Особисті дані. Суд ЄС прийняв рішення щодо кваліфікації "контролером даних" офіційного журналу держави-члена

11 січня 2024 року Суд Європейського Союзу виніс рішення у справі C-231/22, État belge v Autorité de protection des données , щодо тлумачення пункту 7 статті 4 та пункту 2 статті 5 Регламенту. (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою персональних даних і про вільний рух таких даних, а також про скасування Директиви 95/46/ЄС ( Загальний регламент захисту даних , GDPR) [1] .

Цей запит було подано в контексті суперечки між État belge (Бельгійська держава) та Autorité de protection des données (Бельгійський орган із захисту даних, APD) щодо рішення, яким останній наказав органу, що керує Moniteur belge [2] для контролю за правом на стирання, яке реалізує фізична особа, стосовно різноманітних персональних даних, що містяться в опублікованому там документі.

Також читайте:

Особисті дані. Суд ЄС підтвердив право зацікавіленої особи на ефективний засіб судового захисту проти наглядового органу

Особисті дані. Суд ЄС прийняв рішення щодо можливого звільнення від відповідальності контролера даних у випадку порушення прав третіми особами

Особисті дані. Суд ЄС постановив рішення про накладення адміністративно-фінансових санкцій на юридичну особу

Особисті дані. Суд щодо діяльності, яка не підпадає до сфери дії GDPR та права ЄС

Це факти.

Акціонери приватного товариства з обмеженою відповідальністю, більшість акцій якого належала фізичній особі, ухвалили рішення про зменшення капіталу останнього, внісши зміни до його статуту рішенням позачергових зборів. Отже, виписку з цього рішення було складено нотаріусом вищезазначеної фізичної особи перед тим, як її було передано до реєстру tribunal de l'entreprise (суду компаній), у юрисдикції якого була юридична адреса компанії, яка згодом надіслав його для публікації керівництву Moniteur belge . Однак, зазначивши, що його нотаріус припустився помилки, вставивши у виписку фрагмент, у якому були вказані імена двох партнерів компанії, відшкодовані їм суми, а також номери їхніх банківських рахунків, хоча насправді це було не передбачено законом, ця фізична особа ініціювала процедури для її скасування.

Оскільки служба державної федеральної юстиції (SPF Justice) відмовилася відповідати на його запит, фізична особа подала скаргу до APD, щоб перевірити запит. Таким чином, APD надіслала догану SPF Justice, наказавши йому розглянути запит на скасування не пізніше ніж протягом наступних 30 днів після повідомлення про це рішення. Отже, État belge подав апеляцію до Cour d'appel de Bruxelles (Апеляційний суд Брюсселя; «суд, який посилається»), який, у світлі необхідності тлумачення відповідного європейського законодавства з цього питання, вирішив призупинити процедуру і подати два питання до Суду для попереднього рішення .

У першому запитанні суд запитав, чи слід тлумачити пункт 7 [3] статті 4 GDPR так, що служба або орган, відповідальний за Офіційний журнал держави-члена, – що, зокрема, вимагається, на підставі законодавство цієї держави щодо публікації як таких офіційних актів і документів, складених третіми сторонами під їхню відповідальність відповідно до застосовних правил і які потім здаються на зберігання до судового органу, який передає їх йому для публікації, можна кваліфікувати як " контролер даних» персональних даних, що містяться в таких актах і документах, відповідно до відповідного положення.

Суд попередньо нагадав, що стаття 4, пункт 7 GDPR має на меті забезпечити, шляхом широкого визначення поняття «контролер даних», ефективний і повний захист суб’єктів даних [4] , щоб визначити, чи фізична або юридична особа повинна бути класифікована як така, необхідно перевірити, чи визначає вона, індивідуально чи спільно з іншими, цілі та засоби обробки, чи вони визначаються національним законодавством. У цьому відношенні визначення цілей і засобів обробки та, у відповідних випадках, призначення цього контролера національним законодавством може бути не лише явним, але й неявним. Однак в останній гіпотезі вимагається, щоб це визначення достатньо певним чином випливало з ролі, функції та повноважень, наданих відповідній особі чи організації.

У конкретному випадку ані Moniteur belge, ані державний орган, який ним керує, тобто SPF Justice, не наділені національним законодавством повноваженнями визначати цілі та засоби обробки даних, які вони здійснюють. Крім того , персональні дані, що містяться в актах і документах, переданих до Moniteur belge для публікації, збираються, записуються, зберігаються та публікуються як є, щоб офіційно повідомити громадськість про їх існування та зробити їх позовними для третіх сторін. Отже, бельгійське законодавство визначило, принаймні імпліцитно, цілі та засоби обробки персональних даних, які здійснюються Moniteur belge , який, отже, як служба або орган, відповідальний за обробку персональних даних, що містяться в його публікаціях, відповідно до цілі та засоби обробки, передбачені законодавством Бельгії, можна вважати контролером даних відповідно до пункту 7 статті 4 GDPR.

У другому запитанні , однак, суддя запитав, чи слід тлумачити пункт 2 [5] статті 5 GDPR так, що служба або орган, відповідальний за Офіційний журнал держави-члена, кваліфікується як «контролер даних» відповідно до до статті 4, пункт 7 GDPR, має вважатися виключно компетентним щодо дотримання принципів, зазначених у статті 5, параграф 1, GDPR, або якщо така відповідність сукупно покладається на зазначену службу чи орган і на третю сторону державні органи, які раніше обробляли персональні дані, що містяться в актах і документах, опублікованих згаданим Офіційним журналом.

Обробка персональних даних, яка була довірена Moniteur belge, є одночасно обробкою, що виконується нотаріусом і реєстром компетентного суду, і технічно відрізняється, оскільки вона додається до останнього. Операції, що здійснюються бельгійським Moniteur , по суті, доручені йому національним законодавством і передбачають, зокрема, цифрову трансформацію даних, що містяться в документах або витягах з документів, наданих йому, їх публікацію, їх надання доступним широка громадськість, а також їх збереження. Отже, Moniteur belge має вважатися відповідно до пункту 2 статті 5 GDPR компетентним щодо дотримання принципів, зазначених у параграфі 1 цієї статті, щодо обробки, яку він зобов’язаний виконувати відповідно до національного законодавства, а отже, набору зобов’язань, покладених на контролера даних GDPR. Крім того, відповідно до статті 4(7) GDPR національне законодавство може само визначати цілі та засоби обробки персональних даних, а також призначати контролера даних або конкретні критерії, застосовні до його призначення. У контексті ланцюжка операцій з обробки, які виконуються різними особами або організаціями та стосуються одних і тих самих персональних даних, національне законодавство може, таким чином, визначати цілі та засоби набору операцій з обробки, що виконуються послідовно цими різними особами або організаціями, таким чином що ці останні разом вважаються контролерами даних.

Враховуючи все це, суд постановив, що:

«Стаття 4, пункт 7, Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних і про вільний рух таких даних та що скасовує Директиву 95/46/ЄС (Загальний регламент захисту даних), слід тлумачити так, що служба або орган, відповідальний за Офіційний журнал держави-члена, який, зокрема, зобов’язаний відповідно до законодавства цієї держави публікувати як такі офіційні акти та документи, складені третіми сторонами під їхню відповідальність відповідно до застосовних правил і які потім здаються на зберігання до судового органу, який передає їх йому для публікації - можуть, незважаючи на відсутність статусу юридичної особи, кваліфікуватися як "дані" контролер персональних даних, що містяться в таких актах і документах, якщо відповідне національне законодавство визначає цілі та засоби обробки персональних даних, що здійснюється вищезазначеним Офіційним журналом.

Статтю 5(2) Регламенту 2016/679 у поєднанні зі статтею 4(7) і статтею 26(1) останнього слід тлумачити так, що служба або орган, відповідальний за Офіційний журнал держави-члена, кваліфікований як «контролер даних» у значенні статті 4(7) вищезгаданого Регламенту, є виключно компетентним щодо дотримання принципів, зазначених у статті 5, параграф 1, того самого регламенту щодо операцій обробки персональних даних які він зобов’язаний здійснювати відповідно до національного законодавства, якщо тільки спільне володіння з іншими суб’єктами щодо таких операцій не випливає з такого законодавства».

Джерело статті тут.

[1]  GUUE L 119 від 04.05.2016.

[2] Moniteur belge є офіційним журналом, який забезпечує виробництво та розповсюдження широкого спектру офіційних публікацій, призначених для громадськості, у паперовому та електронному форматі.

[3] Стаття 4 GDPR під назвою «Визначення» у пункті 7 передбачає: « … Для цілей цього Регламенту:

(…)

7) «контролер даних»: фізична або юридична особа, державний орган, служба чи інший орган, який самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних; якщо цілі та засоби такої обробки визначаються законодавством Союзу або держави-члена, контролер або спеціальні критерії, що застосовуються до його призначення, можуть бути встановлені законодавством Союзу або держави-члена…» .

[4] CGUE 05.12.2023, Causa C-683/21, Національний центр громадського здоров’я , пункт 29: CGUE 05.12.2023, Causa C-807/21, Deutsche Wohnen , пункт 40.

[5] Стаття 5 GDPR під назвою «Принципи, застосовні до обробки персональних даних» передбачає: « … Персональні дані — це:

a) оброблятися законним, правильним і прозорим способом щодо зацікавленої сторони («законність, правильність і прозорість»);b) збираються для конкретних, явних і законних цілей, а потім обробляються у спосіб, який не є несумісним з цими цілями; подальша обробка персональних даних для цілей архівування в суспільних інтересах, для наукових чи історичних дослідницьких цілей або для статистичних цілей не вважається, відповідно до частини 1 статті 89, несумісною з початковими цілями («обмеження мети»);c) адекватні, відповідні та обмежені тим, що необхідно стосовно цілей, для яких вони обробляються («мінімізація даних»);d) точні та, за необхідності, оновлені; необхідно вжити всіх розумних заходів для негайного видалення або виправлення даних, які є неточними щодо цілей, для яких вони обробляються («точність»);д) зберігаються у формі, яка дозволяє ідентифікувати зацікавлені сторони протягом періоду часу, що не перевищує досягнення цілей, для яких вони обробляються; персональні дані можуть зберігатися протягом більш тривалого періоду за умови, що вони обробляються виключно для цілей архівування в суспільних інтересах, наукових чи історичних досліджень або статистичних цілей, відповідно до статті 89(1), без шкоди для впровадження технічних заходів і відповідних організаційних заходів. вимоги, передбачені цим нормативним актом для захисту прав і свобод заінтересованої особи («обмеження зберігання»);f) обробляються у спосіб, який забезпечує належну безпеку персональних даних, включаючи захист за допомогою відповідних технічних та організаційних заходів від несанкціонованої чи незаконної обробки та від випадкової втрати, знищення чи пошкодження («цілісність і конфіденційність»).

Контролер даних є компетентним для дотримання пункту 1 і може довести це («підзвітність»)... ».