Mål T‑709/21
WhatsApp Ireland Ltd
mot
Europeiska dataskyddsstyrelsen
Tribunalens beslut (fjärde avdelningen i utökad sammansättning) av den 7 december 2022
”Talan om ogiltigförklaring – Skydd av personuppgifter – Utkast till beslut av den ansvariga tillsynsmyndigheten – Lösning av tvister mellan tillsynsmyndigheter genom Europeiska dataskyddsstyrelsen – Bindande beslut – Artikel 60.4 och artikel 65.1 a i förordning (EU) 2016/679 – Rättsakt mot vilken talan inte kan väckas – Förberedande rättsakt – Villkoret direkt berörd ej uppfyllt”
1. Talan om ogiltigförklaring – Akter mot vilka talan kan väckas – Akter som har bindande rättsverkningar – Bindande beslut av Europeiska dataskyddsstyrelsen (EDPB) avseende en tvist mellan tillsynsmyndigheter – Rättsakt som inte förändrar sökandens rättsliga ställning – Avvisning – Iakttagande av systemet med rättsmedel vid domstol som inrättats genom primärrätten
(Artiklarna 2, 6.1 och 19 FEU; artiklarna 263 och 267 FEUF; Europeiska unionens stadga om de grundläggande rättigheterna, artikel 47; Europaparlamentets och rådets förordning 2016/679, artiklarna 58.2, 60, 63, 64, 65, 68.1 och 78)
(se punkterna 35–39, 41, 42, 63, 64 och 66–70)
2. Talan om ogiltigförklaring – Akter mot vilka talan kan väckas – Förberedande rättsakter – Omfattas inte – Bindande beslut av Europeiska dataskyddsstyrelsen (EDPB) avseende en tvist mellan tillsynsmyndigheter – Akt som inte har självständiga bindande rättsverkningar
(Artikel 263 FEUF; Europaparlamentets och rådets förordning 2016/679)
(se punkterna 43–47)
3. Talan om ogiltigförklaring – Fysiska eller juridiska personer – Rättsakter som berör dem direkt och personligen – Bindande beslut av Europeiska dataskyddsstyrelsen (EDPB) avseende en tvist mellan tillsynsmyndigheter – Sökanden uppfyller inte villkoret direkt berörd
(Artikel 263 FEUF; Europaparlamentets och rådets förordning 2016/679)
(se punkterna 49 och 51–53)
4. Institutionernas rättsakter – Ingress – Rättsligt bindande – Föreligger inte – Skäl som inte stöds av någon annan bestämmelse i den aktuella rättsakten
(Europaparlamentets och rådets förordning2016/679, skäl 143)
(se punkt 71)
Resumé
Tribunalen avvisar WhatsApps talan mot ett beslut som fattats av Europeiska dataskyddsstyrelsen
Giltigheten av EDPB:s beslut kan emellertid bestridas vid en nationell domstol som kan begära förhandsavgörande från EU-domstolen
Efter allmänna dataskyddsförordningens (GDPR)(1) ikraftträdande mottog Data Protection Commission (tillsynsmyndigheten för skydd av fysiska personers personuppgifter, Irland) klagomål från användare och icke-användare av meddelande- och samtalstjänsten ”WhatsApp” avseende WhatsApp Ireland Ltd:s (nedan kallat Whatsapp) behandling av personuppgifter. Den irländska tillsynsmyndigheten, i egenskap av ansvarig tillsynsmyndighet,(2) inledde i detta sammanhang på eget initiativ en generell utredning av huruvida Whatsapp hade iakttagit skyldigheten avseende öppenhet och information i förhållande till enskilda.
Efter det att denna utredning hade avslutats lade den irländska tillsynsmyndigheten, inom ramen för det samarbetsförfarande som inrättats genom GDPR, fram ett utkast till beslut för samtliga andra tillsynsmyndigheter i medlemsstaterna, vilka berördes av den aktuella behandlingen av personuppgifter för att erhålla deras synpunkter. Eftersom det inte gick att enas om utkastet, hänsköt den irländska tillsynsmyndigheten ärendet till Europeiska dataskyddsstyrelsen (EDPB)(3) i enlighet med GDPR. Europeiska dataskyddsstyrelsen (EDPB) antog den 28 juli 2021 ett bindande beslut som avsåg samtliga berörda tillsynsmyndigheter, i vilket den uttalade sig om de frågor som den ansåg hade varit föremål för relevanta och motiverade invändningar från vissa av dessa tillsynsmyndigheter (nedan kallat det angripna beslutet).(4) Den irländska tillsynsmyndigheten antog den 20 augusti 2021, efter att ha mottagit nämnda beslut, ett slutligt beslut varigenom den bland annat konstaterade att Whatsapp hade åsidosatt vissa bestämmelser i GDPR och ålade Whatsapp korrigerande åtgärder, däribland administrativa straffavgifter som totalt uppgick till 225 miljoner euro.
Whatsapp överklagade det slutliga beslutet till en irländsk domstol och väckte samtidigt talan vid tribunalen och yrkade att den skulle ogiltigförklara det angripna beslutet.
I detta mål prövar tribunalen för första gången ett yrkande om ogiltigförklaring av ett bindande beslut som EDPB antagit med stöd av GDPR. Tribunalen i utökad sammansättning avvisar Whatsapps talan med motiveringen att den inte är riktad mot en rättsakt mot vilken talan kan väckas enligt artikel 263 FEUF och att Whatsapp inte är direkt berört av det angripna beslutet i den mening som avses i rekvisiten för talerätt i samma artikel. Tribunalen preciserar att giltigheten av det angripna beslutet kan prövas av den nationella domstol som ska pröva överklagandet av det slutliga beslut som senare antas på nationell nivå och genom vilket förfarandet avslutats.
Tribunalens bedömning
Tribunalen påpekar inledningsvis att för att en sökande som inte är en ”privilegierad” sökande ska kunna väcka talan mot en rättsakt,(5) måste rättsakten ha bindande rättsverkningar som kan påverka sökandens intressen genom att väsentligt förändra sökandens rättsliga ställning. När sökanden, som i förevarande fall, inte är adressat till en individuell rättsakt som denne väcker talan mot förenas detta villkor med kravet på att sökanden ska vara direkt och individuellt berörd av rättsakten för att ha talerätt.
Tribunalen anser inledningsvis att det angripna beslutet inte i sig förändrar Whatsapps rättsliga ställning, eftersom beslutet – till skillnad från den irländska tillsynsmyndighetens slutliga beslut – inte direkt kan göras gällande mot bolaget och utgör en förberedande rättsakt i ett förfarande som ska avslutas genom att en nationell tillsynsmyndighet antar ett slutligt beslut som riktar sig till det företaget.
Dessutom har det angripna beslutet, jämfört med den irländska tillsynsmyndighetens slutliga beslut, inte någon fristående rättsverkan i förhållande till Whatsapp. Samtliga bedömningar i det första beslutet återges nämligen i det andra beslutet och det förstnämnda beslutet har inte några verkningar som är oberoende av innehållet i det andra beslutet. Den omständigheten att en mellankommande rättsakt, såsom i förevarande fall, uttrycker en myndighets slutgiltiga ståndpunkt, vilken ska återges i det slutliga beslut genom vilket det aktuella förfarandet avslutas, eftersom det angripna beslutet innehåller en slutlig bedömning av vissa aspekter av det slutliga beslutet, innebär således inte nödvändigtvis att den mellankommande rättsakten i sig väsentligt förändrar sökandens rättsliga ställning.
Tribunalen konstaterar vidare att Whatsapp inte är direkt berört av det angripna beslutet. För att direkt beröra en sökande som inte är en rättsakts adressat, måste rättsakten nämligen för det första ha direkta rättsverkningar på sökandens ställning och för det andra inte lämna något utrymme för skönsmässig bedömning för dem till vilka den riktar sig, och som ska genomföra den, vilket innebär att genomförandet ska ha en rent automatisk karaktär och endast följa av unionslagstiftningen, utan tillämpning av några mellanliggande bestämmelser.
Vad gäller det första av dessa villkor erinrar tribunalen om att det angripna beslutet inte kan göras gällande mot Whatsapp. Det kan därför inte, utan någon ytterligare etapp i förfarandet, ge upphov till skyldigheter för Whatsapp eller, i förekommande fall, rättigheter för andra enskilda. I förevarande fall är det angripna beslutet inte det sista steget i det fullständiga förfarande som föreskrivs i GDPR.
Vad gäller det andra villkoret konstaterar tribunalen att även om det angripna beslutet var bindande för den irländska tillsynsmyndigheten vad gäller de aspekter som beslutet avsåg, gav det den irländska tillsynsmyndigheten ett utrymme för skönsmässig bedömning vad gäller innehållet i det slutliga beslutet, vilket även avser andra aspekter, såsom storleken på de administrativa straffavgifterna.
Tribunalen understryker slutligen att den omständigheten att den talan som Whatsapp väckt mot det angripna beslutet vid tribunalen ska avvisas är en logisk följd av det system med rättsmedel vid domstol som inrättats genom EU-fördraget och EUF-fördraget. Det har närmare bestämt genom EUF-fördraget, bland annat genom att det däri föreskrivs en möjlighet att väcka direkt talan om ogiltigförklaring vid Europeiska unionens domstol eller att begära förhandsavgörande från den domstolen, inrättats ett fullständigt system med rättsmedel som är avsett att säkerställa kontrollen av unionsrättsakters lagenlighet, i vilket även de nationella domstolarna deltar. I det systemet har personer som på grund av villkoren för upptagande till sakprövning inte direkt kan väcka talan mot unionsrättsakter vid unionsdomstolen möjlighet att, genom en invändning om rättsstridighet, göra gällande att en sådan rättsakt är ogiltig vid en nationell domstol som i sin tur kan begära förhandsavgörande från EU-domstolen.
Tribunalen preciserar att logiken i nämnda system, som bland annat förklarar tolkningen av villkoren för upptagande till sakprövning av en direkt talan,(6) är att den talan som väckts vid Europeiska unionens domstol och den talan som väckts vid en nationell domstol kompletterar varandra på ett effektivt sätt och att unionsdomstolen och den nationella domstolen, i parallella förfaranden, inte behöver uttala sig samtidigt om giltigheten av en och samma unionsrättsakt, oavsett om detta sker direkt eller, när det är en nationell domstol som undrar över den aktuella rättsaktens giltighet, efter det att en fråga hänskjutits till EU-domstolen.