Documente Academic
Documente Profesional
Documente Cultură
DATELOR
176/16/RO
WP 179
(actualizare)
Actualizarea Avizului nr. 8/2010 privind dreptul aplicabil în urma hotărârii Curții
de Justiție a Uniunii Europene în cauza Google Spain
Acest grup de lucru a fost instituit prin articolul 29 din Directiva 95/46/CE și este un organism consultativ european independent care
se ocupă cu protecția datelor și a vieții private. Sarcinile sale sunt prezentate la articolul 30 din Directiva 95/46/CE și la articolul 15
din Directiva 2002/58/CE.
Această hotărâre a Curții are implicații mai largi și nu se limitează doar la a stabili
dreptul aplicabil în ceea ce privește funcționarea motorului de căutare Google în Spania..
1
Avizul nr. 8/2010 al GL A29 privind dreptul aplicabil
2
Hotărârea CJUE din 13 mai 2014 în cauza C-131/12, Google Spain SL și Google Inc./Agencia Española
de Protección de Datos (Agenția Spaniolă de Protecție a Datelor, „AEPD”) și Mario Costeja González
(„Google Spain”). De asemenea, în prezentul document de orientare vom aborda succint unele elemente ale
hotărârii pronunțate de Curtea de Justiție a Uniunii Europene la 1 octombrie 2015 în cauza C-230/14,
Weltimmo s.r.o./Nemzeti Adatvédelmi és Információszabadság Hatóság („Weltimmo”).
3
CJUE a confirmat ulterior acest lucru și în cauza Weltimmo (a se vedea punctele 25 și 27).
-2-
desfășurate de operatori care nu au niciun sediu pe teritoriul UE să fie supuse
cerințelor UE în materie de protecție a datelor. Într-adevăr, articolul 4 din
directivă precizează că această posibilitate există.
Avizul 8/2010 al GL29 și, în special, unele dintre exemplele citate (de exemplu,
exemplele 5 și 11) ar trebui să fie interpretate prin prisma hotărârii din cauza Google
Spain și a acestui nou document de orientare. În prezentul document de orientare, GL 29
analizează primele două dintre aceste întrebări, ambele legate de modul în care CJUE a
interpretat testul bazat pe criteriul „sediului”, menționat la articolul 4 alineatul (1)
litera (a) din directivă.
Prima întrebare la care CJUE a răspuns în cauza Google Spain s-a referit la testul bazat
pe noțiunea de „sediu” în sensul articolului 4 alineatul (1) litera (a) din directivă, care
prevede că directiva se aplică atunci când prelucrarea este efectuată „în cadrul
activităților operatorului cu sediul” pe teritoriul unui stat membru.
În cazul Google Spain, motorul de căutare Google este furnizat de Google Inc., o
societate cu sediul în SUA, dar Google dispune de o filială în Spania, Google Spain SL,
care promovează și vinde spațiu publicitar online. Prin urmare, Curtea a trebuit să
examineze întrebarea dacă indexul motorului de căutare Google prelucrează datele cu
caracter personal „în cadrul activităților [unui] sediu” situat într-un stat membru, ca
urmare a activităților Google Spain SL.
4
A se vedea, în special, punctul 29 din hotărârea pronunțată în cauza Weltimmo, care pune accentul pe o
concepție suplă a noțiunii de „sediu” și clarifică faptul că „se impune evaluarea atât a gradului de
stabilitate a formei de instalare, cât și a efectivității desfășurării de activități în acest alt stat membru,
ținând seama de natura specifică a activităților economice și a prestărilor de servicii în cauză.”.
5
A se vedea cauza Google Spain, punctul 52, confirmat și de punctul 35 din hotărârea în cauza Weltimmo.
-3-
SL constituie mijlocul de a face motorul de căutare în cauză rentabil din punct de vedere
economic 6. În acest sens, este suficient faptul că Google Spain SL desfășoară activități
publicitare, acestea fiind legate de modelul comercial al Google (vânzarea de publicitate
relevantă pentru rezultatele propuse de motorul de căutare). Cu alte cuvinte, dacă nu ar
exista activitățile publicitare, care sunt facilitate de Google Spain SL și de filialele
similare ale Google din întreaga lume, pentru Google nu ar fi fezabil din punct de vedere
economic să își ofere serviciile de motor de căutare. Activitățile de motor de căutare
desfășurate de Google nu pot fi separate de obținerea de venituri din publicitate 7.
Hotărârea pronunțată în cauza Google Spain confirmă faptul că activitățile unui sediu
local și activitățile de prelucrare a datelor pot fi legate în mod indisociabil și, prin urmare,
pot determina aplicarea dreptului UE, chiar dacă acest sediu nu exercită, de fapt, niciun
rol în activitățile propriu-zise de prelucrare a datelor cu caracter personal. Pe baza
concluziilor avocatului său general 11, CJUE a hotărât că vânzările realizate de sediul
local din Spania al Google sunt „indisolubil legate” de profitul obținut prin activitățile de
prelucrare a datelor, indiferent de locul în care aceste activități au avut loc efectiv, și că
această „legătură indisociabilă” era suficientă pentru a determina aplicarea dreptului
spaniol.
Elementul esențial constă în faptul că, deși sediul local nu este implicat în mod direct în
prelucrarea datelor, cum a fost cazul în speță, activitățile filialei locale în cauză pot totuși
6
A se vedea punctul 56 din hotărâre.
7
Ca argument suplimentar, CJUE a menționat, de asemenea, faptul că reclamele și rezultatele căutării sunt
afișate pe aceeași pagină, ceea ce dovedește încă odată interdependența lor.
8
A se vedea punctul 57 din hotărâre.
9
A se vedea punctele 53, 54 și 58 din hotărâre.
10
A se vedea punctul 60, precum și punctul 2 din partea dispozitivă.
11
Concluziile avocatului general Jaaskinen prezentate la 25 iunie 2013 în cauza C-131/12. Disponibile la:
http://curia.europa.eu/juris/document/document.jsf?docid=138782&doclang=RO. A se vedea, în special,
punctul 64.
-4-
avea drept consecință încadrarea prelucrării datelor în domeniul de aplicare al legislației
UE privind protecția datelor, atât timp cât există o legătură „indisociabilă” între
activitățile sediului local și prelucrarea datelor.
Din hotărârea CJUE reiese că faptul că un sediu local realizează venituri în UE, în
măsura în care aceste activități pot fi „indisociabil legate” de prelucrarea datelor cu
caracter personal efectuată în afara UE, este suficient pentru ca directiva să se aplice
prelucrării în cauză efectuată de un operator din afara UE 12.
În hotărârea sa, CJUE a avut în vedere în mod expres problema produselor publicitare
inserate de motoarele de căutare, precum și măsura în care se poate considera că o filială
publicitară locală constituie un sediu „relevant” pentru a determina aplicarea dreptului
Uniunii. Cu toate acestea, întreprinderile își pot organiza activitatea în numeroase moduri
și există diverse modele de afaceri. Fiecare caz trebuie evaluat pe baza elementelor
proprii, ținându-se seama de particularitățile sale. Ar fi eronat să se interpreteze hotărârea
CJUE într-un sens prea larg și să se ajungă la concluzia că absolut toate sediile care cea
mai mică legătură cu activitățile de prelucrare a datelor vor determina aplicarea legislației
UE 13. În egală măsură, ar fi eronat să se interpreteze hotărârea în linii prea restrictive,
aplicând-o exclusiv modelului de afaceri specific operatorilor de motoare de căutare.
În funcție de situația de fapt din cauza analizată, precum și de rolul pe care îl joacă sediul
local, hotărârea se poate aplica altor societăți din afara UE al căror model de afaceri se
bazează pe oferta de „servicii gratuite” pe teritoriul UE, care sunt finanțate ulterior prin
utilizarea datelor cu caracter personal colectate de la utilizatori (de exemplu, în scopuri
publicitare).
În plus, tot în funcție de circumstanțele fiecărui caz în parte, nu se poate exclude faptul că
activitățile societăților care își bazează activitatea pe alte modele de afaceri pot intra, la
rândul lor, în domeniul de aplicare a legislației UE: activitățile societăților străine care își
oferă serviciile în UE în schimbul cotizațiilor sau abonamentelor, de exemplu. În această
situație se pot regăsi și organizațiile care solicită donații, în cazul în care această
activitate se desfășoară în cadrul unuia sau al mai multor sedii situate în UE.
Atunci când se examinează situația de fapt din cauza analizată, poate fi relevant și faptul
că încasările obținute de Google Spain SL din activitățile publicitare desfășurate în
Spania nu sunt utilizate neapărat pentru a finanța www.google.es sau orice alt serviciu de
căutare european și că, în general, contractele publicitare sunt încheiate cu entitatea
Google din Irlanda 14. Se poate deduce că legătura economică necesară dintre activitățile
sediului local și activitățile de prelucrare a datelor nu trebuie să fie neapărat directă
pentru a îndeplini aceste criterii.
În concluzie, atunci când o analiză de la caz la caz a situației de fapt arată că există o
legătură indisociabilă între activitățile desfășurate de un sediu situat în UE și activitățile
12
Această situație ar putea apărea, de exemplu, în cazul oricărui operator străin care dispune de un birou de
vânzări sau este prezent sub orice altă formă în UE, chiar dacă biroul respectiv nu exercită niciun rol în
prelucrarea efectivă a datelor, mai ales în cazul în care prelucrarea este efectuată în cadrul activităților de
vânzări desfășurate în UE, iar activitățile sediului vizează locuitorii din statele membre în care este situat
sediul respectiv.
13
De exemplu, anumite activități comerciale pot fi atât de îndepărtate de prelucrarea datelor cu caracter
personal, încât existența activității comerciale nu ar determina încadrarea respectivelor activități de
prelucrare a datelor în domeniul de aplicare al dreptului Uniunii.
14
Hannah Crowther: „Remember to forget me: the recent ruling in Google v AEPD and Costeja”,
Computer and Telecommunications Law Review, 2014.
-5-
de prelucrare a datelor efectuate de un operator din afara UE, dreptul UE se aplică
prelucrării efectuate de entitatea din afara UE, indiferent dacă sediul situat în UE exercită
sau nu un rol în cadrul procesului de prelucrare a datelor. Această constatare confirmă
domeniul de aplicare teritorial larg al directivei prevăzut la articolul 4 alineatul (1).
Este de așteptat ca acest domeniu teritorial larg să fie extins în continuare în viitor prin
normele stabilite în propunerea de regulament general privind protecția datelor 15, care se
bazează într-un mod mai explicit pe „principiul efectelor” pentru a completa „principiul
teritorialității” atunci când este vorba despre activitățile desfășurate de operatori de date
străini în UE 16.
Se pune întrebarea care este dreptul aplicabil în cazul în care o întreprindere sau un grup
de întreprinderi își desfășoară activitatea în UE, dispune de birouri de vânzări sau de alte
sedii în mai multe state membre și a desemnat un anumit sediu situat într-un stat membru
al UE drept „sediul din UE”, iar acest sediu este singurul care îndeplinește funcțiile de
operator în ceea ce privește operațiunile de prelucrare în cauză. Înseamnă acest lucru că
operatorul trebuie să respecte legislația în materie de protecție a datelor dintr-un singur
stat membru sau că va trebui, de asemenea, să respecte unele sau toate legile relevante
din statele membre în care societatea are sedii (care nu exercită neapărat vreun rol în
operațiunile de prelucrare propriu-zise)? Cu alte cuvinte, ar presupune această hotărâre
aplicarea mai multor legislații naționale în materie de protecție a datelor în cazul în care
activitățile desfășurate de mai multe sedii ale aceluiași operator în diferite state membre
sunt „legate indisociabil” de prelucrarea datelor?
CJUE nu a abordat această problemă în mod direct și nici nu a făcut vreo distincție în
hotărârea sa în funcție de existența sau nu a unui sediu care acționează în calitate de
operator sau exercită un alt rol important în activitățile de prelucrare. În schimb,
hotărârea a oferit, cu aplicabilitate generală, o nouă interpretare a expresiei „în cadrul
activităților [unui] sediu”, adăugând elementul „legăturii indisociabile” cu activitățile de
prelucrare a datelor.
Acestea fiind spuse, CJUE a atras atenția asupra faptului că unul dintre motivele pentru
care a reținut această abordare a fost de a garanta că persoanele nu sunt private de
protecția la care au dreptul conform directivei. S-ar putea ca acest argument să nu se
aplice neapărat în cazul în care o societate străină cu sediul în UE identifică în mod
public drept operator o entitate situată în UE și în care, tot în funcție de circumstanțele
cazului respectiv, stabilește scopurile și mijloacele de prelucrare a datelor. În această
ipoteză, dreptul Uniunii s-ar aplica în orice caz. Nu se pune problema să se stabilească
dacă legislația UE privind protecția datelor s-ar aplica sau nu. Întrebarea este, în schimb,
care dintre legislațiile naționale în materie de protecție a datelor din UE s-ar aplica. De
exemplu, în cazul activităților unei societăți străine cu sediul în Irlanda, dar care este
stabilită și în Spania, s-ar aplica legea irlandeză, cea spaniolă ori ambele deopotrivă?
15
Propunere de Regulament privind protecția persoanelor fizice cu privire la prelucrarea
datelor cu caracter personal și libera circulație a acestor date (Regulament general privind
protecția datelor), COM(2012) 11 final.
16
A se vedea, de asemenea punctul 56, din Concluziile avocatului general, în care se explică faptul că o
astfel de abordare, care condiționează aplicabilitatea teritorială a legislației Uniunii de publicul vizat, este
în conformitate cu jurisprudența Curții.
-6-
În cazul în care societatea s-ar supune doar legislației în materie de protecție a datelor a
unui singur stat membru, și nu a ambelor, situațiile de referință prevăzute de directivă ar
continua să ofere un nivel relativ ridicat de protecție persoanelor vizate. Totuși, tocmai
din cauza faptului că nu s-a realizat o armonizare completă până în prezent, este
important să se stabilească statul membru al cărui drept se aplică. Directiva nu creează un
„ghișeu unic” în baza căruia dreptul statului membru pe teritoriul căruia este situat
„sediul din UE” s-ar aplica tuturor activităților de prelucrare a datelor cu caracter
personal din întreaga UE.
În schimb, ori de câte ori există un sediu în oricare dintre statele membre ale UE, trebuie
să se examineze, în fiecare caz în parte, dacă, în cadrul activităților sediului respectiv, se
efectuează o anumită activitate de prelucrare a datelor. Nu este deloc neobișnuit ca o
societate care își are sediul într-un stat membru al Uniunii Europene și care desfășoară
activități în mai multe state membre ale UE să trebuiască să respecte legislațiile fiecăruia
dintre aceste state membre (probabil în ceea ce privește componente diferite ale
activităților sale de prelucrare a datelor) 17.
De exemplu, o bancă ce își are sediul într-un stat membru, dar care propune servicii
bancare destinate persoanelor fizice și își desfășoară activitatea într-un număr mare de
sucursale pe întregul teritoriu al UE trebuie să respecte fiecare dintre aceste legislații
locale. Regulile care se aplică în mediul offline, în lumea reală, trebuie să se aplice și în
mediul digital. Situația contrară ar putea încuraja toate întreprinderile care sunt suficient
de mobile, cum este cazul unui mare număr de întreprinderi care desfășoară activități
comerciale online, să încerce să obțină o situație juridică mai favorabilă. La rândul său,
această situație ar putea încuraja o „concurență în jos” în domeniul reglementării în ceea
ce privește protecția datelor 18.
17
A se vedea punctul 28 din hotărârea pronunțată în cauza Weltimmo.
18
În această privință, este util să se facă trimitere, de asemenea, la articolul 28 alineatul (6) din directivă,
care prevede că fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil, să
exercite pe teritoriul statului membru din care provine competențele conferite în conformitate cu
articolul 28 alineatul (3) din directivă. De asemenea, articolul 28 alineatul (6) din directivă prevede că
fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru
și că autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin
schimburi de informații utile. În ceea ce privește sancțiunile, la punctul 60 din hotărârea pronunțată în
cauza Weltimmo, CJUE a concluzionat că o autoritate de supraveghere „nu poate aplica sancțiuni pe baza
dreptului acestui stat membru operatorului acestor date care nu este stabilit pe acest teritoriu, ci ar trebui,
în temeiul articolului 28 alineatul (6) din aceeași directivă, să solicite autorității de supraveghere
provenind din statul membru al cărui drept este aplicabil să intervină.”.
-7-
Indiferent de locul în care au loc activitățile propriu-zise de prelucrare a datelor, atât timp
cât o societate are sedii în mai multe state membre ale UE, iar sediile respective
promovează și vând spațiu publicitar, realizează venituri sau desfășoară alte activități, și
se poate stabili că aceste activități și prelucrarea datelor sunt „legate indisociabil”, se va
aplica dreptul intern al statelor în care se situează fiecare din aceste sedii.
Hotărârea oferă clarificări utile cu privire la două aspecte: în primul rând, hotărârea
clarifică faptul că domeniul de aplicare a legislației UE în vigoare în prezent cuprinde
prelucrarea efectuată de entități din afara UE care au un sediu „relevant” ale cărui
activități în UE sunt „legate indisociabil” de prelucrarea datelor, chiar și în cazul în care
aplicarea dreptului Uniunii nu ar fi fost determinată pe baza unor criterii mai tradiționale.
În al doilea rând, hotărârea confirmă, de asemenea, faptul că, în conformitate cu
articolul 4 alineatul (1) litera (a) din Directiva 95/46/CE, în cazul în care există o
„legătură indisociabilă” este posibil să se aplice dreptul intern al mai multor state
membre activităților unui operator care dispune de multe sedii în diferite state membre.
-8-
Anexa 1: modificări aduse avizului din 2010
Pagina 16, exemplul nr. 5: Furnizorul de servicii internet (modificările sunt evidențiate în
exemplul inițial)
de exemplu în Japonia. Acesta are sedii comerciale în majoritatea statelor membre ale
UE și un sediu în
- centrul de date din Ungaria se ocupă doar de stocarea datelor referitoare la utilizatorii
serviciilor acestui FAI și de întreținerea tehnică;
- sediul din Irlanda este singurul sediu de pe teritoriul UE care desfășoară activități în
cadrul cărora sunt prelucrate efectiv datele cu caracter personal (fără a aduce atingere
datelor de intrare ale sediilor centrale din Japonia). 19.
Testul bazat pe noțiunea de „sediu” în sensul articolului 4 alineatul (1) litera (a) din
directivă înseamnă că directiva se aplică atunci când prelucrarea este efectuată în cadrul
activităților unui sediu al operatorului desfășurate pe teritoriul unui stat membru. Având
în vedere hotărârea Curții de Justiție a Uniunii Europene în cauza Google Spain 20, pentru
a aprecia dacă acest criteriu este îndeplinit trebuie să se analizeze dacă activitățile
sediului local sunt „indisociabil legate” de prelucrarea datelor cu caracter personal.
Această situație ar trebui evaluată de la caz la caz pentru fiecare sediu.
În ceea ce privește sediile comerciale înființate pe teritoriul altor diverselor state membre,
trebuie să se efectueze o evaluare de la caz la caz: activitățile acestora pot fi sau nu
considerate drept „indisociabil legate” de prelucrarea datelor cu caracter personale și,
prin urmare, legislațiile lor interne se pot sau nu aplica activităților de prelucrare ale FAI
japonez. dacă activitatea acestora se limitează la campanii generale de publicitate care nu
vizează utilizatorii și care nu implică prelucrarea datelor cu caracter personal ale
utilizatorilor, acestea nu fac obiectul dreptului UE privind protecția datelor. Cu toate
acestea, De exemplu, dacă FAI (operatorul) decide să întreprindă o activitate de
prelucrare care îi vizează pe locuitorii statului membru în care are un sediu, prelucrarea
respectivă este efectuată în cadrul activităților sediului local datele cu caracter personal
ale persoanelor fizice din țara pe teritoriul căreia sunt stabilite (cum ar fi trimiterea de
reclame țintă către anumiți utilizatori și posibili viitori utilizatori în scopuri comerciale
proprii), acestea vor trebui să respecte dreptul intern privind protecția datelor. Același
lucru este valabil și pentru alte situații, cu condiția să existe o legătură indisociabilă (care
poate fi, de asemenea, de natură economică, ca în cauza Google Spain).
În ceea ce privește activitățile sediilor irlandez și maghiar, atunci când analizează dacă se
aplică dreptul irlandez sau cel maghiar în ceea ce privește prelucrarea datelor de către
operatorul japonez, la fel ca în toate celelalte cazuri trebuie să se stabilească dacă
activitățile sucursalei maghiare sau ale celei irlandeze sunt „indisociabil legate” de
prelucrarea datelor cu caracter personal de către operatorul japonez.
Pagina 27, exemplul nr. 11: Rețeaua socială are sediul principal într-o țară terță
O platformă de rețele sociale are sediul principal într-o țară terță și un singur sediu
pe teritoriul unui singur stat membru. Rețeaua nu are alte sedii în niciun alt stat membru.
Sediul definește și pune în aplicare politici referitoare la prelucrarea datelor cu caracter
personal ale rezidenților UE. Rețeaua socială vizează în mod activ rezidenți din toate
statele membre ale UE, ceea ce constituie o porțiune semnificativă a clienților și
veniturilor sale. Aceasta instalează, de asemenea, „cookies” pe calculatoarele
utilizatorilor din UE.
-2-
În acest caz, în conformitate cu articolul 4 alineatul (1) litera (a), dreptul aplicabil va fi
dreptul privind protecția datelor al statului membru pe teritoriul căruia este stabilită
întreprinderea în cadrul UE 21.
Întrebarea dacă rețeaua socială recurge la mijloacele situate pe teritoriul unui alt stat
membru este irelevantă, întrucât prelucrarea are loc în cadrul activităților unui singur
sediu, iar directiva exclude aplicarea cumulativă a articolului 4 alineatul (1) litera (a) și a
articolului 4 alineatul (1) litera (c).
- Pagina 12 -
- Pagina 13 -
- Pagina 14 -
„În cazul în care la sediul respectiv se prelucrează date cu caracter personal în cadrul
activităților unui alt sediu, dreptul aplicabil va fi dreptul statului membru pe teritoriul
căruia este situat celălalt sediu.”
- Pagina 30 -
21
În schimb, în cazul în care furnizorul rețelei sociale are mai multe sedii în diferite state membre,
dispunând, de exemplu, de birouri de vânzări și de sucursale publicitare, serviciul de rețea socială ar putea
intra sub incidența articolului 4 alineatul (1) litera (a) în fiecare dintre statele membre respective, cu
condiția să poată fi stabilită o „legătură indisociabilă” cu activitățile desfășurate de sediile locale.
-3-
Anexa 2: exemple suplimentare
- Cu toate acestea, doar faptul că fac parte din același grup de întreprinderi, în
lipsa altor indicii orientative, nu este suficient pentru a dovedi că există o
„legătură indisociabilă” între activitatea comercială care are loc în cadrul unui
sediu din UE și prelucrarea datelor cu caracter personal. Prin urmare,
prelucrarea datelor cu caracter personal în acest caz nu are loc în cadrul
sediului din Franța al societății și, prin urmare, articolul 4 alineatul (1) litera
(a) nu poate fi invocat pentru a stabili aplicabilitatea dreptului francez.
- Un ziar online își are sediul și este publicat la Washington DC, dar este citit în
întreaga lume. Societatea editoare de presă își are sediul principal în SUA. Ziarul
online este un serviciu disponibil numai pe bază de abonament, putând fi accesat
doar de către abonați.
-1-
- Societatea are sucursale în fiecare stat membru al UE, iar fiecare dintre acestea
îndeplinește același rol în ceea ce privește publicitatea și comercializarea
diferitelor ediții „locale” pe suport hârtie, colectarea de date cu caracter personal
referitoare la abonați, gestionarea abonamentele acestora și trimiterea către
abonați a ofertelor speciale pentru produse sponsorizate etc.
- Pe lângă prelucrarea menționată mai sus, serviciul de editare a ziarului online din
SUA prelucrează date cu caracter personal referitoare la persoane fizice din UE în
legătură cu furnizarea ziarului online (de exemplu, analizând articolele cu cei mai
mulți cititori și cu cele mai multe comentarii, articolele apreciate și comunicate pe
site-ul internet etc., pentru a-și îmbunătăți serviciul și a-l personaliza într-o
măsură mai mare).
-2-