgende principper:

• Grundlæggende rettigheder: Beskyttelse af personoplysninger er en grundlæggende rettighed, jf. artikel 8 i EU's charter om grundlæggende rettigheder og artikel 16 TEUF.
• Ensartet anvendelse: Forordning 2016/679 tilsigter at sikre en ensartet og konsekvent anvendelse af reglerne om beskyttelse af personoplysninger i hele EU.
• Loyalt samarbejde: "One-stop-shop"-mekanismen forudsætter et loyalt og effektivt samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder.
• Kompetencefordeling: Forordningen fastlægger en klar fordeling af kompetencer mellem den ledende tilsynsmyndighed og de øvrige tilsynsmyndigheder, men undtagelser herfra skal fortolkes restriktivt.
• Effektive retsmidler: Enhver har ret til effektive retsmidler over for en tilsynsmyndigheds afgørelser eller manglende behandling af en klage.
• Territorialt anvendelsesområde: Forordningen finder anvendelse på behandling af personoplysninger, der foretages som led i aktiviteter, der udføres for en dataansvarlig eller databehandler, der er etableret i Unionen, uanset om behandlingen finder sted i Unionen eller ej.
• Direkte virkning: Artikel 58, stk. 5, i forordning 2016/679 har direkte virkning, hvilket betyder, at en national tilsynsmyndighed kan påberåbe sig bestemmelsen, selvom den ikke er specifikt gennemført i national lovgivning.