GRUPUL DE LUCRU „ARTICOLUL 29” PENTRU PROTECȚIA

DATELOR

176/16/RO
WP 179
(actualizare)

Actualizarea Avizului nr. 8/2010 privind dreptul aplicabil în urma hotărârii Curții
de Justiție a Uniunii Europene în cauza Google Spain

Adoptat la 16 decembrie 2015

Acest grup de lucru a fost instituit prin articolul 29 din Directiva 95/46/CE și este un organism consultativ european independent care
se ocupă cu protecția datelor și a vieții private. Sarcinile sale sunt prezentate la articolul 30 din Directiva 95/46/CE și la articolul 15
din Directiva 2002/58/CE.

Secretariatul grupului este asigurat de Direcția C (Drepturi fundamentale și cetățenia

Uniunii) din cadrul Direcției Generale Justiție și Consumatori a Comisiei Europene, B-
1049 Bruxelles, Belgia, biroul MO-59 02/013.
Site internet: http://ec.europa.eu/justice/data-protection/index_ro.htm
 Actualizarea Avizului privind dreptul aplicabil 1 în urma hotărârii
pronunțate de CJUE în cauza Google Spain2

1. Introducere și principalele chestiuni abordate în prezentul document de orientare

În hotărârea pronunțată în cauza Google Spain, Curtea de Justiție a Uniunii Europene

(„CJUE”) a constatat că prelucrarea datelor cu caracter personal în cauză de către
motorul de căutare gestionat de Google Inc., operator de date stabilit în SUA, este
„indisociabil legat[ă]” de activitățile sediului Google din Spania și, prin urmare, a fost
efectuată „în cadrul” acestor activități, întrucât activitățile publicitare și comerciale ale
filialei spaniole au constituit „mijlocul de a face motorul de căutare în cauză rentabil din
punct de vedere economic”. Din aceste motive, CJUE a concluzionat că în ceea ce
privește activitățile de prelucrare în cauză se aplică dreptul spaniol.

Această hotărâre a Curții are implicații mai largi și nu se limitează doar la a stabili
dreptul aplicabil în ceea ce privește funcționarea motorului de căutare Google în Spania..

• Hotărârea confirmă domeniul de aplicare teritorial extins al articolului 4

alineatul (1) litera (a) din Directiva 95/46/CE (denumită în continuare
„directiva”) 3, stabilind că dreptul UE se aplică activităților de prelucrare a
datelor efectuate de un operator stabilit în afara UE care are un sediu „relevant” în
UE, ceea ce determină aplicarea legislației UE în materie de protecție a datelor.
Măsura în care se aplică acest domeniu de aplicare teritorial larg ridică însă
numeroase semne de întrebare.

• În plus, apar întrebări și cu privire la modul în care trebuie interpretată hotărârea

în cazurile în care nu se pune problema dacă se aplică dreptul Uniunii sau dreptul
unei țări terțe, ci dacă se aplică dreptul unui stat membru al UE sau cel al unui alt
stat membru. Directiva prevede că „dacă același operator este stabilit pe
teritoriul mai multor state membre, acesta trebuie să ia măsurile necesare pentru
a se asigura că fiecare din sedii respectă obligațiile prevăzute în dreptul intern
aplicabil” [articolul 4 alineatul (1) litera (a) a doua teză]. În acest caz, se pune
întrebarea dacă și în ce măsură societățile care și-au desemnat un „sediu în UE”
(care acționează în calitate de „operator”), trebuie să respecte doar dreptul intern
al unui stat membru al UE sau trebuie să respecte și legislațiile altor state membre
ale UE în care societățile în cauză ar putea avea, de asemenea, un sediu
„relevant”.

• De asemenea, trebuie remarcat faptul că, deși Curtea de Justiție a Uniunii

Europene nu a examinat, în hotărârea sa, dacă utilizarea unui nume de domeniu
de web național și/sau utilizarea de roboți pentru colectarea de informații de pe
site-uri de internet europene ar determina aplicarea dreptului UE pe baza testului
constând în a se stabili dacă operatorul „recurge la mijloace”, menționat la
articolul 4 alineatul (1) litera (c), hotărârea nu exclude posibilitatea ca activități

1
Avizul nr. 8/2010 al GL A29 privind dreptul aplicabil
2
Hotărârea CJUE din 13 mai 2014 în cauza C-131/12, Google Spain SL și Google Inc./Agencia Española
de Protección de Datos (Agenția Spaniolă de Protecție a Datelor, „AEPD”) și Mario Costeja González
(„Google Spain”). De asemenea, în prezentul document de orientare vom aborda succint unele elemente ale
hotărârii pronunțate de Curtea de Justiție a Uniunii Europene la 1 octombrie 2015 în cauza C-230/14,
Weltimmo s.r.o./Nemzeti Adatvédelmi és Információszabadság Hatóság („Weltimmo”).
3
CJUE a confirmat ulterior acest lucru și în cauza Weltimmo (a se vedea punctele 25 și 27).
-2-
 desfășurate de operatori care nu au niciun sediu pe teritoriul UE să fie supuse
cerințelor UE în materie de protecție a datelor. Într-adevăr, articolul 4 din
directivă precizează că această posibilitate există.

Avizul 8/2010 al GL29 și, în special, unele dintre exemplele citate (de exemplu,
exemplele 5 și 11) ar trebui să fie interpretate prin prisma hotărârii din cauza Google
Spain și a acestui nou document de orientare. În prezentul document de orientare, GL 29
analizează primele două dintre aceste întrebări, ambele legate de modul în care CJUE a
interpretat testul bazat pe criteriul „sediului”, menționat la articolul 4 alineatul (1)
litera (a) din directivă.

2. Implicațiile hotărârii Curții de Justiție a Uniunii Europene în ceea ce privește

„cadrul activităților unui sediu”

Prima întrebare la care CJUE a răspuns în cauza Google Spain s-a referit la testul bazat
pe noțiunea de „sediu” în sensul articolului 4 alineatul (1) litera (a) din directivă, care
prevede că directiva se aplică atunci când prelucrarea este efectuată „în cadrul
activităților operatorului cu sediul” pe teritoriul unui stat membru.

În primul rând, trebuie amintit că, în conformitate cu considerentul 19 din directivă și cu

orientările deja furnizate în Avizul nr. 8/2010 al GL 29, noțiunea de sediu trebuie să fie
interpretată în sens larg, după cum a confirmat CJUE în recenta hotărâre pronunțată în
cauza Weltimmo. La punctul 41 din hotărârea menționată mai sus, CJUE a subliniat că, în
cazul în care operatorul exercită „o activitate efectivă și reală, chiar minimă [...] într-o
formă de instalare stabilă” pe teritoriul unui stat membru, se va considera că operatorul
are un sediu în respectivul stat membru 4.

În cazul Google Spain, motorul de căutare Google este furnizat de Google Inc., o
societate cu sediul în SUA, dar Google dispune de o filială în Spania, Google Spain SL,
care promovează și vinde spațiu publicitar online. Prin urmare, Curtea a trebuit să
examineze întrebarea dacă indexul motorului de căutare Google prelucrează datele cu
caracter personal „în cadrul activităților [unui] sediu” situat într-un stat membru, ca
urmare a activităților Google Spain SL.

CJUE a considerat că directiva se aplică prelucrării efectuate de Google pentru a furniza

rezultate ale căutărilor în Spania, în pofida faptului că Google Inc. își are sediul în
California și că nu Google Spain, ci Google Inc. prestează servicii de căutare în Spania.
Tribunalul a respins argumentul invocat de Google, potrivit căruia Google nu își
desfășura activitățile de căutare în Spania, iar Google Spain SL era doar un reprezentant
comercial pentru funcții de publicitate. Curtea a amintit că articolul 4 alineatul (1)
litera (a) din directivă nu impune ca prelucrarea datelor cu caracter personal în discuție să
fie efectuată „de” însuși sediul în cauză, ci doar ca ea să fie efectuată „în cadrul
activităților” acestuia 5.

CJUE a argumentat că activitățile operatorului motorului de căutare și cele ale sediului

său situat în statul membru în cauză sunt „indisociabil legate” de prelucrarea efectuată de
motorul de căutare al Google Inc., susținând că activitățile întreprinse de Google Spain

4
A se vedea, în special, punctul 29 din hotărârea pronunțată în cauza Weltimmo, care pune accentul pe o
concepție suplă a noțiunii de „sediu” și clarifică faptul că „se impune evaluarea atât a gradului de
stabilitate a formei de instalare, cât și a efectivității desfășurării de activități în acest alt stat membru,
ținând seama de natura specifică a activităților economice și a prestărilor de servicii în cauză.”.
5
A se vedea cauza Google Spain, punctul 52, confirmat și de punctul 35 din hotărârea în cauza Weltimmo.
-3-
SL constituie mijlocul de a face motorul de căutare în cauză rentabil din punct de vedere
economic 6. În acest sens, este suficient faptul că Google Spain SL desfășoară activități
publicitare, acestea fiind legate de modelul comercial al Google (vânzarea de publicitate
relevantă pentru rezultatele propuse de motorul de căutare). Cu alte cuvinte, dacă nu ar
exista activitățile publicitare, care sunt facilitate de Google Spain SL și de filialele
similare ale Google din întreaga lume, pentru Google nu ar fi fezabil din punct de vedere
economic să își ofere serviciile de motor de căutare. Activitățile de motor de căutare
desfășurate de Google nu pot fi separate de obținerea de venituri din publicitate 7.

În consecință, Curtea a concluzionat că „prelucrarea datelor cu caracter personal în

discuție este efectuată în cadrul activității publicitare și comerciale a sediului
operatorului de pe teritoriul unui stat membru, în speță teritoriul spaniol.”8.

CJUE a explicat, de asemenea, că, având în vedere obiectivele urmărite de directivă,

dispozițiile privind domeniul de aplicare al acesteia, „nu p[ot] primi o interpretare
restrictivă” și că directiva are „un domeniu de aplicare teritorial deosebit de larg”.
Curtea a susținut îndeosebi că „nu se poate accepta ca prelucrarea datelor cu caracter
personal efectuată pentru nevoile funcționării motorului de căutare menționat să fie
exclusă de la obligațiile și de la garanțiile prevăzute de Directiva 95/46, ceea ce ar
aduce atingere efectului util al acesteia și protecției eficiente și complete a drepturilor și
a libertăților fundamentale ale persoanei pe care urmărește să o asigure” 9.

În sfârșit, este important să se sublinieze faptul că hotărârea definitivă a Curții 10 nu

evidențiază doar faptul că „operatorul unui motor de căutare înființează într-un stat
membru o sucursală sau o filială destinată promovării și vânzării spațiului publicitar de
pe pagina acestui motor”, ci și că activitatea acestei sucursale sau filiale „este orientată
către locuitorii acelui stat membru”. În cazul Google, această activitate constă în a
prezenta, alături de rezultatele căutării, produse publicitare având drept țintă Spania.

3. Stabilirea „legătur[ii] indisociabil[e]” dintre activitățile desfășurate de un sediu

situat pe teritoriul UE și prelucrarea datelor de către un operator din afara UE

Hotărârea pronunțată în cauza Google Spain confirmă faptul că activitățile unui sediu
local și activitățile de prelucrare a datelor pot fi legate în mod indisociabil și, prin urmare,
pot determina aplicarea dreptului UE, chiar dacă acest sediu nu exercită, de fapt, niciun
rol în activitățile propriu-zise de prelucrare a datelor cu caracter personal. Pe baza
concluziilor avocatului său general 11, CJUE a hotărât că vânzările realizate de sediul
local din Spania al Google sunt „indisolubil legate” de profitul obținut prin activitățile de
prelucrare a datelor, indiferent de locul în care aceste activități au avut loc efectiv, și că
această „legătură indisociabilă” era suficientă pentru a determina aplicarea dreptului
spaniol.

Elementul esențial constă în faptul că, deși sediul local nu este implicat în mod direct în
prelucrarea datelor, cum a fost cazul în speță, activitățile filialei locale în cauză pot totuși
6
A se vedea punctul 56 din hotărâre.
7
Ca argument suplimentar, CJUE a menționat, de asemenea, faptul că reclamele și rezultatele căutării sunt
afișate pe aceeași pagină, ceea ce dovedește încă odată interdependența lor.
8
A se vedea punctul 57 din hotărâre.
9
A se vedea punctele 53, 54 și 58 din hotărâre.
10
A se vedea punctul 60, precum și punctul 2 din partea dispozitivă.
11
Concluziile avocatului general Jaaskinen prezentate la 25 iunie 2013 în cauza C-131/12. Disponibile la:
http://curia.europa.eu/juris/document/document.jsf?docid=138782&doclang=RO. A se vedea, în special,
punctul 64.
-4-
avea drept consecință încadrarea prelucrării datelor în domeniul de aplicare al legislației
UE privind protecția datelor, atât timp cât există o legătură „indisociabilă” între
activitățile sediului local și prelucrarea datelor.

Din hotărârea CJUE reiese că faptul că un sediu local realizează venituri în UE, în
măsura în care aceste activități pot fi „indisociabil legate” de prelucrarea datelor cu
caracter personal efectuată în afara UE, este suficient pentru ca directiva să se aplice
prelucrării în cauză efectuată de un operator din afara UE 12.

În hotărârea sa, CJUE a avut în vedere în mod expres problema produselor publicitare
inserate de motoarele de căutare, precum și măsura în care se poate considera că o filială
publicitară locală constituie un sediu „relevant” pentru a determina aplicarea dreptului
Uniunii. Cu toate acestea, întreprinderile își pot organiza activitatea în numeroase moduri
și există diverse modele de afaceri. Fiecare caz trebuie evaluat pe baza elementelor
proprii, ținându-se seama de particularitățile sale. Ar fi eronat să se interpreteze hotărârea
CJUE într-un sens prea larg și să se ajungă la concluzia că absolut toate sediile care cea
mai mică legătură cu activitățile de prelucrare a datelor vor determina aplicarea legislației
UE 13. În egală măsură, ar fi eronat să se interpreteze hotărârea în linii prea restrictive,
aplicând-o exclusiv modelului de afaceri specific operatorilor de motoare de căutare.

În funcție de situația de fapt din cauza analizată, precum și de rolul pe care îl joacă sediul
local, hotărârea se poate aplica altor societăți din afara UE al căror model de afaceri se
bazează pe oferta de „servicii gratuite” pe teritoriul UE, care sunt finanțate ulterior prin
utilizarea datelor cu caracter personal colectate de la utilizatori (de exemplu, în scopuri
publicitare).

În plus, tot în funcție de circumstanțele fiecărui caz în parte, nu se poate exclude faptul că
activitățile societăților care își bazează activitatea pe alte modele de afaceri pot intra, la
rândul lor, în domeniul de aplicare a legislației UE: activitățile societăților străine care își
oferă serviciile în UE în schimbul cotizațiilor sau abonamentelor, de exemplu. În această
situație se pot regăsi și organizațiile care solicită donații, în cazul în care această
activitate se desfășoară în cadrul unuia sau al mai multor sedii situate în UE.

Atunci când se examinează situația de fapt din cauza analizată, poate fi relevant și faptul
că încasările obținute de Google Spain SL din activitățile publicitare desfășurate în
Spania nu sunt utilizate neapărat pentru a finanța www.google.es sau orice alt serviciu de
căutare european și că, în general, contractele publicitare sunt încheiate cu entitatea
Google din Irlanda 14. Se poate deduce că legătura economică necesară dintre activitățile
sediului local și activitățile de prelucrare a datelor nu trebuie să fie neapărat directă
pentru a îndeplini aceste criterii.

În concluzie, atunci când o analiză de la caz la caz a situației de fapt arată că există o
legătură indisociabilă între activitățile desfășurate de un sediu situat în UE și activitățile

12
Această situație ar putea apărea, de exemplu, în cazul oricărui operator străin care dispune de un birou de
vânzări sau este prezent sub orice altă formă în UE, chiar dacă biroul respectiv nu exercită niciun rol în
prelucrarea efectivă a datelor, mai ales în cazul în care prelucrarea este efectuată în cadrul activităților de
vânzări desfășurate în UE, iar activitățile sediului vizează locuitorii din statele membre în care este situat
sediul respectiv.
13
De exemplu, anumite activități comerciale pot fi atât de îndepărtate de prelucrarea datelor cu caracter
personal, încât existența activității comerciale nu ar determina încadrarea respectivelor activități de
prelucrare a datelor în domeniul de aplicare al dreptului Uniunii.
14
Hannah Crowther: „Remember to forget me: the recent ruling in Google v AEPD and Costeja”,
Computer and Telecommunications Law Review, 2014.
-5-
de prelucrare a datelor efectuate de un operator din afara UE, dreptul UE se aplică
prelucrării efectuate de entitatea din afara UE, indiferent dacă sediul situat în UE exercită
sau nu un rol în cadrul procesului de prelucrare a datelor. Această constatare confirmă
domeniul de aplicare teritorial larg al directivei prevăzut la articolul 4 alineatul (1).

Este de așteptat ca acest domeniu teritorial larg să fie extins în continuare în viitor prin
normele stabilite în propunerea de regulament general privind protecția datelor 15, care se
bazează într-un mod mai explicit pe „principiul efectelor” pentru a completa „principiul
teritorialității” atunci când este vorba despre activitățile desfășurate de operatori de date
străini în UE 16.

4. Stabilirea dreptului aplicabil în cazul organizațiilor care dispun de mai multe

sedii în UE

Se pune întrebarea care este dreptul aplicabil în cazul în care o întreprindere sau un grup
de întreprinderi își desfășoară activitatea în UE, dispune de birouri de vânzări sau de alte
sedii în mai multe state membre și a desemnat un anumit sediu situat într-un stat membru
al UE drept „sediul din UE”, iar acest sediu este singurul care îndeplinește funcțiile de
operator în ceea ce privește operațiunile de prelucrare în cauză. Înseamnă acest lucru că
operatorul trebuie să respecte legislația în materie de protecție a datelor dintr-un singur
stat membru sau că va trebui, de asemenea, să respecte unele sau toate legile relevante
din statele membre în care societatea are sedii (care nu exercită neapărat vreun rol în
operațiunile de prelucrare propriu-zise)? Cu alte cuvinte, ar presupune această hotărâre
aplicarea mai multor legislații naționale în materie de protecție a datelor în cazul în care
activitățile desfășurate de mai multe sedii ale aceluiași operator în diferite state membre
sunt „legate indisociabil” de prelucrarea datelor?

CJUE nu a abordat această problemă în mod direct și nici nu a făcut vreo distincție în
hotărârea sa în funcție de existența sau nu a unui sediu care acționează în calitate de
operator sau exercită un alt rol important în activitățile de prelucrare. În schimb,
hotărârea a oferit, cu aplicabilitate generală, o nouă interpretare a expresiei „în cadrul
activităților [unui] sediu”, adăugând elementul „legăturii indisociabile” cu activitățile de
prelucrare a datelor.

Acestea fiind spuse, CJUE a atras atenția asupra faptului că unul dintre motivele pentru
care a reținut această abordare a fost de a garanta că persoanele nu sunt private de
protecția la care au dreptul conform directivei. S-ar putea ca acest argument să nu se
aplice neapărat în cazul în care o societate străină cu sediul în UE identifică în mod
public drept operator o entitate situată în UE și în care, tot în funcție de circumstanțele
cazului respectiv, stabilește scopurile și mijloacele de prelucrare a datelor. În această
ipoteză, dreptul Uniunii s-ar aplica în orice caz. Nu se pune problema să se stabilească
dacă legislația UE privind protecția datelor s-ar aplica sau nu. Întrebarea este, în schimb,
care dintre legislațiile naționale în materie de protecție a datelor din UE s-ar aplica. De
exemplu, în cazul activităților unei societăți străine cu sediul în Irlanda, dar care este
stabilită și în Spania, s-ar aplica legea irlandeză, cea spaniolă ori ambele deopotrivă?

15
Propunere de Regulament privind protecția persoanelor fizice cu privire la prelucrarea
datelor cu caracter personal și libera circulație a acestor date (Regulament general privind
protecția datelor), COM(2012) 11 final.
16
A se vedea, de asemenea punctul 56, din Concluziile avocatului general, în care se explică faptul că o
astfel de abordare, care condiționează aplicabilitatea teritorială a legislației Uniunii de publicul vizat, este
în conformitate cu jurisprudența Curții.
-6-
În cazul în care societatea s-ar supune doar legislației în materie de protecție a datelor a
unui singur stat membru, și nu a ambelor, situațiile de referință prevăzute de directivă ar
continua să ofere un nivel relativ ridicat de protecție persoanelor vizate. Totuși, tocmai
din cauza faptului că nu s-a realizat o armonizare completă până în prezent, este
important să se stabilească statul membru al cărui drept se aplică. Directiva nu creează un
„ghișeu unic” în baza căruia dreptul statului membru pe teritoriul căruia este situat
„sediul din UE” s-ar aplica tuturor activităților de prelucrare a datelor cu caracter
personal din întreaga UE.

În schimb, ori de câte ori există un sediu în oricare dintre statele membre ale UE, trebuie
să se examineze, în fiecare caz în parte, dacă, în cadrul activităților sediului respectiv, se
efectuează o anumită activitate de prelucrare a datelor. Nu este deloc neobișnuit ca o
societate care își are sediul într-un stat membru al Uniunii Europene și care desfășoară
activități în mai multe state membre ale UE să trebuiască să respecte legislațiile fiecăruia
dintre aceste state membre (probabil în ceea ce privește componente diferite ale
activităților sale de prelucrare a datelor) 17.

De exemplu, o bancă ce își are sediul într-un stat membru, dar care propune servicii
bancare destinate persoanelor fizice și își desfășoară activitatea într-un număr mare de
sucursale pe întregul teritoriu al UE trebuie să respecte fiecare dintre aceste legislații
locale. Regulile care se aplică în mediul offline, în lumea reală, trebuie să se aplice și în
mediul digital. Situația contrară ar putea încuraja toate întreprinderile care sunt suficient
de mobile, cum este cazul unui mare număr de întreprinderi care desfășoară activități
comerciale online, să încerce să obțină o situație juridică mai favorabilă. La rândul său,
această situație ar putea încuraja o „concurență în jos” în domeniul reglementării în ceea
ce privește protecția datelor 18.

4. Concluzie: criteriul „legăturii indisociabile” ca nou element de analiză a noțiunii

„în cadrul activităților”

În concluzie, pe baza hotărârii pronunțate în cauza Google Spain, la criteriile descrise în

Avizul GL 29 privind dreptul aplicabil ar trebui să fie adăugat un element suplimentar
care poate determina aplicarea dreptului UE/național: criteriile unei „legături”
(economice în acest caz specific) „indisociabile” între o activitate și prelucrarea datelor.
În hotărârea sa, Curtea de Justiție a identificat această „legătură indisociabilă” luând în
considerare, de asemenea, modelul de afaceri finanțat prin publicitate al serviciilor on-
line gratuite, care constituie, în prezent, modul cel mai frecvent de desfășurare de
activități pe internet. În plus, această hotărâre sugerează că alte modele de afaceri și
diferite forme de activitate (inclusiv realizarea de venituri) într-un stat membru al UE pot
determina, la rândul lor, aplicarea dreptului UE, deși situația trebuie examinată de la caz
la caz.

17
A se vedea punctul 28 din hotărârea pronunțată în cauza Weltimmo.
18
În această privință, este util să se facă trimitere, de asemenea, la articolul 28 alineatul (6) din directivă,
care prevede că fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil, să
exercite pe teritoriul statului membru din care provine competențele conferite în conformitate cu
articolul 28 alineatul (3) din directivă. De asemenea, articolul 28 alineatul (6) din directivă prevede că
fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru
și că autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin
schimburi de informații utile. În ceea ce privește sancțiunile, la punctul 60 din hotărârea pronunțată în
cauza Weltimmo, CJUE a concluzionat că o autoritate de supraveghere „nu poate aplica sancțiuni pe baza
dreptului acestui stat membru operatorului acestor date care nu este stabilit pe acest teritoriu, ci ar trebui,
în temeiul articolului 28 alineatul (6) din aceeași directivă, să solicite autorității de supraveghere
provenind din statul membru al cărui drept este aplicabil să intervină.”.
-7-
Indiferent de locul în care au loc activitățile propriu-zise de prelucrare a datelor, atât timp
cât o societate are sedii în mai multe state membre ale UE, iar sediile respective
promovează și vând spațiu publicitar, realizează venituri sau desfășoară alte activități, și
se poate stabili că aceste activități și prelucrarea datelor sunt „legate indisociabil”, se va
aplica dreptul intern al statelor în care se situează fiecare din aceste sedii.

Hotărârea oferă clarificări utile cu privire la două aspecte: în primul rând, hotărârea
clarifică faptul că domeniul de aplicare a legislației UE în vigoare în prezent cuprinde
prelucrarea efectuată de entități din afara UE care au un sediu „relevant” ale cărui
activități în UE sunt „legate indisociabil” de prelucrarea datelor, chiar și în cazul în care
aplicarea dreptului Uniunii nu ar fi fost determinată pe baza unor criterii mai tradiționale.
În al doilea rând, hotărârea confirmă, de asemenea, faptul că, în conformitate cu
articolul 4 alineatul (1) litera (a) din Directiva 95/46/CE, în cazul în care există o
„legătură indisociabilă” este posibil să se aplice dreptul intern al mai multor state
membre activităților unui operator care dispune de multe sedii în diferite state membre.

-8-
Anexa 1: modificări aduse avizului din 2010

Pagina 16, exemplul nr. 5: Furnizorul de servicii internet (modificările sunt evidențiate în
exemplul inițial)

Un furnizor de servicii internet (operatorul de date) este stabilit în afara UE,

de exemplu în Japonia. Acesta are sedii comerciale în majoritatea statelor membre ale
UE și un sediu în

Irlanda, care se ocupă cu probleme legate de prelucrarea datelor cu caracter personal,

inclusiv, în special, suport TIC. Operatorul dezvoltă un centru de date în Ungaria, cu
angajați și servere dedicate prelucrării și stocării datelor referitoare la utilizatorii
serviciilor sale. Aceste sedii ale operatorului japonez din Japonia dispune de anumite
sedii situate în diversele state membre ale UE desfășoară diferite activități, specificate în
continuare:

- centrul de date din Ungaria se ocupă doar de stocarea datelor referitoare la utilizatorii
serviciilor acestui FAI și de întreținerea tehnică;

- sediile comerciale ale FAI desfășoară diverse activități de vânzări, marketing și

organizează campanii generale de publicitate;

- sediul din Irlanda este singurul sediu de pe teritoriul UE care desfășoară activități în
cadrul cărora sunt prelucrate efectiv datele cu caracter personal (fără a aduce atingere
datelor de intrare ale sediilor centrale din Japonia). 19.

Testul bazat pe noțiunea de „sediu” în sensul articolului 4 alineatul (1) litera (a) din
directivă înseamnă că directiva se aplică atunci când prelucrarea este efectuată în cadrul
activităților unui sediu al operatorului desfășurate pe teritoriul unui stat membru. Având
în vedere hotărârea Curții de Justiție a Uniunii Europene în cauza Google Spain 20, pentru
a aprecia dacă acest criteriu este îndeplinit trebuie să se analizeze dacă activitățile
sediului local sunt „indisociabil legate” de prelucrarea datelor cu caracter personal.
Această situație ar trebui evaluată de la caz la caz pentru fiecare sediu.

În cazul în care reiese că principalele operațiuni de prelucrare efectuate de FAI nu sunt

supuse legislației interne privind protecția datelor din statele membre, deoarece nu există
o legătură indisociabilă între activitățile de prelucrare a datelor și activitățile sediilor
locale, Cu toate acestea acest lucru nu aduce atingere aplicării dreptului local, de
exemplu a celui maghiar, în ceea ce privește prelucrarea diferită a datelor cu caracter
personal de către centrul de date din Ungaria în legătură cu propriile activități – de
exemplu, prelucrarea datelor cu caracter personal referitoare la angajații centrului de
date.

Activitățile sediului irlandez pot determina aplicarea dreptului UE privind protecția

datelor pe baza criteriilor tradiționale: datele cu caracter personal sunt prelucrate în
19
Ia act de posibilitatea ca fiecare sediu să prelucreze date cu caracter personal și în cadrul propriilor sale
activități, de exemplu, fiecare sediu prelucrează datele cu caracter personal ale propriilor săi angajați.
Aceste operațiuni de prelucrare sunt diferite de cele desfășurate de respectivul FAI japonez, și, în orice caz,
în cazul acestora se aplică legislația locală, astfel cum se va arăta în continuare.
20
CJUE C-131/12, Google Spain împotriva Agencia Española de Protección de Datos.
-1-
cadrul activităților sediului irlandez, prin urmare, prelucrarea face obiectul legislației UE
privind protecția datelor. Dreptul aplicabil prelucrării efectuate în cadrul activităților
sediului irlandez este legislația irlandeză privind protecția datelor, indiferent dacă
prelucrarea are loc în Portugalia, Italia sau alt stat membru. Aceasta înseamnă că, potrivit
acestei ipoteze, centrul de date din Ungaria ar trebui să respecte dreptul irlandez privind
protecția datelor în ceea ce privește prelucrarea datelor cu caracter personal ale
utilizatorilor furnizorului de servicii.

În ceea ce privește sediile comerciale înființate pe teritoriul altor diverselor state membre,
trebuie să se efectueze o evaluare de la caz la caz: activitățile acestora pot fi sau nu
considerate drept „indisociabil legate” de prelucrarea datelor cu caracter personale și,
prin urmare, legislațiile lor interne se pot sau nu aplica activităților de prelucrare ale FAI
japonez. dacă activitatea acestora se limitează la campanii generale de publicitate care nu
vizează utilizatorii și care nu implică prelucrarea datelor cu caracter personal ale
utilizatorilor, acestea nu fac obiectul dreptului UE privind protecția datelor. Cu toate
acestea, De exemplu, dacă FAI (operatorul) decide să întreprindă o activitate de
prelucrare care îi vizează pe locuitorii statului membru în care are un sediu, prelucrarea
respectivă este efectuată în cadrul activităților sediului local datele cu caracter personal
ale persoanelor fizice din țara pe teritoriul căreia sunt stabilite (cum ar fi trimiterea de
reclame țintă către anumiți utilizatori și posibili viitori utilizatori în scopuri comerciale
proprii), acestea vor trebui să respecte dreptul intern privind protecția datelor. Același
lucru este valabil și pentru alte situații, cu condiția să existe o legătură indisociabilă (care
poate fi, de asemenea, de natură economică, ca în cauza Google Spain).

În ceea ce privește activitățile sediilor irlandez și maghiar, atunci când analizează dacă se
aplică dreptul irlandez sau cel maghiar în ceea ce privește prelucrarea datelor de către
operatorul japonez, la fel ca în toate celelalte cazuri trebuie să se stabilească dacă
activitățile sucursalei maghiare sau ale celei irlandeze sunt „indisociabil legate” de
prelucrarea datelor cu caracter personal de către operatorul japonez.

În cazul în care nu poate fi stabilită o conexiune „legătură indisociabilă” între

prelucrarea datelor și activitățile sediilor irlandez FAI japonez în UE (suportul TIC este
foarte limitat și nu există o implicare în prelucrarea datelor cu caracter personal sau o altă
„legătură indisociabilă” ori de alt tip), alte dispoziții ale directivei pot în continuare să
determine aplicarea principiilor privind protecția datelor, de exemplu, dacă operatorul
recurge la mijloace pe teritoriul UE. Acest lucru este analizat în capitolul III.3 de mai jos.

Pagina 27, exemplul nr. 11: Rețeaua socială are sediul principal într-o țară terță

și un sediu pe teritoriul UE (modificările sunt evidențiate în exemplul inițial)

O platformă de rețele sociale are sediul principal într-o țară terță și un singur sediu

pe teritoriul unui singur stat membru. Rețeaua nu are alte sedii în niciun alt stat membru.
Sediul definește și pune în aplicare politici referitoare la prelucrarea datelor cu caracter
personal ale rezidenților UE. Rețeaua socială vizează în mod activ rezidenți din toate
statele membre ale UE, ceea ce constituie o porțiune semnificativă a clienților și
veniturilor sale. Aceasta instalează, de asemenea, „cookies” pe calculatoarele
utilizatorilor din UE.

-2-
În acest caz, în conformitate cu articolul 4 alineatul (1) litera (a), dreptul aplicabil va fi
dreptul privind protecția datelor al statului membru pe teritoriul căruia este stabilită
întreprinderea în cadrul UE 21.

Întrebarea dacă rețeaua socială recurge la mijloacele situate pe teritoriul unui alt stat
membru este irelevantă, întrucât prelucrarea are loc în cadrul activităților unui singur
sediu, iar directiva exclude aplicarea cumulativă a articolului 4 alineatul (1) litera (a) și a
articolului 4 alineatul (1) litera (c).

Cu toate acestea, autoritatea de supraveghere a statului membru în care este stabilită

rețeaua socială pe teritoriul UE va fi obligată – în conformitate cu articolul 28 alineatul
(6) – să coopereze cu alte autorități de supraveghere, de exemplu, pentru a soluționa
cererile sau plângerile trimise de rezidenții din alte state ale UE.

- Pagina 12 -

se elimină ultimul paragraf de la această pagină.

- Pagina 13 -

se elimină primul paragraf de la această pagină.

- Pagina 14 -

Se elimină următorul alineat:

„În cazul în care la sediul respectiv se prelucrează date cu caracter personal în cadrul
activităților unui alt sediu, dreptul aplicabil va fi dreptul statului membru pe teritoriul
căruia este situat celălalt sediu.”

- Pagina 30 -

Se elimină întreaga secțiune „IV. 2. Îmbunătățirea dispozițiilor actuale”, întrucât aceste

declarații vizionare au fost înlocuite între timp cu orientările suplimentare furnizate de
GL29 în contextul reformei reglementărilor în materie de protecție a datelor.

21
În schimb, în cazul în care furnizorul rețelei sociale are mai multe sedii în diferite state membre,
dispunând, de exemplu, de birouri de vânzări și de sucursale publicitare, serviciul de rețea socială ar putea
intra sub incidența articolului 4 alineatul (1) litera (a) în fiecare dintre statele membre respective, cu
condiția să poată fi stabilită o „legătură indisociabilă” cu activitățile desfășurate de sediile locale.
-3-
Anexa 2: exemple suplimentare

Exemplele prezentate în continuare sunt oferite cu scopul de a aduce clarificări

suplimentare cu privire la măsura în care legile în materie de protecție a datelor în
vigoare în statele membre ale UE se aplică prelucrării datelor cu caracter personal de
către o societate internațională sau de către un grup internațional de societăți. Exemplele
urmăresc să aplice articolul 4 din Directiva 95/46/CE în lumina argumentelor care stau la
baza hotărârii pronunțate de CJUE în cauza Google Spain.

1. Un serviciu de socializare cu sediul principal la Toronto

- O societate care gestionează un serviciu mondial de socializare își are sediul

principal în afara UE, la Toronto, iar site-ul său este din ce în ce mai utilizat și
de persoane fizice de pe întregul teritoriu al UE. Societatea face parte dintr-un
grup de societăți, care desfășoară diverse activități în diferite părți ale lumii,
dar, până în prezent, aproape exclusiv în afara Europei.

- Societatea are un singur sediu în Europa, și anume o filială situată în Franța și

deținută în totalitate, care desfășoară activități de import și export cu ridicata
de produse gastronomice și vin. Activitățile filialei franceze nu sunt legate sub
nicio formă de activitățile site-ului de socializare în rețea. Întreprinderea
franceză nu prelucrează niciun fel de date cu caracter personal în legătură cu
activitățile de rețea de socializare, care au loc în totalitate la Toronto.
Întreprinderea franceză nu vinde și nici nu comercializează publicitate sau
abonamente legate de site-ul de socializare în rețea.

- Există, în definitiv, o legătură financiară între prestatorul de servicii și sediul

francez. Acestea își desfășoară activitatea în cadrul aceluiași grup de
întreprinderi; în definitiv, activitatea sediului francez poate astfel sprijini în
mod indirect serviciul stabilit la Toronto și îi poate oferi avantaje.

- Cu toate acestea, doar faptul că fac parte din același grup de întreprinderi, în
lipsa altor indicii orientative, nu este suficient pentru a dovedi că există o
„legătură indisociabilă” între activitatea comercială care are loc în cadrul unui
sediu din UE și prelucrarea datelor cu caracter personal. Prin urmare,
prelucrarea datelor cu caracter personal în acest caz nu are loc în cadrul
sediului din Franța al societății și, prin urmare, articolul 4 alineatul (1) litera
(a) nu poate fi invocat pentru a stabili aplicabilitatea dreptului francez.

2. Un ziar on-line publicat la Washington DC

- Un ziar online își are sediul și este publicat la Washington DC, dar este citit în
întreaga lume. Societatea editoare de presă își are sediul principal în SUA. Ziarul
online este un serviciu disponibil numai pe bază de abonament, putând fi accesat
doar de către abonați.

-1-
- Societatea are sucursale în fiecare stat membru al UE, iar fiecare dintre acestea
îndeplinește același rol în ceea ce privește publicitatea și comercializarea
diferitelor ediții „locale” pe suport hârtie, colectarea de date cu caracter personal
referitoare la abonați, gestionarea abonamentele acestora și trimiterea către
abonați a ofertelor speciale pentru produse sponsorizate etc.

- Pe lângă prelucrarea menționată mai sus, serviciul de editare a ziarului online din
SUA prelucrează date cu caracter personal referitoare la persoane fizice din UE în
legătură cu furnizarea ziarului online (de exemplu, analizând articolele cu cei mai
mulți cititori și cu cele mai multe comentarii, articolele apreciate și comunicate pe
site-ul internet etc., pentru a-și îmbunătăți serviciul și a-l personaliza într-o
măsură mai mare).

- Faptul că nu se poate considera că prelucrarea datelor cu caracter personal

de către prestatorul de servicii din SUA în legătură cu prestarea serviciului are loc
în cadrul activităților sediilor sale europene va depinde de existența unei „legături
indisociabile” între această prelucrare și activitățile sediilor europene.

- Dacă ziarul online din SUA prestează un serviciu„disponibil numai pe bază de

abonament” destinat persoanelor rezidente în Europa, persoanele fizice nu pot
avea acces la acest serviciu decât dacă se abonează și dacă își pun datele
personale la dispoziția sediului din UE al serviciului respectiv. Prin urmare, este
clar că prelucrarea datelor cu caracter personal de către ziarul din SUA cu scopul
de a presta serviciul online în Europa este efectuată în cadrul activităților sediilor
situate în UE, deoarece această prelucrare este legată în mod indisociabil de
activitățile de gestionare a abonamentelor desfășurate de sediile situate în UE,
întrucât ziarul online din SUA nu poate fi accesat în Europa decât prin
intermediul activităților desfășurate de sediile situate în UE. Prelucrarea de către
furnizorul de servicii din SUA va intra, în consecință, sub incidența Directivei
95/46/CE sau, mai precis, a legislațiilor naționale ale statelor membre în care sunt
stabilite sucursalele furnizorului.

-2-