Cauza C-645/19 – Facebook Ireland și alții Hotărârea Curții din 15 iunie 2021 – Competența Autorității de Supraveghere

In C-645/19 Facebook Ireland Ltd and Others v Gegevensbeschermingsautoriteit, the Court confirmed that only the lead Data Protection Authority can act against a controller, another supervisory authority can only initiate proceedings against a controller, provided that this power is exercised in one of the limited situations where the Regulation (EU) 2016/679 confers a competence to adopt a final decision, and provided that the cooperation and consistency procedures establish by the article 60 are respected.

In the event of cross-border data processing, it is not a prerequisite for the exercise of the power of a supervisory authority of a Member State, other than the lead supervisory authority, to initiate or engage in legal proceedings, within the meaning of that provision, that the controller or processor with respect to the cross-border processing of personal data against whom such proceedings are brought has a main establishment or another establishment on the territory of that Member State.

The article 58(5) of Regulation 2016/679 must be interpreted as meaning that that provision has direct effect, with the result that a national supervisory authority may rely on that provision in order to bring or continue a legal action against private parties, even where that provision has not been specifically implemented in the legislation of the Member State concerned.

În Hotărârea C-645/19 Facebook Ireland Ltd și alții împotriva Gegevensbeschermingsautoriteit, Curtea a confirmat că numai autoritatea principală pentru protecția datelor poate acționa împotriva unui operator, o altă autoritate de supraveghere poate numai iniția o procedură împotriva unui operator, cu condiția ca această competență să fie exercitată într-una dintre situații limitative pentru care Regulamentul (UE) 2016/679 conferă competența de a adopta o decizie finală și cu condiția respectării procedurilor de cooperare și coerență stabilite la articolul 60.

În cazul prelucrării transfrontaliere a datelor, nu se impune ca o condiție prealabilă pentru exercitarea competenței unei autorități de supraveghere dintr-un Stat Membru, alta decât autoritatea de supraveghere principală, de a iniția sau a se angaja în proceduri judiciare, în sensul acestei dispoziţii, ca operatorul sau persoana împuternicită de operator în privinţa prelucrării transfrontaliere de date cu caracter personal împotriva căreia este intentată o astfel de acţiune să aibă un sediu principal sau o alt sediu pe teritoriul Statului Membru respectiv.

Articolul 58 alineatul (5) din Regulamentul 2016/679 trebuie interpretat în sensul că această dispoziție are efect direct, astfel încât o autoritate națională de supraveghere se poate baza pe acest articol pentru a introduce sau a continua o procedură judiciară împotriva unor părţi private, chiar dacă această dispoziție nu a fost transpusă în mod specific în legislația statului membru în cauză.