Opinia rzecznika generalnego Cruz Villalón przedstawione w dniu 25 czerwca 2015 r. - Weltimmo s.r.o. przeciwko Nemzeti Adatvédelmi és Információszabadság Hatóság. - Sprawa C-230/14., sygn. C-230/14

OPINIA RZECZNIKA GENERALNEGO

PEDRA CRUZA VILLALÓNA

przedstawiona w dniu 25 czerwca 2015 r. (1)

Sprawa C‑230/14

Weltimmo s.r.o.

przeciwko

Nemzeti Adatvédelmi és Információszabadság Hatóság

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Kúria (Węgry)]

Ochrona danych osobowych — Dyrektywa 95/46 — Artykuł 4 ust. 1 i art. 28 ust. 1, 3 i 6 — Administrator danych mający siedzibę na terytorium innego państwa członkowskiego — Określenie prawa właściwego oraz właściwego organu nadzorczego  — Uprawnienia organu nadzorczego — Uprawnienie do nakładania sankcji — Pojęcie „przetwarzania danych”

1.        Pytania prejudycjalne przedłożone przez Kúria (węgierski sąd najwyższy) mają swoje źródło w postępowaniu, w którym występują przeciwko sobie Magyar Adatvédelmi és Információszabadság Hatóság (zwany dalej „węgierskim organem ochrony danych”) oraz przedsiębiorstwo z siedzibą na Słowacji, zarządzające stroną internetową pośrednictwa nieruchomości, na której publikowane są ogłoszenia o nieruchomościach położonych na Węgrzech.

2.        Niniejsza sprawa zatem ponownie daje Trybunałowi możliwość wypowiedzenia się co do kwestii określenia prawa właściwego do przetwarzania danych na mocy art. 4 ust. 1 lit. a) dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(2), którego wykładni dokonano już w wyroku Google Spain i Google. (3) Dodatkowo w niniejszej sprawie pojawiają się nowe kwestie zarówno w zakresie określenia właściwego organu nadzorczego, jak i krajowego prawa mającego zastosowanie przez ten organ oraz jego uprawnień, w szczególności jeżeli chodzi o uprawnienia do nakładania sankcji.

I -    Ramy prawne

A -    Prawo Unii

        Dyrektywa 95/46 ustanawia różne kryteria dla określenia prawa właściwego w przypadku przetwarzania danych osobowych. Motyw 18 aktu stanowi, że „[…] aby nie dopuścić do pozbawienia jednostek ochrony, do której mają prawo na mocy niniejszej dyrektywy, wszelkie przetwarzanie danych osobowych we Wspólnocie musi być przeprowadzane zgodnie z ustawodawstwem jednego z państw członkowskich; w związku z tym przetwarzanie danych przeprowadzane na odpowiedzialność administratora danych, który prowadzi działalność gospodarczą na terenie państwa członkowskiego, powinno być regulowane przez ustawodawstwo tego państwa”.