OPINIA RZECZNIKA GENERALNEGO

MICHALA BOBEKA

przedstawiona w dniu 13 stycznia 2021 r.(1)

Sprawa C‑645/19

Facebook Ireland Limited,

Facebook Inc.,

Facebook Belgium BVBA

przeciwko

Gegevensbeschermingsautoriteit

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Hof van beroep te Brussel (sąd apelacyjny w Brukseli, Belgia)]

Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 47 – Rozporządzenie (UE) 2016/679 – Artykuły 55, 56, 58, 60, 61 i 66 – Organy nadzorcze – Transgraniczne przetwarzanie danych – Mechanizm kompleksowej współpracy – Wiodący organ nadzorczy – Organ nadzorczy, którego sprawa dotyczy – Właściwość – Uprawnienia – Uprawnienie do wszczęcia postępowania sądowego

I.      Wprowadzenie

1.        Czy ogólne rozporządzenie o ochronie danych(2) (zwane dalej „RODO”) zezwala organowi nadzorczemu państwa członkowskiego na wszczęcie przed sądem tego państwa postępowania w sprawie domniemanego naruszenia tego rozporządzenia w związku z transgranicznym przetwarzaniem danych w sytuacji, w której ów organ nie jest wiodącym organem nadzorczym w odniesieniu do takiego przetwarzania?

2.        Czy też może jest tak, że nowy mechanizm kompleksowej współpracy, który okrzyknięto jedną z największych innowacji wprowadzonych RODO, ma zapobiegać powstawaniu takich sytuacji? Czy gdyby administrator musiał podjąć obronę przed środkiem prawnym dotyczącym transgranicznego przetwarzania danych wniesionym przez organ nadzorczy do sądu państwa innego niż państwo, w którym administrator ma swoją główną jednostkę organizacyjną, to należałoby uznać, że nadzór jest sprawowany przez „o jeden organ za dużo”, a tym samym że taka sytuacja jest niezgodna z tym nowym mechanizmem ustanowionym w RODO?

II.    Ramy prawne

A.      Prawo Unii

3.        W preambule RODO przewidziano w szczególności, co następuje: „[c]ele i zasady dyrektywy 95/46/WE pozostają aktualne, jednak wdrażając ochronę danych w Unii, nie uniknięto fragmentaryzacji [i] niepewności prawnej” (motyw 9); należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie danych osobowych (motyw 10); organy nadzorcze powinny monitorować stosowanie przepisów oraz przyczyniać się do spójnego stosowania [tych przepisów], aby chronić osoby fizyczne oraz ułatwiać swobodny przepływ danych osobowych na rynku wewnętrznym (motyw 123); w sytuacji transgranicznego przetwarzania „organem wiodącym powinien być organ nadzorczy głównej jednostki organizacyjnej administratora lub podmiotu przetwarzającego lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego”, przy czym ten organ ma „współpracować z innymi organami, których sprawa dotyczy” (motyw 124).

4.        Zgodnie z art. 51 ust. 1 RODO „[k]ażde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej »organem nadzorczym«)”.

5.        Artykuł 55 ust. 1 RODO stanowi, że „[k]ażdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego”.

6.        Artykuł 56 RODO dotyczy właściwości wiodącego organu nadzorczego. Jego ust. 1 ma następujące brzmienie:

„Bez uszczerbku dla art. 55 organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający”.

7.        W art. 56 ust. 2–5 wskazano, że – w drodze wyjątku od ust. 1 – „każdy organ nadzorczy jest właściwy do rozpatrzenia skargi, którą do niego wniesiono, lub zajęcia się ewentualnym naruszeniem niniejszego rozporządzenia, jeżeli sprawa dotyczy wyłącznie jednostki organizacyjnej w jego państwie członkowskim lub znacznie wpływa na osoby, których dane dotyczą, wyłącznie w jego państwie członkowskim”. Takimi sprawami mogą się zajmować wiodące organy nadzorcze, działające zgodnie z procedurą określoną w art. 60 RODO, lub, „[j]eżeli wiodący organ nadzorczy postanowi nie zajmować się daną sprawą”, lokalny organ nadzorczy, działający zgodnie z procedurą określoną w art. 61 i 62 RODO.

8.        Artykuł 56 ust. 6 stanowi, że „[a]dministrator lub podmiot przetwarzający komunikują się w sprawie dokonywanego przez nich transgranicznego przetwarzania jedynie z wiodącym organem nadzorczym”.

9.        Artykuł 58 ust. 5 RODO, który dotyczy uprawnień organów nadzorczych, brzmi następująco:

„Każde państwo członkowskie przewiduje w swoich przepisach, że jego organ nadzorczy jest [będzie] uprawniony do wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia niniejszego rozporządzenia oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów niniejszego rozporządzenia”.

10.      W rozdziale VII RODO, który nosi tytuł „Współpraca i spójność”, znajdują się art. 60–76. Artykuł 60, zatytułowany „Współpraca miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy”, ustanawia szczegółową procedurę, którą mają stosować wiodące organy nadzorcze w sprawach dotyczących transgranicznego przetwarzania danych.

11.      Z kolei art. 61 ust. 2 RODO, który dotyczy wzajemnej pomocy, stanowi, że każdy organ nadzorczy „podejmuje wszelkie odpowiednie środki, by odpowiedzi na wniosek innego organu nadzorczego udzielić bez zbędnej zwłoki i nie później niż w terminie miesiąca od otrzymania wniosku”. Zgodnie z art. 61 ust. 8 RODO jeżeli organ nadzorczy nie dostarczy żądanych informacji, wzywający organ nadzorczy może zastosować środek tymczasowy na terytorium swojego państwa członkowskiego, a w takiej sytuacji uznaje się, że, zgodnie z art. 66 ust. 1, zachodzi pilna potrzeba podjęcia działań.

12.      Artykuł 65 ust. 1 lit. a) RODO, zatytułowany „Rozstrzyganie sporów przez Europejską Radę Ochrony Danych”, stanowi, że aby w poszczególnych sytuacjach zapewnić właściwe i spójne stosowanie rozporządzenia, Europejska Rada Ochrony Danych (zwana dalej „EROD”) przyjmuje wiążące decyzje między innymi w przypadkach, w których organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony.

13.      Zgodnie z art. 66 ust. 1, który dotyczy trybu pilnego, w wyjątkowych okolicznościach, jeżeli organ nadzorczy, którego sprawa dotyczy, uzna, że istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą, może on w drodze odstępstwa od mechanizmów współpracy i spójności „niezwłocznie przyjąć środki tymczasowe mające na terytorium jego państwa członkowskiego wywołać skutki prawne przez określony okres, nieprzekraczający trzech miesięcy”.

14.      W rozdziale VIII RODO, który nosi tytuł „Środki ochrony prawnej, odpowiedzialność i sankcje”, znajdują się art. 77–84. Artykuł 77 ust. 1 przyznaje każdej osobie, której dane dotyczą, prawo do wniesienia do organu nadzorczego skargi w sprawie ewentualnych naruszeń rozporządzenia w związku z przetwarzaniem danych osobowych jej dotyczących, „w szczególności w państwie członkowskim [jej] zwykłego pobytu, [jej] miejsca pracy lub miejsca popełnienia domniemanego naruszenia”. Z kolei w art. 78 ust. 1 i 2 RODO każdej osobie fizycznej lub prawnej przyznano prawo do skutecznego środka ochrony prawnej przed sądem przeciwko, w szczególności, dotyczącej jej prawnie wiążącej decyzji organu nadzorczego, a także do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy nie rozpatrzył skargi.

B.      Prawo krajowe

15.      Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (ustawa z dnia 8 grudnia 1992 r. o ochronie prywatności w odniesieniu do przetwarzania danych osobowych, zwana dalej „WVP”) z późniejszymi zmianami stanowi środek transpozycji dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(3). W szczególności na mocy tej ustawy powołano belgijską komisję do spraw ochrony prywatności. Zgodnie z art. 32 ust. 3 owej ustawy „bez uszczerbku dla właściwości sądów powszechnych w zakresie stosowania przepisów ogólnych o ochronie prywatności, przewodniczący [komisji do spraw ochrony prywatności] może kierować do sądu pierwszej instancji wszelkie sprawy dotyczące stosowania niniejszej ustawy i wydanych do niej środków wykonawczych”.

16.      Na podstawie art. 3 Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (ustawy z dnia 3 grudnia 2017 r. ustanawiającej belgijski urząd ochrony danych, zwanej dalej „ustawą GBA”), która weszła w życie w dniu 25 maja 2018 r., ustanowiono organ ochrony danych (zwany dalej „organem ochrony danych”), który zastąpił komisję do spraw ochrony prywatności. Zgodnie z art. 6 owej ustawy organ ochrony danych „jest uprawniony do wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia podstawowych zasad ochrony danych osobowych w świetle niniejszej ustawy i ustaw zawierających przepisy w zakresie ochrony przetwarzania danych osobowych oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w celu wyegzekwowania stosowania tych zasad podstawowych”.

17.      Ustawa GBA nie zawierała żadnych przepisów szczególnych dotyczących wszczętych na podstawie art. 32 ust. 3 WVP postępowań sądowych, które pozostawały w toku w dniu 25 maja 2018 r.

18.      WVP została uchylona przez Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (ustawę z dnia 30 lipca 2018 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych). Ta ustawa wprowadza w życie przepisy RODO, które zobowiązują państwa członkowskie do przyjęcia, oprócz wspólnych zasad, bardziej szczegółowych zasad lub zezwalają im na wprowadzenie takich bardziej szczegółowych zasad.

III. Okoliczności faktyczne, postępowanie główne i pytania prejudycjalne

19.      W dniu 11 września 2015 r. przewodniczący belgijskiej komisji do spraw ochrony prywatności, która następnie przekształciła się w organ ochrony danych, wszczął przed Nederlandstalige rechtbank van eerste aanleg Brussel (niderlandzkojęzycznym sądem pierwszej instancji w Brukseli, Belgia) postępowanie przeciwko Facebook Inc., Facebook Ireland Ltd i Facebook Belgium BVBA (zwanym dalej łącznie „Facebookiem”). Rzeczone postępowanie dotyczy przypisywanych Facebookowi naruszeń przepisów o ochronie danych osobowych, które polegały w szczególności na bezprawnym zbieraniu i wykorzystywaniu informacji o prywatnych zachowaniach w sieci użytkowników Internetu w Belgii z wykorzystaniem technologii takich jak pliki cookie, wtyczki społecznościowe i piksele.

20.      Ów organ ochrony danych w istocie zarzuca Facebookowi, że ten wykorzystuje różnego rodzaju technologie w celu śledzenia użytkowników, wówczas gdy przechodzą oni z jednej witryny internetowej na inną, a następnie wykorzystuje zebrane informacje w celu profilowania ich zachowań w Internecie i wyświetlania opartych na tej podstawie reklam, bez należytego poinformowania zainteresowanych i uzyskania ich ważnej zgody. Organ ochrony danych podnosi, że Facebook stosuje te praktyki bez względu na to, czy dana osoba jest członkiem sieci społecznościowej Facebook.

21.      Organ ochrony danych wniósł o nakazanie Facebookowi zaprzestania, w odniesieniu do wszystkich użytkowników Internetu na terytorium Belgii, umieszczania, bez zgody tych użytkowników, aktywnych przez okres dwóch lat plików cookie na urządzeniach wykorzystywanych przez te osoby, wówczas gdy odwiedzają one witrynę internetową w domenie Facebook.com lub witryny osób trzecich, a także nadmiernego gromadzenia danych za pomocą wtyczek społecznościowych i pikseli w witrynach osób trzecich. Ponadto wniósł on o zniszczenie wszystkich dotyczących użytkowników Internetu na terytorium Belgii danych osobowych, które zostały uzyskane z wykorzystaniem plików cookie i wtyczek społecznościowych.

22.      Postanowieniem wstępnym z dnia 9 listopada 2015 r. prezes Nederlandstalige rechtbank van eerste aanleg Brussel (niderlandzkojęzycznego sądu pierwszej instancji w Brukseli) uznał, że jest właściwy do rozpoznania sprawy i że wniesienie powództwa jest dopuszczalne w odniesieniu do wszystkich trzech pozwanych. Sąd ten nakazał także pozwanym tymczasowo zaprzestać podejmowania określonych działań w odniesieniu do użytkowników Internetu na terytorium Belgii.

23.      W dniu 2 marca 2016 r. Facebook zaskarżył to postanowienie przed Hof van beroep te Brussel (sądem apelacyjnym w Brukseli, Belgia). Wyrokiem z dnia 29 czerwca 2016 r. ten sąd zmienił postanowienie wydane w pierwszej instancji. W szczególności orzekł on, że nie jest właściwy do rozpoznania powództw wniesionych przeciwko Facebook Inc. i Facebook Ireland Ltd oraz że jest właściwy do rozpoznania powództwa wniesionego przeciwko Facebook Belgium BVBA. Tym samym spór w postępowaniu głównym został ograniczony do roszczeń podniesionych wobec Facebook Belgium BVBA. Hof van beroep te Brussel (sąd apelacyjny w Brukseli) stwierdził również, że sprawa ta nie ma pilnego charakteru.

24.      Rozumiem, że obecnie sprawa zawisła przed tym sądem dotyczy środka odwoławczego od orzeczenia co do istoty wydanego później przez sąd pierwszej instancji. W ramach postępowania odwoławczego Facebook Belgium BVBA podnosi w szczególności, że z uwagi na rozpoczęcie funkcjonowania przewidzianego w RODO nowego mechanizmu kompleksowej współpracy organ ochrony danych przestał być właściwy do kontynuowania postępowania głównego, ponieważ nie jest on wiodącym organem nadzorczym. W odniesieniu do spornego transgranicznego przetwarzania danych wiodącym organem nadzorczym miałby być Irish Data Protection Commission (organ do spraw ochrony danych osobowych, Irlandia). Główna jednostka organizacyjna administratora w Unii znajduje się w Irlandii (Facebook Ireland Ltd).

25.      W tych okolicznościach Hof van beroep te Brussel (sąd apelacyjny w Brukseli) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      Czy art. [55 ust. 1], 56–58 i 60–66 [RODO], rozpatrywane w związku z art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej, należy interpretować w ten sposób, że organ nadzorczy, który na mocy prawa krajowego przyjętego na podstawie art. [58 ust. 5] tego rozporządzenia jest uprawniony do wszczęcia przed sądem państwa członkowskiego, do którego przynależy ów organ, postępowania sądowego mającego za przedmiot naruszenie przedmiotowego rozporządzenia, nie może wykonać tej kompetencji w odniesieniu do transgranicznego przetwarzania danych, jeżeli nie jest on wiodącym organem nadzorczym w sprawie owego transgranicznego przetwarzania?

2)      Czy ma przy tym znaczenie fakt, że administrator dokonujący tego transgranicznego przetwarzania danych nie ma swojej głównej jednostki organizacyjnej w tym państwie członkowskim, lecz ma w nim inną jednostkę organizacyjną?

3)      Czy ma przy tym znaczenie, czy krajowy organ nadzorczy wszczął postępowanie sądowe przeciwko głównej jednostce organizacyjnej administratora danych, czy też przeciwko jednostce organizacyjnej w państwie członkowskim, do którego przynależy ów organ?

4)      Czy ma przy tym znaczenie fakt, że krajowy organ nadzorczy wszczął postępowanie sądowe jeszcze przed datą wejścia w życie przedmiotowego rozporządzenia (25 maja 2018 r.)?

5)      Jeżeli na pytanie pierwsze zostanie udzielona odpowiedź twierdząca, to czy art. [58 ust. 5] RODO ma skutek bezpośredni, co oznacza, że krajowy organ nadzorczy może się powołać na ten przepis, wszczynając lub kontynuując postępowanie sądowe przeciwko podmiotom prywatnym, nawet jeżeli art. [58 ust. 5] RODO nie został w sposób wyraźny implementowany do ustawodawstw państw członkowskich, pomimo że jest to wymagane?

6)      Jeżeli na poprzednie pytanie zostanie udzielona odpowiedź twierdząca, to czy wynik takich postępowań stałby na przeszkodzie przeciwnym ustaleniom wiodącego organu nadzorczego, w przypadku gdyby wiodący organ nadzorczy badałby te same lub podobne transgraniczne przetwarzanie danych w ramach mechanizmu określonego w art. 56 i 60 RODO?”.

26.      Uwagi na piśmie zostały przedstawione przez Facebooka, organ ochrony danych, rządy belgijski, czeski, włoski, polski, portugalski i finlandzki oraz przez Komisję Europejską. Ponadto Facebook, organ ochrony danych i Komisja przedstawiły ustnie swoje argumenty na rozprawie w dniu 5 października 2020 r.

IV.    Analiza

27.      Pokrótce rzecz ujmując: centralną kwestią w postępowaniu głównym jest to, czy organ ochrony danych może kontynuować postępowanie sądowe przeciwko Facebook Belgium w odniesieniu do transgranicznego przetwarzania danych osobowych, które miało miejsce po rozpoczęciu stosowania przepisów RODO, skoro podmiotem dokonującym tego przetwarzania danych jest Facebook Ireland Ltd.

28.      Aby odpowiedzieć na to pytanie, należy zbadać zakres stosowania i sposób funkcjonowania mechanizmu, który w samym RODO został określony mianem „mechanizmu kompleksowej współpracy” (motyw 127). Na ten mechanizm składa się całokształt przepisów ustanawiających w sytuacji transgranicznego przetwarzania danych centralny punkt kontrolny w postaci wiodącego organu nadzorczego (zwanego dalej „organem wiodącym”), wpisującego się w system procedur współpracy i spójności, przy udziale organów nadzorczych, których sprawa dotyczy, tak aby zapewnić udział wszystkich zainteresowanych organów nadzorczych.

29.      Zgodnie z art. 56 ust. 1 RODO organ nadzorczy działa jako organ wiodący w odniesieniu do transgranicznego przetwarzania dokonywanego przez administratorów lub podmioty przetwarzające, których główna lub pojedyncza jednostka organizacyjna znajduje się na terytorium jego państwa członkowskiego. Artykuł 4 pkt 22 RODO stanowi, że organ nadzorczy działa jako organ, którego sprawa dotyczy, jeżeli spełniony jest jeden z następujących alternatywnych warunków: „a) administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkowskiego tego organu nadzorczego; b) przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub c) wniesiono do niego skargę”.

30.      Przed przystąpieniem do analizy pytań prejudycjalnych co do istoty należy przedstawić pewne uwagi wstępne (sekcja A). Następnie dokonam analizy podniesionych przez sąd odsyłający kwestii prawnych. Skupię się w szczególności na pytaniu pierwszym, ponieważ to ono stanowi sedno sporu zawisłego przed sądem odsyłającym (sekcja B). W dalszej kolejności omówię pokrótce pozostałe pytania prejudycjalne, ponieważ w razie udzielenia na pytanie pierwsze odpowiedzi takiej jak ta zaproponowana w niniejszej opinii udzielanie odpowiedzi na owe pozostałe pytania albo jest w ogóle zbędne, albo też udzielenie takich odpowiedzi jest stosunkowo proste (sekcja C).

A.      Uwagi wstępne

31.      Na samym początku pragnę zauważyć, że trudno jest mi zrozumieć w pełni niektóre okoliczności sporu w postępowaniu głównym.

32.      Po pierwsze, muszę przyznać, że mam pewne wątpliwości co do tego, czy pytania zadane w toku postępowania głównego mają znaczenie dla sprawy, skoro wydaje się, iż spośród trzech uczestników, w stosunku do których organ ochrony danych wniósł powództwa, status pozwanej w postępowaniu głównym przysługuje nadal jedynie Facebook Belgium(4). Z akt sprawy przedłożonych Trybunałowi wynika, że owa spółka nie jest ani „główną jednostką organizacyjną” administratora na potrzeby stosowania art. 4 pkt 16 RODO, ani – z racji tego, iż zdaje się ona być jednostką organizacyjną tego samego przedsiębiorstwa – ewentualnym „współadministratorem” w rozumieniu art. 26 RODO(5).

33.      Niemniej jednak pytania prejudycjalne objęte są domniemaniem posiadania znaczenia dla sprawy. W związku z tym Trybunał odmawia wydania orzeczenia jedynie w pewnych okolicznościach, w szczególności w razie niespełnienia wymogów ustanowionych w art. 94 regulaminu postępowania przed Trybunałem Sprawiedliwości lub też gdy jest oczywiste, że wykładnia czy też ocena ważności przepisu prawa Unii pozostaje bez związku z okolicznościami faktycznymi, lub gdy problem jest natury (całkowicie) hipotetycznej(6). Moim zdaniem niniejsza sprawa nie stanowi takiego przypadku. Kwestia tego „kto jest kim” oraz „za co dokładnie można kogoś ścigać” dotyczy nie tylko oceny okoliczności faktycznych, której przeprowadzenie należy ostatecznie do sądu odsyłającego, lecz stanowi również, na swój sposób, jeden z aspektów pytań skierowanych do Trybunału w trybie prejudycjalnym.

34.      Po drugie, nie do końca zrozumiały jest również aspekt czasowy postępowania głównego. Postępowanie wszczęto wówczas, gdy obowiązywała dyrektywa 95/46. Było ono nadal prowadzone w chwili wejścia w życie RODO. Niemniej jednak obecnie postępowanie to dotyczy faktycznie jedynie działań podjętych po dacie rozpoczęcia stosowania tych nowych ram prawnych. W tym miejscu rzeczywiście pojawia się kwestia tego, czy kontynuowanie postępowania przez organ ochrony danych jest zgodne z przepisami RODO, na co zwrócono uwagę w pytaniu czwartym. Te zagadnienia miałyby jednak znaczenie dla postępowania głównego jedynie wówczas, gdyby organ krajowy zamierzał zakończyć trwające postępowanie w odniesieniu do domniemanych naruszeń, które miały miejsce przed datą rozpoczęcia stosowania nowych ram prawnych. Jeżeli natomiast postępowanie to miałoby dotyczyć jedynie potencjalnej niezgodności z prawem, która miała miejsce po dacie rozpoczęcia stosowania przepisów RODO, mając ewentualnie także za przedmiot żądanie wydania przez sąd zakazu stosowania tego rodzaju praktyk (który z samej swojej natury ma charakter prospektywny), to trudno jest zrozumieć, dlaczego organ ochrony danych, w zakresie, w jakim uznaje się on za właściwy do podjęcia interwencji, nie zakończył trwającego postępowania i nie podjął działań na podstawie odpowiednich przepisów RODO.

35.      Po trzecie, podczas rozprawy organ ochrony danych nawiązał do wymiany informacji, do jakiej doszło z irlandzkim organem nadzorczym i EROD w przedmiocie jednego z rozwiązań technicznych wykorzystywanych przez Facebooka do gromadzenia danych (plików cookie). Stwierdzono, że te dwa organy nadzorcze zajęły odmienne stanowiska w kwestii tego, czy takie rozwiązanie techniczne faktycznie podlega zakresowi stosowania ratione materiae RODO.

36.      W tym względzie, co się tyczy niniejszej sprawy, warto zapewne podkreślić, że niektóre działania związane z przetwarzaniem danych mogą rzeczywiście być objęte przedmiotowym zakresem stosowania więcej niż jednego aktu ustawodawczego Unii, w którym to przypadku wszystkie takie akty, o ile przepisy nie stanowią inaczej, mają zastosowanie jednocześnie(7). Niemniej w pewnych przypadkach, na przykład wówczas, gdy działania związane z przetwarzaniem nie dotyczą danych osobowych w rozumieniu art. 4 pkt 1 RODO, RODO nie ma oczywiście zastosowania.

37.      Tak więc w sytuacji, w której potencjalna niezgodność z prawem pewnych rodzajów przetwarzania danych wynika z innych przepisów (prawa Unii lub prawa krajowego), procedury i mechanizmy przewidziane w RODO nie znajdują zastosowania. RODO nie może być traktowane jako furtka do tego, by objąć mechanizmem kompleksowej współpracy takie rodzaje działań, które choć wiążą się w pewien sposób z przepływami danych, a nawet z ich przetwarzaniem, to jednak nie stoją w sprzeczności z żadnym z przewidzianych w nim obowiązków.

38.      W celu rozstrzygnięcia, czy dana sprawa w istocie wchodzi w zakres zastosowania ratione materiae RODO, sąd krajowy, w tym także każdy sąd odsyłający, powinien się zastanowić nad tym, jakie jest dokładne źródło spoczywającego na podmiocie gospodarczym obowiązku prawnego, którego naruszenia ten podmiot gospodarczy miał się dopuścić. Jeżeli źródłem owego obowiązku nie jest RODO, to należy logicznie przyjąć, że nie można również zastosować przewidzianych w tym akcie prawnym procedur związanych z jego przedmiotowym zakresem stosowania.

B.      W przedmiocie pytania pierwszego

39.      Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy przepisy RODO, interpretowane w świetle art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”), zezwalają organowi nadzorczemu państwa członkowskiego na wszczęcie przed sądem tego państwa postępowania w sprawie domniemanego naruszenia RODO w odniesieniu do transgranicznego przetwarzania danych, nawet jeżeli ten organ nie jest „wiodącym organem nadzorczym”.

40.      W tym względzie organ ochrony danych oraz rządy belgijski, włoski, polski i portugalski są zdania, że Trybunał powinien udzielić na to pytanie odpowiedzi twierdzącej, natomiast Facebook, rządy czeski i fiński oraz Komisja bronią stanowiska przeciwnego.

41.      W dalszej części tej sekcji wyjaśnię, dlaczego nie przekonuje mnie wykładnia RODO zaproponowana przez organ ochrony danych oraz przez rządy belgijski, włoski, polski i portugalski; zarówno bowiem wykładnia językowa i systemowa (część 1), jak i wykładnia celowościowa i historyczna (część 2) RODO wyraźnie zmierzają w kierunku przeciwnym. Ponadto ani wykładnia tego rozporządzenia ukierunkowana na postanowienia karty (część 3), ani rzekome ryzyko związane z niedostatecznym egzekwowaniem przepisów RODO (część 4) nie mogą, a już na pewno nie w chwili obecnej, podważyć tej wykładni RODO, która moim zdaniem nosi wszelkie znamiona prawidłowości.

42.      Niemniej jednak uważam, że przyjęcie takiej wykładni rozporządzenia nie wywołuje aż tak daleko idących skutków jak te sugerowane przez Facebooka, rządy czeski i finlandzki oraz przez Komisję. Postaram się więc wyjaśnić, dlaczego odpowiedź na zadane przez sąd odsyłający pytanie powinna sytuować się gdzieś pośrodku między owymi dwoma stanowiskami prezentowanymi w niniejszym postępowaniu: organ nadzorczy państwa członkowskiego jest uprawniony do tego, by wszcząć przed sądem tego państwa postępowanie w sprawie domniemanego naruszenia RODO w odniesieniu do transgranicznego przetwarzania danych, niezależnie od tego, że ów organ nie jest organem wiodącym, pod warunkiem że takie działanie podejmuje on w sytuacjach wskazanych w RODO i zgodnie z określonymi w nim procedurami (część 5).

1.      Wykładnia językowa i systemowa RODO

43.      Przede wszystkim wydaje mi się, że brzmienie odpowiednich przepisów, zwłaszcza gdy rozpatruje się je w ich kontekście, przemawia na rzecz takiej wykładni RODO, zgodnie z którą organowi wiodącemu przysługuje ogólna właściwość w odniesieniu do transgranicznego przetwarzania danych, z czego w sposób dorozumiany wynika, iż organy, których sprawa dotyczy, mają w tym względzie tylko ograniczone uprawnienia do podejmowania działań.

44.      Artykuł 56 ust. 1 RODO stanowi, że „organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający”(8). Zgodnie z art. 56 ust. 6 RODO „[a]dministrator lub podmiot przetwarzający komunikują się w sprawie dokonywanego przez nich transgranicznego przetwarzania jedynie z wiodącym organem nadzorczym”(9). Echa tych przepisów pobrzmiewają w motywie 124, który przewiduje w istocie, że w przypadku transgranicznego przetwarzania „organem wiodącym powinien być organ nadzorczy głównej jednostki organizacyjnej administratora lub podmiotu przetwarzającego lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego”(10).

45.      Za przyjęciem ogólnej właściwości organu wiodącego w odniesieniu do transgranicznego przetwarzania danych przemawia też fakt, że sytuacje, w których właściwość w przedmiocie transgranicznego przetwarzania jest przyznawana innym organom nadzorczym, określa się mianem wyjątków od zasady ogólnej. W szczególności art. 55 ust. 2 RODO wyłącza właściwość organu wiodącego, jeżeli danego przetwarzania danych „dokonują organy publiczne”. Ponadto art. 56 ust. 2 RODO stanowi, że, w drodze wyjątku od zasady, zgodnie z którą to organ wiodący jest organem właściwym, „każdy organ nadzorczy jest właściwy do rozpatrzenia skargi, którą do niego wniesiono, lub zajęcia się ewentualnym naruszeniem niniejszego rozporządzenia, jeżeli sprawa dotyczy wyłącznie jednostki organizacyjnej w jego państwie członkowskim lub znacznie wpływa na osoby, których dane dotyczą, wyłącznie w jego państwie członkowskim”.

46.      Co więcej, art. 66 RODO, w którym uregulowano „tryb pilny”, upoważnia każdy organ, którego sprawa dotyczy, do niezwłocznego przyjęcia – „[w] wyjątkowych okolicznościach”, jeżeli istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą – środków tymczasowych mających wywołać na terytorium jego państwa członkowskiego skutki prawne przez określony okres, nieprzekraczający trzech miesięcy, co następuje „w drodze odstępstwa” od mechanizmów współpracy i spójności, o których mowa w art. 60, 63, 64 i 65 RODO.

47.      W związku z tym wydaje mi się, że z brzmienia RODO dość jasno wynika, iż – jeżeli chodzi o transgraniczne przetwarzanie – właściwość organu wiodącego stanowi zasadę, zaś właściwość innych organów nadzorczych stanowi wyjątek od tej zasady(11).

48.      Niemniej jednak organ ochrony danych i niektóre rządy kwestionują taką wykładnię RODO. Ich zdaniem z brzmienia odpowiednich przepisów wynika (niemal absolutne) prawo każdego organu nadzorczego do wszczęcia postępowania sądowego w sprawie ewentualnych naruszeń, które dotyczą ich terytoriów, niezależnie od tego, czy to przetwarzanie ma charakter transgraniczny. W tym względzie przytaczają one w istocie dwa argumenty.

49.      W pierwszej kolejności podnoszą one, że wyrażenie „[b]ez uszczerbku dla art. 55”, od którego rozpoczyna się art. 56 ust. 1, oznacza, iż właściwość przyznana organowi wiodącemu przez ten drugi przepis nie może podważać ani ograniczać uprawnień, w tym również uprawnienia do wszczęcia postępowania sądowego, nadanych przez ten pierwszy przepis każdemu organowi nadzorczemu.

50.      Nie przekonuje mnie ten argument.

51.      Artykuł 55 ust. 1 ustanawia zasadę, zgodnie z którą każdy organ nadzorczy „jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego”. Owe zadania są wymienione w art. 57 RODO. Z kolei uprawnienia zostały wskazane w art. 58 tego rozporządzenia. Wśród powierzonych organom nadzorczym zadań można wymienić w szczególności zdanie monitorowania i egzekwowania stosowania RODO [art. 57 ust. 1 lit. a)]. Uprawnienia przysługujące im na podstawie art. 58 obejmują różnego rodzaju uprawnienia w zakresie prowadzonych postępowań (ust. 1), uprawnienia naprawcze (ust. 2), uprawnienia w zakresie wydawania zezwoleń i uprawnienia doradcze (ust. 3), jak również uprawnienie do wszczynania postępowania sądowego (ust. 5).

52.      W istocie te przepisy, do których pośrednio odsyła art. 55, określają wszystkie zadania i uprawnienia, jakie należy powierzyć i przyznać organom nadzorczym na mocy RODO. Gdyby przyjąć wykładnię proponowaną przez organ ochrony danych i niektóre rządy, to praktycznie nic nie mogłoby już zostać objęte zakresem ogólnej właściwości organu wiodącego, co pozbawiłoby art. 56 jakiegokolwiek znaczenia. Organ wiodący nie byłby ani „jedynym” interlokutorem, ani też w żaden sposób nie byłby „wiodący” względem innych organów nadzorczych. Jego rola ograniczałaby się najpewniej do wykonywania zadań „punktu informacyjnego”, który nie miałby żadnego jasno określonego celu działania.

53.      Doniosłość roli odgrywanej przez organ wiodący, również poprzez wprowadzenie w życie mechanizmu kompleksowej współpracy, staje się jeszcze bardziej wyraźna wówczas, gdy wszystkie te przepisy są interpretowane łącznie oraz z uwzględnieniem ich kontekstu.

54.      Świadczy o tym już samo poczesne miejsce, jakie art. 56 zajmuje w ramach systemu ustanowionego RODO. Artykuł 56 to drugi przepis znajdujący się w odnośnej sekcji RODO (rozdział VI: „Niezależne organy nadzorcze”; sekcja 2: „Właściwość, zadania i uprawnienia”) – jest on umieszczony bezpośrednio po ogólnym przepisie dotyczącym „właściwości” i przed innymi przepisami ogólnymi dotyczącymi „zadań” i „uprawnień”. Prawodawca Unii postanowił zatem uwypuklić centralne znaczenie właściwości organu wiodącego i uczynił to jeszcze przed wymienieniem konkretnych zadań i uprawnień wszystkich organów nadzorczych.

55.      Co istotniejsze, doniosłość roli odgrywanej przez organ wiodący potwierdzają również przepisy zawarte w rozdziale VII RODO (zatytułowanym „Współpraca i spójność”), w którym ustanowiono różne procedury i mechanizmy wykorzystywane przez organy nadzorcze w celu zapewnienia spójnego stosowania RODO. W szczególności art. 60, czyli pierwszy przepis tego rozdziału, do którego odsyła ponadto art. 56 ust. 1, przewiduje procedurę „[współpracy] miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy”.

56.      Nie ulega wątpliwości, że to właśnie ta procedura ma stanowić procedurę stosowaną wówczas, gdy konieczne jest podjęcie działań w celu egzekwowania przepisów w związku z transgranicznym przetwarzaniem danych. Ta procedura, podobnie zresztą jak inne procedury uregulowane w rozdziale VII RODO, nie ma charakteru fakultatywnego. Użycie sformułowań o charakterze imperatywnym, zawarte w szczególności w art. 51 ust. 2 i art. 63 RODO, świadczy w sposób jednoznaczny o tym, że organy nadzorcze mają ze sobą współpracować, zaś ta współpraca ma się odbywać poprzez (obowiązkowe) stosowanie ustanowionych w tym celu procedur i mechanizmów.

57.      W związku z tym zawarte w art. 56 ust. 1 wyrażenie „bez uszczerbku dla art. 55” ma znaczenie inne niż to sugerowane przez organ ochrony danych. Moim zdaniem to sformułowanie, biorąc pod uwagę jego kontekst, oznacza po prostu, że nawet jeśli w konkretnej sprawie to organ wiodący jest właściwy w odniesieniu do transgranicznego przetwarzania zgodnie z art. 56 RODO, to wszystkie organy nadzorcze zachowują siłą rzeczy ogólne uprawnienia przyznane im w art. 55 (i art. 58) RODO.

58.      W myśl art. 55 ust. 1 RODO państwa członkowskie mają umożliwić organowi nadzorczemu wypełnianie zadań i wykonywanie uprawnień przewidzianych w rozporządzeniu. Ten przepis przyznaje więc każdemu organowi nadzorczemu ogólne uprawnienie (lub ogólną właściwość) do podejmowania działań na terytorium jego państwa i to niezależnie („bez uszczerbku”) od tego, czy to przetwarzanie ma charakter transgraniczny, czy też nie, przy czym w takim przypadku taki organ działa jako organ wiodący lub jako organ, którego sprawa dotyczy(12). Niemniej jednak art. 55 RODO nie reguluje ani sytuacji, w których to uprawnienie do podejmowania działań ma być wykonywane w konkretnej sprawie, ani też sposobu wykonywania owego uprawnienia w indywidualnych przypadkach. Aspekty te zostały bowiem uregulowane w innych przepisach RODO, w szczególności tych zawartych w jego rozdziale VII. Zgodnie z tymi przepisami możliwość skorzystania z ogólnego uprawnienia do podejmowania działań przez organ nadzorczy, a także sposób skorzystania przez organ z tego uprawnienia, zależą w szczególności od tego, czy rzeczony organ jest, w odniesieniu do danego administratora lub podmiotu przetwarzającego, organem wiodącym, czy też organem, którego sprawa dotyczy(13).

59.      W tym względzie, konkludując, zgadzam się ze stanowiskiem EROD, która – w jednej z niedawnych opinii – określiła art. 56 ust. 1 RODO mianem „normy szczególnej” oraz „lex specialis”: rzeczony przepis „ma pierwszeństwo [względem zasady ogólnej sformułowanej w art. 55 RODO] za każdym razem, gdy dochodzi do sytuacji przetwarzania spełniającej określone w nim warunki”(14).

60.      Uważam więc, że organ ochrony danych i niektóre rządy dokonują błędnej wykładni art. 55 i art. 56 ust. 1 RODO. Interwenienci ci wyrywają z kontekstu pierwszą część zdania zawartego w art. 56 ust. 1, aby odwrócić zależność między zasadą a wyjątkiem. Tego rodzaju działanie skutkuje osłabieniem treści normatywnej szeregu przepisów RODO i utrudnia osiągnięcie wskazanego w szczególności w jego motywie 10 celu, jakim jest zapewnienie bardziej spójnego i jednolitego stosowania przepisów o ochronie danych osobowych. Oznaczałoby ono w istocie powrót do wcześniejszego systemu uregulowanego w dyrektywie 95/46.

61.      W drugiej kolejności organ ochrony danych i niektóre rządy utrzymują, że z samego brzmienia art. 58 ust. 5 RODO wynika, iż wszystkie organy nadzorcze mają mieć możliwość wszczęcia postępowania sądowego dotyczącego każdego potencjalnego naruszenia przepisów o ochronie danych osobowych dotyczącego ich terytoriów, niezależnie od (lokalnego bądź transgranicznego) charakteru przetwarzania. Ich zdaniem wywiera to skutek tego rodzaju, że nawet gdyby należało uznać, iż mechanizm kompleksowej współpracy ogranicza uprawnienia innych organów nadzorczych w odniesieniu do transgranicznego przetwarzania, to takie ograniczenia można stosować wyłącznie w postępowaniu administracyjnym, nie zaś w postępowaniu sądowym.

62.      Moim zdaniem również tego drugiego argumentu nie da się obronić. Ciąży na nim ten sam grzech co na poprzednim argumencie, polegający na tym, że konkretny przepis RODO jest odczytywany w klinicznej izolacji od całego rozporządzenia, przy czym jednocześnie doszukuje się w nim nazbyt wiele.

63.      Artykuł 58 ust. 5 RODO stanowi: „Każde państwo członkowskie przewiduje w swoich przepisach, że jego organ nadzorczy jest uprawniony do wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia niniejszego rozporządzenia oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów niniejszego rozporządzenia”.

64.      Ten przepis zobowiązuje państwa członkowskie do tego, by – z jednej strony – umożliwiły organom nadzorczym utrzymywanie ścisłych stosunków z organami sądowymi (w tym potencjalnie z organami właściwymi w sprawach karnych) oraz by – z drugiej strony – przyznały organom nadzorczym (nie tylko bierną, lecz także czynną) legitymację procesową do wszczynania postępowań przed ich sądami krajowymi. Innymi słowy: organy nadzorcze powinny co do zasady mieć możliwość kontaktowania się z organami sądowymi oraz, w razie potrzeby, mieć możliwość wszczęcia postępowania sądowego. Rozumiem, że prawodawca Unii uznał za konieczne przyjęcie takiego wyraźnego przepisu, ponieważ – niezależnie od brzmienia art. 28 ust. 3 dyrektywy 95/46(15) – pomiędzy porządkami prawnymi państw członkowskich istniały w tym względzie duże różnice, co z kolei powodowało problemy związane z niedostatecznym egzekwowaniem(16). Niniejsza sprawa, która rozpoczęła się jeszcze wówczas, gdy owa dyrektywa pozostawała w mocy, stanowi w tym względzie pewien przykład – w jej trakcie ujawniły się, w świetle prawa krajowego, kwestie związane z legitymacją procesową komisji do spraw ochrony prywatności oraz ze stosownością podstawy prawnej powództwa wniesionego przez jej przewodniczącego.

65.      Niemniej jednak, podobnie jak już zauważono powyżej(17), art. 58 ust. 5 RODO określa uprawnienia, które należy przyznać bez wyjątku wszystkim organom nadzorczym na tym etapie, niezależnie od ustalenia (lub też przed ustaleniem), czy w konkretnej sprawie taki organ będzie właściwym organem wiodącym, organem, którego sprawa dotyczy, czy też może przetwarzanie nie będzie go dotyczyć w ogóle. Artykuł 58 ust. 5 RODO nie reguluje ani sytuacji, w których to uprawnienie do wszczęcia postępowania ma być wykonywane, ani też sposobu jego wykonywania. Prawdopodobnie to właśnie z tej przyczyny w tym przepisie znalazło się sformułowanie „w stosownych przypadkach”. Tę kwestię regulują inne przepisy RODO.

66.      Ponadto ani z brzmienia, ani ze struktury art. 58 RODO nie wynika, żeby można było – jak utrzymuje organ ochrony danych – dokonać rozróżnienia między uprawnieniami administracyjnymi organów (które podlegałyby ograniczeniom wynikającym z mechanizmu kompleksowej współpracy), a uprawnieniem do wszczęcia postępowania sądowego (które nie podlegałoby takim ograniczeniom). W tym przepisie wymieniono, ustęp po ustępie, różnego rodzaju uprawnienia, które należy przyznać organom nadzorczym, i uszeregowano je według celowości (uprawnienia w zakresie prowadzonych postępowań, uprawnienia naprawcze, uprawnienia doradcze itd.). Pod względem brzmienia te ustępy są do siebie dość podobne; w istocie wskazano w nich, że każdy organ nadzorczy dysponuje określonymi w nich uprawnieniami.

67.      W związku z tym nie dostrzegam powodu, dla którego w ramach art. 58 jego ust. 5 należałoby interpretować inaczej aniżeli zawarte w owym artykule ust. 1–3. Tylko jedno z tych twierdzeń może być prawdziwe: albo każdemu bez wyjątku organowi nadzorczemu przysługują, bez jakichkolwiek ograniczeń narzuconych przez mechanizm kompleksowej współpracy, wszystkie te uprawnienia, albo też wszystkie te uprawnienia należy wykonywać zgodnie z procedurami ustanowionymi w rozporządzeniu oraz w jego granicach.

68.      Z przyczyn wyjaśnionych w pkt 51 i 52 nie można przyjąć pierwszej z tych hipotez. Wykładnia art. 58 RODO dokonywana z uwzględnieniem kontekstu tego przepisu prowadzi bowiem do wyciągnięcia wniosku, że prawdziwe jest stanowisko dokładnie przeciwne niż to zajmowane przez organ ochrony danych i niektóre z rządów.

69.      Każdy z organów nadzorczych ma bowiem przyczyniać się do prawidłowego i spójnego stosowania rozporządzenia. W związku z tym każdy z tych organów nadzorczych, niezależnie od tego, czy w konkretnej sprawie pełni on rolę organu wiodącego, czy też organu, którego sprawa dotyczy, musi na przykład rozpatrywać wnoszone do niego skargi i czynić to z należytą starannością(18). W rzeczywistości nawet wówczas, gdy domniemane naruszenia dotyczą transgranicznego przetwarzania, a dany organ nie jest organem wiodącym, inne organy nadzorcze powinny być w stanie zbadać sprawę w celu przekazania istotnych informacji, gdy zostaną do tego wezwane w ramach mechanizmów współpracy i spójności(19), lub podjąć pilne działania. W takim przypadku jednak to organ wiodący ma co do zasady przyjmować wiążące decyzje w sprawie egzekwowania przepisów RODO kierowane do podmiotu przetwarzającego lub administratora(20). W szczególności, jak wynika z niedawno wydanego wyroku Facebook Ireland i Schrems, to „właściwy krajowy organ nadzorczy […] powinien mieć możliwość […], w odpowiednim przypadku, wniesienia do sądów krajowych skargi”(21). Dlatego też stanowiska, zgodnie z którym organy nadzorcze mogą zignorować mechanizmy spójności i współpracy, wówczas gdy zamierzają wszcząć postępowanie, nie da się pogodzić ani z brzmieniem RODO, ani z orzecznictwem Trybunału.

70.      Ponadto, z bardziej praktycznej perspektywy, nielogiczne byłoby uniemożliwienie organowi wszczęcia postępowania administracyjnego w celu omówienia domniemanego naruszenia przepisów o ochronie danych osobowych z zainteresowanymi podmiotami, a jednocześnie umożliwienie mu natychmiastowego wszczęcia postępowania przed sądem w tej samej sprawie. Wszczęcie postępowania sądowego stanowi często środek ostateczny, po który organ zazwyczaj sięga wówczas, gdy problemu nie da się skutecznie rozwiązać w ramach (formalnych lub nieformalnych) rozmów oraz wydania decyzji na szczeblu administracyjnym.

71.      Zaproponowane przez organ ochrony danych rozróżnienie, z którego wynikałoby, że organ nadzorczy nie może (na drodze administracyjnej) prowadzić postępowań, podejmować działań przygotowawczych, rozpatrywać spraw i dokonywać rozstrzygnięć, natomiast może niezwłocznie wszczynać postępowanie sądowe, zbliżałoby nas niebezpiecznie do sytuacji, w której organy administracyjne zmieniałyby się w dość szemrane postaci z westernów, które najpierw strzelają, a dopiero potem (jeśli w ogóle mają na to ochotę) pytają („Jak masz strzelać – strzelaj, a nie gadaj” – „When you have to shoot, shoot; don’t talk”(22)). Nie jestem pewien, czy byłoby uzasadnione lub odpowiednie, aby organy administracyjne miały się zajmować domniemanymi naruszeniami przepisów o ochronie danych osobowych właśnie w taki sposób.

72.      Ponadto, co istotniejsze, zezwolenie organom nadzorczym na swobodne wytaczanie spraw przed sądami krajowymi w sytuacji, w której nie mogą one wykonać swoich uprawnień administracyjnych bez skorzystania z ustanowionych w rozporządzeniu mechanizmów współpracy i spójności, utorowałoby drogę do łatwego obchodzenia tych mechanizmów. W szczególności w przypadku braku zgody co do projektu decyzji zarówno organ wiodący, jak i (każdy) organ, którego sprawa dotyczy, mógłby „wziąć sprawy w swoje ręce” i wszcząć postępowanie przed sądami krajowymi, pomijając w ten sposób procedurę przewidzianą w art. 60 ust. 4 i art. 65 RODO.

73.      To z kolei sprawiłoby, że jedna z głównych funkcji EROD, która stanowi organ ustanowiony w RODO i składający się z przewodniczących jednego z organów nadzorczych poszczególnych państw członkowskich i Europejskiego Inspektora Ochrony Danych(23), przestałaby mieć jakiekolwiek znaczenie. Jednym z zadań EROD jest bowiem właśnie monitorowanie i zapewnianie właściwego stosowania RODO w sytuacji, w której różne organy nadzorcze nie są w stanie wypracować porozumienia(24). W takich przypadkach EROD działa jako platforma służąca rozstrzyganiu sporów oraz organ decyzyjny. Gdyby przyjąć wykładnię bronioną przez organ ochrony danych i niektóre z rządów, przewidziany w art. 65 RODO mechanizm zostałby całkowicie zmarginalizowany – każdy organ mógłby pójść własną drogą i pominąć EROD.

74.      Jak zostanie to wyjaśnione w kolejnej części, taka sytuacja stanowiłby całkowite przeciwieństwo stanu, który prawodawca Unii zamierzał urzeczywistnić dzięki nowemu systemowi.

2.      Wykładnia celowościowa i historyczna RODO

75.      Z motywu 9 RODO wynika, że prawodawca Unii uznał, iż choć „[c]ele i zasady dyrektywy 95/46/WE pozostają aktualne”, to ten akt prawny nie pozwolił uniknąć „fragmentaryzacji, niepewności prawnej oraz upowszechnienia się poglądu, że ochrona osób fizycznych jest znacznie zagrożona, w szczególności w związku z działaniami w Internecie”.

76.      Potrzeba zapewnienia spójności stała się zatem dewizą przyświecającą aktowi prawnemu, który miał zastąpić dyrektywę 95/46. Ten cel uznano za istotny w świetle dwóch perspektyw: po pierwsze, chodziło o zapewnienie równorzędnego i wysokiego stopnia ochrony osób fizycznych, a po drugie – o usunięcie przeszkód w przepływie danych osobowych w Unii, co miało zagwarantować podmiotom gospodarczym pewność prawa i przejrzystość(25).

77.      Na podkreślenie zasługuje ten drugi aspekt. Zgodnie z dyrektywą 95/46 podmioty gospodarcze działające w Unii musiały przestrzegać zawartych w różnych systemach przepisów krajowych transponujących dyrektywę, a także jednocześnie koordynować swe działania ze wszystkimi krajowymi organami ochrony danych. Było to nie tylko kosztowne, uciążliwe i czasochłonne dla podmiotów gospodarczych, lecz także musiało budzić wątpliwości oraz rodzić konflikty, z którymi musiały się mierzyć te podmioty oraz ich klienci(26).

78.      Ograniczenia systemu ustanowionego dyrektywą 95/46 uwidoczniły się także w szeregu wyroków Trybunału. W wyroku Weltimmo Trybunał orzekł, że uprawnienia organów ochrony danych w sposób ścisły ogranicza zasada terytorialności – owe organy mogą podejmować działania w związku z naruszeniami, które mają miejsce wyłącznie na terytorium ich państwa członkowskiego, natomiast we wszystkich innych przypadkach muszą się one zwracać o interwencję do organów innych państw członkowskich(27). W wyroku Wirtschaftsakademie Schleswig-Holstein Trybunał stwierdził, że w sytuacji transgranicznego przetwarzania każdy organ ochrony danych może wykonywać swoje uprawnienia w stosunku do podmiotu mającego siedzibę na terytorium jego państwa członkowskiego, w sposób niezależny od poglądów i działań organu ochrony danych państwa członkowskiego, w którym podmiot odpowiedzialny za to przetwarzanie ma siedzibę(28).

79.      Niemniej jednak w wirtualnym świecie przetwarzania danych rozgraniczenie zakresów właściwości poszczególnych organów na podstawie granic geograficznych często nastręcza trudności(29). Ponadto brak przejrzystych mechanizmów współpracy i koordynacji między organami krajowymi był źródłem niespójności i niepewności.

80.      To właśnie te problemy miało wyeliminować wprowadzenie mechanizmu kompleksowej współpracy, w ramach którego ważną rolę powierza się organowi wiodącemu i ustanawia mechanizm współpracy w celu zaangażowania w sprawę innych organów nadzorczych(30). W wyroku Google (Zakres terytorialny prawa do usunięcia linków) Trybunał podkreślił znaczenie mechanizmów współpracy i spójności dla prawidłowego i spójnego stosowania RODO, jak również ich obowiązkowy charakter(31). Ostatnio zaś w opinii w sprawie Facebook Ireland i Schrems rzecznik generalny H. Saugmandsgaard Øe również podkreślił, że mechanizmy współpracy i spójności przewidziane w rozdziale VII RODO mają służyć uniknięciu ryzyka fragmentacji stanowisk przyjmowanych przez różne organy nadzorcze w odniesieniu do transgranicznego przetwarzania(32).

81.      Prawdą jest, że – jak wskazuje organ ochrony danych – w toku procedury ustawodawczej zarówno Rada, jak i Parlament dążyły do ograniczenia właściwości organu wiodącego w takiej formie, w jakiej została ona pierwotnie przewidziana przez Komisję. Niemniej jednak w rezultacie wprowadzone w ostatecznej wersji RODO zmiany nie tyle nie podają w wątpliwość przedstawionej powyżej wykładni rozporządzenia, co ją potwierdzają.

82.      Zgodnie z pierwotnym wnioskiem Komisji mechanizm kompleksowej współpracy przewidywał, że – w odniesieniu do transgranicznego przetwarzania – to jeden organ nadzorczy (organ wiodący) powinien być właściwy w zakresie monitorowania działalności administratora lub podmiotu przetwarzającego w całej Unii Europejskiej oraz podejmowania odnośnych decyzji(33). Ten wniosek stał się jednak przyczynkiem do dyskusji w Radzie i Parlamencie.

83.      EROD ostatecznie zgodziła się na brzmienie tekstu oparte na propozycji przedstawionej przez prezydencję(34). Owa propozycja w żadnym razie nie podważała jako takiego mechanizmu kompleksowej współpracy, który Rada określiła mianem jednego z „centralnych filarów” nowych ram prawnych(35). W ostatecznym rozrachunku propozycja prezydencji doprowadziła do przyjęcia dwóch pakietów dość specyficznych zmian.

84.      Po pierwsze, Rada zamierzała wprowadzić pewne wyjątki od ogólnej właściwości organu wiodącego, mianowicie dotyczące przetwarzania przez organy publiczne oraz dotyczące spraw lokalnych. Rada zaproponowała zatem wprowadzenie dwóch przepisów, które nie pojawiły się we wniosku Komisji(36) i które przyjęły formę obecnych art. 55 ust. 2 i art. 56 ust. 2 RODO(37).

85.      Po drugie, Rada zamierzała ograniczyć rolę i właściwość organu wiodącego przez uczynienie całej procedury bardziej inkluzywną. Brzmienie wniosku Komisji uznano w tym względzie za dość dwuznaczne i mogące potencjalnie doprowadzić do powstania wyłącznej właściwości organu wiodącego w odniesieniu do transgranicznego przetwarzania. W tekście wprowadzono więc pewne poprawki w celu „zmniejszenia odległości” między osobami, których dane dotyczą, a organami nadzorczymi(38). W szczególności znacząco zwiększono zaangażowanie innych organów nadzorczych w proces podejmowania decyzji.

86.      Również Parlament Europejski poparł utworzenie mechanizmu kompleksowej współpracy przewidującego zwiększenie roli organu wiodącego, ale zaproponował przy tym wzmocnienie systemu współpracy między organami nadzorczymi. Zarówno uzasadnienie projektu sprawozdania Parlamentu(39), jak i rezolucja ustawodawcza Parlamentu Europejskiego z dnia 12 marca 2014 r.(40) są w tym względzie dość jasne.

87.      Krótko mówiąc, dzięki interwencji Rady i Parlamentu mechanizm kompleksowej współpracy, w ramach którego początkowo bardzo mocno uwypuklano rolę organu wiodącego, stał się bardziej zrównoważonym mechanizmem opartym na dwóch filarach: w odniesieniu do transgranicznego przetwarzania utrzymano kluczową rolę organu wiodącego, ale przewidziano przy tym zwiększoną rolę innych organów nadzorczych, które aktywnie uczestniczą w całym procesie z wykorzystaniem mechanizmów współpracy i spójności, zaś EROD, której przypisano rolę arbitra i przewodnika na wypadek zaistnienia sytuacji rozbieżności stanowisk.

88.      Tym samym celowościowa i historyczna wykładnia odpowiednich przepisów RODO potwierdza znaczenie mechanizmu kompleksowej współpracy, a w konsekwencji ogólną właściwość organu wiodącego w odniesieniu do transgranicznego przetwarzania danych. Zaproponowanej przez organ ochrony danych i niektóre rządy wykładni przepisów RODO nie da się zatem pogodzić z wolą prawodawcy Unii, którą można wywieść zarówno z motywów i przepisów rozporządzenia, jak i z prac przygotowawczych.

89.      W związku z tym uważam, że wykładnia językowa, systemowa, celowościowa i historyczna odnośnych przepisów RODO potwierdza, iż organy nadzorcze są zobowiązane przestrzegać norm kompetencyjnych, a także stosować określone w rozporządzeniu mechanizmy i procedury współpracy oraz spójności. W sytuacji, w której dochodzi do transgranicznego przetwarzania danych, organy te mają działać w ramach ustanowionych w RODO.

90.      Organ ochrony danych i niektóre rządy podnoszą jednak dwojakiego rodzaju argumenty, które ich zdaniem przemawiają za przyjęciem stanowiska zakładającego wzmocnienie uprawnień wszystkich organów nadzorczych do jednostronnego podejmowania działań, nawet w odniesieniu do transgranicznego przetwarzania. W kolejnych sekcjach niniejszej opinii wyjaśnię, dlaczego te argumenty nie mogą podważyć, a już z pewnością nie w chwili obecnej, zaproponowanej przeze mnie powyżej wykładni RODO.

3.      Wykładnia RODO opierająca się na postanowieniach karty

91.      Organ ochrony danych utrzymuje, że nieograniczone uprawnienie organów nadzorczych do wszczynania postępowań przeciwko podmiotom przetwarzającym i administratorom, w tym również wówczas, gdy przetwarzanie ma charakter transgraniczny, jest konieczne dla zapewnienia zgodności z art. 7, 8 i 47 karty. Wydaje się, że przytoczone w tym zakresie przez organ ochrony danych argumenty opierają się na dwóch zasadniczych obawach, z których żadna nie została jednak w pełni zwerbalizowana w uwagach przedstawionych przez ten organ(41).

92.      Pierwsza obawa wyrażana przez organ ochrony danych zdaje się być związana ze zmniejszeniem liczby organów, które mogą podejmować działania w związku z konkretnym zachowaniem. Zdaje się tu być przyjęte pewne milczące założenie, że wysoki stopień ochrony wymaga istnienia wielu, nawet działających równolegle, organów, które mogą egzekwować przestrzeganie przepisów RODO. Krótko mówiąc: im więcej organów, tym wyższy stopień ochrony.

93.      Nie uważam wcale, że koniecznie musi tak być, przynajmniej w aspekcie stopnia ochrony.

94.      Prawdą jest, że – jak stwierdził Trybunał – uregulowania Unii w dziedzinie ochrony danych osobowych, interpretowane w świetle art. 7 i 8 karty, mają na celu zapewnienie wysokiego poziomu ochrony między innymi prawa podstawowego do poszanowania życia prywatnego w związku z przetwarzaniem danych osobowych(42).

95.      Niemniej jednak prawodawca Unii uznał, że aby zapewnić „wysoki […] stopień ochrony osób fizycznych”, potrzeba „stabilnych, spójniejszych ram ochrony danych”(43). W związku z tym ramy ustanowione w RODO mają służyć zapewnieniu spójności na każdym poziomie: tak w odniesieniu do osób fizycznych, podmiotów gospodarczych, administratorów i podmiotów przetwarzających, jak i w odniesieniu do organów nadzorczych(44). Co się tyczy tych ostatnich, RODO ma na celu – co zostało potwierdzone w jego motywie 116 – upowszechnianie „ściślejsz[ej] współprac[y]” między nimi(45).

96.      W konsekwencji, wbrew temu, co twierdzi organ ochrony danych, dążenie do osiągnięcia wysokiego stopnia ochrony praw i wolności osób, których dane dotyczą, jest – z perspektywy prawodawcy Unii – w pełni zgodne z funkcjonowaniem przedstawionego powyżej mechanizmu kompleksowej współpracy. Z uwagi na fakt, że przewidziane w RODO mechanizmy współpracy i spójności umożliwiają przyjęcie bardziej spójnego, skutecznego i przejrzystego podejścia w tej dziedzinie, powinny one przyczyniać do intensywniejszego upowszechniania oraz silniejszej ochrony praw ustanowionych w szczególności w art. 7 i 8 karty.

97.      Innymi słowy – spójność i jednolitość poziomu ochrony z pewnością nie oznacza, że stopień owej ochrony nie może być wysoki. Wszystko sprowadza się do tego, w którym miejscu ma się znajdować punkt odniesienia dla owej jednolitości. Ostatecznie mało prawdopodobne jest, że podejmowanie przez organy nadzorcze szeregu niezwiązanych i potencjalnie sprzecznych ze sobą działań rzeczywiście przyczyni się do osiągnięcia celu, jakim jest zapewnienie wysokiego stopnia ochrony praw jednostek. Można przyjąć, że realizacji tego celu lepiej będzie służyć spójność i jasność będąca rezultatem wspólnego działania organów nadzorczych.

98.      Druga obawa wyrażana przez organ ochrony danych dotyczy kwestii odległości między jednostkami wnoszącymi skargę a organami, które w ostateczności podejmują działania ustosunkowując się do owej skargi. W tym względzie pytanie sprowadza się w istocie do tego, czy jednostki mogą skutecznie zaskarżać działania lub bezczynność organów nadzorczych w związku z wnoszonymi przez nie skargami.

99.      W art. 78 RODO potwierdzono bowiem przysługujące osobom fizycznym i prawnym prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu. Ponadto jeżeli środki ochrony prawnej przewidziane w RODO mają być zgodne z art. 47 karty, to nie mogą one zobowiązywać osób, których dane dotyczą, do przestrzegania szczegółowych zasad, które – uwzględniając przysługujący im status osób fizycznych – w sposób dysproporcjonalny naruszają przysługujące im prawo do środka zaskarżenia przed sądem (na przykład poprzez zwiększenie kosztów lub opóźnienie momentu wszczęcia postępowania sądowego)(46).

100. Niemniej jednak z żadnego z (dość niejasnych) argumentów przytaczanych w tym względzie przez uczestników postępowania nie wynika w sposób jasny, dlaczego wykładnia RODO broniona przez Facebooka, rządy czeski i finlandzki oraz przez Komisję miałaby być sprzeczna z art. 47 karty.

101. Przede wszystkim w RODO w sposób wyraźny przewidziano przysługujące osobom, których dane dotyczą, prawo do wszczęcia postępowania zarówno przeciwko administratorom i podmiotom przetwarzającym, jak i przeciwko organom nadzorczym. Nie wiadomo więc, dlaczego, strukturalnie rzecz ujmując, RODO miałoby naruszać art. 47 karty.

102. Jeśli chodzi o przysługujące osobom, których dane dotyczą, prawo do wszczęcia postępowania przeciwko administratorom i podmiotom przetwarzającym, to mogą one zdecydować o wszczęciu postępowania przed sądami państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiada jednostkę organizacyjną, lub przed sądami państwa, w którym osoby, których dane dotyczą, mają miejsce zwykłego pobytu(47). Wydaje się, że ta zasada jest dość korzystna dla osób, których dane dotyczą, a przynajmniej nie jest dla nich problematyczna(48).

103. Co się z kolei tyczy prawa osób, których dane dotyczą, do wszczęcia postępowania przeciwko organom nadzorczym, to sprawa jest bardziej złożona. Przede wszystkim należy zauważyć, że osoby, których dane dotyczą, mogą składać skargi zarówno na działania, jak i na bezczynność organów nadzorczych. W szczególności mogą one podjąć działania wobec każdego organu nadzorczego, który „nie reaguje na skargę, częściowo lub w całości ją odrzuca lub oddala lub nie podejmuje działania, choć jest to niezbędne do ochrony praw tej osoby”(49).

104. Niemniej jednak pozwy przeciwko organom nadzorczym muszą być – inaczej aniżeli ma to miejsce w przypadku skarg przeciwko administratorom i podmiotom przetwarzającym – wnoszone do sądów państwa członkowskiego, w którym organ nadzorczy ma siedzibę(50). Choć ta zasada może się wydawać mniej korzystna dla jednostek, to należy pamiętać, że – zgodnie z art. 60 ust. 8 i 9 RODO – jeżeli skarga wniesiona przez osobę, której dane dotyczą, zostaje częściowo lub w całości odrzucona lub oddalona, organ nadzorczy, do którego taka osoba wniosła skargę, przyjmuje stosowną decyzję i powiadamia o niej osobę, której dane dotyczą. Dzieje się tak niezależnie od tego, czy rzeczony organ jest organem wiodącym, czy też nie, co umożliwia (w stosownych przypadkach) osobie, której dane dotyczą, wszczęcie postępowania w jej własnym państwie członkowskim.

105. Te mechanizmy umożliwiające przekazywanie właściwości w przedmiocie podejmowania decyzji oraz, w stosownych przypadkach, umożliwiające wydawanie decyzji „dwupoziomowych” (przez organ wiodący wobec administratora lub podmiotu przetwarzającego i przez organ lokalny wobec skarżącego) zdają się mieć na celu właśnie uniknięcie sytuacji, w której osoby, których dane dotyczą, musiałyby zwiedzić sale sądowe w całej Unii Europejskiej, aby wszcząć postępowanie przeciwko bezczynnym organom nadzorczym.

106. Przyznaję jednak, że takie rozwiązanie może wywoływać szereg problemów natury praktycznej. Jaka będzie dokładna treść każdej z tych decyzji? Czy taka treść będzie identyczna(51), czy też różna? Czy osoba, której dane dotyczą, może kwestionować wszystkie aspekty, które uważa za istotne dla jej sprawy, w tym także i te, które są w rzeczywistości rozstrzygane w decyzji organu wiodącego? A może decyzja organu nadzorczego, do którego osoba, której dane dotyczą, wniosła skargę, będzie w dużej mierze wydmuszką i będzie służyć jedynie rozpatrzeniu danej skargi pod względem formalnym, zaś cała merytoryczna treść będzie się znajdować w decyzji organu wiodącego? Czy w takiej sytuacji osoba, której dane dotyczą, aby móc skorzystać z faktycznie „skutecznego środka ochrony prawnej przed sądem” w rozumieniu art. 78 RODO i art. 47 karty, musi w każdym przypadku wnosić sprawę do sądów państwa członkowskiego, w którym organ wiodący ma siedzibę? Jak należałoby stosować zasady regulujące dostęp do skutecznego środka prawnego przed sądem w odniesieniu do kontroli ewentualnych leżących u ich podstaw decyzji, podejmowanych czy to na szczeblu horyzontalnym (przez działające wspólnie organy nadzorcze), czy też w ramach stosunków wertykalnych (w związku z kontrolą opinii lub decyzji EROD w ramach mechanizmu spójności, które poprzedzają ostateczną decyzję organu nadzorczego i w istocie najpewniej determinują ją również pod względem merytorycznym)(52)?

107. Potencjalnych drażliwych kwestii jest tutaj całe mnóstwo. Być może pewnego dnia praktyczne doświadczenia ujawnią rzeczywiste problemy związane z jakością, a nawet poziomem ochrony prawnej w ramach tego nowego systemu. Obecnie wszystkie tego typu kwestie pozostają jednak wyłącznie w sferze domysłów. Na tym etapie, a już z pewnością w ramach niniejszego postępowania, Trybunałowi nie przedstawiono żadnych informacji, które świadczyłyby o istnieniu faktycznych problemów w tym względzie.

4.      W przedmiocie ewentualnego niedostatecznego egzekwowania przepisów RODO

108. Organ ochrony danych utrzymuje w istocie, że egzekwowania RODO w sytuacjach transgranicznych nie można pozostawić niemal wyłącznie w rękach organu wiodącego i osób, których dane dotyczą, na które może oddziaływać to przetwarzanie. To bowiem właśnie rolą każdego bez wyjątku organu nadzorczego jest podejmowanie działań w celu ochrony praw jednostek, na które może wpływać przetwarzanie danych. W szczególności organ nadzorczy nie może prawidłowo pełnić swojej funkcji, jeśli za każdym razem decyzję o podjęciu działań w związku z podejrzeniem, że doszło do popełnienia naruszenia, a także decyzję co do formy takich działań, pozostawia się uznaniu innego organu.

109. Uważam, że ten argument jest w istocie równoznaczny z zakwestionowaniem w sposób bezpośredni wprowadzonego w RODO nowego mechanizmu współpracy. Moja odpowiedź na ten zarzut jest sformułowana na dwóch płaszczyznach: z jednej strony de lege lata można stwierdzić, że RODO przewiduje mechanizmy mające na celu uniknięcie właśnie takich sytuacji. Z drugiej strony, co się tyczy rzeczywistego funkcjonowania i rzeczywistych skutków tych nowych systemów, tego rodzaju obawy są – na obecnym etapie – przedwczesne i hipotetyczne.

110. Po pierwsze, należy na wstępie wyjaśnić, że okoliczność, iż dany organ nadzorczy nie jest organem wiodącym w odniesieniu do konkretnego administratora lub podmiotu przetwarzającego, w żaden sposób nie oznacza, jak utrzymuje organ ochrony danych, że nie można należycie ścigać naruszeń przepisów RODO, które skutkują popełnieniem czynu zabronionego. Uprawnienie do „wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia niniejszego rozporządzenia”, o którym mowa w art. 58 ust. 5, w sposób naturalny obejmuje uprawnienie do kontaktowania się z organami właściwymi w sprawach karnych, na przykład z prokuratorem. To uprawnienie wpisuje się w spoczywające na organach nadzorczych zadanie monitorowania i egzekwowania stosowania przepisów RODO na terytorium ich państw członkowskich, a ponadto nie wpływa negatywnie na skuteczność funkcjonowania mechanizmów współpracy i spójności przewidzianych w rozdziale VII RODO. W tym względzie nie trzeba raczej przypominać, że o ile organy nadzorcze muszą obowiązkowo stosować te mechanizmy, to nie mają one jednak zastosowania do innych organów państw członkowskich, w szczególności tych, którym powierzono zadanie ścigania czynów zabronionych.

111. Po drugie, i co ważniejsze, jeśli zasady rządzące systemem ustanowionym w RODO są respektowane w swym całokształcie, to jest raczej jasne, że organ wiodący nie pełni funkcji jedynego podmiotu egzekwującego przepisy RODO w sytuacjach transgranicznych. Organ wiodący działa bardziej jako primus inter pares. Co do zasady organ wiodący może podejmować działania (administracyjne lub sądowe) wyłącznie za zgodą organów, których sprawa dotyczy. W ramach procedury przewidzianej w art. 60 RODO organ wiodący ma dążyć do osiągnięcia porozumienia(53). Nie może on ignorować uwag organów, których sprawa dotyczy. Na organie wiodącym spoczywa obowiązek „należytego uwzględnienia ich uwag”; ponadto każdy formalny sprzeciw organu, którego sprawa dotyczy, skutkuje czasowym zablokowaniem możliwości przyjęcia przez organ wiodący projektu decyzji. Ostatecznie wszelkie niemożliwe do usunięcia rozbieżności pomiędzy organami rozstrzyga specjalny podmiot (EROD), który składa się z przedstawicieli wszystkich organów nadzorczych z całej Unii. W tym względzie pozycja organu wiodącego nie jest zatem silniejsza aniżeli pozycja jakiegokolwiek innego organu(54).

112. Jak ujął to P. Hustinx, który piastował w przeszłości stanowisko Europejskiego Inspektora Ochrony Danych, w ramach systematyki RODO roli pełnionej przez organ wiodący „nie należy traktować w kategoriach właściwości wyłącznej, lecz raczej w kategoriach usystematyzowanego mechanizmu współpracy z innymi właściwymi miejscowo organami nadzorczymi”(55). W RODO przewidziano system wspólnej odpowiedzialności za monitorowanie stosowania RODO i zapewnianie jego spójnego stosowania. W tym celu organom nadzorczym powierza się zadania i przyznaje określone uprawnienia, co oznacza, że przysługują im pewne prawa, ale też spoczywają na nich pewne obowiązki. Do tych obowiązków należy zaliczyć w szczególności obowiązek stosowania określonych procedur i mechanizmów służących zapewnieniu spójności. Woli przyjęcia przez organ, w odniesieniu do (sądowego) egzekwowania przepisów RODO, postawy „zajmę się tym sam”(56), bez podjęcia współpracy z innymi organami, nie da się pogodzić ani z literą, ani z duchem tego rozporządzenia.

113. Jak wskazano w pkt 76 i 77 niniejszej opinii, RODO opiera się na delikatnej równowadze między koniecznością zapewnienia wysokiego stopnia ochrony osób fizycznych a potrzebą usunięcia przeszkód w przepływie danych osobowych w Unii. Jak wynika w szczególności z motywu 10 i art. 1 ust. 1 RODO, owe dwa cele są ze sobą w sposób nierozerwalny związane. Krajowe organy nadzorcze powinny więc zapewnić między nimi słuszną równowagę, co Trybunał i nieustannie podkreślał począwszy od pierwszych wydanych przezeń wyroków w dziedzinie ochrony danych osobowych(57). To podejście znalazło swoje odzwierciedlenie w art. 51 ust. 1 RODO, w którym zdefiniowano funkcje organów nadzorczych(58).

114. Po trzecie, RODO przewiduje nie tylko mechanizmy pozwalające usuwać rozbieżności co do sposobu egzekwowania przepisów, to znaczy rozstrzygać spory powstałe na gruncie kolidujących ze sobą poglądów i stanowisk organów nadzorczych. Ustanowiono w nim bowiem również mechanizmy na wypadek bezczynności organów administracji. Ma ona miejsce w szczególności wówczas, gdy organ wiodący – z tej przyczyny, że nie dysponuje wiedzą fachową lub ma braki kadrowe, bądź z jakiejkolwiek innej przyczyny – po prostu nie podejmuje żadnych merytorycznych działań w celu zbadania ewentualnych naruszeń przepisów RODO oraz, w stosownych przypadkach, w celu egzekwowania jego przepisów.

115. Co do zasady w sytuacjach transgranicznego przetwarzania organ wiodący jest zobowiązany na podstawie RODO do działania w sposób niezwłoczny. W szczególności art. 60 ust. 3 RODO stanowi, że organ wiodący „niezwłocznie przekazuje innym organom nadzorczym, których sprawa dotyczy, stosowne informacje dotyczące danej sprawy [oraz] [n]iezwłocznie przedkłada innym organom, których sprawa dotyczy, nadzorczym projekt decyzji w celu uzyskania ich opinii i należytego uwzględnienia ich uwag”(59).

116. Można się zastanawiać, czy w sytuacji, w której organ wiodący nie wywiązuje się z tego obowiązku, lub, bardziej ogólnie rzecz ujmując, nie podejmuje działań, gdy jest to wymagane, organy, których sprawa dotyczy, zamierzające podjąć postępowanie oraz (ewentualnie) przeprowadzić działania na rzecz egzekwowania przepisów, dysponują jakimkolwiek środkiem prawnym(60). Uważam, że w takim przypadku te organy mogą obrać co najmniej dwie różne drogi, które wzajemnie się nie wykluczają.

117. Z jednej strony, zgodnie z art. 61 ust. 1 i 2 RODO, organ nadzorczy może wystąpić do innego organu nadzorczego o przekazanie „informacj[i] i [świadczenie] wzajemn[ej] pomoc[y] w celu […] wdrażania i stosowania [RODO]”(61). Taka pomoc może przybrać formę wniosku o udzielenie informacji, w tym „o przebiegu postępowania”, lub innych środków wsparcia (obejmujących na przykład przeprowadzenie kontroli i postępowań lub wprowadzenie środków na rzecz skutecznej współpracy). Organ wezwany udziela odpowiedzi na każdy taki wniosek „bez zbędnej zwłoki i nie później niż w terminie miesiąca od otrzymania wniosku”.

118. Zgodnie z art. 61 ust. 5 i 8 RODO w przypadku, gdy organ nadzorczy nie przekazuje odpowiedzi w wyznaczonym terminie lub odmawia wykonania wniosku, organ wzywający może „zastosować środek tymczasowy na terytorium swojego państwa członkowskiego zgodnie z art. 55 ust. 1”. W takich sytuacjach „uznaje się, że zgodnie z art. 66 ust. 1 zachodzi pilna potrzeba działania i że zgodnie z art. 66 ust. 2 wymagana jest pilna wiążąca decyzja Europejskiej Rady Ochrony Danych”(62).

119. Wydaje mi się, że ten mechanizm może być również zastosowany (i najpewniej został opracowany z myślą o takim stosowaniu(63)) przez organ, którego sprawa dotyczy, w stosunku do organu wiodącego. Jeżeli więc, w szczególnym przypadku transgranicznego przetwarzania, organ wiodący nie podejmuje żadnych działań, pomimo skierowania do niego przez organ, którego sprawa dotyczy, wniosku w tym przedmiocie, organ, którego sprawa dotyczy, może zastosować w trybie pilnym środki uznane za niezbędne dla ochrony interesów osób, których dane dotyczą. Istnienie wyjątkowych okoliczności uzasadniających pilną potrzebę podjęcia działań stanowi bowiem domniemanie i nie wymaga przeprowadzania dowodu.

120. Z drugiej strony art. 64 ust. 2 RODO stanowi, że każdy organ nadzorczy (lub przewodniczący EROD lub Komisja) może „wystąpić o przeanalizowanie przez Europejską Radę Ochrony Danych w celu wydania opinii sprawy mającej charakter ogólny lub wywołującej skutki w więcej niż jednym państwie członkowskim, w szczególności jeżeli właściwy organ nadzorczy nie wywiązuje się z obowiązków dotyczących wzajemnej pomocy zgodnie z art. 61 […]”(64).

121. Nie jest do końca jasne, czy decyzja EROD będzie prawnie wiążąca dla organu wiodącego, którego przetwarzanie dotyczy(65). Niemniej jednak, zgodnie z art. 65 ust. 1 lit. c) RODO, jeżeli właściwy organ nadzorczy nie zastosował się do opinii EROD wydanej w trybie art. 64, każdy organ, którego sprawa dotyczy (a także Komisja), może zgłosić sprawę EROD, a tym samym uruchomić przewidzianą właśnie w tym celu procedurę rozstrzygania sporów. To w ramach tej procedury zostanie ostatecznie wydana wiążąca decyzja(66).

122. To powiedziawszy, muszę przyznać, że owe dwa zaprezentowane powyżej mechanizmy (z jednej strony art. 61 i 66 RODO oraz z drugiej strony art. 64 i 65 RODO) są nieco uciążliwe. W rzeczywistości ich funkcjonowanie niekiedy wzbudza pewne wątpliwości. W związku z tym o ile teoretycznie wydaje się, że te przepisy pozwolą uniknąć tego rodzaju problemów, o tyle jednak jedynie praktyka ich stosowania w przyszłości pozwoli ustalić, czy tak naprawdę nie stanowią one olbrzymów na glinianych nogach.

123. Wracam tym samym do owego drugiego aspektu argumentu formułowanego w ramach zarzutu niedostatecznego egzekwowania, jakim jest jego hipotetyczność i bezpodstawność (przynajmniej w chwili obecnej). Muszę przyznać, że wydaje mi się, iż w sytuacji, w której zagrożenia związane z niedostatecznym egzekwowaniem przepisów RODO zasugerowane przez organ ochrony danych i przez niektórych innych interwenientów, rzeczywiście by się zmaterializowały, to cały system należałoby poddać daleko idącemu przeglądowi.

124. Z perspektywy strukturalnej bowiem mogłoby to mieć miejsce, gdyby ta nowa konstrukcja miała skutkować powstaniem „nisz” regulacyjnych dla pewnych podmiotów gospodarczych, które – po tym jak faktycznie samodzielnie wybrały sobie krajowy organ regulacyjny w drodze odpowiedniego ulokowania w Unii swojej głównej jednostki gospodarczej – nie byłyby wcale kontrolowane, lecz raczej chronione przez dany organ wiodący przed innymi organami regulacyjnymi. Niewielu zaprzeczy, że konkurencja regulacyjna między państwami członkowskimi, która przyjmowałaby formę równania w dół, byłaby niezdrowa i równie niebezpieczna co niespójność regulacyjna przejawiająca się w braku koordynacji i spójności tak charakterystycznym dla poprzednio obowiązujących ram prawnych. Systemy regulacyjne przewidujące wzajemne powiązania pozwalają potencjalnie zapobiegać niespójnościom i rozbieżnościom, ponieważ promują porozumienie i współpracę. Ceną płaconą za konsensus zwykle jest jednak przykracanie cugli aktywnym podmiotom, co ma miejsce zwłaszcza wówczas, gdy podjęcie jakiejkolwiek decyzji w ramach danego systemu wymaga ścisłego współdziałania. W ramach takich systemów wspólna odpowiedzialność może prowadzić do wspólnego braku odpowiedzialności i, ostatecznie, wynikającej stąd inercji.

125. Przy analizowaniu tego rodzaju zagrożeń należy jednak pamiętać, że ramy prawne ustanowione w RODO są nadal w powijakach. Niełatwo jest przewidzieć – a już szczególnie trudno jest snuć takie przewidywania sądowi w kontekście konkretnej i dość szczególnej procedury – w jaki sposób mechanizmy ustanowione w tym rozporządzeniu będą funkcjonować w praktyce i jaka będzie ich skuteczność. W przypadku tego rodzaju ram, podobnie jak ma to zresztą miejsce w odniesieniu do ewentualnych problemów związanych z ochroną praw podstawowych i wykładnią ukierunkowaną na postanowienia karty(67), należy zalecić ostrożność.

126. Moim zdaniem niedobrze by się stało, gdyby Trybunał miał w istotny sposób zmienić te (misterne i kunsztowne) ramy, które zostały wypracowane w toku długiego i pracochłonnego procesu ustawodawczego, w drodze wykładni wyrwanych z kontekstu pojedynczych zdań oraz w oparciu o nieuniknione na obecnym etapie przypuszczenia i spekulacje. Jest to tym bardziej istotne wówczas, gdy wykładnia zaproponowana przez niektórych z uczestników sprowadza się w rzeczywistości do usunięcia z rozporządzenia pewnych jego zasadniczych elementów, a tym samym, de facto, do powrotu do dawnego systemu regulowanego dyrektywą 95/46, który został – jeśli chodzi o jego wymiar instytucjonalny – w sposób jasny i wyraźny odrzucony przez prawodawcę Unii.

127. Ta całkowita przejrzystość konstrukcji aktu prawnego, o której świadczą – jak wynika z poprzednich części niniejszej opinii – zarówno brzmienie i systematyka RODO, jak i udokumentowane intencje przyświecające prawodawcy, pozwala też rozstrzygnąć ewentualne inne kwestie natury strukturalnej, na przykład dotyczące należytej równowagi między egzekwowaniem przepisów o ochronie danych osobowych oraz RODO na drodze publiczno- i prywatnoprawnej. Czy sensowne jest powierzenie egzekwowania na drodze publicznoprawnej jednemu organowi, a tym samym jednemu państwu członkowskiemu, co będzie zresztą możliwe dopiero po przeprowadzeniu długiego i uciążliwego postępowania administracyjnego, skoro egzekwowanie tych samych przepisów na drodze prywatnoprawnej będzie w praktyce najpewniej odbywać się w sposób szybszy, przed sądami (cywilnymi) wszystkich państw członkowskich? Czy krajowe organy nadzorcze powinny mieć mniejszy dostęp do sądu niż każdy konsument indywidualny? Czy większość spraw z zakresu ochrony danych osobowych nie będzie ostatecznie rozpatrywanych przez sądy krajowe (i, potencjalnie, dzięki zastosowaniu trybu prejudycjalnego, przez Trybunał), do których będą one trafiać w drodze skarg bezpośrednich kierowanych przez strony prywatne, z zupełnym pominięciem krajowych organów regulacyjnych powołanych właśnie w tym celu, z tego powodu, że organy będą wciąż we współpracy uzgadniać swoje stanowiska? Czy taki system nie stwarza zagrożenia całkowitego zastąpienia egzekwowania na drodze publicznoprawnej egzekwowaniem na drodze prywatnoprawnej?

128. W każdym wypadku prawodawca Unii dokonał jasnego wyboru o charakterze instytucjonalnym i strukturalnym, a moim zdaniem nie ma wątpliwości, co chciał przez to osiągnąć. W tego rodzaju okolicznościach nie należy podejmować gwałtownych ruchów, lecz raczej obserwować rozwój sytuacji. Gdyby sprawy przybrały niewłaściwy obrót, co znalazłoby potwierdzenie w faktach i byłoby poparte solidnymi argumentami, to nie sądzę, żeby Trybunał przymknął oko na ewentualne luki, które mogłyby w ten sposób powstać w systemie ochrony praw podstawowych zagwarantowanych w karcie oraz w systemie ich skutecznego egzekwowania przez właściwe organy regulacyjne. Kwestię tego, czy taka sytuacja byłaby w dalszym ciągu problematyczna w świetle wykładni przepisów prawa wtórnego w oparciu o postanowienia karty, czy też stanowiłaby problem z punktu widzenia ważności odnośnych przepisów lub nawet konkretnych sekcji aktu prawa wtórnego, należałoby już rozstrzygnąć w ramach innego postępowania.

5.      Wniosek pośredni

129. Na podstawie wszystkich zaprezentowanych powyżej wskazówek interpretacyjnych można więc dojść do tego samego wniosku – organowi wiodącemu przysługuje ogólna właściwość w odniesieniu do transgranicznego przetwarzania danych. Wszystkie organy nadzorcze (niezależnie od tego, czy pełnią rolę organu wiodącego, czy też organu, którego sprawa dotyczy) mają podejmować działania, zwłaszcza w przypadku transgranicznego przetwarzania tych danych zgodnie z procedurami i mechanizmami przewidzianymi w RODO.

130. Czy jednak wynika z tego, że organ nadzorczy, który nie jest organem wiodącym, nigdy nie może – co do zasady – wszcząć przed sądami krajowymi postępowania przeciwko administratorowi lub podmiotowi przetwarzającemu dane, jeżeli to przetwarzanie ma charakter transgraniczny?

131. Nie można wyciągnąć takiego wniosku.

132. Po pierwsze, orany nadzorcze mogą oczywiście wszcząć postępowanie przed sądem krajowym w sytuacji, w której podejmują działania niemieszczące się w zakresie przedmiotowego stosowania RODO, o ile jest to dozwolone na mocy prawa krajowego, a prawo Unii nie stoi temu na przeszkodzie, na przykład z tej przyczyny, że przetwarzanie to nie dotyczy danych osobowych albo że przetwarzanie danych osobowych jest dokonywane w związku z działalnością, o której mowa w art. 2 ust. 2 RODO(68).

133. Po drugie, niezależnie od transgranicznego charakteru przetwarzania, w sytuacjach wskazanych w art. 55 ust. 2 RODO (przetwarzanie dokonywane przez organy publiczne, a także każde przetwarzanie dokonywane w interesie publicznym lub w ramach sprawowania władzy publicznej) właściwym organem regulacyjnym pozostaje lokalny organ nadzorczy, co oczywiście łączy się również z tym, że – w razie zaistnienia odpowiedniej potrzeby – przysługuje mu legitymacja procesowa czynna.

134. Po trzecie, zdarzają się takie sytuacje, w których mimo że dochodzi do transgranicznego przetwarzania danych osobowych, które jest objęte zakresem stosowania RODO, żaden organ nadzorczy nie działa jako organ wiodący. Z uwagi na fakt, że przewidziany w RODO mechanizm współpracy i spójności ma zastosowanie wyłącznie do administratorów posiadających co najmniej jedną jednostkę organizacyjną w Unii, nie istnieje żaden organ wiodący w przypadku transgranicznego przetwarzania przez administratorów, którzy nie posiadają w Unii jednostki organizacyjnej. Oznacza to, że muszą się oni kontaktować z lokalnymi organami nadzorczymi w każdym państwie członkowskim, w którym działają(69).

135. Po czwarte, jeśli spełnione zostaną odpowiednie warunki, każdy organ nadzorczy może podejmować działania w trybie pilnym. Istnieją ponadto sytuacje, w których domniemywa się, że zachodzi pilna potrzeba działania. Może być tak na przykład w przypadku, w którym organowi, którego sprawa dotyczy, może zagrażać uporczywa bezczynność właściwego organu wiodącego. Ponieważ w art. 66 ust. 1 RODO przewidziano możliwość zastosowania „hurtowego” odstępstwa od mechanizmu spójności, można słusznie założyć, że w takiej wyjątkowej sytuacji przywrócona zostaje możliwość skorzystania z całego szeregu uprawnień przyznanych organowi nadzorczemu (których w normalnych okolicznościach nie można byłoby jednak wykonywać z uwagi na obowiązywanie przepisów szczególnych dotyczących właściwości organu wiodącego względem transgranicznego przetwarzania), zaś ten organ może tymczasowo wykonywać takie uprawnienia. Wśród nich znajduje się oczywiście uprawnienie do wszczęcia postępowania sądowego zgodnie z art. 58 ust. 5 RODO.

136. Wreszcie, po piąte, i jedynie tytułem uzupełnienia, warto jest wskazać, że istnieje możliwość, iż organ nadzorczy, który przekazał informacje organowi wiodącemu, może również nabyć (a raczej zachować) uprawnienie do skierowania sprawy do sądu w sytuacji, w której organ wiodący postanowi nie zajmować się daną sprawą zgodnie z art. 56 ust. 5 RODO. Na pierwszy rzut oka ten przepis wydaje się wprost stworzony do tego, by stanowić ramy prawne dla wypracowania decyzji w przedmiocie tego, który z dwóch organów nadzorczych może faktycznie lepiej zająć się daną sprawą.

137. Podsumowując – przepisy RODO nie wprowadzają żadnego ogólnego zakazu wszczynania przez inne organy nadzorcze, zwłaszcza organy, których sprawa dotyczy, postępowania w sprawie ewentualnych naruszeń przepisów o ochronie danych. Jest wręcz przeciwnie: różnego rodzaju sytuacje, w których są one uprawnione do podjęcia takiego działania, albo wymieniono w RODO, albo można je w sposób dorozumiany wywieść z tego aktu prawnego(70).

138. Niemniej jednak, ogólnie rzecz biorąc, najważniejsze znaczenie ma to, aby w sytuacjach, w których przewidziano stosowanie procedur i mechanizmów ustanowionych w RODO (zwłaszcza w jego rozdziałach VI i VII), zarówno organ wiodący, jak i organy, których sprawa dotyczy, należycie je stosowały. Z przepisów RODO z niezwykłą jasnością wynika, że żaden z tych organów nie może działać poza tymi ramami prawnymi lub z ich pominięciem.

139. Należy jednak wskazać, że kwestia tego, czy organ ochrony danych zastosował się do owych procedur i mechanizmów w niniejszej sprawie, czy też nie – które to zagadnienie stało się wprawdzie w pewnym stopniu przedmiotem dyskusji na rozprawie, lecz pozostaje nieco niejasne ze względu na szczególny kontekst proceduralny rozpatrywanej sprawy(71) – ma zostać zbadana przez sąd odsyłający.

140. W związku z powyższym na pytanie pierwsze należy odpowiedzieć w ten sposób, że przepisy RODO zezwalają organowi nadzorczemu państwa członkowskiego na wszczęcie przed sądem tego państwa postępowania w sprawie domniemanego naruszenia RODO w odniesieniu do transgranicznego przetwarzania danych, niezależnie od tego, że ów organ nie jest organem wiodącym, pod warunkiem że takie działanie podejmuje on w sytuacjach wskazanych w RODO i zgodnie określonymi w nim procedurami.

C.      W przedmiocie pozostałych pytań prejudycjalnych

1.      W przedmiocie pytania drugiego

141. Poprzez pytanie drugie sąd odsyłający zmierza do ustalenia, czy odpowiedź na pytanie pierwsze byłaby inna, gdyby administrator dokonujący tego transgranicznego przetwarzania nie posiadał swojej głównej jednostki organizacyjnej w tym państwie członkowskim, lecz posiadał w nim inną jednostkę organizacyjną.

142. W świetle odpowiedzi zaproponowanej na pytanie pierwsze odpowiedź, jakiej należy udzielić na pytanie drugie, jest dość jasna: co do zasady nie, pod warunkiem że „główna jednostka organizacyjna” w rozumieniu art. 4 pkt 16 RODO rzeczywiście znajduje się w innym państwie członkowskim.

143. Okoliczność, że administrator ma jednostkę zależną w państwie członkowskim, pozostaje co do zasady bez wpływu na przysługujące lokalnemu organowi nadzorczemu uprawnienie do wszczęcia postępowania sądowego zgodnie z art. 58 ust. 5 RODO w związku z konkretną czynnością transgranicznego przetwarzania danych. Innymi słowy – w przypadku transgranicznego przetwarzania danych zakres uprawnień przyznanych organowi nadzorczemu oraz sposób, w jaki owe uprawnienia mają być wykonywane, co do zasady nie zależą od tego, czy administrator lub podmiot przetwarzający, który posiada swoją główną jednostkę organizacyjną w innym państwie członkowskim, posiada również jednostkę organizacyjną w państwie członkowskim tego organu.

144. Jak już jednak wskazano powyżej(72), aby dokonać tego ustalenia, sąd krajowy musi najpierw ustalić, która jednostka organizacyjna jest w rzeczywistości, na potrzeby danej operacji przetwarzania, główną jednostką organizacyjną. W tym względzie w art. 4 pkt 16 lit. a) RODO przyjęto dynamiczną koncepcję(73) głównej jednostki organizacyjnej, która wcale nie musi się pokrywać ze statyczną strukturą organizacyjną przedsiębiorstwa.

145. Ponadto okoliczność, że administrator lub podmiot przetwarzający posiada jednostkę (zależną) na terytorium państwa członkowskiego, do którego przynależy organ nadzorczy, oznacza, iż ów organ jest organem, którego sprawa dotyczy, w rozumieniu art. 4 pkt 22 RODO. Organom, których sprawa dotyczy, przyznano istotne uprawnienia w kontekście procedur, o których mowa w rozdziale VII RODO(74).

146. Ponadto w art. 56 ust. 2 RODO przewidziano wyjątek od ogólnej właściwości organu wiodącego względem transgranicznego przetwarzania: „każdy organ nadzorczy jest właściwy do rozpatrzenia skargi, którą do niego wniesiono, lub zajęcia się ewentualnym naruszeniem [RODO], jeżeli sprawa dotyczy wyłącznie jednostki organizacyjnej w jego państwie członkowskim lub znacznie wpływa na osoby, których dane dotyczą, wyłącznie w jego państwie członkowskim”. Ta właściwość musi z kolei być wykonywana zgodnie z procedurą przewidzianą w ust. 3–5 owego artykułu(75).

2.      W przedmiocie pytania trzeciego

147. Poprzez pytanie trzecie sąd odsyłający zmierza do ustalenia, czy na pytanie pierwsze należałoby udzielić innej odpowiedzi w zależności od tego, czy krajowy organ nadzorczy wszczął postępowanie sądowe przeciwko głównej jednostce organizacyjnej administratora, czy też przeciwko jednostce organizacyjnej w państwie członkowskim, do którego przynależy ów organ.

148. W świetle odpowiedzi zaproponowanej na pytanie pierwsze, a także, w zakresie, w jakim pytanie trzecie nie pokrywa się w istocie z pytaniem drugim, na pytanie trzecie również należy udzielić odpowiedzi przeczącej.

149. Ponownie należy wskazać, że o ile w oparciu o okoliczności faktyczne danej sprawy rzeczywiście istnieje możliwość ustalenia, iż główna jednostka organizacyjna odpowiedzialna za daną operację przetwarzania, zgodnie z art. 4 pkt 16 RODO, znajduje się faktycznie w innym państwie członkowskim, o tyle krajowy organ nadzorczy państwa członkowskiego, w którym znajduje się jednostka organizacyjna administratora, nie jest organem wiodącym, ale może się stać organem, którego sprawa dotyczy. Przy dokonywaniu tej oceny należy jednak pamiętać, że uprawnienie organu nadzorczego do podjęcia działań nie zależy od tego, czy postępowanie sądowe zostało wszczęte przeciwko głównej jednostce organizacyjnej administratora, czy też przeciwko jednostce organizacyjnej w państwie członkowskim, do którego przynależy ów organ(76).

150. Tytułem uzupełnienia można wskazać, że art. 58 ust. 5 RODO został sformułowany szeroko i nie zawarto w nim katalogu podmiotów, przeciwko którym organy nadzorcze powinny lub mogą podjąć działania. Dało to przyczynek do przedstawionych w uwagach przez niektórych z uczestników interesujących rozważań w kwestii, która wprawdzie nie jest pozbawiona znaczenia, lecz którą – moim zdaniem – Trybunał nie musi się zajmować w ramach niniejszej sprawy. Można ją sformułować następująco: czy organy nadzorcze, o ile rzeczywiście są do tego w świetle przepisów RODO właściwe, mogą podejmować działania wyłącznie przeciwko jednostce organizacyjnej (jednostkom organizacyjnym) administratora lub podmiotu przetwarzającego, które znajdują się na ich terytoriach, czy też mogą podejmować działania również przeciwko jednostkom organizacyjnym znajdującym się za granicą?

151. Z jednej strony rządy belgijski, włoski i polski podkreślają, że art. 55 ust. 1 RODO ogranicza właściwość terytorialną każdego organu nadzorczego do terytorium państwa członkowskiego, do którego taki organ przynależy. Wyprowadzają one z tego wniosek, że organy nadzorcze mogą podejmować działania wyłącznie przeciwko lokalnym jednostkom organizacyjnym.

152. Moim zdaniem jednak ten przepis nie jest bynajmniej tak jasny – mowa w nim bowiem o wykonywaniu uprawnień przyznanych rozporządzeniem „na terytorium swojego państwa członkowskiego”. Nie interpretuję tego uregulowania w ten sposób, że musi ono wykluczać możliwość podjęcia działań przeciwko jednostce organizacyjnej znajdującej się w innym państwie członkowskim. Przewidziany w art. 55 ust. 1 RODO element terytorialności – interpretowany w świetle ogólnego zakresu stosowania RODO, wskazanego w jego art. 1 ust. 1 i art. 3 – który skutkuje powstaniem właściwości organu nadzorczego w konkretnej sprawie, dotyczy skutków przetwarzania danych na terytorium danego państwa członkowskiego. Ten element nie stanowi mechanizmu ograniczającego możliwość podejmowania działań przeciwko administratorom lub podmiotom przetwarzającym znajdującym się za granicą.

153. Z drugiej strony organ ochrony danych sugeruje, że każdy organ jest uprawniony do podejmowania działań dotyczących wszystkich naruszeń przepisów RODO mających miejsce na terytorium jego państwa członkowskiego, niezależnie od tego, czy administrator lub podmiot przetwarzający posiada jednostkę organizacyjną na terytorium państwa, do którego przynależy ów organ. Oznacza to, że organ powinien również być w stanie wszcząć postępowanie przeciwko jednostkom organizacyjnym znajdującym się za granicą. W tym względzie organ ochrony danych powołuje się na wydany przez Trybunał wyrok Wirtschaftsakademie Schleswig-Holstein(77). W owym wyroku Trybunał stwierdził, że art. 4 i 28 dyrektywy 95/46 zezwalają organowi nadzorczemu państwa członkowskiego na wykonywanie prawa do pozywania w stosunku do jednostki organizacyjnej tego przedsiębiorstwa znajdującej się na terytorium tego państwa członkowskiego. Jest tak nawet wówczas, gdy jednostka ponosi odpowiedzialność wyłącznie za sprzedaż przestrzeni reklamowej i inne działania marketingowe na terytorium rzeczonego państwa członkowskiego, zaś wyłączną odpowiedzialność za zbieranie i przetwarzanie danych osobowych ponosi, w zakresie całego terytorium Unii, jednostka organizacyjna położona w innym państwie członkowskim.

154. Organ ochrony danych słusznie wskazuje, że skoro RODO zawiera w tym względzie przepisy podobne do przepisów dyrektywy 95/46(78), to zasady ustanowione przez Trybunał w wyroku Wirtschaftsakademie Schleswig-Holstein powinny, mutatis mutandis, mieć zastosowanie również w odniesieniu do RODO. W owym wyroku wskazano jednak wyłącznie, w jakiej sytuacji lokalna jednostka organizacyjna może zostać pozwana przez organ, mimo że przetwarzania dokonuje (zasadniczo) jednostka organizacyjna znajdująca się w innym miejscu w Unii. Nie potwierdzono w nim ani nie wykluczono, przynajmniej w sposób wyraźny, że organ nadzorczy może również podejmować działania przeciwko tej drugiej jednostce organizacyjnej.

155. Niemniej jednak wydaje mi się, że z okoliczności, iż nowy mechanizm kompleksowej współpracy przewiduje utworzenie centralnego punktu egzekwowania przepisów, w sposób konieczny wynika, że organ nadzorczy może również podejmować działania przeciwko jednostkom organizacyjnym znajdującym się za granicą. Nie jestem pewien, czy nowy system mógłby funkcjonować prawidłowo w sytuacji, gdyby wykluczona była możliwość podejmowania przez organy, w szczególności zaś przez organ wiodący, działań przeciwko jednostce organizacyjnej znajdującej się w innym miejscu(79).

3.      W przedmiocie pytania czwartego

156. Poprzez pytanie czwarte sąd odsyłający zmierza do ustalenia, czy odpowiedź na pytanie pierwsze byłaby inna, gdyby krajowy organ nadzorczy wszczął postępowanie sądowe jeszcze przed datą wejścia w życie RODO.

157. Na wstępie należy zauważyć, że RODO nie zawiera żadnych przepisów przejściowych ani innych przepisów regulujących kwestię postępowań sądowych, które toczyły się w chwili wejścia w życie nowych ram prawnych.

158. W świetle powyższego uważam, że na to pytanie należy odpowiedzieć: „To zależy”.

159. Z jednej strony, jeśli chodzi o naruszenia przepisów o ochronie danych osobowych przez administratorów lub podmioty przetwarzające, które miały miejsce przed datą rozpoczęcia stosowania przepisów RODO, postępowania w tym przedmiocie mogą być moim zdaniem kontynuowane. Nie dostrzegam żadnego uzasadnionego powodu przemawiającego za zobowiązaniem organów do zaprzestania prowadzenia działań na rzecz egzekwowania przepisów, które dotyczą popełnionych w przeszłości czynów, które miały być niezgodne z prawem w chwili ich popełnienia i w odniesieniu do których przysługiwała im (wówczas) właściwość do podjęcia działań. Skutkiem przyjęcia odmiennego podejścia byłaby bowiem swego rodzaju amnestia obejmująca określone naruszenia przepisów o ochronie danych osobowych.

160. Z drugiej strony sytuacja jest inna w przypadku działań podjętych w związku z naruszeniami, które jeszcze się nie urzeczywistniły, ponieważ mają one miejsce po dacie rozpoczęcia stosowania przepisów RODO(80). W tym względzie, tak samo jak w każdym innym przypadku, w sytuacji gdy nowe przepisy mają zastosowanie do sytuacji powstałych pod rządami nowych ram prawnych, nowe przepisy prawa materialnego stosuje się wyłącznie do okoliczności faktycznych mających miejsce po rozpoczęciu stosowania nowego aktu prawnego(81).

161. Do sądu odsyłającego należy ustalenie, w który z zaprezentowanych powyżej dwóch scenariuszy wpisuje się obecnie postępowanie główne(82). Gdyby był to ów pierwszy scenariusz, sugerowałbym, że toczące się postępowanie może zostać zakończone (a z pewnością może tak być z perspektywy prawa Unii), o ile jest ono ograniczone do ewentualnego stwierdzenia naruszeń, które miały miejsce w przeszłości. Gdyby natomiast zastosować ów drugi scenariusz, postępowanie krajowe należałoby umorzyć. W nowych ramach prawnych ustanowiono bowiem odmienny system właściwości i uprawnień, czego skutkiem jest to, że organ, którego sprawa dotyczy, może podejmować działań w związku z naruszeniami wynikającymi z transgranicznego przetwarzania danych tylko w pewnych szczególnych przypadkach oraz tylko zgodnie z przewidzianymi w tym celu procedurami i mechanizmami.

162. Odmienne rozwiązanie byłoby de facto równoznaczne z dalszym obowiązywaniem systemu wprowadzonego dyrektywą 95/46, pomimo tego, że zarówno w prawie Unii, jak i w prawie krajowym obowiązywanie owego systemu zostało w sposób wyraźny uchylone i w jego miejsce wprowadzony został nowy system. Można w końcu zadać sobie pytanie, czy sytuacja, w której organ ochrony danych rzeczywiście dysponowałby środkiem, za pomocą którego można by było nakazać zaniechanie naruszeń, który uniemożliwiałby Facebookowi podejmowanie w przyszłości (na marginesie – przez jak długi okres?) praktyk będących przedmiotem postępowania głównego, nie skutkowałaby naruszeniem właściwości w odniesieniu do (tego samego) zachowania, którą RODO przyznało – począwszy od dnia 25 maja 2018 r. – organowi wiodącemu i organom, których sprawa dotyczy, a potencjalnie także współistnieniem sprzecznych decyzji (lub orzeczeń sądowych) wydawanych w różnych państwach członkowskich.

4.      W przedmiocie pytania piątego

163. Poprzez pytanie piąte, które zostało zadane na wypadek udzielenia odpowiedzi twierdzącej na pytanie pierwsze, sąd odsyłający zmierza do ustalenia, czy art. 58 ust. 5 RODO ma skutek bezpośredni, co oznaczałoby, że krajowy organ nadzorczy może się powołać na ten przepis, aby wszcząć lub kontynuować postępowanie sądowe przeciwko podmiotom prywatnym, nawet jeżeli ten przepis nie został w sposób wyraźny transponowany do prawa krajowego.

164. Przypomnę, że art. 58 ust. 5 ma następujące brzmienie: „Każde państwo członkowskie przewiduje w swoich przepisach, że jego organ nadzorczy jest uprawniony do wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia niniejszego rozporządzenia oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów niniejszego rozporządzenia”.

165. Facebook oraz rządy czeski i portugalski podkreślają, że ten przepis w sposób wyraźny zobowiązuje państwa członkowskie do działania, czyli ustanowienia przepisów umożliwiających organom wszczynanie postępowań sądowych. Aby to uprawnienie do wszczynania postępowań sądowych było w pełni skuteczne, może zaistnieć konieczność określenia w pewnych przepisach krajowych w szczególności tego, jakie sądy są właściwe, jakie są warunki wnoszenia skarg oraz jakie procedury należy stosować.

166. W świetle odpowiedzi, jakiej proponuję udzielić na pytanie pierwsze, nie ma w istocie potrzeby udzielania odpowiedzi na pytanie piąte. Dla pełności wywodu pragnę jednak wskazać, że nie widzę przeszkód, by zaakceptować twierdzenia organu ochrony danych, który wskazuje, iż pod względem normatywnym rzeczony przepis prawa Unii jest raczej jednoznaczny i cechuje się samoistną wykonalnością. W tym względzie należy przypomnieć, że – co do zasady – przepis prawa Unii ma bezpośrednią skuteczność, jeżeli z punktu widzenia treści jest wystarczająco jasny, precyzyjny i bezwarunkowy, aby można się na niego powołać wobec wszelkich przepisów prawa krajowego niezgodnych z nim, bądź też jeśli przepis ten pozwala określić uprawnienia, jakich jednostki mogą dochodzić od państwa(83).

167. Pomijając już fakt, że analizowany przepis znajduje się w rozporządzeniu (będącym, zgodnie z art. 288 TFUE, aktem prawnym, który „wiąże w całości i jest bezpośrednio stosowan[y] we wszystkich państwach członkowskich”(84)), wydaje mi się, iż z art. 58 ust. 5 RODO rzeczywiście można wywieść konkretną i mającą bezpośrednie zastosowanie normę. Ta norma jest bardzo prosta: organom nadzorczym musi przysługiwać legitymacja procesowa do występowania przed sądami krajowymi, zaś na gruncie prawie krajowym należy im przyznać uprawnienie do wszczynania postępowań sądowych. Pozew wniesiony do sądu krajowego nie może zostać uznany za niedopuszczalny ze względu na brak osobowości prawnej.

168. O ile zgadzam się z Facebookiem oraz z rządami czeskim i portugalskim co do tego, że państwa członkowskie mogą ustanawiać bardziej szczegółowe zasady i warunki dotyczące postępowań sądowych wszczynanych przez organy nadzorcze, a także w bardziej szczegółowy sposób określać właściwość w tym przedmiocie, o tyle sądzę, że tego rodzaju zasady nie są w żadnym razie niezbędne dla obowiązywania bezpośrednio skutecznej normy z art. 58 ust. 5 RODO. W braku ustanowionych przez prawodawcę krajowego zasad ad hoc zasady domyślne przewidziane w odpowiednich krajowych kodeksach postępowania (czy to w kodeksach postępowania przed sądami administracyjnymi, czy też nawet, w sposób dorozumiany, w kodeksach postępowania cywilnego) znajdą oczywiście zastosowanie do wszelkich postępowań sądowych wszczynanych przez organy nadzorcze. I tak na przykład w braku szczególnych przepisów wykonawczych dotyczących właściwości można by bezpiecznie przyjąć, że – o ile nie postanowiono inaczej – zastosowanie znajduje domyślna zasada ogólna, która z dużą dozą prawdopodobieństwa została w sposób dorozumiany ustanowiona w każdym kodeksie postępowania (cywilnego) i która przewiduje, iż właściwość przysługuje sądowi właściwemu dla miejsca zamieszkania pozwanego lub miejsca prowadzenia przez niego działalności.

5.      W przedmiocie pytania szóstego

169. Poprzez pytanie szóste i ostatnie sąd odsyłający zmierza do ustalenia, czy – jeżeli krajowy organ nadzorczy jest uprawniony do wszczęcia lub kontynuowania postępowania sądowego – wynik takiego postępowania stałby na przeszkodzie przeciwnym ustaleniom wiodącego organu nadzorczego, w przypadku gdy wiodący organ nadzorczy badałby te same lub podobne czynności transgranicznego przetwarzania danych w ramach mechanizmu określonego w art. 56 i 60 RODO.

170. W świetle odpowiedzi zaproponowanej na pytanie pierwsze nie ma potrzeby udzielania odpowiedzi na to pytanie.

171. Niemniej jednak problem poruszony w tym pytaniu po raz kolejny unaocznia, dlaczego na pytanie pierwsze należy odpowiedzieć w sposób zaproponowany powyżej. Gdyby ustanowione w RODO mechanizmy spójności i współpracy miałyby zostać pozbawione swojego obowiązkowego charakteru, co skutkowałoby „fakultatywnością” mechanizmu kompleksowej współpracy, a w rzeczywistości raczej jego nieistnieniem, to spójność całego systemu byłaby poważnie naruszona. Obowiązywanie przewidzianych obecnie w RODO zasad dotyczących właściwości zostałoby w istocie zastąpione trwającym równolegle „wyścigiem po pierwszy wyrok”, w którym brałyby udział wszystkie organy nadzorcze. Z pytania szóstego zdaje się bowiem wynikać założenie, że organ, który pierwszy przekroczy limes wyznaczony wyrokiem kończącym postępowanie w sprawie wydanym przez sąd jego państwa członkowskiego, staje się w istocie organem wiodącym względem organów pozostałych państw członkowskich.

V.      Wnioski

172. Proponuję, aby na pytania przedstawione w trybie prejudycjalnym przez Hof van beroep te Brussel (sąd apelacyjny w Brukseli, Belgia) Trybunał odpowiedział w następujący sposób:

–        przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) zezwalają organowi nadzorczemu państwa członkowskiego na wszczęcie przed sądem tego państwa postępowania w sprawie domniemanego naruszenia przepisów owego rozporządzenia w odniesieniu do transgranicznego przetwarzania danych niezależnie od tego, że organ ten nie jest wiodącym organem nadzorczym, pod warunkiem iż podejmuje on takie działanie w sytuacjach wskazanych w owym rozporządzeniu i zgodnie określonymi w nim procedurami;

–        ogólne rozporządzenie o ochronie danych stoi na przeszkodzie kontynuowaniu przez organ nadzorczy postępowania sądowego, które zostało wszczęte przed datą rozpoczęcia stosowania przepisów owego rozporządzenia, lecz które dotyczy działań mających miejsce po tej dacie;

–        artykuł 58 ust. 5 ogólnego rozporządzenia o ochronie danych ma skutek bezpośredni w zakresie, w jakim krajowy organ nadzorczy może się powołać na ten przepis, aby wszcząć lub kontynuować postępowanie sądowe przed sądami krajowymi, nawet jeżeli ten przepis nie został w sposób wyraźny transponowany do prawa krajowego.

1      Język oryginału: angielski.

2      Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1).

3      Dz.U. 1995, L 281, s. 31.

4      Z opisanych powyżej przyczyn; zob. pkt 23 niniejszej opinii.

5      W tym względzie Trybunał wielokrotnie wskazywał, że pojęcie „administratora danych” zdefiniowane w dyrektywie 95/46 należy interpretować szeroko; zob. na przykład niedawno wydane wyroki: z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629, pkt 65, 66, 70); z dnia 10 lipca 2018 r., Jehovan todistajat (C‑25/17, EU:C:2018:551, pkt 66). Nie dostrzegam żadnych powodów, dla których tego samego podejścia nie należałoby zastosować w przypadku RODO.

6      Zobacz na przykład wyroki: z dnia 25 lipca 2018 r., Confédération paysanne i in. (C‑528/16, EU:C:2018:583, pkt 72, 73 i przytoczone tam orzecznictwo); z dnia 1 października 2019 r., Blaise i in. (C‑616/17, EU:C:2019:800, pkt 35).

7      Na przykład w mojej opinii w sprawie Fashion ID (C‑40/17, EU:C:2018:1039, pkt 111–115) wyjaśniłem powody, dla których w sprawie dotyczącej zapisywania plików cookie mogą potencjalnie mieć zastosowanie zarówno przepisy obowiązującej w czasie mającym znaczenie dla tej sprawy dyrektywy 95/46, jak i tak zwanej dyrektywy o e‑prywatności [(dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37)]. W odniesieniu do tej kwestii zobacz także, bardziej ogólnie rzecz biorąc, opinia Europejskiej Rady Ochrony Danych nr 5/2019 w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej a RODO, w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych, przyjętą w dniu 12 marca 2019 r. Zobacz także przyjęty przez Grupę Roboczą Artykuł 29 dokument roboczy 02/2013 ustanawiający wytyczne w sprawie pozyskiwania zgody na zapisywanie plików cookie, 1676/13/PL WP 208, przyjęty w dniu 2 października 2013 r.

8      Podkreślenie moje.

9      Podkreślenie moje.

10      Podkreślenie moje.

11      W doktrynie zob. A. Bensoussan (éd.), Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, 2^e éd., Bruxelles, Bruylant ,2017, s. 363.

12      Podobnie H. Hijmans, Comment to Article 56 of the GDPR, w: C. Kuner, L. Bygrave, C. Docksey (eds.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, s. 921.

13      Analogicznie jest w ogólnym prawie administracyjnym (czy też w kodeksach postępowania sądowego): organowi może wprawdzie przysługiwać (ogólne) uprawnienie do podejmowania działań w określony sposób, co wcale nie oznacza jednak, że przysługuje mu właściwość (rationae materiae, personae, temporis, loci itp.) do skorzystania z tego uprawnienia i wydania rozstrzygnięcia w przedmiocie konkretnej sprawy. I tak na przykład okoliczność, że sąd karny jest uprawniony do wydania orzeczenia w sprawie karnej, nie musi wcale oznaczać, iż ten sąd będzie też właściwy do wydania takiego orzeczenia w sprawie konkretnego przestępstwa popełnionego przez konkretną osobę (co może być objęte właściwością przysługującą innemu sądowi).

14      Opinia Europejskiej Rady Ochrony Danych nr 8/2019 w sprawie właściwości organu nadzorczego w przypadku zmiany okoliczności związanych z główną lub pojedynczą jednostką organizacyjną, przyjęta w dniu 9 lipca 2019 r., pkt 19, 20.

15      Odpowiedni fragment tego przepisu brzmiał następująco: „Każdy organ jest w szczególności wyposażony w: […] prawo pozywania w przypadku naruszenia krajowych przepisów przyjętych zgodnie z niniejszą dyrektywą lub powiadomienie organów sądowych o takim naruszeniu”.

16      Zobacz sporządzone przez Komisję Europejską pierwsze sprawozdanie dotyczące wdrożenia dyrektywy o ochronie danych (95/46/WE) z dnia 15 maja 2003 r., COM(2003) 265 wersja ostateczna, s. 12, 13; zob. także załącznik do owego sprawozdania, zatytułowany „Analysis and impact study on the implementation of Directive EC 95/46 in Member States” [„Analiza i ocena wpływu wdrażania dyrektywy 95/46/WE w państwach członkowskich”], s. 40. Zobacz także Agencja Praw Podstawowych Unii Europejskiej, Access to data protection remedies in EU Member States – Report, 2012 [Sprawozdanie za rok 2012 w sprawie dostępu do środków prawnych w zakresie ochrony danych w państwach członkowskich Unii za rok 2012], w szczególności s. 20–22.

17      Zobacz pkt 51, 57, 58 niniejszej opinii.

18      Wyroki: z dnia 6 października 2015 r., Schrems (C‑362/14, EU:C:2015:650, pkt 63); z dnia 16 lipca 2020 r., Facebook Ireland i Schrems (C‑311/18, EU:C:2020:559, pkt 109).

19      W niektórych przypadkach organ, którego sprawa dotyczy, ma prawo (a zatem powinien móc) przedłożyć organowi wiodącemu projekt decyzji: zob. art. 56 ust. 2–4 RODO.

20      Zobacz podobnie motyw 125 RODO.

21      Wyrok z dnia 16 lipca 2020 r. (C‑311/18, EU:C:2020:559, pkt 120, podkreślenie moje). Podobnie jasne jest, że to właściwy organ nadzorczy ma reagować na naruszenie RODO i dokonać wyboru najbardziej skutecznego środka służącego do wykonania tego zadania; zob. opinia rzecznika generalnego H. Saugmandsgaarda Øe w sprawie Facebook Ireland i Schrems (C‑311/18, EU:C:2019:1145, pkt 147, 148). Porównaj te stwierdzenia z wyrokiem z dnia 6 października 2015 r., Schrems (C‑362/14, EU:C:2015:650, pkt 65), w którym Trybunał orzekł, że – w świetle dyrektywy 95/46 – (każdemu) krajowemu organowi nadzorczemu powinno przysługiwać prawo wszczynania postępowania przed sądem.

22      Słynny cytat z filmu „Dobry, zły i brzydki” (film z 1966 r., reż.: Sergio Leone, w rolach głównych: Clint Eastwood, Lee Van Cleef i Eli Wallach, producent: Produzioni Europee Associate i United Artists).

23      Artykuł 68 RODO.

24      Zobacz w szczególności art. 70 ust. 1 lit. a) RODO.

25      Zobacz uzasadnienie wniosku Komisji dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólnego rozporządzenia o ochronie danych), COM(2012) 11 final. Zobacz także motywy 10, 13 i 123 RODO.

26      Co się tyczy tej kwestii, zobacz, w ujęciu ogólnym: A. Giurgiu, T. Larsen, Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More ‘European’ DPAs as Guardians of Consistency?, European Data Protection Law Review, 2016, s. 342–352, w szczególności s. 349; P. Voigt, A. von dem Bussche, The EU General Data Protection Regulation (GDPR) – A Practical Guide, Springer 2017, s. 190–192.

27      Wyrok z dnia 1 października 2015 r. (C‑230/14, EU:C:2015:639, pkt 42–60).

28      Wyrok z dnia 5 czerwca 2018 r. (C‑210/16, EU:C:2018:388, pkt 65–74).

29      Zobacz na przykład A. Miglio, The Competence of Supervisory Authorities and the One-stop-shop Mechanism, EU Law Live – Weekend edition, 2020, No 28, s. 10–14, w szczególności s. 11.

30      Zobacz opinia rzecznika generalnego Y. Bota w sprawie Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, pkt 103).

31      Wyrok z dnia 24 września 2019 r. (C‑507/17, EU:C:2019:772, pkt 68).

32      Opinia w sprawie C‑311/18 (EU:C:2019:1145, pkt 155).

33      Zobacz motywy 97 i 98 wniosku Komisji (zob. przypis 25 powyżej).

34      Zobacz dokumenty Rady: 15656/1/14 REV 1 z dnia 28 listopada 2014 r.; 16526/14 z dnia 4 i 5 grudnia 2014 r., s. 2, 8, 9.

35      Ibidem, s. 1.

36      Zobacz dokument Rady 5419/1/16 REV 1 z dnia 8 kwietnia 2016 r., s. 203–205.

37      Zobacz pkt 45 niniejszej opinii.

38      Dokument Rady 15656/1/14 REV 1 z dnia 28 listopada 2014 r., s. 2.

39      Zobacz dokument A7‑0402/2013 z dnia 22 listopada 2013 r., w którym mechanizm kompleksowej współpracy uznano za „ważny krok w kierunku spójnego stosowania przepisów o ochronie danych w całej Unii”.

40      Dokument EP‑PE_TC1‑COD(2012)0011 z dnia 12 marca 2014 r. (zob. w szczególności poprawki 148, 149, 158, 159 i 167).

41      W podobnym duchu ograniczę się do przyjęcia założenia, że owe postanowienia i prawa zawarte w karcie odnoszą się do osób, których dane dotyczą, a które to osoby organ nadzorczy ma za zadanie chronić; nie zakładam natomiast w tym miejscu, że podmiotem tych praw miałby być sam organ nadzorczy. Koncepcja, zgodnie z którą organom administracyjnym, które stanowią emanację państwa, miałyby przysługiwać prawa podstawowe (prawa człowieka), na które mogłyby one się powoływać wobec państwa (czy też raczej wobec samych siebie lub, w przypadku horyzontalnego skutku bezpośredniego, nawet wobec jednostek), jest bowiem dość osobliwa. Moim zdaniem oczywiście nie ma ona racji bytu, ale rozumiem, że w państwach członkowskich istnieją różnego rodzaju podejścia do tej kwestii. W każdym razie w kontekście niniejszej sprawy to zagadnienie można spokojnie pominąć.

42      Zobacz podobnie wyrok z dnia 6 października 2015 r., Schrems (C‑362/14, EU:C:2015:650, pkt 39).

43      Zobacz motywy 7, 9 i 10 RODO (podkreślenie moje).

44      Zobacz podobnie motywy 10, 11 i 13 RODO.

45      Podkreślenie moje.

46      Zobacz podobnie wyrok z dnia 27 września 2017 r., Puškár (C‑73/16, EU:C:2017:725, pkt 54–76 i przytoczone tam orzecznictwo).

47      Zobacz art. 79 i motyw 145 RODO.

48      Można przy tym wskazać, że w wymiarze praktycznym to rozwiązanie pokrywa się z typowym (i faktycznie zapewniającym ochronę) forum (actoris) w przypadku umów konsumenckich, które jest ustalane na podstawie rozporządzenia Bruksela I; zob. w ujęciu ogólnym wyrok z dnia 25 stycznia 2018 r., Schrems (C‑498/16, EU:C:2018:37).

49      Zobacz motywy 141 i 143 RODO; zob. także wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems (C‑311/18, EU:C:2020:559, pkt 110).

50      Zobacz motyw 143 i art. 78 RODO.

51      Aby zapoznać się z takim podejściem w kontekście innych (zdecentralizowanych) ram regulacyjnych, zob. moja opinia w sprawie Astellas Pharma (C‑557/16, EU:C:2017:957).

52      Co się tyczy tej ostatniej kwestii art. 78 ust. 4 stanowi, że „[j]eżeli postępowanie zostało wszczęte przeciwko decyzji organu nadzorczego, którą poprzedziła opinia lub decyzja Europejskiej Rady Ochrony Danych w ramach mechanizmu spójności, organ nadzorczy przekazuje sądowi tę opinię lub decyzję”. W rzeczywistości jest to najprawdopodobniej jedyny środek kontroli sądowej decyzji EROD, ponieważ – jak niepokojąco zostało to potwierdzone w motywie 143 RODO – „[k]ażda osoba fizyczna lub prawna” (a zatem również osoby, których dane dotyczą) może, jeżeli spełnione są warunki określone w art. 263 TFUE, zaskarżyć prawnie wiążącą decyzję EROD do sądów Unii. Z uwagi jednak na dokonywaną przez Trybunał zawężającą wykładnię określonych w art. 263 akapit czwarty TFUE przesłanek legitymacji czynnej jednostek, nie jest łatwo wskazać sytuacje, w których dałoby się uznać, że decyzje EROD dotyczą jednostek bezpośrednio, ponieważ owe decyzje należy w każdym przypadku „odnieść” do sytuacji konkretnej osoby, której dane dotyczą, w drodze późniejszej decyzji organu wiodącego lub organu, którego sprawa dotyczy. W takiej sytuacji, podobnie jak w wielu innych dziedzinach prawa Unii [w celu zapoznania się z krytyczną refleksją na temat tego systemu zob. moja opinia w sprawie Région de Bruxelles-Capitale/Komisja (C‑352/19 P, EU:C:2020:588, pkt 137–147)], jedynym sposobem zaskarżenia decyzji EROD byłaby więc procedura prejudycjalna w trybie art. 267 TFUE, ograniczona do przypadków, w których co bardziej dociekliwy sąd krajowy zamierzałby uchylić sobie drzwi do samodzielnej kontroli sądowej po tym, jak został zaprowadzony przed takie drzwi przez krajowy organ nadzorczy, który przekazał mu opinię EROD zgodnie z art. 78 ust. 4 RODO.

53      Zobacz w szczególności art. 60 ust. 1 RODO.

54      H. Hijmans, Comment to Article 56 of the GDPR, w: C. Kuner, L. Bygrave, C. Docksey (eds.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, s. 918.

55      P. Hustinx, EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation, w: M. Cremona (ed.), New Technologies and EU Law, Oxford, Oxford University Press, 2017, s. 123.

56      To wyrażenie znalazło się w dokumencie Rady pt. „Debata orientacyjna w sprawie mechanizmu kompleksowej obsługi”, 10139/14 z dnia 26 maja 2014 r., s. 4.

57      Zobacz na przykład wyrok z dnia 9 marca 2010 r., Komisja/Niemcy (C‑518/07, EU:C:2010:125, pkt 24). Zobacz niedawno wydany wyrok z dnia 6 października 2015 r., Schrems (C‑362/14, EU:C:2015:650, pkt 42).

58      Zobacz pkt 4 niniejszej opinii.

59      Podkreślenie moje.

60      W tym kontekście pragnę jedynie dodać, że organy nadzorcze, do których skierowana zostaje skarga – niezależnie od ich statusu organu wiodącego lub organu, którego sprawa dotyczy – są zobowiązane nie tylko rozpatrzyć ową skargę z należytą starannością (zob. pkt 69 niniejszej opinii), lecz także wywiązać się „z należytą starannością z powierzonego [im] zadania polegającego na egzekwowaniu pełnego stosowania RODO” (zob. w tym względzie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 112; podkreślenie moje).

61      Podkreślenie moje.

62      Podkreślenie moje.

63      Zobacz L. Tosoni, Comment to Article 60 of GDPR, w: C. Kuner, L. Bygrave, C. Docksey (eds.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, s. 969.

64      Podkreślenie moje.

65      W zależności od tego – co zostało doprecyzowane w motywie 138 RODO – z jakiego rodzaju środkiem mamy do czynienia. Realistycznie rzecz ujmując – za dość zaskakującą należałoby jednak uznać sytuację, w której organ wiodący zdecydowałby się zignorować decyzję EROD, nawet jeśli w świetle RODO nie jest ona wiążąca (w szczególności dlatego, że to, co nie ma charakteru wiążącego na pierwszym etapie, może w dużym stopniu nabrać go na kolejnym etapie).

66      Podobnie, w ujęciu bardziej szczegółowym, P. Van Eecke, A. Šimkus, Comment to Article 64, w: C. Kuner, L. Bygrave, C. Docksey (eds.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, Oxford University Press, 2020, s. 1011.

67      Zobacz pkt 106 i 107 niniejszej opinii.

68      Zobacz pkt 35–38 niniejszej opinii.

69      Zobacz także Grupa Robocza Artykuł 29, Wytyczne dotyczące ustalania wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego, dokument WP 244 rev.01 z dnia 5 kwietnia 2017 r., s. 10.

70      Nie twierdzę też, że przywołane powyżej przykłady tworzą zamknięty katalog. Mam ponadto wątpliwości co do tego, czy nie mogłaby zaistnieć sytuacja, w której ostateczna decyzja w danej sprawie dotyczącej transgranicznego przetwarzania, wydana czy to wskutek porozumienia zawartego między organem wiodącym a organami, których sprawa dotyczy, czy też w trybie procedury rozstrzygania sporów przez EROD, upoważniałaby jeden organ, którego sprawa dotyczy, lub większą ich liczbę, do podjęcia określonych działań na rzecz egzekwowania przepisów na ich odpowiednich terytoriach, które mogłyby obejmować – na przykład – wszczynanie postępowań sądowych.

71      Opisany w pkt 31–38 niniejszej opinii.

72      Punkty 32 i 33 niniejszej opinii.

73      Takie samo podejście należy zresztą co do zasady stosować w przypadku każdego przetwarzania jako takiego i przy ustalaniu, kto jest (współ)administratorem dokonującym takiego przetwarzania. Kwestię sprawowania faktycznej kontroli nad celami i sposobami przetwarzania należy oceniać w odniesieniu do danej operacji przetwarzania, a nie w abstrakcyjnych i sztywnych kategoriach, w odniesieniu do nieokreślonego „przetwarzania”; zob. wyrok z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629, pkt 71–74).

74      Zobacz pkt 111 i 112 niniejszej opinii.

75      Zobacz pkt 45 i 84 niniejszej opinii.

76      W ten sposób pośrednio wracamy do wstępnej kwestii związanej z tym, za co dokładnie taka jednostka jest w takim państwie członkowskim ścigana w stanie prawnym po wejściu w życie RODO, które to zagadnienie zostało omówione w pkt 32–34 niniejszej opinii.

77      Wyrok z dnia 5 czerwca 2018 r. (C‑210/16, EU:C:2018:388).

78      Porównaj w szczególności nowy art. 3 ust. 1 z dawnym art 4 ust. 1 lit. a) oraz nowy art. 58 ust. 6 z dawnym art. 28 ust. 3 tiret trzecie.

79      Jak jednak zasugerowano w pkt 82 powyżej, można również założyć, że skoordynowanie procesu podejmowania decyzji skutkuje skoordynowanym podejmowaniem środków na rzecz egzekwowania przepisów.

80      Zobacz analogicznie wyrok z dnia 14 lutego 2012 r., Toshiba Corporation i in. (C‑17/10, EU:C:2012:72, w szczególności pkt 60).

81      Aby zapoznać się ze szczegółowym omówieniem uzupełnionym przykładami, zob. moja opinia w sprawie Nemec (C‑256/15, EU:C:2016:619, pkt 27–44).

82      Zobacz pkt 34 niniejszej opinii.

83      Zobacz, w ujęciu bardziej szczegółowym, moja opinia w sprawie Klohn (C‑167/17, EU:C:2018:387, pkt 36–46).

84      Oczywiście bezpośrednie stosowanie nie jest tożsame ze skutkiem bezpośrednim, zaś do przepisów rozporządzeń przewidujących przyjęcie środków wykonawczych lub wymagających ich przyjęcia mają zastosowanie te same przesłanki bezpośredniej skuteczności; zob. przykładowo wyroki: z dnia 11 stycznia 2001 r., Monte Arcosu (C‑403/98, EU:C:2001:6, pkt 26–28); z dnia 28 października 2010 r., SGS Belgium i in. (C‑367/09, EU:C:2010:648, pkt 33 i nast.); z dnia 14 kwietnia 2011 r., Vlaamse Dierenartsenvereniging i Janssens (C‑42/10, C‑45/10 i C‑57/10, EU:C:2011:253, pkt 48–50).