STANOVISKO GENERÁLNÍHO ADVOKÁTA

MICHALA BOBKA

přednesené dne 13. ledna 2021(1)

Věc C‑645/19

Facebook Ireland Limited,

Facebook Inc.,

Facebook Belgium BVBA

proti

Gegevensbeschermingsautoriteit

[žádost o rozhodnutí o předběžné otázce podaná Hof van beroep te Brussel (odvolací soud v Bruselu, Belgie)]

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Listina základních práv Evropské unie – Články 7, 8 a 47 – Nařízení (EU) 2016/679 – Články 55, 56, 58, 60, 61 a 66 – Dozorové úřady – Přeshraniční zpracování osobních údajů – Jediné kontaktní místo – Vedoucí dozorový úřad – Dotčený dozorový úřad – Příslušnost – Pravomoci – Oprávnění zahájit soudní řízení“

I.      Úvod

1.        Umožňuje obecné nařízení o ochraně osobních údajů(2) (dále jen „GDPR“) dozorovému úřadu členského státu obrátit se na soud tohoto státu z důvodu údajného porušení tohoto nařízení v souvislosti s přeshraničním zpracováním osobních údajů, pokud tento orgán není ve vztahu k tomuto zpracování vedoucím dozorovým úřadem?

2.        Nebo takovému postupu brání nový mechanismus jediného kontaktního místa, oslavovaný jako jedna z hlavních inovací zavedených GDPR? Pokud by se musel správce bránit proti žalobě týkající se přeshraničního zpracování osobních údajů podané dozorovým úřadem u soudu, který se nachází mimo místo hlavní provozovny správce, znamenalo by to příliš mnoho kontaktních míst, a bylo by to tudíž neslučitelné s novým mechanismem GDPR?

II.    Právní rámec

A.      Unijní právo

3.        V preambuli GDPR se zejména uvádí, že: „[a]čkoliv cíle a zásady směrnice 95/46/ES nadále platí, nezabránilo to roztříštěnosti v provádění ochrany údajů v celé Unii [a] právní nejistotě“ (bod 9 odůvodnění); v celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany osobních údajů (bod 10 odůvodnění); dozorové úřady by měly sledovat uplatňování těchto pravidel a přispívat k jejich jednotnému uplatňování s cílem chránit fyzické osoby a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu (bod 123 odůvodnění); v situacích, kdy dochází k přeshraničnímu zpracování osobních údajů, by měl „úlohu vedoucího dozorového úřadu plnit dozorový úřad pro hlavní provozovnu správce či zpracovatele nebo pro jedinou provozovnu správce či zpracovatele“ a tento orgán musí „spolupracovat s ostatními dotčenými dozorovými úřady“ (bod 124 odůvodnění).

4.        Podle článku 51 odst. 1 GDPR „[k]aždý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen ‚dozorový úřad‘)“.

5.        Článek 55 odst. 1 GDPR stanoví, že „[k]aždý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením“.

6.        Článek 56 GDPR se týká příslušnosti vedoucího dozorového úřadu. První odstavec tohoto ustanovení stanoví:

„Aniž je dotčen článek 55, je dozorový úřad pro hlavní nebo jedinou provozovnu správce či zpracovatele příslušný k tomu, aby jednal jako vedoucí dozorový úřad v případě přeshraničního zpracování prováděného tímto správcem či zpracovatelem v souladu s postupem stanoveným v článku 60.“

7.        Článek 56 odst. 2 až 5 stanoví, že odchylně od odstavce 1 „je každý dozorový úřad příslušný k tomu, aby se zabýval stížnostmi, které u něj byly podány, nebo možným porušením tohoto nařízení, pokud se daná záležitost týká pouze provozovny v jeho členském státě nebo jsou touto záležitostí podstatným způsobem dotčeny subjekty údajů pouze v jeho členském státě“. Těmito věcmi se mohou zabývat vedoucí dozorové úřady postupem podle článku 60 GDPR, nebo místní dozorové úřady jednající v souladu s články 61 a 62 GDPR, „[p]okud vedoucí dozorový úřad rozhodne, že se věcí zabývat nebude“.

8.        Článek 56 odst. 6 stanoví, že „[p]rovádějí-li správce či zpracovatel přeshraniční zpracování, je pro ně jediným příslušným orgánem vedoucí dozorový úřad“.

9.        Článek 58 odst. 5 GDPR týkající se pravomocí dozorových úřadů stanoví:

„Každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení tohoto nařízení.“

10.      Kapitola VII GDPR, nadepsaná „Spolupráce a jednotnost“, obsahuje články 60 až 76. Článek 60, nadepsaný „Spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady“, upravuje podrobný postup vedoucích dozorových úřadů v případech, kdy se zabývají přeshraničním zpracováním osobních údajů.

11.      Článek 61 odst. 2 GDPR, týkající se vzájemné pomoci, pak ukládá každému dozorovému úřadu přijmout „všechna vhodná opatření, která jsou požadována v odpověď na žádost jiného dozorového úřadu, a to bez zbytečného odkladu a nejpozději do jednoho měsíce od obdržení této žádosti“. Článek 61 odst. 8 GDPR stanoví, že pokud dozorový úřad neposkytne požadované informace, může dožadující dozorový úřad přijmout na území svého členského státu předběžné opatření, přičemž se nutnost naléhavě jednat podle čl. 66 odst. 1 považuje za splněnou.

12.      Článek 65 odst. 1 písm. a) GDPR, nadepsaný „Řešení sporů sborem“, stanoví, že s cílem zajistit, aby toto nařízení bylo v jednotlivých případech správně a důsledně uplatňováno, přijme Evropský sbor pro ochranu osobních údajů zřízený tímto nařízením (dále jen „sbor“) závazné rozhodnutí, mimo jiné pokud dotčený dozorový úřad vznesl relevantní a odůvodněnou námitku vůči návrhu rozhodnutí vedoucího dozorového úřadu nebo pokud vedoucí dozorový úřad zamítl tuto námitku jako irelevantní či nedůvodnou.

13.      Článek 66 odst. 1, který se týká postupu pro naléhavé případy, stanoví, že dotčený dozorový úřad se za výjimečných okolností, kdy se domnívá, že je třeba naléhavě jednat v zájmu ochrany práv a svobod subjektů údajů, může odchýlit od mechanismu jednotnosti a soudržnosti a „okamžitě přijmout předběžná opatření s právními účinky na svém území a se stanovenou dobou platnosti, která nepřesáhne tři měsíce“.

14.      Kapitola VIII GDPR, nadepsaná „Právní ochrana, odpovědnost a sankce“, obsahuje články 77 až 84. Článek 77 odst. 1 přiznává každému subjektu údajů právo podat stížnost u dozorového úřadu týkající se možných porušení tohoto nařízení v souvislosti se zpracováním jeho osobních údajů, a to „zejména v členském státě [jeho] obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení“. Článek 78 odst. 1 a 2 GDPR přiznává každé fyzické nebo právnické osobě právo na účinnou soudní ochranu zejména proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká, a proti dozorovému úřadu, pokud se dozorový úřad stížností nezabývá.

B.      Vnitrostátní právo

15.      Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů(3) byla provedena Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (zákon ze dne 8. prosince 1992 o ochraně soukromí při zpracování osobních údajů, dále jen „WVP“), ve znění pozdějších předpisů. Tímto zákonem byl mimo jiné zřízen belgický Výbor pro ochranu soukromí. Článek 32 odst. 3 tohoto zákona stanoví, že „[a]niž je dotčena příslušnost obecných soudů pro uplatňování obecných zásad ochrany soukromí, může předseda [Výboru pro ochranu soukromí] předložit soudu prvního stupně jakýkoli spor týkající se použití tohoto zákona a jeho prováděcích opatření“.

16.      Na základě článku 3 Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (zákon ze dne 3. prosince 2017 o zřízení belgického úřadu na ochranu údajů, dále jen „zákon o GBA“), přičemž tento zákon nabyl účinnosti dne 25. května 2018, byl zřízen Úřad na ochranu údajů (dále jen „GBA“) jako právní nástupce Výboru pro ochranu soukromí. Článek 6 tohoto zákona stanoví, že GBA je „oprávněn soudní orgány informovat o jakémkoli porušení základních zásad ochrany osobních údajů v rámci tohoto zákona a právních předpisů obsahujících ustanovení týkající se ochrany zpracování osobních údajů a případně podat žalobu za účelem uplatnění těchto základních zásad“.

17.      Zákon o GBA neobsahoval žádné zvláštní ustanovení, pokud jde o soudní řízení zahájená na základě čl. 32 odst. 3 WVP, která nebyla ke dni 25. května 2018 ukončena.

18.      WVP byl zrušen Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (zákon ze dne 30. července 2018 o ochraně fyzických osob při zpracování osobních údajů). Tento zákon provádí ustanovení GDPR, která ukládají nebo umožňují členským státům přijmout vedle společných pravidel ještě podrobnější pravidla.

III. Skutkový stav, původní řízení a předběžné otázky

19.      Dne 11. září 2015 zahájil předseda belgického Výboru pro ochranu soukromí, který se později stal GBA, u Nederlandstalige rechtbank van eerste aanleg Brussel (nizozemskojazyčný soud prvního stupně v Bruselu, Belgie) řízení proti společnostem Facebook Inc., Facebook Ireland Ltd a Facebook Belgium BVBA (společně dále jen „Facebook“). Toto řízení se týkalo údajných porušení právních předpisů o ochraně osobních údajů ze strany Facebooku, jež spočívala mimo jiné v tom, že s pomocí technologií jako jsou „cookies“, „social plugins“ a „pixels“ byly nezákonným způsobem shromažďovány a využívány údaje o chování internetových uživatelů v Belgii, pokud jde soukromé prohlížení.

20.      GBA v podstatě tvrdí, že Facebook používá různé technologie, s jejichž pomocí „monitoruje a sleduje“ jednotlivce při prohlížení jednotlivých internetových stránek, a takto shromážděné údaje následně využívá k tomu, aby vytvořila profil o využívání internetu těmito osobami a na tomto základě jim cíleně zobrazovala reklamy, aniž by o tom dotčené osoby dostatečně informovala a vyžádala si od nich platný souhlas. GBA tvrdí, že Facebook uplatňuje tyto praktiky vůči členům i nečlenům sociální sítě Facebook.

21.      GBA požadoval, aby bylo Facebooku uloženo, aby přestal umisťovat soubory cookies, které zůstávají aktivní po dobu dvou let, na zařízení, která uživatelé internetu usazení na belgickém území používají při prohlížení internetových stránek v doméně Facebook.com nebo když se ocitnou na internetové stránce třetí osoby, ledaže k tomu získá souhlas těchto uživatelů, jakož i nepřiměřeným způsobem shromažďovat údaje prostřednictvím social plugins a pixels na internetových stránkách třetích osob. Kromě toho požádal, aby byly všechny osobní údaje získané používáním technologií cookies a social plugins o každém uživateli internetu usazeném na území Belgie vymazány.

22.      Předběžným opatřením ze dne 9. listopadu 2015 předseda Nederlandstalige rechtbank van eerste aanleg Brussel (nizozemskojazyčný soud prvního stupně v Bruselu) prohlásil, že je příslušný k projednání věci a že žaloba je přípustná ve vztahu ke všem třem žalovaným. Tento soud rovněž prozatímně nařídil žalovaným, aby přestali vykonávat určité činnosti ve vztahu k uživatelům internetu nacházejícím se na belgickém území.

23.      Dne 2. března 2016 podal Facebook proti tomuto usnesení odvolání k Hof van beroep te Brussel (odvolací soud v Bruselu, Belgie). Rozsudkem ze dne 29. června 2016 uvedený soud usnesení vydané soudem prvního stupně změnil. Uvedený soud zejména konstatoval, že není příslušný k projednání žalob proti společnostem Facebook Inc. a Facebook Ireland Ltd, zatímco ve vztahu k žalobě podané proti společnosti Facebook Belgium BVBA příslušností nadán je. Spor v původním řízení se tak omezil na žaloby směřující proti společnosti Facebook Belgium. Tento soud rovněž prohlásil, že se nejedná o naléhavý případ.

24.      V současné době, pokud je mi známo, se věc projednávaná u Hof van beroep te Brussel (odvolací soud v Bruselu) týká odvolání směřujícího proti pozdějšímu rozhodnutí ve věci samé vydanému soudem prvního stupně. V rámci odvolacího řízení společnost Facebook Belgium zejména tvrdí, že od data účinnosti nového mechanismu jediného kontaktního místa dle GDPR již GBA není příslušný k tomu, aby nadále vedl původní řízení, neboť není vedoucím dozorovým úřadem. Pokud jde o sporné přeshraniční zpracování, vedoucím dozorovým úřadem je podle této společnosti irský Data Protection Commission (Výbor pro ochranu osobních údajů). Hlavní provozovna správce v Evropské unii se nachází v Irsku (Facebook Ireland Ltd).

25.      Na základě těchto skutkových okolností se Hof van beroep te Brussel (odvolací soud v Bruselu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1)      Musí být čl. [55 odst. 1], články 56 až 58 a články 60 až 66 [GDPR] ve spojení s články 7, 8 a 47 Listiny základních práv Evropské unie vykládány v tom smyslu, že dozorový úřad, který je podle vnitrostátních právních předpisů provádějících čl. [58 odst. 5] tohoto nařízení oprávněn podat v případě porušení tohoto nařízení žalobu k soudu svého členského státu, nemůže tuto pravomoc vykonávat v rámci přeshraničního zpracování, není-li vedoucím dozorovým úřadem pro toto přeshraniční zpracování?

2)      Je v tomto ohledu relevantní skutečnost, že správce odpovědný za toto přeshraniční zpracování nemá svou hlavní provozovnu v tomto členském státě, avšak má zde jinou provozovnu?

3)      Je v tomto ohledu relevantní, zda vnitrostátní dozorový úřad podá žalobu proti hlavní provozovně správce nebo proti provozovně v jeho vlastním členském státě?

4)      Je v tomto ohledu relevantní skutečnost, že vnitrostátní dozorový úřad podal žalobu již před nabytím účinnosti tohoto nařízení (25. května 2018)?

5)      V případě kladné odpovědi na první otázku: Zakládá čl. [58 odst. 5] GDPR přímý účinek, takže se vnitrostátní dozorový úřad může na toto ustanovení odvolat, aby zahájil soudní řízení proti jednotlivým účastníkům nebo v tomto řízení pokračoval i v případě, že čl. [58 odst. 5] tohoto nařízení nebyl do vnitrostátního práva proveden, ačkoliv tato povinnost existuje?

6)      V případě kladných odpovědí na předchozí otázky: Může výsledek takového řízení bránit opačnému závěru vedoucího dozorového úřadu, jestliže tento vedoucí dozorový úřad prošetřuje stejné nebo podobné přeshraniční zpracování na základě mechanismu stanoveného v článcích 56 a 60 GDPR?“

26.      Vyjádření předložily Facebook, GBA, belgická, česká, italská, polská, portugalská a finská vláda, jakož i Evropská komise. Facebook, GBA a Komise se rovněž vyjádřily na jednání konaném dne 5. října 2020.

IV.    Analýza

27.      Ve zkratce lze říci, že klíčovou otázkou, která vyvstala ve věci v původním řízení, je to, zda může GBA pokračovat ve vedení soudního řízení proti společnosti Facebook Belgium, pokud jde o přeshraniční zpracování osobních údajů, k němuž došlo po nabytí účinnosti GDPR, když subjektem zpracovávajícím osobní údaje je společnost Facebook Ireland Ltd.

28.      Zodpovězení této otázky vyžaduje posouzení rozsahu a fungování toho, co samo GDPR v bodě 127 odůvodnění označuje za mechanismus jediného kontaktního místa. Tento mechanismus sestává ze souboru pravidel, jimiž je pro případ přeshraničního zpracování osobních údajů ustanoveno ústřední místo pro vymáhání prováděné prostřednictvím vedoucího dozorového úřadu (dále jen „vedoucí dozorový úřad“), které je pevnou součástí systému sestávajícího z postupů jednotnosti a spolupráce s dotčenými dozorovými úřady (dále jen „dotčený dozorový úřad“), přičemž cílem tohoto systému je zajistit zapojení všech zúčastněných dozorových úřadů.

29.      Podle článku 56 odst. 1 GDPR jedná dozorový úřad jako vedoucí dozorový úřad v případě přeshraničního zpracování prováděného správci či zpracovateli, kteří mají na jeho území svou hlavní nebo jedinou provozovnu. Podle článku 4 odst. 22 GDPR jedná dozorový úřad jako dotčený dozorový úřad, je-li splněna jedna z následujících alternativních podmínek: „a) správce či zpracovatel je usazen na území členského státu tohoto dozorového úřadu; b) subjekty údajů s bydlištěm v členském státě tohoto dozorového úřadu jsou nebo pravděpodobně budou zpracováním podstatně dotčeny, nebo c) u něj byla podána stížnost“.

30.      Než se budu zabývat podstatou položených otázek, je zapotřebí uvést několik úvodních poznámek (A). Následně se budu věnovat posouzení právních otázek vznesených předkládajícím soudem. Zaměřím se zejména na první předběžnou otázku, jelikož tato otázka je jádrem sporu, který byl předkládajícímu soudu předložen (B). Poté se budu zabývat ostatními předběžnými otázkami, nicméně pouze stručně, neboť pokud bude odpověď na první předběžnou otázku znít tak, jak je navrženo v tomto stanovisku, stanou se odpovědi na tyto ostatní otázky buď zbytečnými, nebo poměrně jednoznačnými (C).

A.      Úvodní poznámky

31.      Úvodem poznamenávám, že některé aspekty původního řízení jsou poněkud nejasné.

32.      Zaprvé musím připustit, že mi není zcela zřejmá relevance otázek položených v rámci sporu v původním řízení, když mezi účastníky řízení, proti kterým podal GBA žalobu, zůstala v pozici žalované v původním řízení patrně již pouze společnost Facebook Belgium(4). Ze spisu, který má Soudní dvůr k dispozici, podle mne vyplývá, že tato společnost není ani „hlavní provozovnou“ správce ve smyslu čl. 4 odst. 16 GDPR, ani případným „společným správcem“ ve smyslu článku 26 GDPR, jelikož je patrně provozovnou téhož podniku(5).

33.      K předběžným otázkám se nicméně váže domněnka relevance. Soudní dvůr tak může odmítnout rozhodnout o předběžné otázce pouze tehdy, jestliže nejsou dodrženy požadavky, které jsou uvedeny v článku 94 jednacího řádu Soudního dvora, nebo pokud je zjevné, že výklad dotčeného unijního pravidla nemá žádný vztah k realitě nebo jestliže jsou tyto otázky (zcela) hypotetické(6). O tento případ se, dle mého názoru, v projednávané věci nejedná. Otázky „kdo je kdo“ a „kdo může být žalován a za co přesně“ nepředstavují pouze posouzení skutkového stavu, které v konečném důsledku přísluší vnitrostátnímu soudu, ale svým způsobem i jeden z aspektů otázek položených Soudnímu dvoru.

34.      Zadruhé je poněkud obtížné porozumět i časovému aspektu původního řízení. Žaloba byla podána v době účinnosti směrnice 95/46. Následně byla předmětem řízení v době, kdy nabylo účinnosti GDPR. V tomto okamžiku se však řízení zjevně týká pouze jednání, ke kterému došlo až po nabytí účinnosti tohoto nového právního rámce. Vzniká totiž otázka, zda je další pokračování v řízení ze strany GBA v souladu s ustanoveními GDPR, což je problém zmíněný ve čtvrté předběžné otázce. Tyto otázky by však byly ve věci v původním řízení relevantní pouze tehdy, pokud by chtěl vnitrostátní orgán ukončit probíhající řízení ve vztahu k údajným protiprávním jednáním, k nimž došlo před nabytím účinnosti nového právního rámce. Pokud by se však mělo probíhající řízení v tomto okamžiku týkat pouze údajného protiprávního jednání, které se odehrálo po nabytí účinnosti GDPR, případně spojeného s domáháním se (nutně do budoucna) soudního zákazu takových praktik, není na první pohled jasné, proč GBA, má-li za to, že je k zásahu příslušný, probíhající řízení neukončil a nepostupoval v souladu s příslušnými ustanoveními GDPR.

35.      Zatřetí na jednání poukázal GBA na svou komunikaci s irským dozorovým úřadem a sborem ohledně jedné z technologií používaných Facebookem ke shromažďování dat (cookies). Bylo zmíněno, že uvedené dva dozorové úřady se neshodly na tom, zda tato technologie skutečně spadá do věcné působnosti GDPR.

36.      V této souvislosti, a pokud jde o projednávanou věc, může být užitečné zdůraznit, že některé činnosti zpracovávání osobních údajů mohou skutečně spadat do věcné působnosti dvou či více nástrojů unijního práva, přičemž v takovém případě jsou všechny tyto nástroje, není-li stanoveno jinak, použitelné současně(7). V jiných případech, například pokud činnosti zpracovávání údajů nezahrnují osobní údaje ve smyslu čl. 4 odst. 1 GDPR, se však GDPR zjevně nepoužije.

37.      Pokud tedy tvrzená protiprávnost určitých typů zpracovávání údajů vychází z jiných ustanovení (unijního nebo vnitrostátního) práva, postupy a mechanismy zakotvené v GDPR se neuplatní. GDPR nelze využívat jako bránu, kterou by bylo možno pouštět do rámce mechanismu jediného kontaktního místa i takové formy jednání, které sice zahrnují určité toky údajů či dokonce i jejich zpracování, ale neporušují žádnou z povinností, které jsou v GDPR stanoveny.

38.      Za účelem rozhodnutí o tom, zda určitý případ skutečně spadá do věcné působnosti GDPR, musí vnitrostátní soud, včetně kteréhokoliv předkládajícího soudu, zjistit přesný zdroj právní povinnosti hospodářského subjektu, kterou tento subjekt údajně porušil. Nevychází-li tato povinnost z GDPR, pak se logicky neuplatní ani postupy stanovené tímto nástrojem, které jsou spjaté s jeho věcnou působností.

B.      K první otázce

39.      Podstatou první otázky předkládajícího soudu je, zda ustanovení GDPR, vykládaná ve světle článků 7, 8 a 47 Listiny základních práv Evropské unie (dále jen „Listina“), umožňují dozorovému úřadu členského státu zahájit řízení u soudu jeho členského státu pro údajné porušení GDPR v souvislosti s přeshraničním zpracováním údajů, i když tento úřad není „vedoucím dozorovým úřadem“.

40.      V tomto ohledu GBA, jakož i belgická, italská, polská a portugalská vláda navrhují, aby Soudní dvůr odpověděl na tuto otázku kladně, zatímco Facebook, česká a finská vláda i Komise zastávají názor opačný.

41.      V následující části vysvětlím, proč výklad GDPR navrhovaný GBA a belgickou, italskou, polskou a portugalskou vládou nepovažuji za přesvědčivý: jak gramatický tak systematický (1), jakož i teleologický a historický (2) výklad GDPR jasně míří opačným směrem. Kromě toho ani výklad tohoto nařízení ve světle Listiny (3), ani údajná rizika možného nedostatečného prosazování GDPR (4) nejsou natolik závažnými aspekty, aby zpochybnily to, co je podle mého názoru správným výkladem GDPR, rozhodně ne v současné době.

42.      Navzdory shoda uvedenému se ale domnívám, že důsledky tohoto konkrétního výkladu uvedeného nařízení nejsou natolik extrémní, jak uvádí Facebook, česká a finská vláda a Komise. Vysvětlím proto, proč by se odpověď předkládajícímu soudu měla nacházet na půl cesty mezi oněmi dvěma krajními názory předestřenými v tomto řízení: dozorový úřad členského státu je oprávněn zahájit řízení u soudu tohoto státu pro údajné porušení GDPR, pokud jde o přeshraniční zpracování osobních údajů, i když není vedoucím dozorovým úřadem, pokud tak učiní v situacích a v souladu s postupy stanovenými GDPR (5).

1.      Gramatický a systematický výklad GDPR

43.      Zaprvé se domnívám, že znění relevantních ustanovení, zejména jsou-li vykládána ve svém kontextu, hovoří ve prospěch takového výkladu GDPR, podle něhož má v případě přeshraničního zpracování obecnou příslušnost vedoucí dozorový úřad, přičemž dotčené dozorové úřady mají z tohoto důvodu jen omezenou pravomoc činit v tomto ohledu nějaké úkony.

44.      Článek 56 odst. 1 GDPR stanoví, že „je dozorový úřad pro hlavní nebo jedinou provozovnu správce či zpracovatele příslušný k tomu, aby jednal jako vedoucí dozorový úřad v případě přeshraničního zpracování prováděného tímto správcem či zpracovatelem v souladu s postupem stanoveným v článku 60“(8). Článek 56 odst. 6 GDPR stanoví, že „[p]rovádějí-li správce či zpracovatel přeshraniční zpracování, je pro ně jediným příslušným orgánem vedoucí dozorový úřad“(9). Bod 124 odůvodnění je odrazem těchto ustanovení, když v podstatě uvádí, že v případě přeshraničního zpracování „by [měl] úlohu vedoucího dozorového úřadu plnit dozorový úřad pro hlavní provozovnu správce či zpracovatele nebo pro jedinou provozovnu správce či zpracovatele“(10).

45.      Obecná příslušnost vedoucího dozorového úřadu v oblasti přeshraničního zpracování osobních údajů je dále potvrzena skutečností, že situace, kdy je příslušnost v oblasti přeshraničního zpracování svěřena jiným dozorovým úřadům, jsou kvalifikovány jako výjimky z obecného pravidla. Konkrétně čl. 55 odst. 2 GDPR vylučuje příslušnost vedoucího dozorového úřadu, pokud jde o určité zpracování údajů, jež „provádějí orgány veřejné moci“. Kromě toho čl. 56 odst. 2 GDPR upřesňuje, že odchylně od zásady, podle níž je příslušnost svěřena vedoucímu dozorovému úřadu, „je každý dozorový úřad příslušný k tomu, aby se zabýval stížnostmi, které u něj byly podány, nebo možným porušením tohoto nařízení, pokud se daná záležitost týká pouze provozovny v jeho členském státě nebo jsou touto záležitostí podstatným způsobem dotčeny subjekty údajů pouze v jeho členském státě“.

46.      Navíc článek 66 GDPR, který se týká „postupu pro naléhavé případy“, stanoví, že každý dotčený dozorový úřad se může „za výjimečných okolností“, kdy je třeba naléhavě jednat v zájmu ochrany práv a svobod subjektů údajů, „odchýlit“ od mechanismů spolupráce a jednotnosti uvedených v článcích 60, 63, 64 a 65 GDPR a okamžitě přijmout předběžná opatření s právními účinky na svém území a se stanovenou dobou platnosti, která nepřesáhne tři měsíce.

47.      Ze znění GDPR tedy podle mne dostatečně jasně vyplývá, že ve vztahu k přeshraničnímu zpracování je příslušnost vedoucího dozorového úřadu pravidlem, zatímco příslušnost jiných dozorových úřadů je výjimkou(11).

48.      GBA a některé vlády však tento výklad GDPR rozporují. Podle jejich názoru znění relevantních ustanovení nasvědčuje (téměř neomezenému) právu kteréhokoli dozorového úřadu zahájit soudní řízení ohledně případných porušení, která mají dopad na jejich území, bez ohledu na to, zda má dané zpracování povahu přeshraničního zpracování, či nikoli. Tito zúčastnění předkládají především dva argumenty.

49.      Zaprvé tvrdí, že výraz „[a]niž je dotčen článek 55“, jímž je čl. 56 odst. 1 uvozen, znamená, že příslušnost svěřená vedoucímu dozorovému úřadu na základě čl. 56 odst. 1 GDPR nemůže do pravomocí, které jsou článkem 55 přiznány každému dozorovému úřadu, včetně pravomoci zahájit soudní řízení, nikterak zasahovat ani je omezovat.

50.      Tento argument podle mne není přesvědčivý.

51.      Článek 55 odst. 1 stanoví zásadu, podle níž je každý dozorový úřad „na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením“. Tyto úkoly jsou dále vyjmenovány v článku 57 GDPR. Pravomoci jsou specifikovány v článku 58 tohoto nařízení. Mezi svěřené úkoly patří zejména monitorování a vymáhání uplatňování GDPR [čl. 57 odst. 1 písm. a)]. Podle článku 58 se dozorovým úřadům svěřují různé vyšetřovací pravomoci (odstavec 1), nápravné pravomoci (odstavec 2), povolovací a poradní pravomoci (odstavec 3), jakož i pravomoc zapojit se do soudního řízení (odstavec 5).

52.      Tato ustanovení – na něž článek 55 implicitně odkazuje – zahrnují v podstatě všechny úkoly a pravomoci svěřené dozorovým úřadům na základě GDPR. Pokud bychom přijali výklad předestřený GBA a některými vládami, na obecnou příslušnost vedoucího dozorového úřadu by nezbylo prakticky nic, čímž by článek 56 pozbyl veškerého smyslu. Vedoucí dozorový úřad by rovněž nebyl „jediným“ příslušným orgánem, ani by ostatní dozorové úřady žádným způsobem „nevedl“. Jeho úloha by se pravděpodobně omezila na roli „informačního místa“ bez jasně definovaného poslání.

53.      Význam úlohy přiznané vedoucímu dozorovému úřadu a tím i mechanismu jediného kontaktního místa se stává zřetelnější, pokud jsou tato ustanovení vykládána společně a s přihlédnutím k jejich kontextu.

54.      Důležitost, která je přiznána článku 56 v rámci systému GDPR, je toho první indicií. Článek 56 je druhým ustanovením obsaženým v příslušném oddíle GDPR (kapitola VI, nadepsaná „Nezávislé dozorové úřady“, oddíl 2, nadepsaný „Příslušnost, úkoly a pravomoci“) a následuje bezprostředně po obecném ustanovení o „příslušnosti“ a předchází ostatním obecným ustanovením o „úkolech“ a „pravomocích“. Unijní normotvůrce se proto rozhodl zdůraznit ústřední postavení příslušnosti vedoucího dozorového úřadu ještě před tím, než přešel ke specifikaci úkolů a pravomocí všech dozorových úřadů.

55.      Ještě zásadněji je důležitost úlohy vedoucího dozorového úřadu zdůrazněna ustanoveními kapitoly VII GDPR (nadepsané „Spolupráce a jednotnost“), která upravuje nejrůznější postupy a mechanismy, jež musí dozorové úřady dodržovat, aby zajistily jednotné uplatňování GDPR. Konkrétně článek 60, kterým uvedená kapitola začíná a na který odkazuje čl. 56 odst. 1, stanoví postup „spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady“.

56.      Je zjevné, že právě to má být ten postup, který se uplatní, je-li nezbytný zásah proti přeshraničnímu zpracování. Tento postup, stejně jako ostatní postupy upravené v kapitole VII GDPR, nejsou dobrovolné. Kogentně formulovaná ustanovení, obsažená zejména v čl. 51 odst. 2 a v článku 63 GDPR, jednoznačně nasvědčují tomu, že dozorové úřady musí spolupracovat a musí tak činit prostřednictvím (povinného) užívání postupů a mechanismů zavedených za tímto účelem.

57.      Slova „aniž je dotčen článek 55“, uvedená v čl. 56 odst. 1, tak mají jiný význam, než jaký nabízí GBA. Podle mého názoru tento obrat v kontextu, ve kterém se nachází, jednoduše znamená, že i když je v některém individuálním případě orgánem příslušným k řešení věci týkající se přeshraničního zpracování dle článku 56 GDPR vedoucí dozorový úřad, všechny dozorové úřady si přirozeně zachovávají obecné pravomoci, které jsou jim svěřeny na základě článku 55 (a článku 58) GDPR.

58.      Podle článku 55 odst. 1 GDPR musí členské státy umožnit dozorovému úřadu plnit úkoly a vykonávat pravomoci stanovené tímto nařízením. Toto ustanovení tak přiznává každému dozorovému úřadu obecnou pravomoc (resp. příslušnost) jednat ve vztahu ke svému území a tato premisa platí bez ohledu na to („aniž je dotčen“), zda je dané zpracování přeshraniční či nikoli, přičemž v prvém uvedeném případě jedná uvedený úřad jako vedoucí dozorový úřad či jako dotčený dozorový úřad(12). Článek 55 GDPR nicméně neupravuje situace a způsoby výkonu této pravomoci v daném individuálním případě. Tyto aspekty jsou totiž upraveny jinými ustanoveními GDPR, zejména ustanoveními obsaženými v kapitole VII tohoto nařízení. Podle těchto ustanovení je určení, zda může dozorový úřad vykonávat obecnou pravomoc jednat a způsob, jakým tak činí, závislé zejména na tom, zda je daný úřad ve vztahu k určitému správci nebo zpracovateli vedoucím dozorovým úřadem nebo dotčeným dozorovým úřadem(13).

59.      Pokud jde o výsledek, sdílím tak v tomto ohledu názor sboru, který v nedávném stanovisku odkázal na čl. 56 odst. 1 GDPR jako na „imperativní ustanovení“ a „lex specialis“: toto ustanovení „má přednost [před obecným pravidlem článku 55 GDPR] vždy, když při zpracování nastane jakákoli situace, která splňuje podmínky v něm uvedené“(14).

60.      Domnívám se tedy, že GBA a některé vlády článek 55 a čl. 56 odst. 1 GDPR vykládají nesprávně. Tito zúčastnění vytrhují první část věty v čl. 56 odst. 1 z kontextu, aby otočili vztah mezi pravidlem a výjimkou. Výsledkem takového přístupu je oslabení kogentního obsahu několika ustanovení GDPR a zmaření cíle zajistit soudržnější a jednotnější uplatňování pravidel ochrany údajů, zdůrazněného například v bodě 10 odůvodnění tohoto nařízení. To by ve své podstatě představovalo návrat k dřívějšímu režimu směrnice 95/46.

61.      Zadruhé GBA a některé vlády tvrdí, že ze samotného znění čl. 58 odst. 5 GDPR vyplývá, že všechny dozorové úřady musí mít možnost zahájit soudní řízení ohledně jakéhokoli případného porušení pravidel ochrany údajů majícího dopad na jejich území, bez ohledu na (místní či přeshraniční) povahu daného zpracování. Důsledkem – podle jejich názoru – je, že i kdyby byl mechanismus jediného kontaktního místa vykládán tak, že omezuje pravomoci jiných dozorových úřadů ve vztahu k přeshraničnímu zpracování, tato omezení se týkají pouze správních, nikoli soudních řízení.

62.      I tento druhý argument je podle mého názoru neudržitelný. Jeho zastánci se tím dopouštějí stejného „hříchu“ jako v případě předchozího argumentu: výkladu určitého konkrétního ustanovení GDPR „klinicky izolovaného“ od zbytku daného nařízení, kdy tomuto ustanovení ale současně přikládají příliš velký význam.

63.      Článek 58 odst. 5 GDPR stanoví: „Každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení tohoto nařízení“.

64.      Toto ustanovení ukládá členským státům, aby na jedné straně povolily dozorovým úřadům udržovat úzké vztahy se soudními orgány (a to případně i orgány činnými v trestním řízení) a aby na druhé straně přiznaly dozorovým úřadům procesní legitimaci (a to nejen pasivní, ale i aktivní), pokud jde o vedení řízení u jejich vnitrostátních soudů. Jinými slovy, dozorové úřady by v zásadě měly mít možnost spolupracovat se soudními orgány a v případě potřeby zahajovat soudní řízení. Chápu, že takové výslovné ustanovení bylo unijním normotvůrcem považováno za nezbytné, jelikož navzdory znění čl. 28 odst. 3 směrnice 95/46(15) existovaly významné rozdíly mezi právními předpisy členských států v dané oblasti, což následně vyvolávalo problémy nedostatečného prosazování(16). Projednávaná věc, zahájená ještě v době účinnosti této směrnice, nabízí příklad, který tento problém dobře ilustruje: v rámci této věci vyvstaly na základě vnitrostátního práva otázky legitimace Výboru pro ochranu soukromí a správnosti právního základu žaloby podané jeho předsedou.

65.      Nicméně obdobně, jak již bylo uvedeno výše(17), čl. 58 odst. 5 GDPR upravuje pravomoci, které musí být přiznány paušálně všem dozorovým úřadům bez výjimky v dané fázi, nezávisle na určení (resp. před určením), zda by v dané konkrétní věci byl tento úřad příslušným vedoucím dozorovým úřadem nebo dotčeným dozorovým úřadem či zda by případně nebyl dotčen vůbec. Článek 58 odst. 5 GDPR neupravuje situace, kdy má být tato pravomoc zahájit řízení vykonána, ani způsoby jejího výkonu. To je patrně i důvodem, proč toto ustanovení obsahuje též slova „pokud je to vhodné“. To je předmětem jiných ustanovení GDPR.

66.      Kromě toho ani znění, ani struktura článku 58 GDPR nenaznačují, že lze rozlišovat – jak tvrdí GBA – mezi správními pravomocemi úřadů (které by podléhaly omezením vyplývajícím z mechanismu jediného kontaktního místa) a pravomocí zahájit soudní řízení (která by těmto omezením nepodléhala). Toto ustanovení v jednotlivých odstavcích specifikuje ony různé pravomoci, které mají být přiznány dozorovým úřadům, přičemž je klasifikuje do skupin podle účelu (vyšetřovací, nápravné, poradní atd.). Znění těchto odstavců je poměrně podobné, když v podstatě uvádějí, že každý dozorový úřad bude mít v nich uvedené pravomoci.

67.      Nenacházím tedy žádný podklad pro takový výklad odstavce 5 článku 58, který by se lišil od výkladu odstavců 1 až 3 téhož ustanovení. Z těchto dvou možností může být správná pouze jedna: buď má každý dozorový úřad všechny tyto pravomoci bez omezení mechanismem jediného kontaktního místa, nebo musí být všechny tyto pravomoci vykonávány v souladu s postupy a v mezích stanovených tímto nařízením.

68.      Z důvodů vysvětlených v bodech 51 a 52 výše nemůže první z těchto hypotéz obstát. Ostatně, pokud je článek 58 GDPR vykládán ve svém kontextu, zřetelně se ukazuje, že pokud z něj lze vůbec něco dovodit, pak je to skutečnost, že pravdou je opak toho, co tvrdí GBA a některé vlády.

69.      Každý dozorový úřad má totiž přispívat ke správnému a jednotnému uplatňování uvedeného nařízení. Za tímto účelem má každý dozorový úřad – bez ohledu na jeho úlohu vedoucího dozorového úřadu nebo dotčeného dozorového úřadu v daném konkrétním případě – například povinnost zabývat se stížnostmi, které u něj byly podány, s veškerou náležitou péčí(18). I když se totiž tvrzená protiprávní jednání týkají přeshraničního zpracování a určitý úřad není vedoucím dozorovým úřadem, měly by mít jiné dozorové úřady možnost danou záležitost posoudit, aby mohly smysluplně přispět, jakmile o to budou požádány v rámci mechanismů spolupráce a jednotnosti(19), nebo přijmout naléhavá opatření. Vedoucímu dozorovému úřadu pak ovšem přísluší, aby obecně přijímal závazná rozhodnutí za účelem prosazování GDPR vůči zpracovateli nebo správci(20). Konkrétně, jak vyplývá z nedávného rozsudku ve věci Facebook Ireland a Schrems, „[p]říslušný vnitrostátní dozorový úřad […] proto musí […] případně podat k vnitrostátním soudům návrh“(21). Z tohoto důvodu není tvrzení, že by dozorové úřady mohly ignorovat mechanismy jednotnosti a spolupráce, pokud chtějí zahájit soudní řízení, slučitelné se zněním GDPR a judikaturou Soudního dvora.

70.      Kromě toho, při pohledu z praktičtějšího hlediska by bylo nelogické bránit úřadu v zahájení správního řízení za účelem projednání údajného porušení pravidel ochrany údajů s dotčenými subjekty, ale současně tomuto úřadu dovolit ve stejné záležitosti bezodkladné zahájení řízení u soudu. Soudní řízení je mnohdy tím posledním nástrojem, k němuž se úřad patrně uchýlí, nelze-li určitý problém účinně řešit (formálními či neformálními) jednáními a rozhodováním na správní úrovni.

71.      Rozlišování nabízené GBA, které by neumožňovalo dozorovému úřadu (správní cestou) vyšetřovat, připravovat, zpracovávat a rozhodovat, ale umožňovalo by mu místo toho okamžitě zahájit řízení u soudu, se nebezpečně blíží stavu, kdy se ze správních úřadů stávají poněkud pochybné postavy Divokého západu, které nejdřív střílí a až potom, pokud vůbec, (možná) mluví (aneb „když musíš střílet, tak střílej a nemluv“(22)). Nejsem si jist, že by právě tato cesta představovala přiměřený či vhodný způsob vyřizování tvrzených porušení pravidel ochrany údajů správními úřady.

72.      Navíc, a co je důležitější, pokud by měly dozorové úřady možnost volně se obracet na své vnitrostátní soudy, a přitom nemohly využívat své správní pravomoci bez nutnosti uplatňovat mechanismy spolupráce a jednotnosti stanovené v uvedeném nařízení, připravilo by to půdu pro snadné obcházení těchto mechanismů. Zejména v případě neshody ohledně návrhu rozhodnutí by mohl jak vedoucí dozorový úřad, tak (kterýkoli) dotčený dozorový úřad „vzít řešení dané situace do vlastních rukou“ a zahájit řízení před vnitrostátními soudy, čímž by obešel postup stanovený v čl. 60 odst. 4 a v článku 65 GDPR.

73.      Tím by pak rovněž pozbyla smyslu jedna z hlavních funkcí sboru – subjektu zřízeného GDPR, který tvoří vedoucí jednoho dozorového úřadu z každého členského státu a evropský inspektor ochrany údajů(23). Jedním z úkolů sboru je právě monitorování a zajištění řádného uplatňování GDPR v případě vzniku sporu mezi různými dozorovými úřady(24). V těchto věcech jedná sbor jako fórum pro řešení sporů a rozhodovací orgán. Pokud by měl být přijat výklad zastávaný GBA a některými vládami, mohlo by se stát, že by byl celý mechanismus zakotvený v článku 65 GDPR odsunut stranou: každý úřad by mohl jít svou vlastní cestou, a sbor tak obcházet.

74.      Vzniklá situace by patrně byla pravým opakem toho, čeho chtěl unijní normotvůrce novým systémem dosáhnout, jak bude vysvětleno v následující části.

2.      Teleologický a historický výklad GDPR

75.      Jak vyplývá z bodu 9 odůvodnění GDPR, unijní normotvůrce měl za to, že ačkoliv „cíle a zásady směrnice 95/46/ES nadále platí“, nezabránil tento nástroj „roztříštěnosti v provádění ochrany údajů v celé Unii, právní nejistotě ani rozšířenému pocitu veřejnosti, že v souvislosti s ochranou fyzických osob existují značná rizika“.

76.      Potřeba zajistit jednotnost se tak stala hlavním smyslem právního nástroje, který měl nahradit směrnici 95/46. Tento cíl byl považován za důležitý ze dvou hledisek: na jedné straně měl zajistit vysoký stupeň jednotné ochrany fyzických osob a na druhé straně měl odstranit překážky toku osobních údajů v rámci Unie, čímž by byla hospodářským subjektům zaručena právní jistota a transparentnost(25).

77.      Druhý uvedený aspekt je nutno zdůraznit. Podle směrnice 95/46 byly hospodářské subjekty působící v rámci celé Evropské unie povinny dodržovat rozličné soubory vnitrostátních norem provádějících tuto směrnici a zároveň spolupracovat se všemi vnitrostátními úřady pro ochranu osobních údajů. Tato situace byla nejen nákladná, tíživá a časově náročná pro tyto hospodářské subjekty, ale byla rovněž nevyhnutelně zdrojem nejistoty a konfliktů těchto subjektů a jejich zákazníků(26).

78.      Meze systému zavedeného směrnicí 95/46 se rovněž projevily v řadě rozsudků Soudního dvora. V rozsudku ve věci Weltimmo Soudní dvůr uvedl, že pravomoci orgánů dozoru jsou striktně omezeny zásadou teritoriality: tyto orgány totiž mohou vystupovat pouze proti porušením, k nimž dojde na jejich území, přičemž ve všech ostatních případech musí požádat o zásah orgány ostatních členských států(27). Ve věci Wirtschaftsakademie Schleswig-Holstein Soudní dvůr rozhodl, že v případě přeshraničního zpracování může každý orgán pro ochranu údajů vykonávat své pravomoci ve vztahu k subjektu usazenému na jeho území bez ohledu na stanovisko a činnost orgánu pro ochranu údajů členského státu, kde má subjekt odpovědný za toto zpracování své sídlo(28).

79.      Avšak ve virtuálním světě zpracování osobních údajů je štěpení příslušnosti jednotlivých úřadů dle kritéria teritoriality často problematické(29). Neexistence jasných mechanismů koordinace mezi vnitrostátními úřady byla navíc zdrojem nejednotnosti a nejistoty.

80.      Vytvoření mechanismu jediného kontaktního místa, kdy je významná úloha svěřena vedoucímu dozorovému úřadu a mechanismům spolupráce zavedeným za účelem zapojení jiných dozorových úřadů, tak mělo právě tyto problémy řešit(30). Ve věci Google (Územní dosah práva na odstranění odkazů) Soudní dvůr zdůraznil důležitost mechanismů spolupráce a jednotnosti pro správné a soudržné uplatňování GDPR, i jejich závaznou povahu(31). Později, ve věci Facebook Ireland a Schrems, generální advokát H. Saugmandsgaard Øe rovněž zdůraznil, že mechanismy spolupráce a soudržnosti stanovené v kapitole VII GDPR mají zabránit riziku, že různé orgány dozoru zaujmou různé přístupy k přeshraničnímu zpracování(32).

81.      Je pravda, že – jak podotýká GBA – během legislativního procesu se Rada i Parlament snažily omezit příslušnost vedoucího dozorového úřadu oproti tomu, jak byla původně zamýšlena Komisí. Avšak změny, které byly nakonec zakotveny v konečném znění GDPR, nezpochybňují výše nastíněný výklad uvedeného nařízení, spíše jej potvrzují.

82.      Podle původního návrhu Komise znamenal mechanismus jediného kontaktního místa to, že pokud jde o přeshraniční zpracování, je za monitorování činností správce nebo zpracovatele v celé Evropské unii a přijímání s tím souvisejících rozhodnutí odpovědný jediný dozorový úřad (vedoucí dozorový úřad)(33). Tento návrh však vyvolal v rámci Rady a Parlamentu určité diskuse.

83.      Rada se nakonec shodla na znění vypracovaném na základě návrhu předloženého předsednictvím(34). Tento návrh nijak nezpochybnil mechanismus jediného kontaktního místa jako takový, který Rada označila za jeden „ze stěžejních prvků“ nového právního rámce(35). Návrh předsednictví nakonec vyústil ve dva soubory poměrně konkrétních změn.

84.      Zaprvé Rada chtěla zavést určité výjimky z obecné příslušnosti vedoucího dozorového úřadu: pokud jde o zpracování prováděné orgány veřejné moci a pokud jde o místní situace. Rada tak navrhla zavést dvě ustanovení, která nebyla obsažena v návrhu Komise(36) a která jsou nyní čl. 55 odst. 2 a čl. 56 odst. 2 GDPR(37).

85.      Zadruhé Rada zamýšlela zmírnit úlohu a příslušnost vedoucího dozorového úřadu tím, že daný postup učinila komplexnější. Znění návrhu Komise bylo v tomto ohledu považováno za poněkud nejednoznačné a mohlo vést k výlučné příslušnosti vedoucího dozorového úřadu v oblasti přeshraničního zpracování údajů. Do navrženého znění tak bylo zaneseno několik úprav za účelem posílení „blízkosti“ mezi subjekty údajů a dozorovými úřady(38). Zejména došlo k významnému posílení zapojení jiných dozorových úřadů do procesu rozhodování.

86.      Pokud jde o Evropský parlament, tento rovněž podpořil vytvoření mechanismu jediného kontaktního místa s významnější rolí vedoucího dozorového úřadu, ale navrhl posílení systému spolupráce mezi dozorovými úřady. Jak vysvětlující prohlášení k návrhu zprávy Parlamentu(39), tak legislativní usnesení Evropského parlamentu ze dne 12. března 2014(40) hovoří v tomto ohledu poměrně jasně.

87.      V podstatě lze říci, že na základě zásahu Rady a Parlamentu byl mechanismus jediného kontaktního místa, dříve silně nakloněný ve prospěch vedoucího dozorového úřadu, přeměněn na vyváženější mechanismus o dvou pilířích: vedoucí úloha vedoucího dozorového úřadu ve vztahu k přeshraničnímu zpracování je zachována, ale je nyní spojena jednak s posílenou úlohou ostatních dozorových úřadů, které se tohoto postupu aktivně účastní prostřednictvím mechanismů spolupráce a jednotnosti, a jednak s úlohou arbitra a průvodce svěřenou sboru v případě neshody.

88.      Teleologický a historický výklad GDPR tedy potvrzuje význam mechanismu jediného kontaktního místa, a v důsledku toho i obecnou příslušnost vedoucího dozorového úřadu ve vztahu k přeshraničnímu zpracování osobních údajů. Výklad ustanovení GDPR navrhovaný GBA a některými vládami je neslučitelný se záměrem unijního normotvůrce, jak jej lze dovodit z preambule a ustanovení tohoto nařízení, jakož i z přípravných prací.

89.      Mám tedy za to, že jazykový, kontextuální, teleologický i historický přístup k výkladu relevantních ustanovení GDPR potvrzují, že dozorové úřady jsou povinny dodržovat pravidla týkající se příslušnosti i mechanismů a postupů spolupráce a jednotnosti tímto nařízením stanovená. V případech přeshraničního zpracování musí tyto úřady jednat v rámci vytvořeném GDPR.

90.      GBA a některé vlády však předložily další dva soubory argumentů, které podle jejich názoru hovoří ve prospěch posílení pravomocí všech dozorových úřadů jednat jednostranně, a to i v případě přeshraničního zpracování. V následujících částech vysvětlím, proč by tyto argumenty neměly zpochybnit výklad GDPR, který jsem nastínil výše, a to rozhodně ne v současnosti.

3.      Výklad GDPR ve světle Listiny

91.      GBA tvrdí, že neomezená pravomoc dozorových úřadů zahájit řízení proti zpracovatelům a správcům, a to i v případech, kdy se jedná o zpracování přeshraniční, je nezbytná k zajištění dodržování článků 7, 8 a 47 Listiny. Argumentace GBA vychází dle mého názoru v tomto bodě ze dvou hlavních obav, byť žádná z nich nebyla v jeho vyjádření naplno formulována(41).

92.      První obava GBA se podle všeho vztahuje ke snížení počtu úřadů, které mohou proti určitému jednání vystoupit. V této tezi se nejspíše skrývá nevyslovený předpoklad, že vysoká úroveň ochrany vyžaduje více úřadů, které mohou vynutit dodržování GDPR, a to i souběžným jednáním. Jednoduše řešeno, čím více úřadů bude zapojeno, tím vyšší bude úroveň ochrany.

93.      Nedomnívám se, že tomu tak nezbytně musí být, přinejmenším pokud jde o úroveň ochrany.

94.      Je pravda, jak upřesnil Soudní dvůr, že cílem unijní právní úpravy v oblasti ochrany osobních údajů, vykládané ve světle článků 7 a 8 Listiny, je zajištění vysoké úrovně ochrany, zejména základního práva na respektování soukromého života ve vztahu ke zpracování osobních údajů(42).

95.      Unijní normotvůrce měl nicméně za to, že zajištění „vysoké úrovně ochrany fyzických osob“ vyžaduje „pevný a soudržnější rámec pro ochranu osobních údajů“(43). Za tímto účelem je smyslem rámce zakotveného GDPR zajištění jednotnosti na všech úrovních: na úrovni fyzických osob, hospodářských subjektů, správců a zpracovatelů i dozorových úřadů(44). Pokud jde právě o dozorové úřady, usiluje GDPR, jak je potvrzeno v bodě 116 odůvodnění, o podporu „užší spolupráce“ mezi těmito úřady(45).

96.      Na rozdíl od argumentace GBA je tak snaha o zajištění vysoké úrovně ochrany práv a svobod subjektů údajů – v očích unijního normotvůrce – plně v souladu s fungováním mechanismu jediného kontaktního místa popsaného výše. Připuštěním soudržnějšího, účinnějšího a transparentnějšího přístupu k této problematice by měly mechanismy spolupráce a jednotnosti upravené v GDPR přispět k většímu důrazu na podporu a ochranu práv zakotvených zejména v článcích 7 a 8 Listiny.

97.      Jinými slovy, soudržná a jednotná úroveň ochrany zajisté nebrání nastavení vysoké úrovně této ochrany. Jedná se pouze o to, kde přesně se má toto kritérium jednotnosti nacházet. Ostatně lze pochybovat o tom, že by souběžná existence několika nesouvisejících a potenciálně protichůdných řízení zahájených dozorovými úřady skutečně posílila cíl spočívající v zajištění vysoké úrovně ochrany práv jednotlivců. Soudržnost a jednoznačnost, jejichž zajištění lze dosáhnout tím, že budou dozorové úřady jednat ve vzájemné shodě, by tomuto účelu patrně posloužily lépe.

98.      Druhá obava vyjádřená GBA nastoluje otázky blízkosti mezi jednotlivci, kteří podali stížnost, a úřady, které budou v konečném důsledku na tuto stížnost reagovat. V podstatě jde o to, zda mohou jednotlivci účinně podat žalobu ve vztahu k jednání dozorových úřadů, nebo naopak ve vztahu k nečinnosti dozorových úřadů ohledně jejich stížností.

99.      Článek 78 GDPR totiž potvrzuje právo fyzických nebo právnických osob na účinnou soudní ochranu vůči dozorovému úřadu. V zájmu zajištění souladu s článkem 47 Listiny navíc opravné prostředky zakotvené v GDPR nemohou od subjektů údajů vyžadovat dodržování podrobných pravidel, která mohou vzhledem k tomu, že se jedná o osoby fyzické, nepřiměřeně ovlivnit jejich právo předložit věc soudu (například zvýšením nákladů nebo prodlením s podáním žaloby)(46).

100. Přesto žádný z (poměrně vágních) argumentů uplatněných každým z účastníků řízení v tomto ohledu jasně nevysvětluje, proč by měl být výklad GDPR zastávaný Facebookem, českou a finskou vládou a Komisí v rozporu s článkem 47 Listiny.

101. Zaprvé GDPR výslovně zakotvuje právo subjektů údajů obrátit se na soudy, a to jak proti správci a zpracovatelům, tak proti dozorovým úřadům. Ze strukturálního hlediska tak není zřejmé, proč by GDPR nemělo být v souladu s článkem 47 Listiny.

102. Pokud jde o právo subjektů údajů obrátit se na soudy proti správcům a zpracovatelům, má subjekt údajů možnost volby, zda podá žalobu u soudů členského státu, kde má správce nebo zpracovatel provozovnu, nebo u soudů členského státu, kde má subjekt údajů bydliště(47). Toto pravidlo je patrně pro subjekty údajů poměrně příznivé, resp. přinejmenším pro ně není problematické(48).

103. Pokud jde o právo subjektů údajů obrátit se na soudy proti dozorovým úřadům, je situace složitější. Zaprvé subjekty údajů mají právo napadnout jak jednání, tak nečinnost dozorových úřadů. Konkrétně mohou podat žalobu proti kterémukoli dozorovému úřadu, pokud dozorový úřad „na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů“(49).

104. Žaloby proti dozorovým úřadům však musí být, na rozdíl od žalob proti správcům a zpracovatelům, podány u soudů členského státu, v němž je daný dozorový úřad zřízen(50). Toto pravidlo se sice může jevit jako méně příznivé pro fyzické osoby, je nicméně třeba mít na paměti, že podle čl. 60 odst. 8 a 9 GDPR platí, že pokud je stížnost subjektu údajů zcela nebo částečně odmítnuta nebo zamítnuta, přijme relevantní rozhodnutí dozorový úřad, u nějž byla stížnost subjektem údajů podána, a tento úřad toto rozhodnutí oznámí danému subjektu údajů. To platí bez ohledu na to, zda je tento úřad vedoucím dozorovým úřadem, což dotčenému subjektu údajů dovoluje, aby (v relevantních případech) zahájil řízení ve svém vlastním členském státě.

105. Smyslem těchto mechanismů přenášení příslušnosti k přijetí rozhodnutí a v případě potřeby případného přijímání dvoustupňových rozhodnutí (vedoucí dozorový úřad vůči správci nebo zpracovateli a místní úřad vůči stěžovateli) je podle všeho právě zamezení tomu, aby musely subjekty údajů „cestovat“ po jednacích síních Evropské unie za účelem zahájení řízení proti nečinným dozorovým úřadům.

106. Připouštím však, že takové řešení může vyvolat řadu praktických otázek. Jaký bude přesný obsah každého z těchto rozhodnutí? Byl by obsah těchto rozhodnutí totožný(51) nebo odlišný? Bylo by subjektu údajů dovoleno zpochybnit všechny záležitosti, o nichž se domnívá, že se týkají jeho věci, a to i ty, které jsou de facto součástí rozhodnutí vedoucího dozorového úřadu? Nebo by bylo rozhodnutí dozorového úřadu, u něhož podal subjekt údajů stížnost, do značné míry pouze prázdnou schránkou, když by byla daná konkrétní stížnost jednoduše vyřízena pouze formálním způsobem, zatímco veškerý skutečný obsah by byl uveden v rozhodnutí vedoucího dozorového úřadu? Byl by v takovém případě subjekt údajů nucen, za účelem získání přístupu ke vskutku „účinné soudní ochraně“ ve smyslu článku 78 GDPR a článku 47 Listiny, zahájit soudní řízení u soudů členského státu, ve kterém je zřízen vedoucí dozorový úřad ve vztahu k dané konkrétní věci? Jakým způsobem by fungovala pravidla o přístupu k účinné soudní ochraně ve vztahu k přezkumu případných výchozích rozhodnutí, ať již na horizontální úrovni (mezi dozorovými úřady jednajícími společně), nebo na vertikální úrovni (pokud jde o přezkum stanoviska nebo rozhodnutí sboru v rámci mechanismu jednotnosti, který předchází a de facto patrně určuje konečné rozhodnutí dozorového úřadu)(52)?

107. O případná problematická místa rozhodně není nouze. Zkušenosti z praxe by mohly jednoho dne poukázat na skutečné problémy co do kvality, či dokonce úrovně právní ochrany vlastní tomuto novému systému. V tomto okamžiku však jakékoli takové problémy zůstávají na úrovni domněnek. V této fázi, a rozhodně v tomto řízení, nebyly Soudnímu dvoru předestřeny žádné skutečnosti, které by v tomto ohledu poukazovaly na jakékoli skutečné problémy.

4.      Potenciální nedostatečné prosazování GDPR

108. GBA v podstatě tvrdí, že prosazování GDPR v přeshraničních situacích nemůže být ponecháno téměř výlučně na vedoucím dozorovém úřadu a na subjektech údajů, které by mohly být tímto zpracováním dotčeny. Je základní úlohou každého dozorového úřadu jednat tak, aby byla chráněna práva fyzických osob, které mohou být zpracováním údajů dotčeny. Dozorový úřad zejména nemůže své poslání plnit řádně, pokud je v každém případě rozhodnutí o přijetí opatření v případě podezření z porušení a o způsobu, jakým tak učinit, ponecháno na uvážení jiného úřadu.

109. Podle mého názoru tento argument v podstatě přímo napadá nový mechanismus spolupráce zavedený GDPR. Svou odpověď, kterou na tento názor reaguji, formuluji na dvou úrovních: na jedné straně, pokud jde o úroveň platného práva, lze říci, že GDPR obsahuje mechanismy, jejichž cílem je takovým situacím předcházet. Na druhé straně, pokud jde o skutečné fungování a účinky těchto nových systémů, jsou takové obavy v této fázi předčasné a hypotetické.

110. Zaprvé je potřeba hned na úvod vyjasnit, že skutečnost, že dozorový úřad není ve vztahu k danému správci nebo zpracovateli vedoucím dozorovým úřadem, rozhodně neznamená – jak tvrdí GBA – že porušení GDPR, která zakládají trestný čin, nemohou být řádně stíhána. Pravomoc „upozornit na porušení tohoto nařízení justiční orgány“, specifikovaná v čl. 58 odst. 5, samozřejmě zahrnuje i pravomoc spolupracovat s orgány činnými v trestním řízení, jako je státní zastupitelství. Tato pravomoc je v souladu s úlohou dozorových úřadů monitorovat a vymáhat uplatňování GDPR na jejich území a nenarušuje řádné fungování mechanismů spolupráce a jednotnosti uvedených v kapitole VII GDPR. V této souvislosti patrně není nutno zdůrazňovat, že tyto mechanismy jsou sice závazné pro dozorové úřady, nevztahují se ale na jiné orgány členských států, zejména ne ty, které jsou pověřeny stíháním trestných činů.

111. Zadruhé a především, pokud je na systém zavedený GDPR nahlíženo jako na celek, je poměrně jasné, že vedoucí dozorový úřad není jediným orgánem vymáhajícím GDPR v přeshraničních situacích. Vedoucí dozorový úřad je spíše primus inter pares. Obecně bude vedoucí dozorový úřad způsobilý jednat (v rámci správního nebo soudního řízení) pouze se souhlasem dotčených dozorových úřadů. V rámci postupu zakotveného v článku 60 GDPR musí vedoucí dozorový úřad usilovat o dosažení shody(53). Nemůže opomíjet názory dotčených dozorových úřadů. Nejenže je vedoucí dozorový úřad povinen tyto názory „řádně zohlednit“, ale jakákoli formální námitka vyjádřená dotčeným dozorovým úřadem má za následek dočasné zablokování přijetí návrhu rozhodnutí vedoucího dozorového úřadu. Jakékoli přetrvávající rozpory v názorech mezi těmito úřady jsou v konečném důsledku řešeny zvláštním orgánem (sborem) složeným ze zástupců všech dozorových úřadů Unie. Postavení vedoucího dozorového úřadu tedy není v tomto ohledu o nic silnější než postavení jakéhokoli jiného úřadu(54).

112. Jak uvedl bývalý evropský inspektor ochrany údajů P. Hustinx, v systému GDPR by úloha vedoucího dozorového úřadu „neměla být považována za výlučnou příslušnost, ale za strukturovaný způsob spolupráce s jinými místně příslušnými dozorovými úřady“(55). GDPR stanoví sdílenou odpovědnost za monitorování uplatňování GDPR a zajišťování jeho jednotného uplatňování. Za tímto účelem jsou dozorovým úřadům svěřeny úkoly a určité pravomoci; jsou jim přiznána určitá práva, ale mají i určité povinnosti. Mezi tyto povinnosti patří zejména povinnost dodržovat určité postupy a mechanismy určené k zajišťování jednotnosti. Přání určitého úřadu zaujmout „nezávislý“ přístup(56), pokud jde o (soudní) vymáhání GDPR, aniž by spolupracoval s ostatními úřady, je neslučitelné se zněním i s duchem tohoto nařízení.

113. Jak je uvedeno v bodech 76 a 77 výše, GDPR je založeno na citlivé rovnováze mezi potřebou zajistit vysokou úroveň ochrany fyzických osob a potřebou odstranit překážky bránící tokům osobních údajů v rámci Unie. Tyto dva cíle jsou, jak dokládá zejména bod 10 odůvodnění a čl. 1 odst. 1 GDPR, neoddělitelně spjaty. Vnitrostátní dozorové úřady tedy musí zajistit, aby byla mezi nimi nastolena spravedlivá rovnováha, jak Soudní dvůr ve své ustálené judikatuře opakovaně zdůrazňuje již od prvních rozsudků v oblasti ochrany osobních údajů(57). Tento přístup se odráží v definici poslání dozorových úřadů dle čl. 51 odst. 1 GDPR(58).

114. Zatřetí nejenže GDPR upravuje mechanismy určené k řešení rozporů, pokud jde o způsob, jakým se má provádět vymáhání, tj. rozhodování o protichůdných názorech a stanoviscích vyjádřených dozorovými úřady. GDPR rovněž zavádí mechanismy, jejichž účelem je řešit situace administrativní nečinnosti. To jsou zejména situace, ve kterých vedoucí dozorový úřad – kvůli nedostatku odbornosti nebo personálu či z jakéhokoli jiného důvodu – nepřijímá žádná smysluplná opatření za účelem vyšetřování případných porušení GDPR a případně vymáhání jeho pravidel.

115. GDPR ve věcech týkajících se přeshraničního zpracování zásadně vyžaduje, aby vedoucí dozorový úřad jednal bezodkladně. Konkrétně podle čl. 60 odst. 3 GDPR vedoucí dozorový úřad „neprodleně sdělí relevantní informace o dané záležitosti ostatním dotčeným dozorovým úřadům [a] [n]eprodleně předloží ostatním dotčeným dozorovým úřadům návrh rozhodnutí, aby se k němu vyjádřily, a řádně zohlední jejich stanoviska“(59).

116. Pokud by vedoucí dozorový úřad tuto povinnost nesplnil, či obecněji, pokud by byl v případě nutnosti nečinný, je nutno se ptát, zda mají dotčené dozorové úřady, které jsou ochotné vést vyšetřování a případně i činit opatření k vymáhání, k dispozici nějaký právní prostředek nápravy(60). Domnívám se, že existují přinejmenším dvě odlišné cesty, jimiž se mohou tyto úřady vydat, přičemž tyto dva postupy se vzájemně nevylučují.

117. Na jedné straně může dozorový úřad podle čl. 61 odst. 1 a 2 GDPR požádat jiný dozorový úřad, aby mu poskytl „informace a pomoc v zájmu soudržného provádění a uplatňování [GDPR]“(61). Tato žádost může mít formu žádosti o informace, včetně informací „o průběhu šetření“, nebo formu jiné pomoci (např. provádění inspekcí a vyšetřování nebo zavádění opatření pro účinnou spolupráci). Na každou takovou žádost musí dožádaný úřad odpovědět „bez zbytečného odkladu a nejpozději do jednoho měsíce od obdržení této žádosti“.

118. Článek 61 odst. 5 a 8 GDPR stanoví, že v případě nesplnění povinnosti odpovědět ve stanovené lhůtě nebo odmítnutí splnění žádosti může dožadující úřad „přijmout na území svého členského státu předběžné opatření podle čl. 55 odst. 1“. V takovém případě „se nutnost naléhavě jednat podle čl. 66 odst. 1 považuje za splněnou, což vyžaduje přijetí naléhavého závazného rozhodnutí sboru podle čl. 66 odst. 2“(62).

119. Mám za to, že tento mechanismus může využít i dotčený dozorový úřad proti vedoucímu dozorovému úřadu (a pravděpodobně by tak i učinit měl(63)). Nesplnění povinnosti vedoucího dozorového úřadu jednat v určitém konkrétním případě přeshraničního zpracování navzdory žádosti podané v tomto smyslu dotčeným dozorovým úřadem tak může tomuto dotčenému dozorovému úřadu umožnit přijmout naléhavá opatření považovaná za nezbytná k ochraně zájmů subjektů údajů. Existence výjimečných okolností odůvodňujících naléhavou potřebu jednat se totiž předpokládá a nemusí být prokazována.

120. Na druhé straně, čl. 64 odst. 2 GDPR umožňuje každému dozorovému úřadu (nebo předsedovi sboru nebo Komisi) „požádat, aby sbor posoudil jakoukoli záležitost s obecnou působností nebo s účinky ve více než jednom členském státě za účelem získání stanoviska, zejména v případě, kdy příslušný dozorový úřad nesplní povinnosti související se vzájemnou pomocí podle článku 61 […]“(64).

121. Není zcela zřejmé, zda by bylo rozhodnutí sboru pro dotčený vedoucí dozorový úřad právně závazné(65). Podle článku 65 odst. 1 písm. c) GDPR však platí, že pokud se příslušný dozorový úřad neřídí stanoviskem sboru vydaným podle článku 64, může danou záležitost ohlásit sboru kterýkoliv dotčený dozorový úřad (nebo Komise), a tím zahájit postup pro řešení sporu, který je pro tento účel zaveden. Tento posledně uvedený postup by v konečném důsledku vedl k vydání závazného rozhodnutí(66).

122. Navzdory uvedenému je nutno připustit, že oba výše popsané mechanismy (články 61 a 66 GDPR na straně jedné a články 64 a 65 GDPR na straně druhé) jsou poněkud těžkopádné. Jejich skutečné fungování není vždy zcela zřetelné. Ačkoli se tedy na papíře jeví výše zmíněná ustanovení jako vhodná k eliminaci těchto problémů, pouze budoucí používání těchto ustanovení ukáže, zda tato ustanovení nebudou v praxi poněkud „bezzubá“.

123. To mne přivádí zpět ke druhé úrovni argumentace předestřené v souvislosti s nedostatečným vymáháním a k jeho, v současné době rozhodně, spíše hypotetické a nepodložené povaze. Musím připustit, že pokud by rizika týkající se nedostatečného vymáhání GDPR naznačovaná GBA a některými dalšími zúčastněnými měla nastat, celý systém by byl podle mého názoru zralý na zásadní revizi.

124. Ze strukturálního hlediska by tomu tak skutečně mohlo být v případě, že by tato nová struktura měla vést ke vzniku regulačních „závětří“ pro některé hospodářské subjekty, které by poté, co si samy de facto zvolily svůj vnitrostátní regulační orgán strategickým umístěním své hlavní provozovny v rámci Unie, nebyly daným vedoucím dozorovým úřadem kontrolovány, ale spíše účinně chráněny před ostatními regulačními orgány. Jen málokdo by nesouhlasil s tím, že regulační soutěž v podobě závodu směrem k nejnižší úrovni regulace mezi členskými státy by byla stejně nezdravá a stejně nebezpečná jako regulační nesoudržnost – takového druhu, jako byl nedostatek koordinace a jednotnosti, jímž se vyznačoval předchozí model. Síťové regulační režimy by mohly nesoudržnosti a rozporům zabránit podporou konsensu a spolupráce. Avšak cenou za konsensus bývá blokování aktivních orgánů, zejména v systému, kde přijetí jakéhokoli rozhodnutí vyžaduje intenzivnější jednání ve vzájemné shodě. V rámci takových systémů může vést kolektivní odpovědnost ke kolektivní nezodpovědnosti a nakonec k nečinnosti.

125. Nicméně pokud jde o takováto případná nebezpečí, je právní rámec zavedený GDPR stále ještě v plenkách. Není snadné předvídat – zvláště pro soud a v kontextu jediného, resp. vskutku poměrně výjimečného řízení – jak budou mechanismy zavedené tímto nařízením fungovat v praxi a jak budou účinné. V takovém rámci, podobně jako v případě potenciálních problémů týkajících se ochrany základních práv a výkladu v souladu s Listinou(67), je namístě opatrnost.

126. Podle mého názoru by nebylo dobré, kdyby Soudní dvůr tento rámec – který je (křehkým a pečlivě vymodelovaným) výsledkem dlouhého a intenzivního legislativního procesu – podstatným způsobem změnil tím, že by jednotlivé věty vykládal vytržené z kontextu a, od tohoto okamžiku, na základě domněnek a spekulací. To platí tím spíše, pokud výklad navrhovaný některými zúčastněnými spočívá jednoduše v tom, že z tohoto nařízení v podstatě citují některé jeho klíčové části, a tím se de facto vrací ke starému systému směrnice 95/46, jež byl ve svém institucionálním rozměru unijním normotvůrcem výslovně a jasně opuštěn.

127. Tento nadmíru jasný legislativní model, který se odráží, jak vyplývá z předchozích částí tohoto stanoviska, jak ve znění a struktuře GDPR, tak ve zdokumentovaném legislativním záměru, odpovídá i na jiné potenciální strukturální obavy, například ty, které se týkají řádné rovnováhy mezi veřejným a soukromým prosazováním pravidel ochrany údajů a GDPR. Je smysluplné omezovat veřejné vymáhání na jeden jediný úřad, a tedy jeden jediný členský stát, na něž navíc dojde až po provedení zdlouhavého a komplikovaného správního řízení, zatímco k soukromému vymáhání týchž pravidel dojde v praxi patrně rychleji a před (civilními) soudy všech členských států? Měly by mít vnitrostátní dozorové úřady omezenější přístup k soudu než kterýkoli individuální soukromý spotřebitel? Nestane se to, že většina věcí týkajících se ochrany údajů skončí před vnitrostátními soudy (a případně před Soudním dvorem cestou řízení o předběžné otázce) na základě žalob podaných přímo soukromoprávními účastníky, čímž budou zcela obejity vnitrostátní regulační orgány, které byly za tímto účelem zřízeny, neboť ty budou stále ještě v procesu spolupráce a koordinace svých postojů? Nevzniká v rámci takového režimu nebezpečí, že soukromoprávní vymáhání zcela vytlačí to veřejnoprávní?

128. Ať je tomu jakkoli, unijní normotvůrce učinil jasnou institucionální a strukturální volbu a podle mého názoru není nejmenších pochyb o tom, čeho chtěl dosáhnout. Obrazně řečeno, za těchto okolností je nutno alespoň prozatím poskytnout dítěti výhodu pochybnosti. Pokud by však to dítě mělo dopadnout špatně – přičemž tato skutečnost by musela být doložena fakty a přesvědčivými argumenty – pak nevěřím tomu, že by Soudní dvůr jakoukoli mezeru, která by se v důsledku tohoto přístupu mohla projevit v oblasti ochrany základních práv zaručených Listinou a jejich účinného vymáhání příslušnými regulačními orgány, úmyslně opomíjel. Zda by se pak stále jednalo o otázku výkladu ustanovení sekundárního práva, který by byl v souladu s Listinou, nebo o otázku platnosti relevantních ustanovení, či dokonce částí právního nástroje sekundárního práva, by se řešilo v jiných věcech.

5.      Dílčí závěr

129. Všechny nastíněné aspekty výkladu tak ukazují směrem k jednomu a témuž výsledku: vedoucí dozorový úřad má obecnou příslušnost v oblasti přeshraničního zpracování. Všechny dozorové úřady (bez ohledu na jejich postavení vedoucího dozorového úřadu nebo dotčeného dozorového úřadu) mají jednat, zejména v případě přeshraničního zpracování, v souladu s postupy a mechanismy stanovenými GDPR.

130. Znamená výše uvedené, že se dozorový úřad, který není vedoucím dozorovým úřadem, v zásadě nikdy nemůže obrátit na vnitrostátní soudy s žalobou proti správci nebo zpracovateli, je-li dotčené zpracování zpracováním přeshraničním?

131. Neznamená.

132. Zaprvé se dozorové úřady mohou přirozeně obrátit na vnitrostátní soud, pokud jednají mimo oblast věcné působnosti GDPR, je-li to dovoleno vnitrostátním právem a není to vyloučeno právem unijním, například z toho důvodu, že zpracování se netýká osobních údajů, nebo proto, že je zpracování osobních údajů prováděno v rámci činností specifikovaných v čl. 2 odst. 2 GDPR(68).

133. Zadruhé navzdory přeshraniční povaze zpracování je regulační příslušnost v situacích upravených v čl. 55 odst. 2 GDPR (zpracování prováděné orgány veřejné moci, ale rovněž jakékoliv zpracování prováděné ve veřejném zájmu nebo při výkonu veřejné moci) i nadále svěřena místnímu dozorovému úřadu, což přirozeně zahrnuje, v případě potřeby, i způsobilost zahájit soudní řízení.

134. Zatřetí existují případy, kdy dochází k přeshraničnímu zpracování osobních údajů, které spadá do oblasti působnosti GDPR, ale žádnému dozorovému úřadu není svěřena pravomoc jednat jako vedoucí dozorový úřad. Vzhledem k tomu, že mechanismus spolupráce a jednotnosti upravený GDPR se vztahuje pouze na správce, kteří mají jednu nebo více provozoven v Evropské unii, není pro přeshraniční zpracování správci, kteří nemají v Evropské unii žádnou provozovnu, stanoven žádný vedoucí dozorový úřad. To znamená, že správci, kteří nemají provozovnu v Unii, musí jednat s místními dozorovými úřady v každém členském státě, kde působí(69).

135. Začtvrté může kterýkoli dozorový úřad přijmout naléhavá opatření, jsou-li splněny příslušné podmínky. Navíc existují situace, ve kterých se naléhavost opatření předpokládá. Tak tomu může být například v případě, kdy dotčený dozorový úřad potenciálně čelí trvající nečinnosti ze strany pověřeného vedoucího dozorového úřadu. Vzhledem k tomu, že čl. 66 odst. 1 GDPR předvídá celkové odchýlení se od mechanismu jednotnosti, je důvodné předpokládat, že v takové výjimečné situaci dochází k obnovení celého spektra pravomocí dozorového úřadu (které za normálních okolností nemají být vykonávány, neboť jsou blokovány zvláštními pravidly upravujícími příslušnost vedoucího dozorového úřadu v oblasti přeshraničního zpracování) a tyto pravomoci mohou být dočasně vykonávány. To tedy přirozeně zahrnuje i pravomoc zahájit soudní řízení podle čl. 58 odst. 5 GDPR.

136. A konečně zapáté, pouze pro úplnost, je možno uvést, že je také možné, aby dozorový úřad, který informoval vedoucí dozorový úřad, rovněž získal (resp. si ponechal) pravomoc obrátit se na soud v případě, že se vedoucí dozorový úřad rozhodne věcí nezabývat dle čl. 56 odst. 5 GDPR. Na základě posledně uvedeného ustanovení by mohlo být zjevně dost dobře možné, aby mezi sebou oba dozorové úřady uzavřely účinnou dohodu o tom, který z nich má lepší předpoklady k vyřízení věci.

137. Souhrnně řečeno, ustanovení GDPR neobsahují žádnou obecnou překážku bránící tomu, aby jiné dozorové úřady, zejména dotčené dozorové úřady, podaly žalobu ve vztahu k případným porušením pravidel ochrany údajů. Naopak, nejrůznější situace, ve kterých jsou k tomu oprávněny, jsou v GDPR výslovně předvídány nebo z něj implicitně vyplývají(70).

138. Obecně je však nanejvýš důležité, aby v případech, kdy se uplatní postupy a mechanismy upravené v GDPR (zejména ty, které jsou uvedeny v kapitolách VI a VII tohoto nařízení), vedoucí dozorový úřad i dotčené dozorové úřady tyto postupy a mechanismy řádně dodržovaly. Pravidla GDPR jsou naprosto jasná v tom, že žádný z těchto úřadů nesmí jednat mimo tento právní rámec nebo v rozporu s ním.

139. Navzdory shora uvedenému platí, že to, zda GBA jednal v projednávané věci v souladu s těmito postupy a mechanismy – což je otázka, o níž se na jednání diskutovalo, ale která je s ohledem na zvláštní procesní kontext projednávané věci stále poněkud nejasná(71) – přísluší ověřit předkládajícímu soudu.

140. Na první otázku je tedy potřeba odpovědět tak, že ustanovení GDPR dovolují dozorovému úřadu členského státu podat žalobu u soudu tohoto státu na údajné porušení GDPR, pokud jde o přeshraniční zpracování údajů, ačkoli tento úřad není vedoucím dozorovým úřadem, pokud tak učiní v situacích a v souladu s postupy stanovenými GDPR.

C.      K ostatním předběžným otázkám

1.      Ke druhé otázce

141. Podstatou druhé otázky předkládajícího soudu je, zda by odpověď na první otázku byla odlišná, pokud správce odpovědný za toto přeshraniční zpracování nemá svou hlavní provozovnu v tomto členském státě, avšak má zde jinou provozovnu.

142. S ohledem na odpověď navrhovanou na první otázku je odpověď na druhou otázku poměrně jasná: v zásadě nikoli, pokud se „hlavní provozovna“ ve smyslu čl. 4 odst. 16 GDPR skutečně nachází v jiném členském státě.

143. Skutečnost, že správce má vedlejší provozovnu v určitém členském státě, nemá v zásadě vliv na možnost místního dozorového úřadu zahájit ve vztahu k danému přeshraničnímu zpracování soudní řízení podle čl. 58 odst. 5 GDPR. Jinými slovy, v případě přeshraničního zpracování údajů rozsah pravomocí svěřených dozorovému úřadu a způsob výkonu těchto pravomocí obecně nezávisí na tom, zda daný správce nebo zpracovatel, který má svou hlavní provozovnu v jiném členském státě, má rovněž provozovnu v členském státě tohoto úřadu.

144. Ovšem obdobně, jak již bylo uvedeno výše(72), předběžnou podmínkou tohoto závěru je, že vnitrostátní soud musí nejprve zjistit, která provozovna je vlastně provozovnou hlavní pro účely daného zpracování. Článek 4 odst. 16 písm. a) GDPR vyznává v tomto ohledu dynamickou koncepci(73) toho, co je považováno za hlavní provozovnu, přičemž toto pojetí se nemusí nutně shodovat se statickou korporátní strukturou podniku.

145. Kromě toho skutečnost, že správce nebo zpracovatel má na území, kde působí dozorový úřad, (vedlejší) provozovnu, znamená, že tento úřad je dotčeným dozorovým úřadem ve smyslu čl. 4 odst. 22 GDPR. Dotčeným dozorovým úřadům jsou v rámci kontextu postupů zakotvených v kapitole VII GDPR svěřeny významné pravomoci(74).

146. Kromě toho stanoví čl. 56 odst. 2 GDPR výjimku z obecné příslušnosti vedoucího dozorového úřadu, pokud jde o přeshraniční zpracování: „každý dozorový úřad [je] příslušný k tomu, aby se zabýval stížnostmi, které u něj byly podány, nebo možným porušením [GDPR], pokud se daná záležitost týká pouze provozovny v jeho členském státě nebo jsou touto záležitostí podstatným způsobem dotčeny subjekty údajů pouze v jeho členském státě“. Tato příslušnost pak musí být vykonávána v souladu s postupem stanoveným v odstavcích 3 až 5 téhož ustanovení(75).

2.      Ke třetí otázce

147. Třetí otázkou se předkládající soud táže, zda by byla odpověď na první otázku jiná, pokud vnitrostátní dozorový úřad podá žalobu proti hlavní provozovně správce nebo proti provozovně umístěné ve svém vlastním členském státě.

148. Vzhledem k navrhované odpovědi na první otázku a v rozsahu, v jakém se třetí otázka ve skutečnosti nepřekrývá s otázkou druhou, je i na třetí otázku nutno odpovědět záporně.

149. Opět, pokud je na základě skutkových okolností věci skutečně vyjasněno, že hlavní provozovna ve vztahu k danému zpracování dle čl. 4 odst. 16 GDPR se ve skutečnosti nachází v jiném členském státě, není vnitrostátní dozorový úřad členského státu, ve kterém se nachází určitá provozovna správce, vedoucím dozorovým úřadem, ale mohl by se stát dotčeným dozorovým úřadem. V rámci tohoto posouzení však příslušnost dozorového úřadu jednat nezávisí na tom, zda podaná žaloba směřuje proti hlavní provozovně správce, nebo proti provozovně v členském státě tohoto dozorového úřadu(76).

150. Jen pro úplnost je možno dodat, že čl. 58 odst. 5 GDPR je formulován široce a neuvádí subjekty, proti nimž by dozorové úřady měly či mohly jednat. Tato okolnost vyvolala zajímavou diskusi v podáních některých zúčastněných ohledně otázky, která sice není nevýznamná, ale kterou se podle mého názoru nemusí Soudní dvůr v projednávané věci zabývat. Jde o toto: mohou dozorové úřady, jsou-li k tomu skutečně příslušné dle pravidel GDPR, vystupovat pouze proti provozovně či provozovnám správce nebo zpracovatele nacházejícím se na jejich území, nebo mohou vystupovat i proti provozovnám nacházejícím se v zahraničí?

151. Na jedné straně belgická, italská a polská vláda zdůrazňují, že čl. 55 odst. 1 GDPR omezuje územní příslušnost každého dozorového úřadu na jeho vlastní území. Z toho vyvozují, že dozorové úřady mohou vystupovat pouze proti místním provozovnám.

152. Znění tohoto ustanovení však není podle mého názoru zcela jasné: odkazuje na výkon pravomocí svěřených nařízením „na území svého členského státu“. Toto ustanovení si nevykládám tak, že nutně brání žalobě podané proti provozovně nacházející se v jiném členském státě. Prvek teritoriality obsažený v čl. 55 odst. 1 GDPR, vykládaný ve světle celkové oblasti působnosti GDPR dle čl. 1 odst. 1 a článku 3 tohoto nařízení, který zakládá příslušnost dozorového úřadu v daném konkrétním případě, se týká účinků zpracování údajů na území členského státu. Tento prvek nepůsobí jako omezení žalob proti správcům a zpracovatelům usazeným mimo hranice daného státu.

153. GBA na druhé straně tvrdí, že každý úřad má pravomoc podat žalobu ve vztahu ke každému porušení GDPR, k němuž dojde na jeho území, bez ohledu na to, zda má správce nebo zpracovatel na jeho území provozovnu. To znamená, že úřad by měl mít rovněž pravomoc zahájit řízení proti provozovnám nacházejícím se v zahraničí. GBA odkazuje v této souvislosti na rozsudek Soudního dvora ve věci Wirtschaftsakademie Schleswig-Holstein(77). V tomto rozhodnutí Soudní dvůr konstatoval, že články 4 a 28 směrnice 95/46 umožňují orgánu dozoru členského státu vykonávat pravomoc obrátit se na soud ve vztahu k provozovně tohoto podniku nacházející se na území tohoto členského státu. Tak tomu bylo i v případě, kdy tato provozovna zajišťovala pouze prodej reklamního prostoru a jiné marketingové činnosti na území uvedeného členského státu, zatímco výlučná odpovědnost za shromažďování a zpracování osobních údajů na celém území Unie ležela na provozovně, která se nacházela v jiném členském státě.

154. GBA správně uvádí, že pokud GDPR obsahuje v tomto ohledu ustanovení obdobná ustanovením směrnice 95/46(78), musí zásady vytyčené Soudním dvorem v rozsudku ve věci Wirtschaftsakademie Schleswig-Holstein platit mutatis mutandis i pro GDPR. Tento rozsudek však vysvětlil pouze to, kdy může být místní provozovna úřadem žalována, přestože je zpracování (resp. jeho hlavní část) prováděno provozovnou nacházející se jinde v rámci Evropské unie. Tento rozsudek nepotvrdil ani nevyloučil, přinejmenším ne výslovně, možnost dozorového úřadu podat žalobu i proti oné provozovně, která se nachází jinde v Unii.

155. Domnívám se však, že tento nový mechanismus jediného kontaktního místa tím, že vytváří ústřední místo pro vymáhání, nutně implikuje, že dozorový úřad může vystupovat i proti provozovnám nacházejícím se v zahraničí. Nejsem si jistý, že by tento nový systém mohl fungovat řádně, pokud by vylučoval možnost, aby úřady, a zejména vedoucí dozorový úřad, mohly zahájit řízení proti provozovně nacházející se jinde(79).

3.      Ke čtvrté otázce

156. Podstatou čtvrté otázky předkládajícího soudu je, zda by odpověď na první otázku byla odlišná, pokud by vnitrostátní dozorový úřad podal žalobu již před nabytím účinnosti GDPR.

157. Úvodem je potřeba uvést, že v GDPR nejsou zakotvena žádná přechodná ani jiná pravidla upravující status soudních řízení probíhajících v okamžiku nabytí účinnosti tohoto nového rámce.

158. Vzhledem k výše uvedenému je podle mého názoru potřeba na položenou otázku odpovědět „jak se to vezme“.

159. Na jedné straně, pokud jde o porušení pravidel ochrany údajů ze strany správců nebo zpracovatelů, k nimž došlo před nabytím účinnosti GDPR, domnívám se, že tato řízení mohou pokračovat. Nevidím žádný přijatelný důvod pro to, aby byly úřady nuceny zastavovat vymáhací řízení týkající se minulého jednání, které bylo (údajně) v době jeho spáchání protiprávní, přičemž tyto úřady byly (v té době) nadány příslušností proti tomuto jednání vystupovat. Odlišné řešení by vedlo k jakési amnestii některých porušení právních předpisů o ochraně údajů.

160. Na druhé straně vzniká odlišná situace ve vztahu k řízením zahájeným pro porušení, která se dosud neprojevila, neboť k nim dochází po nabytí účinnosti GDPR(80). V tomto ohledu, stejně jako v jakékoli jiné situaci uplatňování nových pravidel na situace vzniklé za účinnosti nového právního režimu, se nová hmotněprávní pravidla použijí pouze na skutečnosti, které nastanou po nabytí účinnosti tohoto nového nástroje(81).

161. Předkládajícímu soudu přísluší ověřit, která z těchto dvou modelových situací skutečně odráží současný stav sporu v původním řízení(82). V případě prvního scénáře bych uvedl, že v probíhajících řízeních lze pokračovat, zcela jistě z hlediska unijního práva, za podmínky, že se omezí na případné konstatování minulých protiprávních jednání. V případě druhého scénáře by mělo být vnitrostátní řízení zastaveno. Nový rámec totiž zavedl odlišný systém příslušností a pravomocí, takže dotčený dozorový úřad nemůže vystupovat proti porušením vyplývajícím z přeshraničního zpracování mimo rámec specifických situací a pokud nepostupuje podle postupů a mechanismů stanovených za tímto účelem.

162. Opačné řešení by znamenalo faktické prodloužení systému zavedeného směrnicí 95/46 navzdory skutečnosti, že jak unijní právo, tak vnitrostátní právo jej výslovně zrušily a nahradily novým. Ostatně, co kdyby GBA skutečně získal soudní příkaz, který by Facebooku zakazoval uplatňovat v budoucnu (a, mimochodem, na jak dlouho?) praktiky dotčené v původním řízení, nekolidovalo by to s příslušností ve vztahu k (témuž) jednání, kterou GDPR svěřilo ode dne 25. května 2018 vedoucímu dozorovému úřadu a dotčeným dozorovým úřadům, a nedocházelo by navíc ještě k vydávání protichůdných rozhodnutí (nebo soudních příkazů) v různých členských státech?

4.      K páté otázce

163. Pátou otázkou – položenou pro případ kladné odpovědi na otázku první – se předkládající soud táže, zda má čl. 58 odst. 5 GDPR přímý účinek, takže se vnitrostátní dozorový úřad může na toto ustanovení odvolat, aby zahájil soudní řízení proti jednotlivým účastníkům nebo v tomto řízení pokračoval i v případě, že tohoto ustanovení nebylo do vnitrostátního práva provedeno.

164. Opakuji znění čl. 58 odst. 5: „Každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení tohoto nařízení.“

165. Facebook, jakož i česká a portugalská vláda zdůrazňují, že toto ustanovení členským státům jasně ukládá, aby něco učinily: přijaly ustanovení zmocňující úřady k zahájení řízení. K tomu, aby byla pravomoc k zahájení řízení plně využitelná, může být rovněž nutné stanovit určitá vnitrostátní pravidla, která by určovala zejména soudy nadané příslušností, podmínky podání žaloby a postupy, které je potřeba dodržet.

166. Vzhledem k mnou navrhované odpovědi na první otázku skutečně není nezbytné odpovídat na otázku pátou. Pro úplnost však uvádím, že bez problémů souhlasím s GBA v tom, že normativní obsah tohoto konkrétního ustanovení unijního práva je poměrně jednoznačný a bezprostřední. V tomto ohledu je nutno mít na paměti, že obecně platí, že ustanovení unijního práva bude mít přímý účinek, jestliže je, pokud jde o jeho předmět, dostatečně jasné, přesné a bezpodmínečné, aby se jej bylo možno dovolávat, nebo, pokud toto ustanovení stanoví práva, která mohou fyzické osoby uplatnit vůči státu(83).

167. Bez ohledu na skutečnost, že toto ustanovení je uvedeno v nařízení (což je právní nástroj, který je podle článku 288 SFEU „závazn[ý] v celém rozsahu a přímo použiteln[ý] ve všech členských státech“(84)), se domnívám, že konkrétní a bezprostředně použitelné pravidlo z čl. 58 odst. 5 GDPR skutečně vyvodit lze. Toto pravidlo je velmi jednoduché: dozorové úřady musí být aktivně legitimovány k podání žaloby u vnitrostátních soudů, je jim dána způsobilost zahájit soudní řízení podle vnitrostátního práva. Žaloba podaná k vnitrostátnímu soudu nemůže být prohlášena za nepřípustnou z důvodu nedostatku právní subjektivity.

168. Přestože souhlasím s Facebookem a s českou a portugalskou vládou v tom, že členské státy mohou stanovit zvláštní pravidla, podmínky nebo příslušnost ve vztahu k žalobám podávaným dozorovými úřady, rozhodně nejsou taková pravidla pro fungování přímo účinného pravidla dle čl. 58 odst. 5 GDPR nezbytná. Pokud vnitrostátní zákonodárce nepřijme žádná pravidla ad hoc, přirozeně se na jakékoli žaloby podané dozorovými úřady použijí obecná pravidla zakotvená v příslušných vnitrostátních procesních řádech (bez ohledu na to, zda se jedná o soudní řád správní, či dokonce občanský soudní řád jako úpravu obecnou). Pokud by tedy například nebyla přijata žádná zvláštní prováděcí pravidla upravující příslušnost, lze bezpečně předpokládat, že by se použilo obecné pravidlo zakotvené pravděpodobně v každém (občanském) soudním řádu, podle něhož je v případě, není-li stanoveno jinak, obecným soudem soud příslušný podle místa provozovny žalovaného.

5.      K šesté otázce

169. Šestou a poslední otázkou se předkládající soud táže, zda v případě, kdy je vnitrostátní dozorový úřad oprávněn zahájit soudní řízení, by výsledek takového řízení mohl bránit opačnému zjištění vedoucího dozorového úřadu, jestliže tento vedoucí dozorový úřad prošetřuje stejné nebo podobné přeshraniční zpracování na základě mechanismu stanoveného v článcích 56 a 60 GDPR.

170. Vzhledem k navrhované odpovědi na první otázku není nutno na tuto otázku odpovídat.

171. Problematika, kterou tato otázka nastoluje, však znovu dokládá, proč by měla být první otázka zodpovězena, jak je navrženo výše. Pokud by kogentní povaha mechanismů jednotnosti a spolupráce upravených v GDPR měla být vyloučena, čímž by se mechanismus jediného kontaktního místa stal „volitelným“, resp. by v praxi de facto přestal existovat, byla by vážně dotčena soudržnost celého tohoto systému. Pravidla pro určení příslušnosti, která jsou v současnosti obsažena v GDPR, by v podstatě byla nahrazena paralelním „závodem“ všech dozorových úřadů o to, kdo první vydá rozhodnutí. Stal by se pak nakonec ten, kdo „první proběhne cílem“ v podobě pravomocného rozhodnutí vydaného v rámci vlastního právního řádu, pro zbytek Evropské unie de facto vedoucím dozorovým úřadem, jak vyplývá z šesté otázky?

V.      Závěry

172. Navrhuji, aby Soudní dvůr na předběžné otázky položené Hof van beroep te Brussel (odvolací soud v Bruselu, Belgie) odpověděl následovně:

–        Ustanovení nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) dovolují dozorovému úřadu členského státu obrátit se na soud tohoto státu z důvodu údajného porušení tohoto nařízení v souvislosti s přeshraničním zpracováním údajů, i když tento úřad není vedoucím dozorovým úřadem, pokud tak činí v situacích a v souladu s postupy upravenými v tomto nařízení.

–        Obecné nařízení o ochraně osobních údajů brání tomu, aby dozorový úřad pokračoval v soudním řízení, které bylo zahájeno před nabytím účinnosti tohoto nařízení, ale týká se jednání, jež nastalo po tomto datu.

–        Článek 58 odst. 5 obecného nařízení o ochraně osobních údajů má přímý účinek v tom smyslu, že vnitrostátní dozorový úřad se na něj může odvolat, aby zahájil soudní řízení u vnitrostátních soudů nebo v tomto řízení pokračoval i v případě, že toto ustanovení nebylo do vnitrostátního práva provedeno.

1–      Původní jazyk: angličtina.

2–      Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1).

3 –      Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355.

4–      Z důvodů uvedených výše, viz bod 23 tohoto stanoviska.

5–      V tomto ohledu Soudní dvůr opakovaně uvedl, že podle směrnice 95/46 musí být pojem „správce“ vykládán široce – viz například nedávné rozsudky ze dne 29. července 2019, Fashion ID (C‑40/17, EU:C:2019:629, body 65, 66 a 70), a ze dne 10. července 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 66). Nevidím žádný důvod, proč by totéž nemělo platit stejně i ve vztahu k GDPR.

6–      Viz například rozsudek ze dne 25. července 2018, Confédération paysanne a další (C‑528/16, EU:C:2018:583, body 72 a 73 a citovaná judikatura), nebo rozsudek ze dne 1. října 2019, Blaise a další (C‑616/17, EU:C:2019:800, bod 35).

7–      Například ve svém stanovisku ve věci Fashion ID jsem vysvětlil důvody, proč by pravidla dle tehdy platné směrnice 95/46 i pravidla dle směrnice o soukromí a elektronických komunikacích [směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. 2002, L 201, s. 37; Zvl. vyd. 13/29, s. 514)] mohla být případně použitelná ve věci týkající se umisťování souborů cookies (C‑40/17, EU:C:2018:1039, body 111 až 115). K této otázce obecněji viz stanovisko č. 5/2019 Evropského sboru pro ochranu osobních údajů ke vzájemnému působení mezi směrnicí o soukromí a elektronických komunikacích a GDPR, zejména pokud jde o příslušnost, úkoly a pravomoci úřadů pro ochranu údajů, ze dne 12. března 2019. Viz též dokument č. 02/2013 pracovní skupiny pro ochranu údajů zřízené podle článku 29, který poskytuje vodítka k získávání souhlasu se soubory cookies, 1676/13/EN, WP 208, ze dne 2. října 2013.

8–      Kurzivou zvýraznil autor tohoto stanoviska.

9–      Kurzivou zvýraznil autor tohoto stanoviska.

10–      Kurzivou zvýraznil autor tohoto stanoviska.

11–      V právní nauce viz Bensoussan, A. (ed.), Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, 2. vyd., Bruylant, Brusel, 2017, s. 363.

12–      Obdobně viz Hijmans, H., „Comment to Article 56 of the GDPR“, in Kuner, C., Bygrave, L., Docksey, C. (eds), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, s. 921.

13–      Analogicky jako v případě obecného správního práva (nebo soudních řádů) může mít určitý orgán (obecnou) pravomoc jednat určitým způsobem, ale nemusí mít nutně příslušnost (rationae materiae, personae, temporis, loci…) tuto pravomoc vykonat a rozhodnout v určité individuální věci. Tak například skutečnost, že má určitý trestní soud pravomoc vydat rozsudek v trestním řízení, nutně neznamená, že bude příslušný tak učinit i v případě daného trestného činu spáchaného danou osobou (jelikož to může spadat do jurisdikce jiného soudu).

14–      Stanovisko č. 8/2019 Evropského sboru pro ochranu osobních údajů k pravomoci dozorového úřadu v případě změny okolností týkajících se hlavní nebo jediné provozovny ze dne 9. července 2019, body 19 a 20.

15–      V relevantní části tohoto ustanovení je uvedeno: „[k]aždý orgán dozoru má zejména […] pravomoc obrátit se na soud v případě porušení vnitrostátních předpisů přijatých k provedení této směrnice nebo pravomoc oznámit tato porušení soudním orgánům“.

16–      Viz zpráva Evropské komise ze dne 15. května 2003 s názvem „První zpráva o provádění směrnice o ochraně údajů (95/46/ES)“, COM(2003) 265 final, s. 12 a 13, jakož i její příloha „Analýza a studie dopadu na provádění směrnice 95/46 v členských státech“, s. 40. Viz rovněž zpráva Agentury Evropské unie pro základní práva, Access to data protection remedies in EU Member States [Přístup k opravným prostředkům v souvislosti s ochranou údajů v členských státech EU], 2012, zejména s. 20 až 22.

17–      Viz výše, body 51, 57 a 58 tohoto stanoviska.

18–      Rozsudky ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650, bod 63), a ze dne 16. července 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559, bod 109).

19–      V některých případech má dotčený dozorový úřad právo (a měl by tedy mít možnost) předložit vedoucímu dozorovému úřadu návrh rozhodnutí: viz čl. 56 odst. 2 až 4 GDPR.

20–      Viz v tomto smyslu bod 125 odůvodnění GDPR.

21–      Rozsudek ze dne 16. července 2020 (C‑311/18, EU:C:2020:559, bod 120) (kurzivou zvýraznil autor tohoto stanoviska). Obdobně, pokud jde o vyjasnění toho, že příslušný dozorový úřad je povinen reagovat na porušení GDPR a zvolit za tímto účelem nejvhodnější prostředky, viz stanovisko generálního advokáta H. Saugmandsgaarda Øe ve věci Facebook Ireland a Schrems (C‑311/18, EU:C:2019:1145, body 147 a 148). Srov. tyto teze s rozsudkem ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650, bod 65), ve kterém Soudní dvůr uvedl, že podle směrnice 95/46 musí mít (jakýkoli) vnitrostátní orgán dozoru možnost obrátit se na soud.

22–      Viz slavná hláška z filmu „Hodný, zlý a ošklivý“ (film z roku 1966 režírovaný Sergio Leonem, v hlavních rolích Clint Eastwood, Lee Van Cleef a Eli Wallach, produkovaný společnostmi Produzioni Europee Associate a United Artists).

23–      Článek 68 GDPR.

24–      Viz zejména čl. 70 odst. 1 písm. a) GDPR.

25–      Viz důvodová zpráva k dokumentu Komise, návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů), COM(2012) 11 final. Viz též body 10, 13 a 123 odůvodnění GDPR.

26–      K této otázce viz obecně Giurgiu, A. a Larsen, T., „Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More ‚European‘ DPAs as Guardians of Consistency?“ European Data Protection Law Review, 2016, s. 342–352, na s. 349; a Voigt, P., von dem Bussche, A., The EU General Data Protection Regulation (GDPR) – A Practical Guide, Springer, 2017, s. 190–192.

27–      Rozsudek ze dne 1. října 2015 (C‑230/14, EU:C:2015:639, body 42 až 60).

28–      Rozsudek ze dne 5. června 2018 (C‑210/16, EU:C:2018:388, body 65 až 74).

29–      Viz například Miglio, A., „The Competence of Supervisory Authorities and the One-stop-shop Mechanism“, in EU Law Live – Weekend edition, č. 28, 2020, s. 10 až 14, na s. 11.

30–      Viz stanovisko generálního advokáta Y. Bota ve věci Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, bod 103).

31–      Rozsudek ze dne 24. září 2019 (C‑507/17, EU:C:2019:772, bod 68).

32–      C‑311/18, EU:C:2019:1145, bod 155.

33–      Viz body 97 a 98 odůvodnění návrhu Komise (viz výše, poznámka pod čarou 25).

34–      Viz dokumenty Rady 15656/1/14 REV 1 ze dne 28. listopadu 2014 a 16526/14 ze dne 4. a 5. prosince 2014, s. 2, 8 a 9.

35–      Tamtéž, s. 1.

36–      Viz dokument Rady 5419/1/16 REV 1 ze dne 8. dubna 2016, s. 203 až 205.

37–      Viz výše, bod 45 tohoto stanoviska.

38–      Dokument Rady 15656/1/14 REV 1 ze dne 28. listopadu 2014, s. 2.

39–      Viz dokument A7–0402/2013 ze dne 22. listopadu 2013, který se o mechanismu jediného kontaktního místa zmiňoval jako o „velkém kroku směrem k jednotnému uplatňování právních předpisů o ochraně osobních údajů v celé EU“.

40–      Dokument EP-PE_TC1-COD(2012)0011 ze dne 12. března 2014 (viz zvláště pozměňovací návrhy 148, 149, 158, 159 a 167).

41–      Ve stejném duchu jednoduše předpokládám, že dovolávanými ustanoveními a právy dle Listiny jsou práva subjektů údajů, které má dozorový úřad chránit, tedy že nositelem těchto práv není samotný dozorový úřad. Myšlenka, podle které by byla základní (lidská) práva přiznána správním úřadům, tedy subjektům pod kontrolou státu, jichž by se tyto úřady mohly dovolávat proti státu (resp. vzájemně proti sobě nebo, v případě horizontálního přímého účinku, dokonce i proti jednotlivcům), je skutečně poněkud zvláštní. Podle mého názoru by odpověď měla být jasně záporná, ale připouštím, že přístupy zastávané v jednotlivých členských státech se různí. Ať je tomu jakkoli, v kontextu projednávané věci není rozhodně nutno se touto otázkou zabývat.

42–      V tomto smyslu viz rozsudek ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650, bod 39).

43–      Viz body 7, 9 a 10 odůvodnění GDPR (kurzivou zvýraznil autor tohoto stanoviska).

44–      Viz v tomto smyslu body 10, 11 a 13 odůvodnění GDPR.

45–      Kurzivou zvýraznil autor tohoto stanoviska.

46–      V tomto smyslu viz rozsudek ze dne 27. září 2017, Puškár (C‑73/16, EU:C:2017:725, body 54 až 76 a citovaná judikatura).

47–      Viz článek 79, jakož i bod 145 odůvodnění GDPR.

48–      Vezmeme-li v úvahu také to, že z praktického hlediska se toto řešení shoduje s tím, co by obvykle bylo (skutečně ochranným) fórem (actoris) ve spotřebitelských smlouvách uzavřených v režimu nařízení Brusel – viz obecně rozsudek ze dne 25. ledna 2018, Schrems (C‑498/16, EU:C:2018:37).

49–      Viz body 141 a 143 odůvodnění GDPR, jakož i rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559, bod 110).

50–      Viz bod 143 odůvodnění a článek 78 GDPR.

51–      Pokud jde o takový přístup v jiném (decentralizovaném) regulačním kontextu, viz mé stanovisko ve věci Astellas Pharma (C‑557/16, EU:C:2017:957).

52–      Pokud jde o druhý uvedený stupeň, čl. 78 odst. 4 uvádí, že „[j]e-li zahájeno řízení proti rozhodnutí dozorového úřadu, kterému předcházelo stanovisko nebo rozhodnutí sboru v rámci mechanismu jednotnosti, dozorový úřad toto stanovisko nebo rozhodnutí předloží soudu“. Prakticky to bude patrně jediný prostředek soudního přezkumu rozhodnutí sboru, jelikož – jak zlověstně potvrzuje bod 143 odůvodnění GDPR – „každá fyzická nebo právnická osoba“ (tedy včetně subjektů údajů) může, jsou-li splněny podmínky stanovené v článku 263 SFEU, napadnout právně závazné rozhodnutí sboru u unijního soudu. Nicméně vzhledem k restriktivnímu výkladu podmínek aktivní legitimace jednotlivců uvedených v čl. 263 čtvrtém pododstavci SFEU ze strany Soudního dvora není snadné určit situace, ve kterých by mohli být jednotlivci považováni za bezprostředně dotčené rozhodnutími sboru, neboť tato rozhodnutí budou muset být v každém případě „použita“ na situaci určitého subjektu údajů následným rozhodnutím vedoucího dozorového úřadu nebo některého dotčeného dozorového úřadu. V takové situaci, stejně jako v řadě jiných oblastí unijního práva [pokud jde o kritiku této struktury, viz mé stanovisko ve věci Région de Bruxelles-Capitale v. Komise (C‑352/19 P, EU:C:2020:588, body 137 až 147)], by totiž jediným prostředkem nápravy proti rozhodnutí sboru bylo v konečném důsledku rozhodnutí o předběžné otázce podle článku 267 SFEU, omezené na případy, kdy by některý zvídavější vnitrostátní soud chtěl „zaštítit“ svůj vlastní soudní přezkum „předloženým“ stanoviskem sboru dle čl. 78 odst. 4 GDPR, které by před něj položil vnitrostátní dozorový úřad.

53–      Viz zejména čl. 60 odst. 1 GDPR.

54–      Hijmans, H., „Comment to Article 56 of the GDPR“, in Kuner, C., Bygrave, L., Docksey, C. (eds), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, s. 918.

55–      Hustinx, P., „EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation“, in Cremona, M. (ed.), New Technologies and EU Law, 2017, Oxford University Press, Oxford, s. 123.

56–      Pokud jde o tento výraz, viz Rada, „Orientační rozprava o mechanismu jediného kontaktního místa“, 10139/14 ze dne 26. května 2014, s. 4.

57–      Viz například rozsudek ze dne 9. března 2010, Komise v. Německo (C‑518/07, EU:C:2010:125, bod 24). Nověji viz rozsudek ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650, bod 42).

58–      Viz výše, bod 4 tohoto stanoviska.

59–      Kurzivou zvýraznil autor tohoto stanoviska.

60–      V tomto kontextu bych pouze dodal, že dozorové úřady, které obdrží stížnost – bez ohledu na to, zda mají postavení vedoucího dozorového úřadu nebo dotčeného dozorového úřadu – jsou nejen povinny posoudit tuto stížnost s řádnou péčí (viz výše, bod 69 tohoto stanoviska), ale jsou rovněž povinny „s veškerou náležitou péčí splnit svůj úkol vymáhat uplatňování GDPR“ [v tomto smyslu viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559, bod 112)] (kurzivou zvýraznil autor tohoto stanoviska).

61–      Kurzivou zvýraznil autor tohoto stanoviska.

62–      Kurzivou zvýraznil autor tohoto stanoviska.

63–      Viz Tosoni, L., „Comment to Article 60 of GDPR“, in Kuner, C., Bygrave, L., Docksey, C. (eds), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, s. 969.

64–      Kurzivou zvýraznil autor tohoto stanoviska.

65–      V závislosti na tom, jak uvádí bod 138 odůvodnění GDPR, o jaký druh opatření by se jednalo. Reálně by však bylo poněkud překvapivé, pokud by se vedoucí dozorový úřad rozhodl rozhodnutí sboru, byť není dle GDPR formálně závazné, nevzít v úvahu (zejména z toho důvodu, že rozhodnutí, které není závazné v prvním kole, se může takovým stát v kole dalším).

66–      Podobně a podrobněji viz Van Eecke, P., Šimkus, A., „Comment to Article 64“, in Kuner, C., Bygrave, L., Docksey, C. (eds), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, s. 1011.

67–      Viz výše, body 106 a 107 tohoto stanoviska.

68–      Viz výše, body 35 až 38 tohoto stanoviska.

69–      Viz též dokument pracovní skupiny pro ochranu údajů zřízené podle článku 29, Pokyny pro určení vedoucího dozorového úřadu správce nebo zpracovatele, WP 244 rev.01 ze dne 5. dubna 2017, s. 10.

70–      Kromě toho netvrdím, že výše uvedené příklady jsou taxativním výčtem. Nemohla by nastat další situace, kdy by konečné rozhodnutí přijaté v dané věci týkající se přeshraničního zpracování – ať již na základě dohody mezi vedoucím dozorovým úřadem a dotčenými dozorovými úřady, nebo v návaznosti na vyřešení sporu sborem – některý dotčený dozorový úřad či více těchto úřadů pověřilo provedením určitých donucovacích úkonů na jejich příslušných územích, včetně například zahájení soudního řízení?

71–      Jak je uvedeno výše v bodech 31 až 38 tohoto stanoviska.

72–      Výše, body 32 až 33 tohoto stanoviska.

73–      Jak by mělo obecně platit pro jakékoli zpracování jako takové, jakož i definici (společného) správce provádějícího toto zpracování. Účinný dozor nad účely a prostředky zpracování je nutno posuzovat vzhledem k danému zpracování, nikoliv abstraktně, staticky, ve vztahu k nedefinovanému „zpracování“ – viz rozsudek ze dne 29. července 2019, Fashion ID (C‑40/17, EU:C:2019:629, body 71 až 74).

74–      Viz výše, body 111 a 112 tohoto stanoviska.

75–      Viz výše, body 45 a 84 tohoto stanoviska.

76–      Čímž se nepřímo vracím k původnímu problému, za co přesně je tedy taková provozovna v tomto členském státě vlastně stíhána po nabytí účinnosti GDPR, jak již bylo analyzováno v bodech 32 až 34 tohoto stanoviska.

77–      Rozsudek ze dne 5. června 2018 (C‑210/16, EU:C:2018:388).

78–      Srov. zejména nový čl. 3 odst. 1 se starým čl. 4 odst. 1 písm. a), jakož i nový čl. 58 odst. 6 se starým čl. 28 odst. 3 třetí odrážkou.

79–      Jak je však uvedeno v poznámce pod čarou 70, je stejně tak myslitelné, že koordinované rozhodování může vést ke koordinovaným donucovacím opatřením.

80–      Obdobně viz rozsudek ze dne 14. února 2012, Toshiba Corporation a další (C‑17/10, EU:C:2012:72, zejména bod 60).

81–      Pokud jde o důkladnou analýzu s příklady, viz mé stanovisko ve věci Nemec (C‑256/15, EU:C:2016:619, body 27 až 44).

82–      Viz též výše, bod 34 tohoto stanoviska.

83–      Podrobněji viz mé stanovisko ve věci Klohn (C‑167/17, EU:C:2018:387, body 36 až 46).

84–      Přičemž přímá použitelnost samozřejmě není přímým účinkem a stejné podmínky přímého účinku se použijí na ustanovení nařízení, která předvídají nebo vyžadují jejich provedení – viz například rozsudky ze dne 11. ledna 2001, Monte Arcosu (C‑403/98, EU:C:2001:6, body 26 až 28); ze dne 28. října 2010, SGS Belgium a další (C‑367/09, EU:C:2010:648, bod 33 a násl.); nebo ze dne 14. dubna 2011, Vlaamse Dierenartsenvereniging a Janssens (C‑42/10, C‑45/10 a C‑57/10, EU:C:2011:253, body 48 až 50).