Belgijska instytucja odpowiedzialna za nadzór nad ochroną danych osobowych, po odkryciu działań Facebooka, skierowała sprawę do sądu krajowego i ją wygrała. Facebook próbował podważyć wyrok, kwestionując kompetencje instytucji. "Pod określonymi warunkami krajowy organ nadzorczy może wykonywać swoje uprawnienie do podnoszenia wszelkich zarzucanych naruszeń tego rozporządzenia (RODO) przed sądami danego państwa członkowskiego, nawet jeśli nie jest on w odniesieniu do tego przetwarzania wiodącym organem nadzorczym" - brzmi wyrok TSUE z wtorku, który przyznaje rację belgijskiemu regulatorowi. O co chodzi w tej sprawie? W 2015 r. belgijska Komisja ds. Ochrony Prywatności (KOP) wystąpiła do sądu w Brukseli przeciwko Facebook Ireland, Facebook Inc. i Facebook Belgium z powództwem o zaniechanie mającym na celu położenie kresu naruszeniom przepisów dotyczących ochrony danych, których miał dopuszczać się Facebook. Naruszenia te polegały na gromadzeniu i wykorzystywaniu informacji o internautach belgijskich, niezależnie od tego, czy posiadali oni konto na Facebooku, przy użyciu różnego rodzaju technologii, takich jak pliki cookie, wtyczki społecznościowe czy piksele monitorujące. W 2018 r. sąd uznał, że sieć społecznościowa Facebook nie informowała dostatecznie belgijskich internautów o gromadzeniu i wykorzystaniu danych na ich temat. Ponadto uznał on za nieważną udzielaną przez internautów zgodę na gromadzenie i przetwarzanie informacji. Kontratak Facebooka W tym samym roku Facebook Ireland, Facebook Inc. i Facebook Belgium zaskarżyły to rozstrzygnięcie do sądu apelacyjnego, podważając kompetencje belgijskiego regulatora do wnoszenia skargi w tej sprawie. Koncern argumentował, że belgijska instytucja nie może występować z powództwem przeciwko Facebook Belgium, skoro to Facebook Ireland został uznany za administratora rozpatrywanych danych. Sprawa trafiła do TSUE, który uznał, że RODO pod określonymi warunkami zezwala na wykonywanie przez krajowy organ nadzorczy danego państwa członkowskiego przysługujących mu uprawnień do podnoszenia wszelkich zarzucanych naruszeń RODO przed sądami tego państwa członkowskiego i do wszczęcia postępowania sądowego w przedmiocie transgranicznego przetwarzania danych.