CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:483

SODBA SODIŠČA (veliki senat)

z dne 15. junija 2021(*)

„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Listina Evropske unije o temeljnih pravicah – Členi 7, 8 in 47 – Uredba (EU) 2016/679 – Čezmejna obdelava osebnih podatkov – Mehanizem ‚vse na enem mestu‘ – Lojalno in učinkovito sodelovanje nadzornih organov – Pristojnosti in pooblastila – Pooblastilo za začetek sodnega postopka in sodelovanje v njem“

V zadevi C‑645/19,

katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo hof van beroep te Brussel (višje sodišče v Bruslju, Belgija) z odločbo z dne 8. maja 2019, ki je na Sodišče prispela 30. avgusta 2019, v postopku

Facebook Ireland Ltd,

Facebook Inc.,

Facebook Belgium BVBA

proti

Gegevensbeschermingsautoriteit,

SODIŠČE (veliki senat),

v sestavi K. Lenaerts, predsednik, R. Silva de Lapuerta, podpredsednica, A. Arabadjiev, predsednik senata, A. Prechal, predsednica senata, M. Vilaras, M. Ilešič in N. Wahl, predsedniki senatov, E. Juhász, D. Šváby, S. Rodin, F. Biltgen, sodniki, K. Jürimäe, sodnica, C. Lycourgos, P. G. Xuereb, sodnika, in L. S. Rossi (poročevalka), sodnica,

generalni pravobranilec: M. Bobek,

sodna tajnica: M. Ferreira, glavna administratorka,

na podlagi pisnega postopka in obravnave z dne 5. oktobra 2020,

ob upoštevanju stališč, ki so jih predložili:

– za Facebook Ireland Ltd, Facebook Inc. in Facebook Belgium BVBA S. Raes, P. Lefebvre in D. Van Liedekerke, advocaten,

– za Gegevensbeschermingsautoriteit F. Debusseré in R. Roex, advocaten,

– za belgijsko vlado J.-C. Halleux, P. Cottin in C. Pochet, agenti, skupaj s P. Paepejem, advocaat,

– za češko vlado M. Smolek, O. Serdula in J. Vláčil, agenti,

– za italijansko vlado G. Palmieri, agentka, skupaj z G. Natale, avvocato dello Stato,

– za poljsko vlado B. Majczyna, agent,

– za portugalsko vlado L. Inez Fernandes, A. C. Guerra, P. Barros da Costa in L. Medeiros, agenti,

– za finsko vlado A. Laine in M. Pere, agentki,

– za Evropsko komisijo H. Kranenborg, D. Nardi in P. J. O. Van Nuffel, agenti,

po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 13. januarja 2021

izreka naslednjo

Sodbo

1 Predlog za sprejetje predhodne odločbe se nanaša na razlago členov 55(1), od 56 do 58 in od 60 do 66 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2) v povezavi s členi 7, 8 in 47 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina).

2 Ta predlog je bil vložen v okviru spora med družbami Facebook Ireland Ltd, Facebook Inc. in Facebook Belgium BVBA na eni strani ter Gegevensbeschermingsautoriteit (organ za varstvo podatkov, Belgija) (v nadaljevanju: OVP), ki je nasledil Commissie ter bescherming van de persoonlijke levenssfeer (komisija za varstvo zasebnosti, Belgija) (v nadaljevanju: KVZ), na drugi v zvezi z opustitveno tožbo, ki jo je vložil predsednik te komisije, za prenehanje obdelave osebnih podatkov uporabnikov interneta na belgijskem ozemlju, ki jo izvaja spletno družbeno omrežje Facebook s piškotki, socialnimi vtičniki (social plug-ins) in piksli.

Pravni okvir

Pravo Unije

3 V uvodnih izjavah 1, 4, 10, 11, 13, 22, 123, 141 in 145 Uredbe št. 2016/679 je navedeno:

„(1) Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) [Listine] in členu 16(1) [PDEU] je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

[…]

(4) Obdelava osebnih podatkov bi morala biti oblikovana tako, da služi ljudem. Pravica do varstva osebnih podatkov ni absolutna pravica; v skladu z načelom sorazmernosti jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami. Ta uredba spoštuje vse temeljne pravice in upošteva svoboščine in načela, priznana z Listino, kakor so zajeta v Pogodbah, zlasti spoštovanje zasebnega in družinskega življenja, stanovanja in komunikacij, varstvo osebnih podatkov, svobodo misli, vesti in vere, svobodo izražanja in obveščanja, svobodo gospodarske pobude, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča ter kulturno, versko in jezikovno raznolikost.

[…]

(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v [Evropski u]niji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. […]

(11) Za učinkovito varstvo osebnih podatkov po vsej Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enakovredne sankcije za kršitve v državah članicah.

[…]

(13) Da se zagotovi skladna raven varstva posameznikov v vsej Uniji in prepreči, da bi razlike ovirale prosti pretok osebnih podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom, tudi mikro, malim in srednjim podjetjem, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic ter obveznosti in odgovornosti upravljavcev in obdelovalcev, zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic. […]

[…]

(22) Vsaka obdelava osebnih podatkov v okviru dejavnosti ustanovitve [poslovne enote] upravljavca ali obdelovalca v Uniji bi morala biti izvedena v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v Uniji. Ustanovitev [Poslovna enota] pomeni, da se dejavnosti izvajajo dejansko in učinkovito prek ustaljenih ureditev. Pravna oblika takih ureditev, bodisi prek izpostave [podružnice] bodisi prek podružnice [hčerinske družbe], ki je pravna oseba, v tem pogledu ni odločujoči dejavnik.

[…]

(123) Nadzorni organi bi morali spremljati uporabo določb v skladu s to uredbo in prispevati k njeni dosledni uporabi v vsej Uniji, da bi varovali posameznike pri obdelavi njihovih osebnih podatkov in olajšali prost pretok osebnih podatkov na notranjem trgu. V ta namen bi morali nadzorni organi sodelovati med seboj in [z Evropsko k]omisijo, ne da bi morale države članice med seboj zato skleniti sporazum o zagotavljanju medsebojne pomoči ali o takem sodelovanju.

[…]

(141) Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da vloži pritožbo pri enem nadzornem organu, zlasti v državi članici svojega običajnega prebivališča, in pravico do učinkovitega pravnega sredstva v skladu s členom 47 Listine, kadar meni, da so njegove pravice iz te uredbe kršene, ali če nadzorni organ ne obravnava pritožbe, jo v celoti ali deloma zavrže ali zavrne ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. […]

[…]

(145) V postopkih zoper upravljavca ali obdelovalca bi morala imeti tožeča stranka možnost, da postopek začne pred sodišči države članice, v kateri ima upravljavec ali obdelovalec ustanovitev [poslovno enoto], ali pred sodišči države članice, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, razen če je upravljavec javni organ države članice, ki izvaja svoja javna pooblastila.“

4 Člen 3 te uredbe, naslovljen „Ozemeljska veljavnost“, v odstavku 1 določa:

„Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti ustanovitve [poslovne enote] upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne.“

5 V členu 4 navedene uredbe je v točki 16 opredeljen pojem „glavna ustanovitev [poslovna enota]“, v točki 23 pa pojem „čezmejna obdelava osebnih podatkov“, in sicer tako:

„(16) ‚glavna ustanovitev [poslovna enota]‘ pomeni:

(a) v zvezi z upravljavcem, ki ima ustanovitve [poslovne enote] v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugi ustanovitvi [poslovni enoti] upravljavca v Uniji in ima ta ustanovitev [poslovna enota] pooblastila za izvajanje takih odločitev, ustanovitev [poslovna enota], ki sprejema take odločitve;

(b) v zvezi z obdelovalcem, ki ima ustanovitve [poslovne enote] v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, ustanovitev [poslovna enota] obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti ustanovitve [poslovne enote] obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;

[…]

(23) ‚čezmejna obdelava osebnih podatkov‘ pomeni bodisi:

(a) obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti ustanovitev [poslovnih enot] upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec ustanovitev [poslovno enoto] v več kot eni državi članici, bodisi

(b) obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edine ustanovitve [poslovne enote] upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici.“

6 Člen 51 te uredbe, naslovljen „Nadzorni organ“, določa:

„1. Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji […].

2. Vsak nadzorni organ prispeva k dosledni uporabi te uredbe v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in s Komisijo v skladu s poglavjem VII.

[…]“

7 Člen 55 Uredbe št. 2016/679, naslovljen „Pristojnost“, ki je del poglavja VI te uredbe, naslovljenega „Neodvisni nadzorni organi“, določa:

„1. Vsak nadzorni organ je na ozemlju svoje države članice pristojen za opravljanje dodeljenih nalog in izvajanje prenesenih pooblastil v skladu s to uredbo.

2. Kadar obdelavo izvajajo javni organi ali zasebna telesa, ki delujejo na podlagi točke (c) ali (e) člena 6(1), je pristojen nadzorni organ zadevne države članice. V takih primerih se člen 56 ne uporablja.“

8 Člen 56 navedene uredbe, naslovljen „Pristojnosti vodilnega nadzornega organa“, določa:

„1. Nadzorni organ glavne ali edine ustanovitve [poslovne enote] upravljavca ali obdelovalca je brez poseganja v člen 55 pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom iz člena 60.

2. Z odstopanjem od odstavka 1 je vsak nadzorni organ pristojen za obravnavo pritožbe, vložene pri njem, ali morebitne kršitve te uredbe, če se vsebina nanaša zgolj na ustanovitev [poslovno enoto] v njegovi državi članici ali znatno vpliva na posameznike, na katere se nanašajo osebni podatki, samo v njegovi državi članici.

3. Nadzorni organ v primerih iz odstavka 2 tega člena o tej zadevi brez odlašanja obvesti vodilni nadzorni organ. Vodilni nadzorni organ v treh tednih po tem, ko je obveščen, odloči, ali bo zadevo obravnaval v skladu s postopkom iz člena 60 ali ne, pri tem pa upošteva, ali ima upravljavec ali obdelovalec ustanovitev [poslovno enoto] v državi članici nadzornega organa, ki ga je o tem obvestil, ali ne.

4. Kadar vodilni nadzorni organ odloči, da bo zadevo obravnaval, se uporabi postopek iz člena 60. Nadzorni organ, ki je obvestil vodilni nadzorni organ, lahko temu nadzornemu organu predloži osnutek odločitve. Vodilni nadzorni organ v največji meri upošteva ta osnutek pri pripravi osnutka odločitve iz člena 60(3).

5. Kadar vodilni nadzorni organ odloči, da zadeve ne bo obravnaval, jo v skladu s členoma 61 in 62 obravnava nadzorni organ, ki je o tem obvestil vodilni nadzorni organ.

6. Vodilni nadzorni organ je edini sogovornik upravljavca ali obdelovalca za njune obdelave na čezmejni ravni.“

9 Člen 57 Uredbe št. 2016/679, naslovljen „Naloge“, v odstavku 1 določa:

„Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:

(a) spremlja in zagotavlja uporabo te uredbe;

[…]

(g) sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;

[…]“

10 Člen 58 te uredbe, naslovljen „Pooblastila“, v odstavkih 1, 4 in 5 določa:

„1. Vsak nadzorni organ ima vsa naslednja preiskovalna pooblastila:

(a) da upravljavcu in obdelovalcu ter, če je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;

[…]

(d) da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;

[…]

4. Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in pravu države članice v skladu z Listino.

5. Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.“

11 Oddelek I, naslovljen „Sodelovanje“, iz poglavja VII Uredbe 2016/679, naslovljenega „Sodelovanje in skladnost“, vsebuje člene od 60 do 62 te uredbe. Ta člen 60, naslovljen „Sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi“, določa:

„1. Vodilni nadzorni organ sodeluje z drugimi zadevnimi nadzornimi organi v skladu s tem členom in si prizadeva za soglasje. Vodilni nadzorni organ in zadevni nadzorni organi si izmenjujejo vse ustrezne informacije.

2. Vodilni nadzorni organ lahko od drugih zadevnih nadzornih organov kadar koli zahteva zagotovitev medsebojne pomoči v skladu s členom 61 in lahko ukrepa skupaj z njimi v skladu s členom 62, zlasti pri izvajanju preiskav ali spremljanju izvajanja ukrepa, povezanega z upravljavcem ali obdelovalcem z ustanovitvijo [poslovno enoto] v drugi državi članici.

3. Vodilni nadzorni organ brez odlašanja posreduje ustrezne informacije o zadevi drugim zadevnim nadzornim organom. Drugim zadevnim nadzornim organom brez odlašanja predloži osnutek odločitve, s čimer jih zaprosi za mnenje, ki ga ustrezno upošteva.

4. Kadar kateri koli od drugih zadevnih nadzornih organov v obdobju štirih tednov po opravljenem posvetovanju v skladu z odstavkom 3 tega člena poda ustrezne in utemeljene razloge za ugovor glede osnutka odločitve, vodilni nadzorni organ zadevo predloži mehanizmu za skladnost iz člena 63, če se z ugovorom ne strinja ali meni, da ugovor ni ustrezen ali utemeljen.

5. Kadar namerava vodilni nadzorni organ upoštevati ustrezen in utemeljen ugovor, drugim zadevnim nadzornim organom predloži v mnenje spremenjeni osnutek odločitve. Za ta spremenjeni osnutek odločitve se v obdobju dveh tednov uporabi postopek iz odstavka 4.

6. Kadar noben drug zadevni nadzorni organ v obdobju iz odstavkov 4 in 5 ne nasprotuje osnutku odločitve, ki jo predloži vodilni nadzorni organ, se šteje, da se vodilni nadzorni organ in zadevni nadzorni organi strinjajo s tem osnutkom odločitve, ki je zanje zavezujoča.

7. Vodilni nadzorni organ sprejme odločitev in o njej uradno obvesti glavno ali edino ustanovitev [poslovno enoto] upravljavca ali obdelovalca, odvisno od primera, zadevno odločitev ter povzetek ustreznih dejstev in razlogov pa posreduje tudi drugim zadevnim nadzornim organom in [Evropskemu odboru za varstvo podatkov]. Nadzorni organ, pri katerem je bila vložena pritožba, o odločitvi obvesti pritožnika.

8. Z odstopanjem od odstavka 7 nadzorni organ, pri katerem je bila vložena pritožba, v primeru zavržene ali zavrnjene pritožbe sprejme odločitev, o kateri uradno obvesti pritožnika, sporoči pa jo tudi upravljavcu.

9. Kadar se vodilni nadzorni organ in zadevni nadzorni organi strinjajo, da se zavržejo ali zavrnejo deli pritožbe in uveljavijo drugi deli te pritožbe, se za vsakega od navedenih delov zadeve sprejme ločena odločitev. […]

10. Upravljavec ali obdelovalec po prejemu uradnega obvestila o odločitvi vodilnega nadzornega organa v skladu z odstavkoma 7 in 9 sprejme ukrepe, potrebne za zagotovitev spoštovanja odločitve, kar zadeva obdelavo v okviru vseh njegovih ustanovitev [poslovnih enot] v Uniji. Upravljavec ali obdelovalec o ukrepih, sprejetih za zagotovitev spoštovanja odločitve, uradno obvesti vodilni nadzorni organ, ki to sporoči drugim zadevnim nadzornim organom.

11. V izjemnih okoliščinah, ko zadevni nadzorni organ utemeljeno sklepa, da obstaja nujna potreba po ukrepanju zaradi varstva interesov posameznikov, na katere se nanašajo osebni podatki, se uporabi nujni postopek iz člena 66.

[…]“

12 Člen 61 navedene uredbe, naslovljen „Medsebojna pomoč“, v odstavku 1 določa:

„Nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo, ter uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za predhodno dovoljenje in posvetovanja, preglede ter preiskave.“

13 Člen 62 te uredbe, naslovljen „Skupno ukrepanje nadzornih organov“, določa:

„1. Nadzorni organi po potrebi skupaj ukrepajo, tudi z izvajanjem skupnih preiskav in skupnih izvršilnih ukrepov, pri katerih sodelujejo člani ali osebje nadzornih organov drugih držav članic.

2. Kadar ima upravljavec ali obdelovalec ustanovitve [poslovne enote] v več državah članicah, ali kadar je verjetno, da bodo dejanja obdelave pomembno vplivala na znatno število posameznikov, na katere se nanašajo osebni podatki, v več kot eni državi članici, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnem ukrepanju. […]

[…]“

14 Oddelek 2 poglavja VII Uredbe 2016/679, naslovljen „Skladnost“, vsebuje člene od 63 do 67 te uredbe. Ta člen 63, naslovljen „Mehanizem za skladnost“, določa:

„Da bi prispevali k dosledni uporabi te uredbe v vsej Uniji, nadzorni organi sodelujejo med seboj in po potrebi s Komisijo, in sicer prek mehanizma za skladnost, kakor je določen v tem oddelku.“

15 Člen 64(2) navedene uredbe določa:

„Kateri koli nadzorni organ, predsednik [Evropskega odbora za varstvo podatkov] ali Komisija lahko zahteva, da katero koli zadevo splošne uporabe ali z učinkom v več kot eni državi članici preuči [Evropski odbor za varstvo podatkov], ki da mnenje, zlasti kadar pristojni nadzorni organ ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 61 ali glede skupnega ukrepanja v skladu s členom 62.“

16 Člen 65 te uredbe, naslovljen „Reševanje sporov s strani odbora“, v odstavku 1 določa:

„Da se zagotovi pravilna in dosledna uporaba te uredbe v posameznih primerih, [Evropski odbor za varstvo podatkov] sprejme zavezujočo odločitev v naslednjih primerih:

(a) kadar je, v primeru iz člena 60(4), zadevni nadzorni organ dal ustrezen in utemeljen ugovor osnutku odločitve vodilnega nadzornega organa ter se vodilni nadzorni organ z ugovorom ni strinjal ali je tak ugovor zavrnil kot neustrezen ali neutemeljen. Zavezujoča odločitev velja za vse zadeve, na katere se nanaša ustrezen in utemeljen ugovor, zlasti kadar gre za kršitev te uredbe;

(b) kadar obstajajo nasprotujoča si stališča o tem, kateri zadevni nadzorni organ je pristojen za glavno ustanovitev [poslovno enoto];

[…]“

17 Člen 66 Uredbe 2016/679, naslovljen „Nujni postopek“, v odstavkih 1 in 2 določa:

„1. V izjemnih okoliščinah, kadar zadevni nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, lahko z odstopanjem od mehanizma za skladnost iz členov 63, 64 in 65 ali postopka iz člena 60 brez odlašanja sprejme začasne ukrepe, katerih namen je doseči pravne učinke na ozemlju, na katerem deluje, z določenim obdobjem veljavnosti, ki ni daljše od treh mesecev. Nadzorni organ o teh ukrepih in razlogih za njihovo sprejetje nemudoma obvesti druge zadevne nadzorne organe, [Evropski odbor za varstvo podatkov] in Komisijo.

2. Kadar je nadzorni organ sprejel ukrep v skladu z odstavkom 1 in meni, da je treba končne ukrepe nujno sprejeti, lahko zahteva nujno mnenje ali nujno zavezujočo odločitev [Evropskega odbora za varstvo podatkov], pri čemer navede razloge za tako mnenje ali odločitev [zahtevanje takega mnenja ali odločitve].“

18 Člen 77 te uredbe, naslovljen „Pravica do vložitve pritožbe pri nadzornem organu“, določa:

„1. Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.

2. Nadzorni organ, pri katerem je vložena pritožba, obvesti pritožnika o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 78.“

19 Člen 78 navedene uredbe, naslovljen „Pravica do učinkovitega pravnega sredstva [pred sodiščem] zoper nadzorni organ“, določa:

„1. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsaka fizična ali pravna oseba pravico do učinkovitega pravnega sredstva [pred sodiščem] zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.

2. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva [pred sodiščem], kadar nadzorni organ, ki je pristojen na podlagi členov 55 in 56, ne obravnava pritožbe ali če posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi, vloženi na podlagi člena 77.

3. Za postopke zoper nadzorni organ so pristojna sodišča države članice, v kateri ima nadzorni organ ustanovitev [sedež].

4. Kadar je začet postopek zoper odločitev nadzornega organa, v zvezi s katero je [Evropski odbor za varstvo podatkov] pred tem sprejel mnenje ali odločitev v okviru mehanizma za skladnost, nadzorni organ to mnenje ali odločitev posreduje sodišču.“

20 Člen 79 te uredbe, naslovljen „Pravica do učinkovitega pravnega sredstva [pred sodiščem] zoper upravljavca ali obdelovalca“, določa:

„1. Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 77, ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva [pred sodiščem], kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.

2. Za postopke zoper upravljavca ali obdelovalca so pristojna sodišča države članice, v kateri ima upravljavec ali obdelovalec ustanovitev [poslovno enoto]. Alternativno so za takšne postopke pristojna tudi sodišča države članice, v kateri ima posameznik, na katerega se nanašajo osebni podatki, svoje običajno prebivališče, razen če je upravljavec ali obdelovalec javni organ države članice, ki izvaja svoja javna pooblastila.“

Belgijsko pravo

21 Z wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (zakon o varstvu zasebnosti pri obdelavi osebnih podatkov) z dne 8. decembra 1992 (Belgisch Staatsblad z dne 18. marca 1993, str. 5801), kakor je bil spremenjen z zakonom z dne 11. decembra 1998 (Belgisch Staatsblad, 3. februar 1999, str. 3049) (v nadaljevanju: zakon z dne 8. decembra 1992), je bila v belgijsko pravo prenesena Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).

22 Z zakonom z dne 8. decembra 1992 je bil ustanovljen CPVP, neodvisni organ, katerega naloga je zagotavljati, da se osebni podatki obdelujejo v skladu s tem zakonom, tako da se ohrani zasebnost državljanov.

23 Člen 32(3) zakona z dne 8. decembra 1992 je določal:

„Brez poseganja v pristojnost rednih sodišč za uporabo splošnih načel varstva zasebnosti lahko predsednik [CPVP] sodišču prve stopnje predloži vsak spor, ki se nanaša na uporabo tega zakona in njegovih izvedbenih aktov.“

24 Z wet tot oprichting van de Gegevensbeschermingsautoriteit (zakon o ustanovitvi organa za varstvo podatkov) z dne 3. decembra 2017 (Belgisch Staatsblad, 10. januar 2018, str. 989, v nadaljevanju: zakon z dne 3. decembra 2017), ki je začel veljati 25. maja 2018, je bil ustanovljen OVP kot nadzorni organ v smislu Uredbe 2016/679.

25 Člen 3 zakona z dne 3. decembra 2017 določa:

„Pri poslanski zbornici se ustanovi ‚organ za varstvo podatkov‘. Ta organ bo nasledil [CPVP].“

26 Člen 6 zakona z dne 3. decembra 2017 določa:

„[OVP] je pristojen, da z vsako kršitvijo temeljnih načel varstva osebnih podatkov v okviru tega zakona in zakonov, ki vsebujejo določbe o varstvu obdelave osebnih podatkov, seznani sodne organe in po potrebi začne sodni postopek, da bi se uporabila ta temeljna načela.“

27 Za sodne postopke, ki so bili 25. maja 2018 v teku in ki jih je začel predsednik CPVP na podlagi člena 32(3) zakona z dne 8. decembra 1992, ni nobene posebne določbe. Le v zvezi s pritožbami ali zahtevami, vloženimi pri samem OVP, člen 112 zakona z dne 3. decembra 2017 določa:

„Poglavje VI se ne uporablja za pritožbe ali zahteve, o katerih [OVP] ob začetku veljavnosti tega zakona še ni odločil. Pritožbe ali zahteve iz odstavka 1 obravnava [OVP] kot pravni naslednik [CPVP] po postopku, ki se je uporabljal pred začetkom veljavnosti tega zakona.“

28 Zakon z dne 8. decembra 1992 je bil razveljavljen z wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (zakon o varstvu posameznikov pri obdelavi osebnih podatkov) z dne 30. julija 2018 (Belgisch Staatsblad, 5. september 2018, str. 68616, v nadaljevanju: zakon z dne 30. julija 2018). Namen zadnjenavedenega zakona je izvajanje določb Uredbe 2016/679, s katerimi je državam članicam naloženo oziroma omogočeno, da sprejmejo podrobnejša pravila za dopolnitev te uredbe, v belgijskem pravu.

Spor o glavni stvari in vprašanja za predhodno odločanje

29 Predsednik CPVP je 11. septembra 2015 pri Nederlandstalige rechtbank van eerste aanleg Brussel (prvostopenjsko sodišče v Bruslju za postopke v nizozemščini, Belgija) vložil opustitveno tožbo zoper družbe Facebook Ireland, Facebook Inc. in Facebook Belgium. Ker CPVP nima pravne osebnosti, je moral za zagotovitev spoštovanja zakonodaje na področju varstva osebnih podatkov tožbe vložiti njegov predsednik. Vendar je CPVP vložil predlog za intervencijo v postopku, ki ga je začel njegov predsednik.

30 Namen te opustitvene tožbe je bil končati to, kar CPVP opisuje zlasti kot „hudo in obsežno kršitev zakonodaje o varstvu zasebnosti, za katero je odgovorna družba Facebook“ in ki jo tvori zbiranje – s strani tega spletnega družbenega omrežja – informacij o brskalnih navadah tako imetnikov računa Facebook kot tistih, ki niso uporabniki storitev družbe Facebook, z različnimi tehnologijami, kot so piškotki, socialni vtičniki (na primer gumbi „všeč mi je“ ali „deli“) oziroma piksli. Ti elementi zadevnemu družbenemu omrežju omogočajo, da pridobi nekatere podatke uporabnika interneta, ki obišče spletno stran, ki te podatke vsebuje, kot so naslov te strani, „IP-naslov“ obiskovalca navedene strani ter datum in ura zadevnega obiska.

31 Nederlandstalige rechtbank van eerste aanleg Brussel (prvostopenjsko sodišče v Bruslju za postopke v nizozemščini) se je s sodbo z dne 16. februarja 2018 izreklo za pristojno za odločanje o navedeni opustitveni tožbi v delu, v katerem se je ta nanašala na družbe Facebook Ireland, Facebook Inc. in Facebook Belgium, predlog za intervencijo, ki ga je vložil CPVP, pa je razglasilo za nedopusten.

32 To sodišče je meritorno odločilo, da zadevno družbeno omrežje belgijskih uporabnikov interneta ni dovolj obveščalo o zbiranju zadevnih informacij in njihovi uporabi. Poleg tega je bilo ugotovljeno, da privolitev, ki so jo uporabniki interneta dali za zbiranje in obdelavo navedenih informacij, ni veljavna. Zato je bilo družbam Facebook Ireland, Facebook Inc. in Facebook Belgium naloženo, prvič, naj v zvezi z vsakim uporabnikom interneta, ki ima prebivališče na belgijskem ozemlju, prenehajo brez njegovega soglasja nameščati piškotke, ki so še dve leti aktivni na napravi, ki jo ta uporablja, kadar brska po spletni strani z domenskim imenom Facebook.com oziroma kadar je preusmerjen na spletno mesto tretje osebe, ter naj prenehajo z nameščanjem piškotkov in zbiranjem podatkov prek socialnih vtičnikov, pikslov ali podobnih tehnologij na spletnih mestih tretjih oseb, ki sta pretirani glede na cilje, ki jim sledi družbeno omrežje Facebook, drugič, naj prenehajo ponujati informacije, ki bi lahko zadevne osebe razumno vodile v zmoto glede resničnega obsega mehanizmov, ki jih to družbeno omrežje vzpostavlja za uporabo piškotkov, in tretjič, naj uničijo vse osebne podatke, ki so bili pridobljeni prek piškotkov in socialnih vtičnikov.

33 Družbe Facebook Ireland, Facebook Inc. in Facebook Belgium so zoper to sodbo 2. marca 2018 vložile pritožbo pri hof van beroep te Brussel (višje sodišče v Bruslju, Belgija). OVP pred tem sodiščem nastopa kot pravni naslednik predsednika CPVP, ki je vložil opustitveno tožbo, in samega CPVP.

34 Predložitveno sodišče se je izreklo za pristojno za odločanje le o tistem delu vložene pritožbe, ki se nanaša na družbo Facebook Belgium. Izreklo pa se je za nepristojno za odločanje o tistem delu te pritožbe, ki se nanaša na družbi Facebook Ireland in Facebook Inc.

35 Preden bo predložitveno sodišče vsebinsko odločilo o sporu o glavni stvari, se to sodišče sprašuje, ali ima OVP zahtevano procesno upravičenje in pravni interes. Družba Facebook Belgium meni, da vložena opustitvena tožba ni dopustna glede dejstev iz obdobja pred 25. majem 2018, ker naj bi bil člen 32(3) zakona z dne 8. decembra 1992, ki je pravna podlaga za vložitev take tožbe, po začetku veljavnosti zakona z dne 3. decembra 2017 in Uredbe 2016/679 razveljavljen. Glede dejstev, ki so nastala po 25. maju 2018, družba Facebook Belgium trdi, da OVP nima pristojnosti in pravice vložiti to tožbo ob upoštevanju mehanizma „vse na enem mestu“, ki je zdaj vzpostavljen na podlagi določb Uredbe 2016/679. V skladu s temi določbami naj bi bil namreč le Data Protection Commissioner (pooblaščenec za varstvo podatkov, Irska) pristojen za vložitev opustitvene tožbe zoper družbo Facebook Ireland, ki je edina odgovorna za obdelavo osebnih podatkov uporabnikov zadevnega družbenega omrežja v Uniji.

36 Predložitveno sodišče je razsodilo, da OVP ni izkazal pravnega interesa, ki se zahteva za vložitev te opustitvene tožbe, v delu, v katerem se ta tožba nanaša na dejstva, nastala pred 25. majem 2018. Glede dejstev, ki so nastala po tem datumu, pa ima predložitveno sodišče dvome v zvezi z vplivom začetka veljavnosti Uredbe 2016/679, zlasti uporabe mehanizma „vse na enem mestu“, ki je določen s to uredbo, na pristojnosti OVP in na njegovo možnost vložitve take opustitvene tožbe.

37 Predložitveno sodišče zlasti meni, da se zdaj postavlja vprašanje, ali lahko OVP za dejstva, ki so nastala po 25. maju 2018, vloži tožbo zoper družbo Facebook Belgium, saj je bila kot upravljavec zadevnih podatkov opredeljena družba Facebook Ireland. Od tega datuma in na podlagi načela „vse na enem mestu“ naj bi se zdelo, da je v skladu s členom 56 Uredbe 2016/679 pristojen le pooblaščenec za varstvo podatkov, pod nadzorom zgolj irskih sodišč.

38 Predložitveno sodišče opozarja, da je Sodišče v sodbi z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), razsodilo, da je „nemški nadzorni organ“ pristojen za odločanje o sporu na področju varstva osebnih podatkov, čeprav je imel upravljavec zadevnih podatkov sedež na Irskem in je bila njegova hčerinska družba s sedežem v Nemčiji, to je družba Facebook Germany GmbH, zadolžena samo za prodajo oglasnega prostora in druge dejavnosti trženja na nemškem ozemlju.

39 Vendar je bil v zadevi, v kateri je bila izdana ta sodba, pri Sodišču vložen predlog za sprejetje predhodne odločbe, ki se je nanašal na razlago določb Direktive 95/46, ki je bila razveljavljena z Uredbo 2016/679. Predložitveno sodišče se sprašuje, v kolikšni meri je razlaga, ki jo je Sodišče podalo v navedeni sodbi, še vedno upoštevna glede uporabe Uredbe 2016/679.

40 Predložitveno sodišče omenja tudi odločbo Bundeskartellamt (zvezni organ, pristojen za konkurenco, Nemčija) z dne 6. februarja 2019 (tako imenovana odločba „Facebook“), v kateri je ta organ, pristojen za konkurenco, v bistvu ugotovil, da je zadevno podjetje zlorabilo svoj položaj s tem, da je združilo podatke iz različnih virov, kar naj bi bilo odslej mogoče storiti le z izrecnim soglasjem uporabnikov, pri čemer se razume, da uporabnik, ki s tem ne soglaša, ne more biti izključen iz storitev Facebooka. Predložitveno sodišče navaja, da se je navedeni organ, pristojen za konkurenco, kljub mehanizmu „vse na enem mestu“ očitno štel za pristojen.

41 Poleg tega predložitveno sodišče meni, da člen 6 zakona z dne 3. decembra 2017, ki OVP načeloma omogoča, da po potrebi začne sodni postopek, ne pomeni, da lahko ta tožbo pri belgijskih sodiščih vloži v vseh okoliščinah, saj naj bi bilo razvidno, da mehanizem „vse na enem mestu“ zahteva, da mora biti taka tožba vložena pri sodišču kraja, v katerem se izvaja obdelava podatkov.

42 V teh okoliščinah je hof van beroep te Brussel (višje sodišče v Bruslju) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1. Ali je treba člene 55(1), od 56 do 58 in od 60 do 66 [Uredbe 2016/679] v povezavi s členi 7, 8 in 47 [Listine] razlagati tako, da nadzorni organ, ki je na podlagi nacionalne zakonodaje, sprejete na podlagi člena 58(5) te uredbe, pooblaščen, da zaradi kršitev te uredbe začne sodni postopek pri sodišču svoje države članice, tega pooblastila ne more izvajati glede čezmejne obdelave osebnih podatkov, če ni vodilni nadzorni organ za to čezmejno obdelavo?

2. Ali je kaj drugače, če upravljavec te čezmejne obdelave osebnih podatkov nima glavne poslovne enote v tej državi članici, ima pa v njej drugo poslovno enoto?

3. Ali je kaj drugače, če nacionalni nadzorni organ začne sodni postopek proti glavni poslovni enoti upravljavca te čezmejne obravnave, in ne proti poslovni enoti v lastni državi članici?

4. Ali je kaj drugače, če je nacionalni nadzorni organ začel sodni postopek že pred datumom, na katerega se je začela uporabljati [Uredba 2016/679] (25. maj 2018)?

5. Če je odgovor na prvo vprašanje pritrdilen: ali ima člen 58(5) Uredbe 2016/679 neposredni učinek, tako da se lahko nacionalni nadzorni organ sklicuje na zgoraj navedeni člen za to, da začne ali nadaljuje sodni postopek proti posameznim strankam, tudi če člen 58(5) Uredbe 2016/679 ni bil prenesen v zakonodajo držav članic, čeprav je to zahtevano?

6. Če je odgovor na zgornja vprašanja pritrdilen: ali bi rezultat takih postopkov lahko nasprotoval nasprotni ugotovitvi vodilnega nadzornega organa, če vodilni nadzorni organ preiskuje enake ali podobne čezmejne dejavnosti obdelave v skladu z mehanizmom iz členov 56 in 60 Uredbe 2016/679?“

Vprašanja za predhodno odločanje

Prvo vprašanje

43 Predložitveno sodišče želi s prvim vprašanjem v bistvu izvedeti, ali je treba člene 55(1), od 56 do 58 in od 60 do 66 Uredbe 2016/679 v povezavi s členi 7, 8 in 47 Listine razlagati tako, da lahko nadzorni organ države članice – ki ima v skladu z nacionalno zakonodajo, sprejeto na podlagi člena 58(5) te uredbe, pooblastilo za to, da sodišče te države članice opozori na vsakršno domnevno kršitev navedene uredbe in po potrebi začne sodni postopek – to pooblastilo izvršuje v zvezi s čezmejno obdelavo podatkov, čeprav glede take obdelave podatkov ni „vodilni nadzorni organ“ v smislu člena 56(1) te uredbe.

44 V zvezi s tem je treba najprej opozoriti, da je po eni strani – drugače od Direktive 95/46, ki je bila sprejeta na podlagi člena 100 A Pogodbe ES v zvezi s harmonizacijo skupnega trga – pravna podlaga Uredbe 2016/679 člen 16 PDEU, ki določa pravico vsakogar do varstva osebnih podatkov ter Evropskemu parlamentu in Svetu Evropske unije dovoljuje, da določita pravila o varstvu fizičnih oseb v zvezi z obdelavo teh podatkov s strani institucij, organov, uradov in agencij Unije ter držav članic pri izvajanju dejavnosti, ki spadajo na področje uporabe prava Unije, in o prostem pretoku navedenih podatkov. Po drugi strani je v uvodni izjavi 1 te uredbe navedeno, da je „[v]arstvo posameznikov pri obdelavi osebnih podatkov […] temeljna pravica“, in opozorjeno, da člen 8(1) Listine in člen 16(1) PDEU določata pravico vsakogar do varstva osebnih podatkov, ki se nanašajo nanj.

45 Zato Uredba 2016/679, kot izhaja iz njenega člena 1(2) v povezavi z uvodnimi izjavami 10, 11 in 13 te uredbe, institucijam, organom, uradom in agencijam Unije ter pristojnim organom držav članic nalaga, da zagotovijo visoko raven varstva pravic, zagotovljenih s členom 16 PDEU in členom 8 Listine.

46 Poleg tega se s to uredbo, kot je navedeno v njeni uvodni izjavi 4, spoštujejo vse temeljne pravice ter upoštevajo svoboščine in načela, ki so priznani v Listini.

47 Člen 55(1) Uredbe 2016/679 v tem okviru določa načelno pristojnost vsakega nadzornega organa za opravljanje nalog in izvrševanje pooblastil, ki so mu v skladu s to uredbo podeljena, na ozemlju države članice, ki ji pripada (glej v tem smislu sodbo z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 147).

48 Med nalogami, ki so naložene tem nadzornim organom, sta med drugim naloga spremljanja uporabe Uredbe 2016/679 in zagotavljanja uporabe te uredbe, ki je navedena v njenem členu 57(1)(a), ter naloga sodelovanja z drugimi nadzornimi organi, vključno z izmenjavo informacij, in zagotavljanja medsebojne pomoči, da se zagotovi doslednost pri uporabi in izvajanju te uredbe, ki je navedena v njenem členu 57(1)(g). Med pooblastili, podeljenimi navedenim nadzornim organom za opravljanje teh nalog, so različna preiskovalna pooblastila iz člena 58(1) Uredbe 2016/679 ter pooblastilo iz člena 58(5) te uredbe, da sodne organe opozorijo na kršitve te uredbe in po potrebi začnejo sodne postopke ali v njih sodelujejo, da se zagotovi izvajanje določb navedene uredbe.

49 Vendar se za opravljanje teh nalog in izvajanje teh pooblastil zahteva, da ima nadzorni organ pristojnost glede določene obdelave podatkov.

50 V zvezi s tem člen 56(1) Uredbe 2016/679 – brez poseganja v pravilo o pristojnosti iz člena 55(1) te uredbe – za „čezmejno obdelavo osebnih podatkov“ v smislu člena 4, točka 23, navedene uredbe določa mehanizem „vse na enem mestu“, ki temelji na razdelitvi pristojnosti med „vodilnim nadzornim organom“ in drugimi zadevnimi nadzornimi organi. Na podlagi tega mehanizma je nadzorni organ glavne ali edine poslovne enote upravljavca ali obdelovalca pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom iz člena 60 navedene uredbe.

51 V skladu z zadnjenavedenim členom je uveden postopek sodelovanja med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi. Vodilni nadzorni organ si mora v okviru tega postopka zlasti prizadevati za dosego soglasja. Za to v skladu s členom 60(3) Uredbe 2016/679 drugim zadevnim nadzornim organom brez odlašanja predloži osnutek odločitve, s čimer jih zaprosi za mnenje, ki ga ustrezno upošteva.

52 Natančneje, iz členov 56 in 60 Uredbe 2016/679 je razvidno, da morajo pri „čezmejni obdelavi osebnih podatkov“ v smislu člena 4, točka 23, te uredbe ob upoštevanju njenega člena 56(2) različni zadevni nacionalni nadzorni organi sodelovati v skladu s postopkom, določenim v teh določbah, za doseganje soglasja in izdaje enotne odločbe, ki zavezuje vse te organe in katere spoštovanje mora upravljavec podatkov zagotoviti glede dejavnosti obdelave podatkov v okviru vseh svojih poslovnih enot v Uniji. Poleg tega člen 61(1) navedene uredbe nadzornim organom zlasti nalaga, da drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo po vsej Uniji. V členu 63 Uredbe 2016/679 je pojasnjeno, da je s tem namenom uveden mehanizem za skladnost, ki je določen v členih 64 in 65 te uredbe (sodba z dne 24. septembra 2019, Google (Ozemeljski obseg odstranitve povezav), C‑507/17, EU:C:2019:772, točka 68).

53 Uporaba mehanizma „vse na enem mestu“ zato zahteva, kot je potrjeno v uvodni izjavi 13 Uredbe 2016/679, lojalno in učinkovito sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi. Zato vodilni nadzorni organ, kot je generalni pravobranilec navedel v točki 111 sklepnih predlogov, ne more prezreti stališč drugih zadevnih nadzornih organov, vsak ustrezen in utemeljen ugovor enega od teh organov pa ima učinek vsaj začasne blokade sprejetja osnutka odločitve vodilnega nadzornega organa.

54 Tako člen 60(4) Uredbe 2016/679 določa, da kadar eden od drugih zadevnih nadzornih organov v roku štirih tednov po opravljenem posvetovanju poda tak ustrezen in utemeljen ugovor glede osnutka odločitve, vodilni nadzorni organ – če se z ugovorom ne strinja ali meni, da ugovor ni ustrezen ali utemeljen – zadevo predloži mehanizmu za skladnost iz člena 63 te uredbe, da bi od Evropskega odbora za varstvo podatkov prejel zavezujočo odločitev, sprejeto na podlagi člena 65(1)(a) navedene uredbe.

55 Kadar pa namerava vodilni nadzorni organ upoštevati ustrezen in utemeljen ugovor, drugim zadevnim nadzornim organom v skladu s členom 60(5) Uredbe 2016/679 predloži spremenjeni osnutek odločitve, da bi mu ti o njem podali svoje mnenje. Za ta spremenjeni osnutek odločitve se v obdobju dveh tednov uporabi postopek iz člena 60(4) te uredbe.

56 V skladu s členom 60(7) navedene uredbe je vodilni nadzorni organ tisti, ki mora načeloma sprejeti odločitev v zvezi z zadevno čezmejno obdelavo in o njej uradno obvestiti glavno ali edino poslovno enoto upravljavca ali obdelovalca, odvisno od primera, zadevno odločitev ter povzetek ustreznih dejstev in razlogov pa posredovati tudi drugim zadevnim nadzornim organom in Evropskemu odboru za varstvo podatkov.

57 Ob tem je treba poudariti, da Uredba 2016/679 določa izjeme od načela pristojnosti vodilnega nadzornega organa za odločanje v okviru mehanizma „vse na enem mestu“ iz člena 56(1) navedene uredbe.

58 Med temi izjemami je, prvič, člen 56(2) Uredbe 2016/679, ki določa, da je nadzorni organ, ki ni vodilni nadzorni organ, pristojen za obravnavo pritožbe, ki je vložena pri njem in ki se nanaša na čezmejno obdelavo osebnih podatkov ali morebitno kršitev te uredbe, če se njena vsebina nanaša zgolj na poslovno enoto v njegovi državi članici ali znatno vpliva na posameznike, na katere se nanašajo osebni podatki, samo v njegovi državi članici.

59 Drugič, člen 66 Uredbe 2016/679 z odstopanjem od mehanizmov za skladnost iz členov 60 in od 63 do 65 te uredbe določa nujni postopek. Ta nujni postopek v izjemnih okoliščinah omogoča, da se, kadar zadevni nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, brez odlašanja sprejmejo začasni ukrepi, katerih namen je doseči pravne učinke na ozemlju, na katerem ta organ deluje, z določenim obdobjem veljavnosti, ki ni daljše od treh mesecev, pri čemer člen 66(2) Uredbe 2016/679 poleg tega določa, da lahko nadzorni organ, kadar je sprejel ukrep v skladu z odstavkom 1 in meni, da je treba končne ukrepe nujno sprejeti, zahteva nujno mnenje ali nujno zavezujočo odločitev Evropskega odbora za varstvo podatkov in navede razloge za zahtevo takega mnenja ali odločitve.

60 Vendar je treba to pristojnost nadzornih organov izvrševati ob spoštovanju lojalnega in učinkovitega sodelovanja z vodilnim nadzornim organom v skladu s postopkom iz člena 56, od (3) do (5), Uredbe 2016/679. V tem primeru mora namreč zadevni nadzorni organ v skladu s členom 56(3) te uredbe brez odlašanja obvestiti vodilni nadzorni organ, ki v treh tednih po tem, ko je bil obveščen, odloči, ali bo zadevo obravnaval.

61 Če vodilni nadzorni organ odloči, da bo zadevo obravnaval, se v skladu s členom 56(4) Uredbe št. 2016/679 uporabi postopek sodelovanja iz člena 60 te uredbe. V tem okviru lahko nadzorni organ, ki je obvestil vodilni nadzorni organ, temu predloži osnutek odločitve, ki ga mora vodilni nadzorni organ čim bolj upoštevati pri pripravi osnutka odločitve iz člena 60(3) navedene uredbe.

62 Če pa vodilni nadzorni organ odloči, da zadeve ne bo obravnaval, jo na podlagi člena 56(5) Uredbe 2016/679 obravnava nadzorni organ, ki ga je obvestil, in sicer v skladu s členoma 61 in 62 te uredbe, na podlagi katerih se od nadzornih organov zahteva spoštovanje pravil o medsebojni pomoči in sodelovanju pri skupnih ukrepanjih, da se zagotovi učinkovito sodelovanje zadevnih organov.

63 Iz navedenega izhaja, prvič, da je na področju čezmejne obdelave osebnih podatkov pristojnost vodilnega nadzornega organa za sprejetje odločbe o ugotovitvi, da so s tako obdelavo kršena pravila o varstvu pravic posameznikov pri obdelavi osebnih podatkov iz Uredbe 2016/679, pravilo, medtem ko je pristojnost drugih zadevnih nadzornih organov za sprejetje take odločbe, tudi začasne, izjema. Drugič, čeprav je načelna pristojnost vodilnega nadzornega organa potrjena s členom 56(6) Uredbe 2016/679, v skladu s katerim je vodilni nadzorni organ „edini sogovornik“ upravljavca ali obdelovalca za čezmejno obdelavo, ki jo ta opravljata, mora ta organ tako pristojnost izvajati v okviru tesnega sodelovanja z drugimi zadevnimi nadzornimi organi. Vodilni nadzorni organ se pri izvajanju svojih pristojnosti, kot je bilo navedeno v točki 53 te sodbe, zlasti ne more izogniti nujnemu dialogu ter lojalnemu in učinkovitemu sodelovanju z drugimi zadevnimi nadzornimi organi.

64 V zvezi s tem je iz uvodne izjave 10 Uredbe 2016/679 razvidno, da je njen namen med drugim zagotoviti dosledno in enotno uporabo pravil o varstvu temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov po celotni Uniji in odstraniti ovire za prenos osebnih podatkov v Uniji.

65 Tak cilj in polni učinek mehanizma „vse na enem mestu“ pa bi bila lahko ogrožena, če bi nadzorni organ, ki glede čezmejne obdelave podatkov ni vodilni nadzorni organ, lahko izvrševal pooblastilo iz člena 58(5) Uredbe 2016/679 v drugih primerih od tistih, v katerih je pristojen za sprejetje odločbe, kakršna je navedena v točki 63 te sodbe. Namen izvrševanja takega pooblastila je namreč pripeljati do zavezujoče sodne odločbe, ki lahko ta cilj in ta mehanizem ogrozi enako kot odločba, ki jo sprejme nadzorni organ, ki ni vodilni nadzorni organ.

66 V nasprotju s tem, kar trdi OVP, je okoliščina, da lahko nadzorni organ države članice, ki ni vodilni nadzorni organ, pooblastilo iz člena 58(5) Uredbe 2016/679 izvršuje le ob upoštevanju pravil o razdelitvi pristojnosti odločanja, določenih zlasti v členih 55 in 56 te uredbe v povezavi z njenim členom 60, v skladu s členi 7, 8 in 47 Listine.

67 Na eni strani je treba v zvezi s trditvami, ki se nanašajo na domnevno kršitev členov 7 in 8 Listine, opozoriti, da ta člen 7 vsakomur zagotavlja pravico do spoštovanja njegovega zasebnega in družinskega življenja, stanovanja ter komunikacij, medtem ko člen 8(1) Listine in člen 16(1) PDEU vsakomur izrecno priznavata pravico do varstva osebnih podatkov, ki se nanašajo nanj. Iz člena 51(1) Uredbe 2016/679 pa zlasti izhaja, da so nadzorni organi pristojni za spremljanje uporabe te uredbe, predvsem zaradi zaščite temeljnih pravic posameznikov v zvezi z obdelavo njihovih osebnih podatkov. Iz tega izhaja, da v skladu s tem, kar je bilo navedeno v točki 45 te sodbe, pravila o razdelitvi pristojnosti odločanja med vodilnim nadzornim organom in drugimi nadzornimi organi, ki so določena v tej uredbi, ne posegajo v odgovornost vsakega od teh organov, da prispeva k visoki ravni varstva teh pravic ob upoštevanju teh pravil ter zahtev po sodelovanju in medsebojni pomoči, na kateri je opozorjeno v točki 52 te sodbe.

68 To zlasti pomeni, da mehanizem „vse na enem mestu“ nikakor ne more privesti do tega, da nacionalni nadzorni organ, zlasti vodilni nadzorni organ, ne bi prevzel odgovornosti, ki jo ima na podlagi Uredbe 2016/679, da prispeva k učinkovitemu varstvu posameznikov pred posegi v njihove temeljne pravice, na katere je bilo opozorjeno v prejšnji točki te sodbe, saj bi se sicer spodbujala praksa forum shopping, zlasti s strani upravljavcev, katere namen bi bil obid teh temeljnih pravic in izogibanje učinkoviti uporabi določb te uredbe, s katero se te pravice izvajajo.

69 Na drugi strani ni mogoče sprejeti niti trditev, ki se nanašajo na domnevno kršitev pravice do učinkovitega pravnega sredstva, zagotovljene s členom 47 Listine. Okvir, naveden v točkah 64 in 65 te sodbe, glede možnosti nadzornega organa, ki ni vodilni nadzorni organ, da izvršuje pooblastilo iz člena 58(5) Uredbe 2016/679 v zvezi s čezmejno obdelavo osebnih podatkov, namreč ne posega v pravico, priznano vsakomur na podlagi člena 78(1) in (2) te uredbe, da vloži učinkovito pravno sredstvo pred sodiščem med drugim zoper pravno zavezujočo odločbo nadzornega organa, ki se nanaša nanj, ali zoper molk nadzornega organa, ki ima pristojnost za odločanje na podlagi členov 55 in 56 navedene uredbe v povezavi s členom 60 te uredbe, v zvezi z vloženo pritožbo.

70 To velja zlasti za primer iz člena 56(5) Uredbe 2016/679, v skladu s katerim lahko nadzorni organ, ki je podal informacije na podlagi člena 56(3) te uredbe, kot je bilo navedeno v točki 62 te sodbe, zadevo obravnava v skladu s členoma 61 in 62 navedene uredbe, če vodilni nadzorni organ po tem, ko je bil o zadevi obveščen, odloči, da je ne bo obravnaval sam. V okviru take obdelave sicer ni mogoče izključiti, da se lahko zadevni nadzorni organ po potrebi odloči za izvrševanje pooblastila, ki mu je podeljeno s členom 58(5) Uredbe 2016/679.

71 Po tem pojasnilu je treba poudariti, da izvrševanja pooblastila nadzornega organa države članice, da se obrne na sodišča svoje države, ni mogoče izključiti, kadar po tem, ko je nadzorni organ od vodilnega nadzornega organa zahteval medsebojno pomoč na podlagi člena 61 Uredbe 2016/679, slednji ne predloži zahtevanih informacij. V tem primeru lahko zadevni nadzorni organ v skladu s členom 61(8) te uredbe sprejme začasni ukrep na ozemlju svoje države članice, in če meni, da je treba dokončne ukrepe sprejeti nujno, lahko ta organ v skladu s členom 66(2) navedene uredbe od Evropskega odbora za varstvo podatkov zahteva nujno mnenje ali nujno zavezujočo odločitev. Poleg tega lahko nadzorni organ na podlagi člena 64(2) te uredbe zahteva, da katero koli zadevo splošne uporabe ali z učinkom v več kot eni državi članici preuči Evropski odbor za varstvo podatkov, ki poda mnenje, zlasti kadar pristojni nadzorni organ ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 61 navedene uredbe. Po sprejetju takega mnenja ali odločitve – če se Evropski odbor za varstvo podatkov po upoštevanju vseh upoštevnih okoliščin s tem strinja – pa mora imeti zadevni nadzorni organ možnost, da sprejme ukrepe, potrebne za zagotovitev spoštovanja pravil o varstvu pravic posameznikov pri obdelavi osebnih podatkov iz Uredbe 2016/679, in da na tej podlagi izvršuje pooblastilo, ki mu je podeljeno s členom 58(5) te uredbe.

72 Razdelitev pristojnosti in odgovornosti med nadzornimi organi namreč nujno temelji na premisi lojalnega in učinkovitega sodelovanja med temi organi ter med navedenimi organi in Komisijo, da se zagotovi pravilna in dosledna uporaba te uredbe, kot to potrjuje njen člen 51(2).

73 V obravnavani zadevi bo moralo predložitveno sodišče ugotoviti, ali so bila pravila o razdelitvi pristojnosti ter upoštevni postopki in mehanizmi, določeni z Uredbo 2016/679, v okviru postopka v glavni stvari pravilno uporabljeni. Preveriti bo moralo predvsem, ali je zadevna obdelava v delu, v katerem se nanaša na ravnanja spletnega družbenega omrežja Facebook po 25. maju 2018, zlasti zajeta s primerom iz točke 71 te sodbe, čeprav v tej zadevi OVP ni vodilni nadzorni organ.

74 Sodišče v zvezi s tem ugotavlja, da je Evropski odbor za varstvo zasebnosti v mnenju 5/2019 z dne 12. marca 2019 v zvezi s povezavami med Direktivo o zasebnosti in elektronskih komunikacijah in [Splošno uredbo o varstvu podatkov], zlasti glede pristojnosti, nalog in pooblastil organov za varstvo podatkov, izjavil, da shranjevanje in branje osebnih podatkov s piškotki spadata na področje uporabe Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 514), in ne na področje uporabe mehanizma „vse na enem mestu“. Nasprotno pa vse predhodno ukrepanje in poznejše dejavnosti glede obdelave teh osebnih podatkov z drugimi tehnologijami spadajo na področje uporabe Uredbe 2016/679 in posledično na področje uporabe mehanizma „vse na enem mestu“. Ker se je zahteva OVP za medsebojno pomoč nanašala na to poznejše ukrepanje glede obdelave osebnih podatkov, je ta organ aprila 2019 pooblaščenca za varstvo podatkov zaprosil, naj njegovo zahtevo obravnava čim hitreje, na to prošnjo pa naj ne bi prejel odgovora.

75 Ob upoštevanju vseh navedenih preudarkov je treba na prvo postavljeno vprašanje odgovoriti, da je treba člene 55(1), od 56 do 58 in od 60 do 66 Uredbe 2016/679 v povezavi s členi 7, 8 in 47 Listine razlagati tako, da lahko nadzorni organ države članice – ki ima v skladu z nacionalno zakonodajo, sprejeto na podlagi člena 58(5) te uredbe, pooblastilo za to, da sodišče te države članice opozori na vsakršno domnevno kršitev navedene uredbe in po potrebi začne sodni postopek – to pooblastilo izvršuje v zvezi s čezmejno obdelavo podatkov, čeprav glede take obdelave podatkov ni „vodilni nadzorni organ“ v smislu člena 56(1) te uredbe, če gre za enega od primerov, v katerih je z Uredbo 2016/679 temu nadzornemu organu podeljena pristojnost za sprejemanje odločb o ugotovitvi, da so z navedeno obdelavo kršena pravila, ki jih ta uredba vsebuje, ter ob spoštovanju postopka sodelovanja in postopka za skladnost iz te uredbe.

Drugo vprašanje

76 Predložitveno sodišče želi z drugim vprašanjem v bistvu izvedeti, ali je treba člen 58(5) Uredbe 2016/679 razlagati tako, da izvrševanje pooblastila nadzornega organa države članice, ki ni vodilni nadzorni organ, da začne sodni postopek v smislu te določbe, v primeru čezmejne obdelave podatkov zahteva, da ima upravljavec čezmejne obdelave osebnih podatkov, proti kateremu je začet ta postopek, „glavno ustanovitev [poslovno enoto]“ v smislu člena 4, točka 16, Uredbe 2016/679 ali drugo poslovno enoto na ozemlju te države članice.

77 V zvezi s tem je treba opozoriti, da člen 55(1) Uredbe 2016/679 določa, da je vsak nadzorni organ na ozemlju svoje države članice pristojen za opravljanje dodeljenih nalog in izvajanje prenesenih pooblastil v skladu s to uredbo.

78 Člen 58(5) Uredbe 2016/679 poleg tega določa, da ima vsak nadzorni organ pooblastilo, da sodne organe svoje države članice opozori na domnevne kršitve te uredbe in po potrebi začne sodne postopke ali v njih sodeluje, da se zagotovi izvajanje določb navedene uredbe.

79 Poudariti pa je treba, da je besedilo člena 58(5) Uredbe 2016/679 splošno in da zakonodajalec Unije za izvrševanje tega pooblastila nadzornega organa države članice ni določil pogoja, da ta organ začne sodni postopek proti upravljavcu, ki ima „glavno ustanovitev [poslovno enoto]“ v smislu člena 4, točka 16, te uredbe ali drugo poslovno enoto na ozemlju te države članice.

80 Vendar lahko nadzorni organ države članice izvršuje pooblastilo, ki mu je podeljeno s členom 58(5) Uredbe 2016/679, le če je ugotovljeno, da to pooblastilo spada na ozemeljsko področje uporabe te uredbe.

81 Člen 3 Uredbe 2016/679, ki ureja njeno ozemeljsko področje uporabe, v zvezi s tem v odstavku 1 določa, da se ta uredba uporablja za obdelavo osebnih podatkov v okviru dejavnosti poslovne enote upravljavca ali obdelovalca na ozemlju Unije, ne glede na to, ali obdelava poteka v Uniji ali ne.

82 V zvezi s tem je v uvodni izjavi 22 Uredbe 2016/679 pojasnjeno, da taka poslovna enota pomeni, da se dejavnosti izvajajo dejansko in učinkovito prek ustaljenih ureditev ter da pravna oblika takih ureditev, bodisi da gre za podružnico bodisi da gre za hčerinsko družbo, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik.

83 Iz tega izhaja, da je v skladu s členom 3(1) Uredbe 2016/679 ozemeljsko področje uporabe te uredbe brez poseganja v primere iz odstavkov 2 in 3 tega člena določeno s pogojem, da ima upravljavec ali obdelovalec čezmejne obdelave poslovno enoto na ozemlju Unije.

84 Zato je treba na drugo postavljeno vprašanje odgovoriti, da je treba člen 58(5) Uredbe 2016/679 razlagati tako, da izvrševanje pooblastila nadzornega organa države članice, ki ni vodilni nadzorni organ, da začne sodni postopek v smislu te določbe, v primeru čezmejne obdelave podatkov ne zahteva, da ima upravljavec ali obdelovalec čezmejne obdelave osebnih podatkov, proti kateremu je ta postopek začet, glavno poslovno enoto ali drugo poslovno enoto na ozemlju te države članice.

Tretje vprašanje

85 Predložitveno sodišče želi s tretjim vprašanjem v bistvu izvedeti, ali je treba člen 58(5) Uredbe 2016/679 razlagati tako, da izvrševanje pooblastila nadzornega organa države članice, ki ni vodilni nadzorni organ, da sodišče te države članice opozori na vsakršno domnevno kršitev te uredbe in po potrebi začne sodni postopek v smislu te določbe, v primeru čezmejne obdelave podatkov zahteva, da zadevni nadzorni organ sodni postopek začne proti glavni poslovni enoti upravljavca ali proti poslovni enoti, ki je v njegovi državi članici.

86 Iz predložitvene odločbe je razvidno, da se to vprašanje postavlja v okviru razprave med strankami o tem, ali je predložitveno sodišče pristojno za preučitev opustitvene tožbe v delu, v katerem je vložena proti družbi Facebook Belgium, ob upoštevanju dejstva, prvič, da je v Uniji sedež skupine Facebook na Irskem ter da je družba Facebook Ireland izključno odgovorna za zbiranje in obdelavo osebnih podatkov na celotnem ozemlju Unije in, drugič, da naj bi bila v okviru notranje razdelitve te skupine poslovna enota v Belgiji primarno ustanovljena za to, da bi bilo navedeni skupini omogočeno vzdrževanje stikov z institucijami Unije ter, podredno, da bi se spodbujale oglaševalske dejavnosti in dejavnosti trženja te skupine, ki so namenjene osebam s prebivališčem v Belgiji.

87 Kot je bilo navedeno v točki 47 te sodbe, člen 55(1) Uredbe 2016/679 določa načelno pristojnost vsakega nadzornega organa za opravljanje nalog in izvrševanje pooblastil, podeljenih v skladu s to uredbo, na ozemlju njegove države članice.

88 V zvezi s pooblastilom nadzornega organa države članice, da začne sodni postopek v smislu člena 58(5) Uredbe 2016/679, je treba opozoriti, kot je generalni pravobranilec navedel v točki 150 sklepnih predlogov, da je besedilo te določbe splošno in da ne določa natančno subjektov, proti katerim bi nadzorni organi morali ali bi lahko začeli sodni postopek v zvezi z vsakršno kršitvijo te uredbe.

89 Zato navedena določba ne omejuje izvrševanja pooblastila za začetek sodnega postopka tako, da bi bilo tak postopek mogoče začeti le zoper „glavno poslovno enoto“ ali zoper drugo „poslovno enoto“ upravljavca. Nasprotno, v skladu s to določbo lahko nadzorni organ države članice, kadar ima za to potrebno pristojnost na podlagi členov 55 in 56 Uredbe 2016/679, na svojem nacionalnem ozemlju izvršuje pooblastila, ki so mu podeljena s to uredbo, ne glede na državo članico, v kateri ima upravljavec ali obdelovalec poslovno enoto.

90 Vendar se za izvrševanje pooblastila, ki je vsakemu nadzornemu organu podeljeno s členom 58(5) Uredbe 2016/679, zahteva, da se ta uredba uporablja. V zvezi s tem, kot je bilo poudarjeno v točki 81 te sodbe, člen 3(1) navedene uredbe določa, da se ta uredba uporablja za obdelavo osebnih podatkov „v okviru dejavnosti ustanovitve [poslovne enote] upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne“.

91 Glede na cilj Uredbe 2016/679, da se zagotovi učinkovito varstvo svoboščin in temeljnih pravic posameznikov, zlasti njihove pravice do varstva zasebnosti in do varstva osebnih podatkov, pogoja, v skladu s katerim je treba obdelavo osebnih podatkov izvesti „v okviru dejavnosti“ zadevne poslovne enote, ni mogoče razlagati ozko (glej po analogiji sodbo z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, točka 56 in navedena sodna praksa).

92 V obravnavani zadevi je iz predložitvene odločbe in pisnega stališča, ki ga je predložila družba Facebook Belgium, razvidno, da je ta družba primarno odgovorna za vzdrževanje stikov z institucijami Unije, podredno pa za spodbujanje oglaševalskih dejavnosti in dejavnosti trženja svoje skupine, ki so namenjene osebam s prebivališčem v Belgiji.

93 Namen obdelave osebnih podatkov iz postopka v glavni stvari, ki jo na ozemlju Unije izvaja izključno družba Facebook Ireland in ki zajema zbiranje informacij o brskalnih navadah tako imetnikov računa Facebook kot tistih, ki niso uporabniki storitev družbe Facebook, z različnimi tehnologijami, kot so zlasti socialni vtičniki in piksli, je ravno to, da se zadevnemu družbenemu omrežju omogoči, da izboljša učinkovitost svojega sistema oglaševanja tako, da sporočila oddaja ciljno.

94 Poudariti pa je treba, prvič, da družbeno omrežje, kakršno je Facebook, ustvarja znaten del svojih prihodkov predvsem zaradi oglaševanja, ki se tam izvaja, in da je namen dejavnosti, ki jo opravlja poslovna enota v Belgiji, to, da se v tej državi članici zagotovi – čeprav le postransko – promocija in prodaja oglasnega prostora, ki zagotavljata donosnost storitev družbe Facebook. Po drugi strani je dejavnost, ki jo družba Facebook Belgium opravlja primarno, in sicer to, da vzdržuje stike z institucijami Unije in da služi kot kontaktna točka med njimi, namenjena zlasti oblikovanju politike družbe Facebook Ireland za obdelavo osebnih podatkov.

95 V teh okoliščinah je treba šteti, da so dejavnosti poslovne enote skupine Facebook v Belgiji neločljivo povezane z obdelavo osebnih podatkov iz postopka v glavni stvari, za katero je na ozemlju Unije odgovorna družba Facebook Ireland. Zato je treba šteti, da se taka obdelava izvaja „v okviru dejavnosti ustanovitve [poslovne enote] upravljavca“ v smislu člena 3(1) Uredbe 2016/679.

96 Ob upoštevanju vseh navedenih preudarkov je treba na tretje postavljeno vprašanje odgovoriti, da je treba člen 58(5) Uredbe 2016/679 razlagati tako, da je pooblastilo nadzornega organa države članice, ki ni vodilni nadzorni organ, da sodišče te države članice opozori na vsakršno domnevno kršitev te uredbe in po potrebi začne sodni postopek v smislu te določbe, mogoče izvrševati tako glede glavne poslovne enote upravljavca, ki je v državi članici tega organa, kot glede druge poslovne enote tega upravljavca, če se sodni postopek nanaša na obdelavo podatkov, ki se izvaja v okviru dejavnosti teh poslovnih enot, in če je navedeni organ pristojen za izvrševanje tega pooblastila v skladu s tem, kar je navedeno v odgovoru na prvo postavljeno vprašanje.

Četrto vprašanje

97 Predložitveno sodišče želi s četrtim vprašanjem v bistvu izvedeti, ali je treba člen 58(5) Uredbe 2016/679 razlagati tako, da lahko okoliščina, da je nadzorni organ države članice, ki ni „vodilni nadzorni organ“ v smislu člena 56(1) te uredbe, pred 25. majem 2018 začel sodni postopek v zvezi s čezmejno obdelavo osebnih podatkov, to je pred datumom, ko se je navedena uredba začela uporabljati, vpliva na pogoje, pod katerimi lahko ta nadzorni organ države članice izvršuje pooblastilo za začetek sodnega postopka, ki ga ima na podlagi tega člena 58(5).

98 Družbe Facebook Ireland, Facebook Inc. in Facebook Belgium pred tem sodiščem namreč navajajo, da je posledica uporabe Uredbe 2016/679 od 25. maja 2018 ta, da ohranitev postopka, začetega pred tem datumom, ni dopustna oziroma ni utemeljena.

99 Najprej je treba poudariti, da člen 99(1) Uredbe št. 2016/679 določa, da začne ta uredba veljati dvajseti dan po objavi v Uradnem listu Evropske unije. Ker je bila ta uredba v navedenem uradnem listuobjavljena 4. maja 2016, je torej začela veljati 25. maja 2016. Poleg tega se v skladu s členom 99(2) navedene uredbe ta uporablja od 25. maja 2018.

100 V zvezi s tem je treba opozoriti, da se novo pravno pravilo uporablja od začetka veljavnosti akta, v katerem je vsebovano, da pa se, čeprav se ne uporablja za pravne položaje, ki so nastali in se v celoti končali med veljavnostjo starega zakona, uporablja za njihove prihodnje učinke in nove pravne položaje. Ob upoštevanju načela prepovedi retroaktivnosti pravnih aktov je lahko drugače le, če so novemu pravilu dodane posebne določbe, ki izrecno določajo njegovo časovno veljavnost. Natančneje, na splošno se šteje, da se postopkovna pravila uporabljajo na dan začetka svoje veljavnosti, drugače od pravil materialnega prava, ki se običajno razlagajo tako, da se nanašajo na položaje, ki so nastali pred začetkom njihove veljavnosti, samo če iz njihovega besedila, ciljev ali strukture jasno izhaja, da jim je treba pripisati tak učinek (sodba z dne 25. februarja 2021, Caisse pour l’avenir des enfants (Zaposlitev ob rojstvu), C‑129/20, EU:C:2021:140, točka 31 in navedena sodna praksa).

101 Uredba 2016/679 ne vsebuje nobenega prehodnega pravila ali drugega pravila, ki bi urejalo status sodnih postopkov, ki so se začeli, preden se je ta uredba uporabljala, in ki so še vedno potekali, ko se je začela uporabljati. Natančneje, v nobeni določbi te uredbe ni navedeno, da je njen učinek ta, da se končajo vsi sodni postopki, ki so 25. maja 2018 še potekali in ki se nanašajo na domnevne kršitve pravil, ki urejajo obdelavo osebnih podatkov, iz Direktive 95/46, in to tudi če so ravnanja, ki pomenijo take domnevne kršitve, po tem datumu še vedno prisotna.

102 V obravnavanem primeru člen 58(5) Uredbe 2016/679 vsebuje pravila, ki urejajo pooblastilo nadzornega organa, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb navedene uredbe.

103 V teh okoliščinah je treba razlikovati med postopki, ki jih je nadzorni organ države članice začel zaradi kršitev pravil o varstvu osebnih podatkov, ki so jih upravljavci ali obdelovalci storili pred datumom začetka uporabe Uredbe 2016/679, in tistimi, ki jih je začel zaradi kršitev, storjenih po tem datumu.

104 V prvem primeru je z vidika prava Unije sodni postopek, kakršen je ta v glavni stvari, mogoče nadaljevati na podlagi določb Direktive 95/46, ki se še naprej uporablja za kršitve, storjene do datuma njene razveljavitve, to je do 25. maja 2018. V drugem primeru je mogoče tak sodni postopek na podlagi člena 58(5) Uredbe 2016/679 začeti le, če je ta sodni postopek – kot je bilo poudarjeno v okviru odgovora na prvo postavljeno vprašanje – zajet z enim od primerov, v katerih je s to uredbo nadzornemu organu države članice, ki ni „vodilni nadzorni organ“, izjemoma podeljena pristojnost za sprejetje odločbe o ugotovitvi, da so z zadevno obdelavo podatkov kršena pravila, ki jih navedena uredba vsebuje v zvezi z varstvom pravic posameznikov pri obdelavi osebnih podatkov, ob spoštovanju postopkov, določenih v tej uredbi.

105 Ob upoštevanju vseh navedenih preudarkov je treba na četrto postavljeno vprašanje odgovoriti, da je treba člen 58(5) Uredbe 2016/679 razlagati tako, da kadar je nadzorni organ države članice, ki ni „vodilni nadzorni organ“ v smislu člena 56(1) te uredbe, sodni postopek v zvezi s čezmejno obdelavo osebnih podatkov začel pred 25. majem 2018, to je pred datumom, ko se je ta uredba začela uporabljati, je ta postopek z vidika prava Unije mogoče nadaljevati na podlagi določb Direktive 95/46, ki se še naprej uporablja za kršitve pravil iz te direktive, ki so bile storjene do datuma njene razveljavitve. Poleg tega lahko ta organ na podlagi člena 58(5) Uredbe 2016/679 navedeni postopek začne zaradi kršitev, ki so bile storjene po tem datumu, če gre za enega od primerov, v katerih je s to uredbo nadzornemu organu države članice, ki ni „vodilni nadzorni organ“, izjemoma podeljena pristojnost za sprejetje odločbe o ugotovitvi, da so z zadevno obdelavo podatkov kršena pravila, ki jih navedena uredba vsebuje v zvezi z varstvom pravic posameznikov pri obdelavi osebnih podatkov, ob spoštovanju postopka sodelovanja in postopka za skladnost, določenih v tej uredbi, kar mora preveriti predložitveno sodišče.

Peto vprašanje

106 Predložitveno sodišče želi s petim vprašanjem v bistvu izvedeti, ali je treba člen 58(5) Uredbe 2016/679 – če je odgovor na prvo postavljeno vprašanje pritrdilen – razlagati tako, da ima ta določba neposredni učinek, tako da se lahko nacionalni nadzorni organ na navedeno določbo sklicuje, da bi začel ali nadaljeval postopek proti posameznikom, tudi če ta določba ni bila posebej prenesena v zakonodajo zadevne države članice.

107 V skladu s členom 58(5) Uredbe 2016/679 vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb navedene uredbe.

108 Najprej je treba navesti, da je bil člen 58(5) Uredbe 2016/679, kot trdi belgijska vlada, v belgijski pravni red prenesen s členom 6 zakona z dne 3. decembra 2017. V skladu s členom 6 tega zakona, katerega besedilo je v bistvu enako besedilu člena 58(5) Uredbe 2016/679, je OVP pristojen, da z vsako kršitvijo temeljnih načel varstva osebnih podatkov v okviru tega zakona in zakonov, ki vsebujejo določbe o varstvu obdelave osebnih podatkov, seznani sodne organe in po potrebi začne sodni postopek, da bi se uporabila ta temeljna načela. Zato je treba šteti, da se OVP za to, da bi začel sodni postopek in tako dosegel spoštovanje Uredbe 2016/679, lahko opre na določbo nacionalnega prava, kot je člen 6 zakona z dne 3. decembra 2017, s katerim je bil v belgijsko pravo prenesen člen 58(5) Uredbe 2016/679.

109 Poleg tega je treba zaradi celovitosti navesti, da je v skladu s členom 288, drugi odstavek, PDEU uredba v celoti zavezujoča in se neposredno uporablja v vseh državah članicah, tako da njene določbe načeloma ne zahtevajo nobenega izvedbenega ukrepa držav članic.

110 V zvezi s tem je treba spomniti, da imajo v skladu z ustaljeno sodno prakso Sodišča na podlagi člena 288 PDEU ter zaradi same narave uredb in njihove vloge v sistemu virov prava Unije določbe uredb na splošno takojšen učinek v nacionalnih pravnih redih, ne da bi morali nacionalni organi sprejeti izvedbene ukrepe. Vendar je mogoče, da morajo države članice za izvajanje nekaterih določb izvedbene ukrepe vseeno sprejeti (sodba z dne 15. marca 2017, Al Chodor, C‑528/15, EU:C:2017:213, točka 27 in navedena sodna praksa).

111 Kot pa je generalni pravobranilec v bistvu navedel v točki 167 sklepnih predlogov, člen 58(5) Uredbe 2016/679 določa posebno pravilo, ki se uporablja neposredno in na podlagi katerega morajo imeti nadzorni organi procesno upravičenje v postopku pred nacionalnimi sodišči in biti po nacionalnem pravu pooblaščeni, da začnejo sodni postopek.

112 Iz člena 58(5) Uredbe 2016/679 ne izhaja, da bi morale države članice z izrecno določbo navesti okoliščine, v katerih lahko nacionalni nadzorni organi začnejo sodni postopek v smislu te določbe. Zadostuje, da ima nadzorni organ možnost, da v skladu z nacionalno zakonodajo sodne organe opozori na kršitve te uredbe in po potrebi začne sodni postopek ali na drug način sproži postopek, katerega namen je zagotoviti uporabo določb navedene uredbe.

113 Ob upoštevanju vseh navedenih preudarkov je treba na peto postavljeno vprašanje odgovoriti, da je treba člen 58(5) Uredbe 2016/679 razlagati tako, da ima ta določba neposredni učinek, tako da se nacionalni nadzorni organ na navedeno določbo lahko sklicuje, da bi začel ali nadaljeval postopek proti posameznikom, tudi če ta določba ni bila posebej prenesena v zakonodajo zadevne države članice.

Šesto vprašanje

114 Če je odgovor na prvo, drugo, tretje, četrto in peto postavljeno vprašanje pritrdilen, želi predložitveno sodišče s šestim vprašanjem v bistvu izvedeti, ali lahko izid sodnega postopka, ki ga je sprožil nadzorni organ države članice v zvezi s čezmejno obdelavo osebnih podatkov, pomeni oviro za to, da vodilni nadzorni organ sprejme odločbo, v kateri pride do nasprotne ugotovitve, če ta preiskuje iste dejavnosti čezmejne obdelave ali podobne dejavnosti v skladu z mehanizmom, določenim v členih 56 in 60 Uredbe 2016/679.

115 V zvezi s tem je treba opozoriti, da za vprašanja o pravu Unije v skladu z ustaljeno sodno prakso velja domneva upoštevnosti. Sodišče lahko odločanje o vprašanju za predhodno odločanje, ki ga postavi nacionalno sodišče, zavrne le, če zahtevana razlaga pravila Unije očitno nima nobene zveze z dejanskim stanjem ali predmetom spora o glavni stvari, če gre za hipotetičen problem ali če Sodišče nima na voljo potrebnih dejanskih in pravnih elementov, da bi lahko na postavljena vprašanja koristno odgovorilo (sodbi z dne 16. junija 2015, Gauweiler in drugi, C‑62/14, EU:C:2015:400, točka 25, in z dne 7. februarja 2018, American Express C‑304/16, EU:C:2018:66, točka 32).

116 Poleg tega v skladu s prav tako ustaljeno sodno prakso utemeljitev predhodnega odločanja ni oblikovanje posvetovalnih mnenj o splošnih ali hipotetičnih vprašanjih, temveč dejanska potreba po učinkoviti rešitvi spora (sodba z dne 10. decembra 2018, Wightman in drugi, C‑621/18, EU:C:2018:999, točka 28 in navedena sodna praksa).

117 V obravnavani zadevi je treba poudariti, da šesto postavljeno vprašanje, kot navaja belgijska vlada, temelji na okoliščinah, za katere nikakor ni bilo dokazano, da se pojavljajo v okviru spora o glavni stvari, in sicer da bi za čezmejno obdelavo, ki je predmet tega spora, obstajal vodilni nadzorni organ, ki bi ne le preiskoval iste dejavnosti čezmejne obdelave osebnih podatkov, kot so tiste, ki so predmet sodnega postopka, ki ga je začel nadzorni organ zadevne države članice, ali podobne dejavnosti, temveč bi poleg tega nameraval sprejeti odločbo, v kateri bi prišel do nasprotne ugotovitve.

118 V teh okoliščinah je treba navesti, da šesto postavljeno vprašanje nima nobene zveze z dejanskim stanjem ali predmetom spora o glavni stvari in se nanaša na hipotetičen problem. Zato je treba ugotoviti, da to vprašanje ni dopustno.

Stroški

119 Ker je ta postopek za stranke v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (veliki senat) razsodilo:

1. Člene 55(1), od 56 do 58 in od 60 do 66 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) v povezavi s členi 7, 8 in 47 Listine Evropske unije o temeljnih pravicah je treba razlagati tako, da lahko nadzorni organ države članice – ki ima v skladu z nacionalno zakonodajo, sprejeto na podlagi člena 58(5) te uredbe, pooblastilo za to, da sodišče te države članice opozori na vsakršno domnevno kršitev navedene uredbe in po potrebi začne sodni postopek – to pooblastilo izvršuje v zvezi s čezmejno obdelavo podatkov, čeprav glede take obdelave podatkov ni „vodilni nadzorni organ“ v smislu člena 56(1) te uredbe, če gre za enega od primerov, v katerih je z Uredbo 2016/679 temu nadzornemu organu podeljena pristojnost za sprejemanje odločb o ugotovitvi, da so z navedeno obdelavo kršena pravila, ki jih ta uredba vsebuje, ter ob spoštovanju postopka sodelovanja in postopka za skladnost iz te uredbe.

2. Člen 58(5) Uredbe 2016/679 je treba razlagati tako, da izvrševanje pooblastila nadzornega organa države članice, ki ni vodilni nadzorni organ, da začne sodni postopek v smislu te določbe, v primeru čezmejne obdelave podatkov ne zahteva, da ima upravljavec ali obdelovalec čezmejne obdelave osebnih podatkov, proti kateremu je ta postopek začet, glavno poslovno enoto ali drugo poslovno enoto na ozemlju te države članice.

3. Člen 58(5) Uredbe 2016/679 je treba razlagati tako, da je pooblastilo nadzornega organa države članice, ki ni vodilni nadzorni organ, da sodišče te države članice opozori na vsakršno domnevno kršitev te uredbe in po potrebi začne sodni postopek v smislu te določbe, mogoče izvrševati tako glede glavne poslovne enote upravljavca, ki je v državi članici tega organa, kot glede druge poslovne enote tega upravljavca, če se sodni postopek nanaša na obdelavo podatkov, ki se izvaja v okviru dejavnosti teh poslovnih enot, in če je navedeni organ pristojen za izvrševanje tega pooblastila v skladu s tem, kar je navedeno v odgovoru na prvo postavljeno vprašanje za predhodno odločanje.

4. Člen 58(5) Uredbe 2016/679 je treba razlagati tako, da kadar je nadzorni organ države članice, ki ni „vodilni nadzorni organ“ v smislu člena 56(1) te uredbe, sodni postopek v zvezi s čezmejno obdelavo osebnih podatkov začel pred 25. majem 2018, to je pred datumom, ko se je ta uredba začela uporabljati, je ta postopek z vidika prava Unije mogoče nadaljevati na podlagi določb Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, ki se še naprej uporablja za kršitve pravil iz te direktive, ki so bile storjene do datuma njene razveljavitve. Poleg tega lahko ta organ na podlagi člena 58(5) Uredbe 2016/679 navedeni postopek začne zaradi kršitev, ki so bile storjene po tem datumu, če gre za enega od primerov, v katerih je s to uredbo nadzornemu organu države članice, ki ni „vodilni nadzorni organ“, izjemoma podeljena pristojnost za sprejetje odločbe o ugotovitvi, da so z zadevno obdelavo podatkov kršena pravila, ki jih navedena uredba vsebuje v zvezi z varstvom pravic posameznikov pri obdelavi osebnih podatkov, ob spoštovanju postopka sodelovanja in postopka za skladnost, določenih v tej uredbi, kar pa mora preveriti predložitveno sodišče.

5. Člen 58(5) Uredbe 2016/679 je treba razlagati tako, da ima ta določba neposredni učinek, tako da se nacionalni nadzorni organ na navedeno določbo lahko sklicuje, da bi začel ali nadaljeval postopek proti posameznikom, tudi če ta določba ni bila posebej prenesena v zakonodajo zadevne države članice.

Podpisi

* Jezik postopka: nizozemščina.