La 11 septembrie 2015, președintele Comisiei belgiene pentru protecția vieții private ( ”CPVP”) a sesizat Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunalul de Primă Instanță neerlandofon din Bruxelles, Belgia) cu o acțiune în încetare împotriva Facebook Ireland, a Facebook Inc. și a Facebook Belgium, având ca obiect încetarea unor încălcări, pretins săvârșite de Facebook, ale legislației referitoare la protecția datelor. Aceste încălcări constau în special în colectarea și în utilizarea de informații privind comportamentul de navigare al utilizatorilor de internet belgieni, deținători sau nedeținători ai unui cont de Facebook, prin intermediul diferitor tehnologii, cum ar fi cookies, extensii pentru social media sau pixelii.

Instanța menționată s-a declarat competentă să se pronunțe cu privire la această acțiune și, pe fond, a statuat că rețeaua socială Facebook nu informase suficient utilizatorii de internet belgieni cu privire la colectarea și la utilizarea informațiilor în cauză. Pe de altă parte, consimțământul dat de utilizatorii de internet pentru colectarea și prelucrarea informațiilor menționate a fost considerat nevalabil.

Facebook Ireland, Facebook Inc. și Facebook Belgium au declarat apel împotriva acestei hotărâri la Hof van beroep te Brussel (Curtea de Apel din Bruxelles, Belgia). În fața acestei instanțe, Autoritatea belgiană de Protecție a Datelor (APD) a acționat în calitate de succesor legal al președintelui CPVP. Instanța de trimitere s-a declarat competentă să se pronunțe doar cu privire la apelul formulat de Facebook Belgium.

Instanța de trimitere a exprimat îndoieli cu privire la incidența aplicării mecanismului ”ghișeului unic” prevăzut de RGPD asupra competențelor APD și a ridicat, mai precis, problema dacă, pentru faptele ulterioare intrării în vigoare a RGPD, și anume 25 mai 2018, APD poate acționa împotriva Facebook Belgium, din moment ce Facebook Ireland a fost identificat drept operator al datelor în cauză. Astfel, de la această dată și în special în temeiul principiului ”ghișeului unic” prevăzut de RGPD, numai Comisarul irlandez pentru protecția datelor ar fi competent să introducă o acțiune în încetare, sub controlul instanțelor irlandeze.

 În hotărârea sa, pronunțată în Marea Cameră, Curtea precizează competențele autorităților naționale de supraveghere în cadrul RGPD. Astfel, aceasta statuează printre altele că regulamentul menționat autorizează, în anumite condiții, o autoritate de supraveghere a unui stat membru să își exercite competența de a aduce orice pretins caz de încălcare a RGPD în fața unei instanțe a acestui stat și să inițieze proceduri judiciare în ceea ce privește o prelucrare de date transfrontalieră, deși ea nu este autoritatea principală pentru această prelucrare.

În primul rând, Curtea precizează condițiile în care o autoritate națională de supraveghere, care nu are calitatea de autoritate principală în ceea ce privește o prelucrare transfrontalieră, trebuie să își exercite competența de a aduce orice pretins caz de încălcare a RGPD în fața unei instanțe a unui stat membru și, după caz, de a iniția proceduri judiciare pentru a asigura aplicarea acestui regulament. Astfel, pe de o parte, RGPD trebuie să confere acestei autorități de supraveghere competența de a adopta o decizie prin care se constată că prelucrarea menționată încalcă normele prevăzute de acesta și, pe de altă parte, această competență trebuie exercitată cu respectarea procedurilor de cooperare și de asigurare a coerenței prevăzute de acest regulament.

Prin urmare, pentru prelucrările transfrontaliere, RGPD prevede mecanismul ”ghișeului unic”, care se întemeiază pe o repartizare a competențelor între o ”autoritate de supraveghere principală” și celelalte autorități naționale de supraveghere în cauză. Acest mecanism impune o cooperare strânsă, loială și eficientă între aceste autorități, pentru a asigura o protecție coerentă și omogenă a normelor privind protecția datelor cu caracter personal și pentru a menține astfel efectul său util.

RGPD consacră în această privință competența de principiu a autorității de supraveghere principale de a adopta o decizie prin care se constată că o prelucrare transfrontalieră încalcă normele prevăzute de acest regulament, în timp ce competența celorlalte autorități naționale de supraveghere de a adopta o asemenea decizie, fie și cu titlu provizoriu, constituie excepția. Cu toate acestea, în exercitarea competențelor sale, autoritatea de supraveghere principală nu poate renunța la un dialog indispensabil, precum și la o cooperare loială și eficientă cu celelalte autorități de supraveghere vizate. Prin urmare, în cadrul acestei cooperări, autoritatea de supraveghere principală nu poate ignora punctele de vedere ale celorlalte autorități de supraveghere vizate, iar orice obiecție relevantă și motivată formulată de una dintre aceste din urmă autorități are ca efect blocarea, cel puțin temporar, a adoptării proiectului de decizie al autorității de supraveghere principale.

Pe de altă parte, Curtea precizează că împrejurarea că o autoritate de supraveghere a unui stat membru care nu este autoritatea de supraveghere principală în ceea ce privește o prelucrare transfrontalieră de date nu își poate exercita competența de a aduce orice pretins caz de încălcare a RGPD în fața unei instanțe a acestui stat și de a iniția proceduri judiciare decât cu respectarea normelor de repartizare a competențelor decizionale între autoritatea de supraveghere principală și celelalte autorități de supraveghere8 este conformă cu articolele 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene, care garantează persoanei vizate dreptul la protecția datelor sale cu caracter personal și dreptul la o cale de atac efectivă.

În al doilea rând, Curtea statuează că, în cazul prelucrării transfrontaliere de date, exercitarea competenței de către o autoritate de supraveghere a unui stat membru, alta decât autoritatea de supraveghere principală, de a iniția o procedură judiciară nu impune ca operatorul sau persoana împuternicită de operator în ceea ce privește prelucrarea transfrontalieră de date cu caracter personal vizată de această procedură să dispună de un sediu principal sau de un alt sediu pe teritoriul acestui stat membru. Cu toate acestea, exercitarea acestei competențe trebuie să intre în domeniul de aplicare teritorial al RGPD, ceea ce presupune că operatorul sau persoana împuternicită de operator pentru prelucrarea transfrontalieră dispune de un sediu pe teritoriul Uniunii.

În al treilea rând, Curtea declară că, în cazul prelucrării de date transfrontaliere, competența unei autorități de supraveghere a unui stat membru, alta decât autoritatea de supraveghere principală, de a aduce în fața unei instanțe din acest stat orice pretins caz de încălcare a RGPD și, după caz, de a iniția proceduri judiciare poate fi exercitată atât în ceea ce privește sediul principal al operatorului care se află în statul membru de care aparține această autoritate, cât și în ceea ce privește un alt sediu al acestui operator, cu condiția ca acțiunea în justiție să vizeze o prelucrare a datelor efectuată în cadrul activităților acestui sediu și ca autoritatea menționată să fie competentă să exercite această competență.

Cu toate acestea, Curtea precizează că exercitarea acestei competențe presupune ca RGPD să fie aplicabilă. În speță, întrucât activitățile sediului grupului Facebook situat în Belgia sunt indisociabil legate de prelucrarea datelor cu caracter personal în discuție în litigiul principal, iar Facebook Ireland este operatorul acestuia în ceea ce privește teritoriul Uniunii, această prelucrare este efectuată ”în cadrul activităților unui sediu al operatorului” și, prin urmare, intră în domeniul de aplicare al RGPD.

În al patrulea rând, Curtea statuează că, atunci când o autoritate de supraveghere a unui stat membru care nu este ”autoritatea de supraveghere principală” a introdus, înainte de data intrării în vigoare a RGPD, o acțiune în justiție având ca obiect o prelucrare transfrontalieră de date cu caracter personal, această acțiune poate fi menținută, potrivit dreptului Uniunii, în temeiul dispozițiilor Directivei privind protecția datelor, care rămâne aplicabilă în ceea ce privește încălcările normelor pe care le prevede până la data la care această directivă a fost abrogată. În plus, acțiunea menționată poate fi introdusă de această autoritate pentru încălcări săvârșite după data intrării în vigoare a RGPD, cu condiția ca aceasta să intre sub incidența uneia dintre situațiile în care, cu titlu de excepție, acest regulament conferă aceleiași autorități o competență de a adopta o decizie prin care să se constate că prelucrarea datelor în cauză încalcă normele prevăzute de acest regulament și cu respectarea procedurilor de cooperare pe care acesta din urmă le prevede.

În al cincilea rând, Curtea recunoaște efectul direct al dispoziției din RGPD în temeiul căreia fiecare stat membru prevede, prin lege, că autoritatea sa de supraveghere are competența de a aduce orice caz de încălcare în fața autorităților judiciare și, după caz, să inițieze proceduri judiciare. În consecință, o astfel de autoritate poate invoca această dispoziție pentru a intenta sau a relua o acțiune împotriva unor particulari chiar dacă această dispoziție nu a fost pusă în aplicare în mod specific în legislația statului membru în cauză.