Language of document : ECLI:EU:C:2021:483

DOMSTOLENS DOM (Store Afdeling)

15. juni 2021 (*)

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – forordning (EU) 2016/679 – grænseoverskridende behandling af personoplysninger – »one-stop-shop«-mekanismen – effektivt og loyalt samarbejde mellem tilsynsmyndighederne – kompetencer og beføjelser – beføjelse til at indlede og deltage i retssager«

I sag C-645/19,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af hof van beroep te Brussel (appeldomstolen i Bruxelles, Belgien) ved afgørelse af 8. maj 2019, indgået til Domstolen den 30. august 2019, i sagen

Facebook Ireland Ltd,

Facebook Inc.,

Facebook Belgium BVBA

mod

Gegevensbeschermingsautoriteit,

har

DOMSTOLEN (Store Afdeling),

sammensat af præsidenten, K. Lenaerts, vicepræsidenten, R. Silva de Lapuerta, afdelingsformændene A. Arabadjiev, A. Prechal, M. Vilaras, M. Ilešič og N. Wahl samt dommerne E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P.G. Xuereb og L.S. Rossi (refererende dommer),

generaladvokat: M. Bobek,

justitssekretær: ekspeditionssekretær M. Ferreira,

på grundlag af den skriftlige forhandling og efter retsmødet den 5. oktober 2020,

efter at der er afgivet indlæg af:

–        Facebook Ireland Ltd, Facebook Inc. og Facebook Belgium BVBA ved advocaten S. Raes, P. Lefebvre og D. Van Liedekerke,

–        Gegevensbeschermingsautoriteit ved advocaten F. Debusseré og R. Roex,

–        den belgiske regering ved J.-C. Halleux, P. Cottin og C. Pochet, som befuldmægtigede, bistået af advocaat P. Paepe,

–        den tjekkiske regering ved M. Smolek, O. Serdula og J. Vláčil, som befuldmægtigede,

–        den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocato dello Stato G. Natale,

–        den polske regering ved B. Majczyna, som befuldmægtiget,

–        den portugisiske regering ved L. Inez Fernandes, C. Guerra, P. Barros da Costa og L. Medeiros, som befuldmægtigede,

–        den finske regering ved A. Laine og M. Pere, som befuldmægtigede,

–        Europa-Kommissionen ved H. Kranenborg, D. Nardi og P.J.O. Van Nuffel, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 13. januar 2021,

afsagt følgende

Dom

1        Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 55, stk. 1, artikel 56-58 og artikel 60-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2), sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«).

2        Anmodningen er blevet indgivet i forbindelse med en tvist mellem Facebook Ireland Ltd, Facebook Inc. og Facebook Belgium BVBA på den ene side og Gegevensbeschermingsautoriteit (databeskyttelsesmyndighed, Belgien) (herefter »databeskyttelsesmyndigheden«), der har efterfulgt Commissie ter bescherming van de Persoonlijke Levenssfeer (kommission for beskyttelse af privatlivets fred, Belgien) (herefter »CBPL«), på den anden side angående et søgsmål med påstand om forbud anlagt af denne sidstnævnte kommissions formand med henblik på at standse behandlingen af personoplysninger vedrørende internetbrugere på det belgiske område, der sker via det sociale onlinenetværk Facebook ved hjælp af cookies, sociale moduler (social plug-ins) og pixels.

 Retsforskrifter

 EU-retten

3        Følgende fremgår af 1., 4., 10., 11., 13., 22., 123., 141. og 145. betragtning til forordning 2016/679:

»(1)      Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i [chartret] og i artikel 16, stk. 1, [TEUF] fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

[…]

(4)      Behandling af personoplysninger bør have til formål at tjene menneskeheden. Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i chartret som forankret i traktaterne, navnlig respekten for privatliv og familieliv, hjem og kommunikation, beskyttelsen af personoplysninger, retten til at tænke frit, til samvittigheds- og religionsfrihed, ytrings- og informationsfrihed, frihed til at oprette og drive egen virksomhed, adgang til effektive retsmidler og til en retfærdig rettergang og kulturel, religiøs og sproglig mangfoldighed.

[…]

(10)      For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for [Den Europæiske Union] bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. […]

(11)      For at sikre effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke og præcisere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om behandling af personoplysninger, samt at der gives tilsvarende beføjelser til at føre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger og indføres tilsvarende sanktioner ved overtrædelser i medlemsstaterne.

[…]

(13)      For at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og for at hindre, at forskelle hæmmer den frie udveksling af personoplysninger på det indre marked, er der behov for en forordning for at skabe retssikkerhed og gennemsigtighed for erhvervsdrivende, herunder mikrovirksomheder og små og mellemstore virksomheder, at give fysiske personer i alle medlemsstaterne det samme niveau af rettigheder, som kan håndhæves, og forpligtelser og ansvar for dataansvarlige og databehandlere og at sikre konsekvent tilsyn med behandling af personoplysninger og tilsvarende sanktioner i alle medlemsstaterne samt effektivt samarbejde mellem tilsynsmyndighederne i de forskellige medlemsstater. […]

[…]

(22)      Enhver behandling af personoplysninger, som foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Unionen, bør gennemføres i overensstemmelse med denne forordning, uanset om selve behandlingen finder sted i Unionen. Etablering indebærer effektiv og faktisk udøvelse af aktivitet gennem en mere permanent struktur. De pågældende ordningers retlige form, hvad enten det er en filial eller et datterselskab med status som juridisk person, har ikke afgørende betydning i denne forbindelse.

[…]

(123)      Tilsynsmyndighederne bør føre tilsyn med anvendelsen af bestemmelserne i henhold til denne forordning og bidrage til ensartet anvendelse heraf i hele Unionen for at beskytte fysiske personer i forbindelse med behandling af deres personoplysninger og lette fri udveksling af personoplysninger på det indre marked. Til det formål bør tilsynsmyndighederne samarbejde med hinanden og [Europa-]Kommissionen, uden at der er behov for en aftale mellem medlemsstater om gensidig bistand eller om et sådant samarbejde.

[…]

(141)      Enhver registreret bør have ret til at indgive klage til en enkelt tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted, og have adgang til effektive retsmidler i overensstemmelse med artikel 47 i chartret, hvis den registrerede finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder. […]

[…]

(145)      For så vidt angår sager mod en dataansvarlig eller databehandler bør sagsøger have valget mellem at indbringe sagen for domstolene i de medlemsstater, hvor den dataansvarlige eller databehandleren er etableret, eller i den medlemsstat, hvor den registrerede er bosiddende, medmindre den dataansvarlige er en offentlig myndighed i en medlemsstat og udøver offentligretlige beføjelser.«

4        Denne forordnings artikel 3 med overskriften »Territorialt anvendelsesområde« bestemmer i stk. 1:

»Denne forordning finder anvendelse på behandling af personoplysninger, som foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen eller ej.«

5        I nævnte forordnings artikel 4, nr. 16), defineres begrebet »hovedvirksomhed«, og i artikel 4, nr. 23), defineres begrebet »grænseoverskridende behandling« på følgende måde:

»16)      »hovedvirksomhed«:

a)      for så vidt angår en dataansvarlig som er etableret i mere end én medlemsstat, stedet for dennes centrale administration i Unionen, medmindre beslutninger vedrørende formål og hjælpemidler i forbindelse med behandling af personoplysninger træffes i en anden af den dataansvarliges etableringer i Unionen, og sidstnævnte etablering har beføjelse til få sådanne beslutninger gennemført; i så fald anses den etablering, der har truffet sådanne beslutninger, for hovedvirksomheden

b)      for så vidt angår en databehandler som er etableret i mere end én medlemsstat, stedet for dennes centrale administration i Unionen, eller, hvis denne ikke har en central administration i Unionen, den etablering i Unionen, hvor databehandlerens hovedbehandlingsaktiviteter foretages i databehandlerens egenskab af at være databehandler, i det omfang databehandleren er underlagt specifikke forpligtelser i henhold til denne forordning

[…]

23)      »grænseoverskridende behandling«

a)      behandling af personoplysninger, der finder sted som led i aktiviteter, som udføres for en dataansvarligs eller en databehandlers virksomheder i mere end én medlemsstat i Unionen, hvor den dataansvarlige eller databehandleren er etableret i mere end én medlemsstat, eller

b)      behandling af personoplysninger, der finder sted som led i aktiviteter, som udføres for en dataansvarligs eller en databehandlers eneste etablering i Unionen, men som i væsentlig grad påvirker eller sandsynligvis i væsentlig grad vil kunne påvirke registrerede i mere end én medlemsstat«.

6        Samme forordnings artikel 51 med overskriften »Tilsynsmyndighed« fastsætter:

»1.      Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen […]

2.      Hver enkelt tilsynsmyndighed bidrager til ensartet anvendelse af denne forordning i hele Unionen. Til dette formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen i henhold til kapitel VII.

[…]«

7        Artikel 55 i forordning 2016/679 med overskriften »Kompetence«, som er indeholdt i denne forordnings kapitel VI, der har overskriften »Uafhængige tilsynsmyndigheder«, bestemmer:

»1.      Hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.

2.      Hvis behandling foretages af offentlige myndigheder eller af private organer, der handler på grundlag af artikel 6, stk. 1, litra c) eller e), er tilsynsmyndigheden i den pågældende medlemsstat kompetent. I så fald finder artikel 56 ikke anvendelse.«

8        Denne forordnings artikel 56 med overskriften »Den ledende tilsynsmyndigheds kompetence« har følgende ordlyd:

»1.      Uden at det berører artikel 55, er tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering kompetent til at fungere som ledende tilsynsmyndighed for den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler efter proceduren i artikel 60.

2.      Uanset stk. 1 er hver tilsynsmyndighed kompetent til at behandle en indgivet klage eller en eventuel overtrædelse af denne forordning, hvis genstanden alene vedrører en etablering i dens medlemsstat eller alene i væsentlig grad påvirker registrerede i dens medlemsstat.

3.      I de i denne artikels stk. 2 omhandlede tilfælde underretter tilsynsmyndigheden straks den ledende tilsynsmyndighed om dette forhold. Den ledende tilsynsmyndighed beslutter inden for en frist på tre uger efter at være blevet underrettet, om den vil behandle sagen efter proceduren i artikel 60 under hensyntagen til, hvorvidt den dataansvarlige eller databehandleren er etableret i den underrettende tilsynsmyndigheds medlemsstat.

4.      Hvis den ledende tilsynsmyndighed beslutter at behandle sagen, finder proceduren i artikel 60 anvendelse. Den tilsynsmyndighed, der underrettede den ledende tilsynsmyndighed, kan forelægge den ledende tilsynsmyndighed et udkast til afgørelse. Den ledende tilsynsmyndighed tager størst muligt hensyn til dette udkast, når den udarbejder udkastet til afgørelse, jf. artikel 60, stk. 3.

5.      Beslutter den ledende tilsynsmyndighed ikke at behandle sagen, behandler den tilsynsmyndighed, der forelagde sagen for den ledende tilsynsmyndighed, sagen i overensstemmelse med artikel 61 og 62.

6.      Den ledende tilsynsmyndighed er den dataansvarliges eller databehandlerens eneste kontakt i forbindelse med den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler.«

9        Artikel 57 i forordning 2016/679 med overskriften »Opgaver« bestemmer i stk. 1:

»Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:

a)      føre tilsyn med og håndhæve anvendelsen af denne forordning

[…]

g)      samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand, med henblik på at sikre ensartet anvendelse og håndhævelse af denne forordning

[…]«

10      Samme forordnings artikel 58 med overskriften »Beføjelser« fastsætter i stk. 1, 4 og 5:

»1.      Hver tilsynsmyndighed har alle af følgende undersøgelsesbeføjelser:

a)      at give den dataansvarlige og databehandleren samt den dataansvarliges eller databehandlerens eventuelle repræsentant påbud om at give alle oplysninger, der kræves til udførelse af myndighedens opgaver

[…]

d)      at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af denne forordning

[…]

4.      Udøvelse af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, der er fastsat i EU-retten eller medlemsstaternes nationale ret i overensstemmelse med chartret.

5.      Hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.«

11      I kapitel VII i forordning 2016/679 med overskriften »Samarbejde og sammenhæng« indeholder afdeling 1 med overskriften »Samarbejde« denne forordnings artikel 60-62. Denne artikel 60 med overskriften »Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder« bestemmer:

»1.      Den ledende tilsynsmyndighed samarbejder i henhold til denne artikel med de andre berørte tilsynsmyndigheder med henblik på at nå til enighed. Den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder udveksler alle relevante oplysninger med hinanden.

2.      Den ledende tilsynsmyndighed kan til enhver tid anmode andre berørte tilsynsmyndigheder om at yde gensidig bistand i henhold til artikel 61 og kan gennemføre fælles aktiviteter i henhold til artikel 62, navnlig med henblik på at foretage undersøgelser eller overvåge gennemførelsen af en foranstaltning vedrørende en dataansvarlig eller en databehandler, der er etableret i en anden medlemsstat.

3.      Den ledende tilsynsmyndighed underretter straks de andre berørte tilsynsmyndigheder om sagens relevante oplysninger. Den forelægger straks de andre berørte tilsynsmyndigheder et udkast til afgørelse med henblik på deres udtalelse og tager behørigt hensyn til deres synspunkter.

4.      Hvis en af de andre berørte tilsynsmyndigheder inden for fire uger efter at være blevet hørt, jf. denne artikels stk. 3, fremkommer med en relevant og begrundet indsigelse mod udkastet til afgørelse, forelægger den ledende tilsynsmyndighed, hvis den ikke følger den relevante og begrundede indsigelse eller er af den opfattelse, at indsigelsen ikke er relevant eller begrundet, sagen for den sammenhængsmekanisme, der er omhandlet i artikel 63.

5.      Agter den ledende tilsynsmyndighed at følge den relevante og begrundede indsigelse, forelægger den de andre berørte tilsynsmyndigheder et revideret udkast til afgørelse med henblik på deres udtalelse. Dette reviderede udkast til afgørelse er underlagt den i stk. 4 omhandlede procedure inden for en frist på to uger.

6.      Har ingen af de andre berørte tilsynsmyndigheder gjort indsigelse mod udkastet til afgørelse, som den ledende tilsynsmyndighed har forelagt inden for den frist, der er omhandlet i stk. 4 og 5, anses den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder for at være enige i dette udkast til afgørelse og er bundet af det.

7.      Den ledende tilsynsmyndighed vedtager og meddeler afgørelsen til den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering, alt efter omstændighederne, og underretter de andre berørte tilsynsmyndigheder og [Det Europæiske Databeskyttelsesråd] om den pågældende afgørelse, herunder et resumé af de relevante faktiske omstændigheder og begrundelser. Den tilsynsmyndighed, til hvilken der er indgivet klage, underretter klageren om afgørelsen.

8.      Hvis en klage er blevet afslået eller afvist, vedtager den tilsynsmyndighed, til hvilken klagen er indgivet, uanset stk. 7, afgørelsen og meddeler denne til klageren og underretter den dataansvarlige herom.

9.      Hvis den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder er enige om at afslå eller afvise dele af en klage og at behandle andre dele af klagen, vedtages der en særskilt afgørelse for hver af disse dele af sagen. […]

10.      Den dataansvarlige eller databehandleren træffer efter at være blevet underrettet om den ledende tilsynsmyndigheds afgørelse i henhold til stk. 7 og 9 de nødvendige foranstaltninger til at sikre overholdelse af afgørelsen for så vidt angår behandlingsaktiviteter i forbindelse med alle vedkommendes etableringer i Unionen. Den dataansvarlige eller databehandleren underretter den ledende tilsynsmyndighed, der underretter de andre berørte tilsynsmyndigheder, om de foranstaltninger, der er truffet for at overholde afgørelsen.

11.      Hvis en berørt tilsynsmyndighed under ekstraordinære omstændigheder har grund til at mene, at det er nødvendigt at handle omgående for at beskytte registreredes interesser, finder den i artikel 66 omhandlede hasteprocedure anvendelse.

[…]«

12      Nævnte forordnings artikel 61 med overskriften »Gensidig bistand« fastsætter i stk. 1:

»Tilsynsmyndighederne udveksler relevante oplysninger og yder hinanden gensidig bistand med henblik på at gennemføre og anvende denne forordning på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger, som f.eks. anmodninger om gennemførelse af forudgående godkendelser og høringer, inspektioner og undersøgelser.«

13      Samme forordnings artikel 62 med overskriften »Tilsynsmyndigheders fælles aktiviteter« fastsætter:

»1.      Hvis det er hensigtsmæssigt, gennemfører tilsynsmyndighederne fælles aktiviteter, herunder fælles undersøgelses- og håndhævelsesforanstaltninger, som medlemmer eller medarbejdere fra andre medlemsstaters tilsynsmyndigheder deltager i.

2.      Hvis den dataansvarlige eller databehandleren har etableringer i flere medlemsstater, eller hvor et betydeligt antal registrerede i mere end én medlemsstat sandsynligvis påvirkes i væsentlig grad af behandlingsaktiviteter, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles aktiviteter. […]

[…]«

14      Afdeling 2 med overskriften »Sammenhæng«, som indgår i kapitel VII i forordning 2016/679, indeholder denne forordnings artikel 63-67. Denne artikel 63 med overskriften »Sammenhængsmekanisme« har følgende ordlyd:

»Med henblik på at bidrage til en ensartet anvendelse af denne forordning i hele Unionen samarbejder tilsynsmyndighederne med hinanden og, hvis det er relevant, med Kommissionen gennem den sammenhængsmekanisme, der er omhandlet i denne afdeling.«

15      Nævnte forordnings artikel 64, stk. 2, har følgende ordlyd:

»En tilsynsmyndighed, formanden for [Det Europæiske Databeskyttelsesråd] (1) eller Kommissionen kan kræve, at ethvert almengyldigt spørgsmål eller ethvert spørgsmål, der har virkninger i mere end én medlemsstat, drøftes af [Det Europæiske Databeskyttelsesråd] med henblik på en udtalelse, navnlig hvis en kompetent tilsynsmyndighed ikke opfylder forpligtelserne vedrørende gensidig bistand, jf. artikel 61, eller vedrørende fælles aktiviteter, jf. artikel 62.«

16      Samme forordnings artikel 65 med overskriften »Tvistbilæggelse ved Databeskyttelsesrådet« bestemmer i stk. 1:

»Med henblik på at sikre korrekt og konsekvent anvendelse af denne forordning i hvert enkelt tilfælde vedtager [Det Europæiske Databeskyttelsesråd] en bindende afgørelse i følgende tilfælde:

a)      hvis en berørt tilsynsmyndighed i et tilfælde som omhandlet i artikel 60, stk. 4, er fremkommet med en relevant og begrundet indsigelse mod et udkast til afgørelse udarbejdet af den ledende tilsynsmyndighed, og den ledende tilsynsmyndighed ikke har fulgt indsigelsen eller har afvist en sådan indsigelse som værende uden relevans eller ubegrundet. Den bindende afgørelse skal vedrøre alle spørgsmål, der er genstand for den relevante og begrundede indsigelse, navnlig hvorvidt denne forordning er overtrådt

b)      hvis der er uenighed om, hvilken af de berørte tilsynsmyndigheder der er kompetent med hensyn til hovedvirksomheden

[…]«

17      Artikel 66 i forordning 2016/679, der har overskriften »Hasteprocedure«, bestemmer i stk. 1 og 2:

»1.      Når en berørt tilsynsmyndighed under ekstraordinære omstændigheder mener, at det er nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder, kan den uanset den i artikel 63, 64 og 65 omhandlede sammenhængsmekanisme eller den i artikel 60 omhandlede procedure omgående træffe foreløbige foranstaltninger, der skal have retsvirkning på dens eget område med en angivet gyldighedsperiode, som ikke må overstige tre måneder. Tilsynsmyndigheden meddeler straks de andre berørte tilsynsmyndigheder, [Det Europæiske Databeskyttelsesråd] og Kommissionen disse foranstaltninger og en begrundelse for vedtagelsen heraf.

2.      Hvis en tilsynsmyndighed har vedtaget en foranstaltning i henhold til stk. 1 og mener, at der omgående skal vedtages endelige foranstaltninger, kan den anmode om en hasteudtalelse eller en hurtig bindende afgørelse fra [Det Europæiske Databeskyttelsesråd], idet tilsynsmyndigheden begrunder anmodningen om en sådan udtalelse eller afgørelse.«

18      Denne forordnings artikel 77, der har overskriften »Ret til at indgive klage til en tilsynsmyndighed«, fastsætter:

»1.      Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.

2.      Den tilsynsmyndighed, som klagen er indgivet til, underretter klageren om forløbet og resultatet af klagen, herunder om muligheden for anvendelse af retsmidler, jf. artikel 78.«

19      Nævnte forordnings artikel 78, der har overskriften »Adgang til effektive retsmidler over for en tilsynsmyndighed«, bestemmer:

»1.      Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller juridisk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.

2.      Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 55 og 56, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage, der er indgivet i henhold til artikel 77, inden for tre måneder.

3.      En sag mod en tilsynsmyndighed anlægges ved en domstol i den medlemsstat, hvor tilsynsmyndigheden er etableret.

4.      Hvis sag anlægges mod en afgørelse fra en tilsynsmyndighed, der er truffet efter en udtalelse eller en afgørelse fra [Det Europæiske Databeskyttelsesråd] i forbindelse med sammenhængsmekanismen, fremsender tilsynsmyndigheden denne udtalelse eller afgørelse til domstolen.«

20      Nævnte forordnings artikel 79 med overskriften »Adgang til effektive retsmidler over for en dataansvarlig eller databehandler« har følgende ordlyd:

»1.      Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 77, skal den enkelte registrerede have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med denne forordning.

2.      En sag mod en dataansvarlig eller en databehandler anlægges ved en domstol i den medlemsstat, hvor den dataansvarlige eller databehandleren er etableret. Alternativt kan en sådan sag anlægges ved en domstol i den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, medmindre den dataansvarlige eller databehandleren er en offentlig myndighed i en medlemsstat, der udøver sine offentligretlige beføjelser.«

 Belgisk ret

21      Wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (lov om beskyttelse af privatlivets fred med hensyn til behandling af personoplysninger) af 8. december 1992 (Belgisch Staatsblad, 18.3.1993, s. 5801), som ændret ved lov af 11. december 1998 (Belgisch Staatsblad, 3.2.1999, s. 3049) (herefter »lov af 8. december 1992«), gennemførte i belgisk ret Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

22      Ved lov af 8. december 1992 oprettedes CBPL, som er et uafhængigt organ, der har til opgave at sikre, at personoplysninger behandles i overensstemmelse med denne lov, således at borgernes privatliv bevares.

23      Artikel 32, stk. 3, i lov af 8. december 1992 bestemte følgende:

»Formanden for [CBPL] kan med forbehold af de almindelige domstoles kompetence under anvendelse af de generelle principper om beskyttelse af privatlivets fred indbringe enhver tvist om anvendelsen af denne lov og gennemførelsesbestemmelserne for retten i første instans.«

24      Wet tot oprichting van de Gegevensbeschermingsautoriteit (lov om oprettelse af databeskyttelsesmyndigheden) af 3. december 2017 (Belgisch Staatsblad af 10.1.2018, s. 989, herefter »lov af 3. december 2017«), der trådte i kraft den 25. maj 2018, indførte databeskyttelsesmyndigheden som tilsynsmyndighed som omhandlet i forordning 2016/679.

25      Artikel 3 i lov af 3. december 2017 fastsætter:

»I tilknytning til Repræsentantkammeret nedsættes en »databeskyttelsesmyndighed«. Den træder i stedet for [CBPL].«

26      Artikel 6 i lov af 3. december 2017 bestemmer:

»[Databeskyttelsesmyndigheden] har beføjelse til i medfør af denne lov og retsforskrifter med bestemmelser om beskyttelse i forbindelse med behandling af personoplysninger at indbringe krænkelser af grundprincipperne for beskyttelse af personoplysninger for domstolene og om nødvendigt indlede en retssag med henblik på at sikre håndhævelsen af disse grundprincipper.«

27      Der er ikke fastsat nogen særlig bestemmelse for de retslige procedurer, som CBPL’s formand allerede indledte den 25. maj 2018 på grundlag af artikel 32, stk. 3, i lov af 8. december 1992. Hvad alene angår de klager eller ansøgninger, der er indgivet til databeskyttelsesmyndigheden selv, bestemmer artikel 112 i lov af 3. december 2017:

»Kapitel VI finder ikke anvendelse på klager eller ansøgninger, der endnu verserede for [databeskyttelsesmyndigheden] på tidspunktet for denne lovs ikrafttræden. Klager eller ansøgninger som omhandlet i stk. 1 behandles af [databeskyttelsesmyndigheden] som retssuccessor for [CBPL] efter den procedure, der var gældende inden denne lovs ikrafttræden.«

28      Lov af 8. december 1992 blev ophævet ved wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (lov om beskyttelse af fysiske personer med hensyn til behandling af personoplysninger) af 30. juli 2018 (Belgisch Staatsblad, 5.9.2018, s. 68616, herefter »lov af 30. juli 2018«). Sidstnævnte lov tilsigter at gennemføre bestemmelserne i forordning 2016/679 i belgisk ret, som pålægger eller tillader medlemsstaterne at vedtage mere detaljerede regler som supplement til denne forordning.

 Tvisten i hovedsagen og de præjudicielle spørgsmål

29      Den 11. september 2015 anlagde CBPL’s formand et søgsmål med påstand om forbud mod Facebook Ireland, Facebook Inc. og Facebook Belgium ved Nederlandstalige rechtbank van eerste aanleg Brussel (den nederlandsksprogede ret i første instans i Bruxelles, Belgien). Da CBPL ikke har status som juridisk person, tilkom det komitéens formand at anlægge søgsmål med henblik på at sikre overholdelsen af lovgivningen om beskyttelse af personoplysninger. CBPL har imidlertid selv anmodet om frivillig intervention i den sag, der er anlagt af dens formand.

30      Dette søgsmål med påstand om forbud havde til formål at standse det forhold, som CBPL bl.a. beskrev som »Facebooks alvorlige og omfattende krænkelse af lovgivningen om beskyttelse af privatlivets fred«, der består i, at dette sociale onlinenetværk indsamler oplysninger om adfærden hos såvel indehavere af en Facebook-konto som ikke-brugere af Facebook-tjenesterne ved hjælp af forskellige teknologier, såsom cookies, sociale plug-ins (f.eks. knapperne »synes godt om« eller »del«) eller via pixels. Disse elementer gør det muligt for det pågældende sociale netværk at indhente visse oplysninger fra en internetbruger, der besøger en side på et websted, som indeholder dem, såsom adressen på denne side, »IP-adressen« for den besøgende på den nævnte side samt datoen og tidspunktet for det pågældende besøg.

31      Ved dom af 16. februar 2018 erklærede Nederlandstalige rechtbank van eerste aanleg Brussel (den nederlandsksprogede ret i første instans i Bruxelles) sig kompetent til at træffe afgørelse om det nævnte søgsmål med påstand om forbud, for så vidt som det vedrørte Facebook Ireland, Facebook Inc. og Facebook Belgium, og afviste CBPL’s anmodning om frivillig intervention.

32      Med hensyn til realiteten fastslog denne ret, at det pågældende sociale netværk ikke i tilstrækkelig grad oplyste de belgiske internetbrugere om indsamlingen af de pågældende oplysninger og brugen af disse oplysninger. I øvrigt blev det af internetbrugerne afgivne samtykke til indsamling og behandling af de nævnte oplysninger anset for ugyldigt. Facebook Ireland, Facebook Inc. og Facebook Belgium blev derfor for det første pålagt at ophøre med at placere cookies, der forbliver aktive i to år, på enheder tilhørende internetbrugere på den belgiske stats område uden deres samtykke, når brugerne besøger en webside på Facebook.com-domænet eller et websted tilhørende tredjemand, samt ophøre med i større omfang at placere cookies og at indsamle oplysninger ved hjælp af sociale plug-ins, pixels eller lignede teknologier på tredjemands websteder, under hensyntagen til de formål, der forfølges det sociale netværk Facebook, for det andet at ophøre med at give informationer, der formodentlig kan være vildledende for de omhandlede personer for så vidt angår det reelle omfang de mekanismer, som dette sociale netværk stiller til rådighed med henblik på brugen af cookies og for det tredje at destruere alle de personoplysninger, der er indhentet via cookies og sociale plug-ins.

33      Den 2. marts 2018 iværksatte Facebook Ireland, Facebook Inc. og Facebook Belgium appel til prøvelse af denne dom ved hof van beroep te Brussel (appeldomstolen i Bruxelles, Belgien). Databeskyttelsesmyndigheden optræder ved denne ret som retssuccessor for såvel CBPL’s formand, som havde anlagt søgsmålet med påstand om forbud, som for selve CBPL.

34      Den forelæggende ret erklærede sig alene kompetent til at træffe afgørelse om den iværksatte appel, for så vidt som denne vedrørte Facebook Belgium. Den erklærede sig derimod inkompetent til at behandle denne appel for så vidt angår Facebook Ireland og Facebook Inc.

35      Inden der træffes afgørelse om realiteten i hovedsagen, ønsker den forelæggende ret oplyst, om databeskyttelsesmyndigheden har den krævede søgsmålskompetence og søgsmålsinteresse. Facebook Belgium er af den opfattelse, at det anlagte søgsmål med påstand om forbud ikke kan antages til realitetsbehandling for så vidt angår de faktiske omstændigheder, der ligger forud for den 25. maj 2018, for så vidt som artikel 32, stk. 3, i lov af 8. december 1992, der udgør retsgrundlaget for at anlægge et sådant søgsmål, efter ikrafttrædelsen af lov af 3. december 2017 og forordning 2016/679 er blevet ophævet. Hvad angår de faktiske omstændigheder, der ligger efter den 25. maj 2018, har Facebook Belgium gjort gældende, at databeskyttelsesmyndigheden ikke har kompetence og ikke har ret til at anlægge dette søgsmål med påstand om forbud, henset til den »one-stop-shop«-mekanisme, der nu er fastsat i henhold til bestemmelserne i forordning 2016/679. På grundlag af disse bestemmelser er det alene Data Protection Commissioner (kommissæren for databeskyttelse, Irland, herefter »databeskyttelseskommissæren«), som har kompetence at anlægge søgsmål med påstand om forbud mod Facebook Ireland, idet denne myndighed er den eneste ansvarlige for behandlingen af personoplysninger for brugerne af det pågældende sociale netværk i Unionen.

36      Den forelæggende ret fastslog, at databeskyttelsesmyndigheden ikke havde den fornødne retlige interesse i at anlægge dette søgsmål med påstand om forbud, for så vidt som dette vedrørte forhold, der lå forud for den 25. maj 2018. Hvad angår de faktiske omstændigheder, der ligger efter denne dato, er den forelæggende ret ikke desto mindre i tvivl om betydningen af ikrafttrædelsen af forordning 2016/679, navnlig af anvendelsen af den »one-stop-shop«-mekanisme, der er fastsat i denne forordning, på databeskyttelsesmyndighedens kompetencer og på sidstnævntes beføjelse til at anlægge et sådant søgsmål med påstand om forbud.

37      Den forelæggende ret er navnlig af den opfattelse, at det spørgsmål, der nu opstår, er, hvorvidt databeskyttelsesmyndigheden for så vidt angår de faktiske omstændigheder, der ligger efter den 25. maj 2018, kan anlægge sag mod Facebook Belgium, eftersom Facebook Ireland er blevet identificeret som dataansvarlig for de pågældende oplysninger. Fra denne dato og i medfør af princippet om »one-stop-shop« synes det i henhold til artikel 56 i forordning 2016/679 kun at være databeskyttelseskommissæren, der er kompetent, alene undergivet de irske retters efterprøvelse.

38      Den forelæggende ret har anført, at Domstolen i dom af 5. juni 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388), fastslog, at den »tyske tilsynsmyndighed« havde kompetence til at træffe afgørelse i en tvist om beskyttelse af personoplysninger, selv om den dataansvarlige havde hjemsted i Irland, og dennes datterselskab, som havde hjemsted i Tyskland, nemlig Facebook Germany GmbH, udelukkende beskæftigede sig med salg af reklameplads og andre marketingsaktiviteter på det tyske område.

39      I den sag, der gav anledning til denne dom, var Domstolen imidlertid blevet forelagt en anmodning om præjudiciel afgørelse vedrørende fortolkningen af bestemmelserne i direktiv 95/46, som blev ophævet ved forordning 2016/679. Den forelæggende ret ønsker oplyst, i hvilket omfang den fortolkning, som Domstolen anlagde i nævnte dom, stadig er relevant for så vidt angår anvendelsen af forordning 2016/679.

40      Den forelæggende ret har ligeledes henvist til en afgørelse fra Bundeskartellamt (forbundskonkurrencemyndighed, Tyskland) af 6. februar 2019 (den såkaldte »Facebook-afgørelse«), hvori denne konkurrencemyndighed i det væsentlige fastslog, at den pågældende virksomhed misbrugte sin stilling ved at koncentrere data hidrørende fra forskellige kilder, hvilket nu kun bør kunne ske med brugernes udtrykkelige samtykke, idet en bruger, der ikke giver samtykke hertil, ikke kan udelukkes fra Facebooks tjenester. Den forelæggende ret har anført, at nævnte konkurrencemyndighed åbenbart anså sig for kompetent til trods for »one-stop-shop«-mekanismen.

41      Den forelæggende ret er desuden af den opfattelse, at artikel 6 i lov af 3. december 2017, der i princippet giver databeskyttelsesmyndigheden mulighed for i givet fald at optræde som part i en retssag, ikke indebærer, at dennes søgsmål under alle omstændigheder kan anlægges ved de belgiske retter, eftersom »one-stop-shop«-mekanismen synes at kræve, at et sådant søgsmål anlægges ved retten på det sted, hvor behandlingen af oplysningerne foretages.

42      På denne baggrund har hof van beroep te Brussel (appeldomstolen i Bruxelles) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Skal artikel [55, stk. 1], artikel 56-58 og […] 60-66 i [forordning 2016/679,] [sammenholdt] med [chartrets] artikel 7, 8 og 47 […] fortolkes således, at en tilsynsmyndighed[, der] i henhold til nationale regler vedtaget til gennemførelse af denne forordnings artikel [58, stk. 5,] har kompetence til at indlede en retssag [om tilsidesættelse af denne forordning] ved en ret i denne myndigheds medlemsstat, ikke må udøve denne kompetence i forbindelse med en grænseoverskridende behandling, hvis den ikke er den ledende tilsynsmyndighed [for] den grænseoverskridende behandling?

2)      Har det […] nogen betydning [for svaret på det første spørgsmål], hvis den [data]ansvarlige for den grænseoverskridende behandling ikke har sin hovedvirksomhed i denne medlemsstat, men dog et andet etableringssted?

3)      Har det […] nogen betydning [for svaret på det første spørgsmål], hvis den nationale tilsynsmyndighed indleder retssagen mod den [data]ansvarlige [for den grænseoverskridende behandlings] hovedvirksomhed eller mod etableringsstedet i myndighedens egen medlemsstat?

4)      Har det […] nogen betydning [for svaret på det første spørgsmål], hvis den nationale tilsynsmyndighed allerede har indledt retssagen før den dato, fra hvilken [forordning 2016/679] fandt anvendelse (den [25.5.2018])?

5)      Såfremt det første spørgsmål besvares bekræftende, har artikel [58, stk. 5,] i [forordning 2016/679] da direkte virkning, således at en national tilsynsmyndighed kan støtte ret på denne artikel for at indlede eller fortsætte en retssag mod enkelte parter, uanset [at] denne forordnings artikel [58, stk. 5,] ikke specifikt er blevet gennemført i medlemsstatens lovgivning, selv om der var pligt hertil?

6)      Såfremt de foregående spørgsmål besvares bekræftende, ville udfaldet af sådanne retssager kunne være til hinder for, at den ledende tilsynsmyndighed drager den modsatte konklusion i det tilfælde, at den ledende tilsynsmyndighed undersøger de samme eller lignende grænseoverskridende behandlingsaktiviteter i overensstemmelse med den mekanisme, der er fastsat i artikel 56 og 60 i [forordning 2016/679]?«

 De præjudicielle spørgsmål

 Det første spørgsmål

43      Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 55, stk. 1, artikel 56-58 og artikel 60-66 i forordning 2016/679, sammenholdt med chartrets artikel 7, 8 og 47, skal fortolkes således, at en medlemsstats tilsynsmyndighed, som i henhold til den nationale lovgivning, der er vedtaget til gennemførelse af denne forordnings artikel 58, stk. 5, har beføjelse til at indbringe alle angivelige overtrædelser af nævnte forordning for en retsinstans i denne medlemsstat og om nødvendigt indlede eller deltage i retssager, kan udøve denne beføjelse for så vidt angår en grænseoverskridende behandling af oplysninger, hvis den ikke er den »ledende tilsynsmyndighed« som omhandlet i samme forordnings artikel 56, stk. 1, for så vidt angår en sådan behandling af oplysninger?

44      Det skal i denne forbindelse indledningsvis bemærkes, for det første, at til forskel fra direktiv 95/46, der blev vedtaget med hjemmel i EF-traktatens artikel 100 A om harmonisering af det fælles marked, er retsgrundlaget for forordning 2016/679 artikel 16 TEUF, som fastsætter retten for enhver til beskyttelse af personoplysninger, og som giver Europa-Parlamentet og Rådet for Den Europæiske Union mulighed for at fastsætte regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer samt i medlemsstaterne i forbindelse med udøvelsen af aktiviteter, der er omfattet af EU-rettens anvendelsesområde og den frie udveksling af sådanne oplysninger. For det andet bekræfter første betragtning til denne forordning, at »[b]eskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed« og minder om, at chartrets artikel 8, stk. 1, og artikel 16, stk. 1, TEUF fastsætter, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

45      Som det følger af artikel 1, stk. 2, i forordning 2016/679, sammenholdt med 10., 11. og 13. betragtning til denne forordning, pålægger denne forordning Unionens institutioner, organer, kontorer og agenturer samt medlemsstaternes kompetente myndigheder at sikre et højt beskyttelsesniveau for de rettigheder, der er sikret ved artikel 16 TEUF og chartrets artikel 8.

46      Som det fremgår af fjerde betragtning til denne forordning, overholder denne alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i chartret.

47      Det er på denne baggrund, at artikel 55, stk. 1, i forordning 2016/679 indfører kompetencen for hver tilsynsmyndighed til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 147).

48      Blandt de opgaver, som disse tilsynsmyndigheder er tillagt, findes bl.a. opgaven med at føre tilsyn med anvendelsen af forordning 2016/679 og at håndhæve denne anvendelse, der er fastsat i denne forordnings artikel 57, stk. 1, litra a), samt opgaven med at samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand, med henblik på at sikre ensartet anvendelse og håndhævelse af denne forordning som fastsat i samme forordnings artikel 57, stk. 1, litra g). Blandt de beføjelser, der er tillagt de nævnte tilsynsmyndigheder for at løse disse opgaver, findes forskellige undersøgelsesbeføjelser, der er fastsat i artikel 58, stk. 1, i forordning 2016/679, og beføjelsen til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning som fastsat i forordningens artikel 58, stk. 5.

49      Udførelsen af disse opgaver og beføjelser forudsætter imidlertid, at en tilsynsmyndighed har kompetence for så vidt angår en bestemt databehandling.

50      Uden at det berører kompetencereglen i artikel 55, stk. 1, i forordning 2016/679, fastsætter denne forordnings artikel 56, stk. 1, i denne henseende en »one-stop-shop«-mekanisme for »grænseoverskridende behandlinger« som omhandlet i forordningens artikel 4, nr. 23), der er baseret på en kompetencefordeling mellem en »ledende tilsynsmyndighed« og de øvrige berørte tilsynsmyndigheder. I henhold til denne mekanisme er tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering kompetent til at fungere som ledende tilsynsmyndighed for den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler efter proceduren i nævnte forordnings artikel 60.

51      Denne sidstnævnte bestemmelse indfører proceduren for samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder. Inden for rammerne af den procedure er den ledende tilsynsmyndighed bl.a. forpligtet til at søge konsensus. I overensstemmelse med artikel 60, stk. 3, i forordning 2016/679 forelægger den til dette formål straks de andre berørte tilsynsmyndigheder et udkast til afgørelse med henblik på deres udtalelse og tager behørigt hensyn til deres synspunkter.

52      Det følger nærmere bestemt af artikel 56 og 60 i forordning 2016/679, at de forskellige nationale tilsynsmyndigheder for så vidt angår grænseoverskridende behandling som omhandlet i forordningens artikel 4, nr. 23), og med forbehold af denne forordnings artikel 56, stk. 2, skal samarbejde efter den procedure, der fastsættes i disse bestemmelser, for at nå til enighed om en fælles afgørelse, som er bindende for alle disse myndigheder, og som den dataansvarlige skal sikre overholdelsen af for så vidt angår behandlingsaktiviteter i forbindelse med alle vedkommendes etableringssteder i Unionen. I øvrigt forpligter nævnte forordnings artikel 61, stk. 1, tilsynsmyndighederne til bl.a. at udveksle relevante oplysninger og yde hinanden gensidig bistand med henblik på at gennemføre og anvende samme forordning på en ensartet måde i hele Unionen. Artikel 63 i forordning 2016/679 præciserer, at det er til dette formål, at den i samme forordnings artikel 64 og 65 omhandlede sammenhængsmekanisme er fastsat (dom af 24.9.2019, Google (Territorial rækkevidde af retten til at få fjernet links), C-507/17, EU:C:2019:772, præmis 68).

53      Anvendelsen af »one-stop-shop«-mekanismen kræver derfor, som 13. betragtning til forordning 2016/679 bekræfter, et loyalt og effektivt og loyalt samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder. Af denne grund, således som generaladvokaten har anført i punkt 111 i sit forslag til afgørelse, kan den ledende tilsynsmyndighed ikke se bort fra de berørte tilsynsmyndigheders synspunkter, og alle relevante og begrundede indsigelser fra en af disse sidstnævnte myndigheder bevirker, at vedtagelsen af udkastet til den ledende tilsynsmyndigheds afgørelse blokeres – i det mindste midlertidigt.

54      Det fremgår således af artikel 60, stk. 4, i forordning 2016/679, at hvis en af de andre berørte tilsynsmyndigheder inden for fire uger efter at være blevet hørt, fremkommer med en sådan relevant og begrundet indsigelse mod udkastet til afgørelse, forelægger den ledende tilsynsmyndighed, hvis den ikke følger den relevante og begrundede indsigelse eller er af den opfattelse, at indsigelsen ikke er relevant eller begrundet, sagen for den sammenhængsmekanisme, der er omhandlet i denne forordnings artikel 63, med henblik på at opnå en bindende afgørelse fra Det Europæiske Databeskyttelsesråd, som er vedtaget på grundlag af nævnte forordnings artikel 65, stk. 1, litra a).

55      Agter den ledende tilsynsmyndighed i medfør af artikel 60, stk. 5, i forordning 2016/679 derimod at følge den relevante og begrundede indsigelse, forelægger den de øvrige berørte tilsynsmyndigheder et revideret udkast til afgørelse med henblik på deres udtalelse. Dette reviderede udkast til afgørelse er underlagt den i denne forordnings artikel 60, stk. 4, omhandlede procedure inden for en frist på to uger.

56      I henhold til nævnte forordnings artikel 60, stk. 7, påhviler det i princippet den ledende tilsynsmyndighed at vedtage en afgørelse angående den omhandlede grænseoverskridende behandling og meddele den til den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering, alt efter omstændighederne, og underrette de andre berørte tilsynsmyndigheder og Det Europæiske Databeskyttelsesråd om den pågældende afgørelse, herunder et resumé af de relevante faktiske omstændigheder og begrundelser.

57      Når dette er sagt, skal det fremhæves, at forordning 2016/679 fastsætter undtagelser til princippet om den ledende tilsynsmyndigheds beslutningskompetence inden for rammerne af den »one-stop-shop«-mekanisme, der er fastsat i nævnte forordnings artikel 56, stk. 1.

58      Blandt disse undtagelser nævnes for det første artikel 56, stk. 2, i forordning 2016/679, der fastsætter, at en tilsynsmyndighed, der ikke er den ledende tilsynsmyndighed, er kompetent til at behandle en indgivet klage, som vedrører en grænseoverskridende behandling af personoplysninger, eller en eventuel overtrædelse af denne forordning, hvis genstanden alene vedrører en etablering i dens medlemsstat eller alene i væsentlig grad påvirker registrerede i dens medlemsstat.

59      For det andet fastsætter artikel 66 i forordning 2016/679 uanset de i denne forordnings artikel 60 og 63-65 omhandlede samarbejds- og sammenhængsmekanismer en hasteprocedure. Denne hasteprocedure giver mulighed for, at en berørt tilsynsmyndighed, i tilfælde hvor denne myndighed under ekstraordinære omstændigheder mener, at det er nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder, omgående kan træffe foreløbige foranstaltninger, der skal have retsvirkning på dens eget område med en angivet gyldighedsperiode, som ikke må overstige tre måneder, idet artikel 66, stk. 2, i forordning 2016/679 ydermere fastsætter, at hvis en tilsynsmyndighed har vedtaget en foranstaltning i henhold til stk. 1 og mener, at der omgående skal vedtages endelige foranstaltninger, kan den anmode om en hasteudtalelse eller en hurtig bindende afgørelse fra Det Europæiske Databeskyttelsesråd, idet tilsynsmyndigheden begrunder anmodningen om en sådan udtalelse eller afgørelse.

60      Denne kompetence for tilsynsmyndighederne skal imidlertid udøves under overholdelse af princippet om et loyalt og effektivt samarbejde med den ledende tilsynsmyndighed i overensstemmelse med proceduren i artikel 56, stk. 3-5, i forordning 2016/679. I dette tilfælde skal den pågældende tilsynsmyndighed i henhold til denne forordnings artikel 56, stk. 3, straks underrette den ledende tilsynsmyndighed, som inden for en frist på tre uger efter at være blevet underrettet, beslutter, om den vil behandle sagen.

61      Det følger imidlertid af artikel 56, stk. 4, i forordning 2016/679, at hvis den ledende tilsynsmyndighed beslutter at behandle sagen, finder proceduren i dennes forordnings artikel 60 anvendelse. I denne forbindelse kan den tilsynsmyndighed, der underrettede den ledende tilsynsmyndighed, forelægge den ledende tilsynsmyndighed et udkast til afgørelse, og denne sidstnævnte myndighed skal tage størst muligt hensyn til dette udkast, når den udarbejder udkastet til afgørelse, jf. nævnte forordnings artikel 60, stk. 3.

62      I henhold til artikel 56, stk. 5, i forordning 2016/679 forholder det sig derimod således, at hvis den ledende tilsynsmyndighed beslutter ikke at behandle sagen, behandler den tilsynsmyndighed, der forelagde sagen for den ledende tilsynsmyndighed, sagen i overensstemmelse med denne forordnings artikel 61 og 62, som af tilsynsmyndighederne kræver, at de overholder reglerne om gensidig bistand og samarbejde i forbindelse med fælles aktiviteter med henblik på at sikre et effektivt samarbejde mellem de berørte myndigheder.

63      Det følger af det ovenstående dels, at hovedreglen på området for grænseoverskridende behandling af personoplysninger er, at den ledende tilsynsmyndighed har kompetence til at vedtage en afgørelse, hvori det fastslås, at en sådan behandling tilsidesætter reglerne om beskyttelse af fysiske personers rettigheder i forbindelse med behandling af personoplysninger i forordning 2016/679, mens de øvrige berørte tilsynsmyndigheders kompetence til at vedtage en sådan afgørelse, selv midlertidigt, udgør undtagelsen. Dels, at selv om den ledende tilsynsmyndigheds principielle kompetence bekræftes i artikel 56, stk. 6, i forordning 2016/679, hvorefter den ledende tilsynsmyndighed er den dataansvarliges eller databehandlerens »eneste kontakt« i forbindelse med den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler, skal denne myndighed udøve en sådan kompetence inden for rammerne af et tæt samarbejde med de andre berørte tilsynsmyndigheder. Navnlig kan den ledende tilsynsmyndighed ikke ved udøvelsen af sine beføjelser se bort fra en nødvendig dialog og et loyalt og effektivt samarbejde med de andre berørte tilsynsmyndigheder, således som det er anført i denne doms præmis 53.

64      Det fremgår i denne henseende af tiende betragtning til forordning 2016/679, at denne forordning bl.a. har til formål at sikre, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen og at fjerne hindringer for udveksling af personoplysninger inden for Unionen.

65      Et sådant formål og den effektive virkning af »one-stop-shop«-mekanismen, ville imidlertid kunne blive bragt i fare, hvis en tilsynsmyndighed, der for så vidt angår en grænseoverskridende behandling af oplysninger ikke er den ledende tilsynsmyndighed, kunne udøve den beføjelse, der er fastsat i artikel 58, stk. 5, i forordning 2016/679, ud over de tilfælde, hvor den har kompetence til at træffe en afgørelse som omhandlet i denne doms præmis 63. Udøvelsen af en sådan beføjelse tilsigter nemlig at munde ud i en bindende retsafgørelse, som lige så vel kan bringe det nævnte formål og den nævnte mekanisme i fare, som en afgørelse truffet af en tilsynsmyndighed, der ikke er den ledende tilsynsmyndighed.

66      I modsætning til, hvad databeskyttelsesmyndigheden har gjort gældende, er den omstændighed, at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kun kan udøve den beføjelse, der er fastsat i artikel 58, stk. 5, i forordning 2016/679, under overholdelse af reglerne om fordeling af beslutningskompetencen, der navnlig er fastsat i denne forordnings artikel 55 og 56, sammenholdt med forordningens artikel 60, i overensstemmelse med chartrets artikel 7, 8 og 47.

67      Hvad for det første angår argumentationen vedrørende en angivelig tilsidesættelse af chartrets artikel 7 og 8, bemærkes, at chartrets artikel 7 fastsætter, at enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation, mens chartrets artikel 8, stk. 1, ligesom artikel 16, stk. 1, TEUF, udtrykkeligt tillægger enhver person ret til beskyttelse af personoplysninger, der vedrører den pågældende. Det følger navnlig af artikel 51, stk. 1, i forordning 2016/679, at tilsynsmyndighederne er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, bl.a. for at beskytte fysiske personers grundlæggende rettigheder i forbindelse med behandling af deres personoplysninger. Det følger heraf – i overensstemmelse med det i denne doms præmis 45 anførte – at reglerne om fordelingen af beslutningskompetencen mellem den ledende tilsynsmyndighed og de andre tilsynsmyndigheder, som er fastsat i denne forordning, ikke berører de enkelte myndigheders ansvar for at bidrage til et højt beskyttelsesniveau for disse rettigheder under overholdelse af disse regler samt de krav om samarbejde og gensidig bistand, der er nævnt i denne doms præmis 52.

68      Dette betyder navnlig, at »one-stop-shop«-mekanismen under ingen omstændigheder kan føre til, at en national tilsynsmyndighed, navnlig den ledende tilsynsmyndighed, ikke påtager sig det ansvar, der påhviler den i henhold til forordning 2016/679, for at bidrage til en effektiv beskyttelse af fysiske personer mod krænkelser af deres grundlæggende rettigheder, som er nævnt i den foregående præmis i denne dom, i modsat fald tilskyndes anvendelsen af forum shopping, bl.a. fra de dataansvarlige, som har til formål at omgå disse grundlæggende rettigheder og den effektiv anvendelse af bestemmelserne i denne forordning, der gennemfører dem.

69      Hvad for det andet angår argumentationen vedrørende en angivelig tilsidesættelse af retten til effektive retsmidler, der er sikret i chartrets artikel 47, kan denne heller ikke tages til følge. De rammer, der er nævnt i nærværende doms præmis 64 og 65, vedrørende muligheden for, at en anden tilsynsmyndighed end den ledende tilsynsmyndighed kan udøve den beføjelse, der er fastsat i artikel 58, stk. 5, i forordning 2016/679, når der er tale om en grænseoverskridende behandling af personoplysninger, berører nemlig ikke den ret, som enhver i henhold til denne forordnings artikel 78, stk. 1 og 2, har til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende eller over for manglende behandling af en klage, som vedkommende har indgivet til tilsynsmyndigheden, der er beslutningskompetent i henhold til nævnte forordnings artikel 55 og 56, sammenholdt med denne forordnings artikel 60.

70      Dette er navnlig tilfældet for den situation, der er nævnt i artikel 56, stk. 5, i forordning 2016/679, hvorefter den tilsynsmyndighed, der har givet oplysningerne på grundlag af forordningens artikel 56, stk. 3, som anført i denne doms præmis 62, kan behandle sagen i overensstemmelse med forordningens artikel 61 og 62, hvis den ledende tilsynsmyndighed efter at være blevet underrettet afgør, at den ikke vil behandle den selv. Inden for rammerne af en sådan behandling kan det i øvrigt ikke udelukkes, at den berørte tilsynsmyndighed i givet fald beslutter at gøre brug af den beføjelse, som den er tillagt i medfør af artikel 58, stk. 5, i forordning 2016/679.

71      Når dette er præciseret, skal det fremhæves, at det ikke kan udelukkes, at en medlemsstats tilsynsmyndighed kan udøve sin beføjelse til at henvende sig til retterne i sin medlemsstat, når den efter at have anmodet om gensidig bistand fra den ledende tilsynsmyndighed i henhold til artikel 61 i forordning 2016/679 ikke giver den de ønskede oplysninger. I et sådant tilfælde kan den berørte tilsynsmyndighed i henhold til denne forordnings artikel 61, stk. 8, vedtage en foreløbig foranstaltning på sin medlemsstats område, og hvis den mener, at der omgående skal vedtages endelige foranstaltninger, kan denne myndighed i henhold til nævnte forordnings artikel 66, stk. 2, anmode om en hasteudtalelse eller en hurtig bindende afgørelse fra Det Europæiske Databeskyttelsesråd. I henhold til samme forordnings artikel 64, stk. 2, kan en tilsynsmyndighed i øvrigt kræve, at ethvert almengyldigt spørgsmål eller ethvert spørgsmål, der har virkninger i mere end én medlemsstat, drøftes af Det Europæiske Databeskyttelsesråd med henblik på en udtalelse, navnlig hvis en kompetent tilsynsmyndighed ikke opfylder forpligtelserne vedrørende gensidig bistand, jf. forordningens artikel 61. Efter vedtagelsen af en sådan udtalelse eller en sådan afgørelse, og såfremt Det Europæiske Databeskyttelsesråd efter at have taget hensyn til alle de relevante omstændigheder er enig heri, skal den berørte tilsynsmyndighed imidlertid træffe de nødvendige foranstaltninger til at sikre overholdelsen af reglerne om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i forordning 2016/679, og i denne forbindelse gøre brug af den beføjelse, som den er tillagt ved denne forordnings artikel 58, stk. 5.

72      Fordelingen af kompetence og ansvar mellem tilsynsmyndighederne hviler nemlig nødvendigvis på forudsætningen om et loyalt og effektivt samarbejde mellem disse myndigheder og med Kommissionen med henblik på at sikre en korrekt og sammenhængende anvendelse af denne forordning, således som forordningens artikel 51, stk. 2, bekræfter.

73      Det tilkommer i den foreliggende sag den forelæggende ret at afgøre, om reglerne om kompetencefordelingen og de relevante procedurer og mekanismer, der er fastsat i forordning 2016/679, er blevet anvendt korrekt i hovedsagen. Det påhviler den navnlig at efterprøve, om den omhandlede behandling, for så vidt som den vedrører det sociale onlinenetværk Facebooks adfærd efter den 25. maj 2018, bl.a. er omfattet af den situation, der er omhandlet i denne doms præmis 71, selv om databeskyttelsesmyndigheden ikke er den ledende tilsynsmyndighed i denne sag.

74      I denne forbindelse har Domstolen bemærket, at Det Europæiske Databeskyttelsesråd i sin udtalelse 5/2019 af 12. marts 2019 om samspillet mellem direktivet om »databeskyttelse inden for elektronisk kommunikation« og den [generelle forordning om databeskyttelse] navnlig for så vidt angår kompetencen, opgaverne og beføjelserne for databeskyttelsesmyndigheder, erklærede, at registreringen og aflæsningen af personoplysninger ved hjælp af cookies var omfattet af anvendelsesområdet for Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37) og ikke af »one-stop-shop«-mekanismen. Alle tidligere operationer og efterfølgende aktiviteter vedrørende behandling af disse personoplysninger ved hjælp af andre teknologier er derimod omfattet af anvendelsesområdet for forordning 2016/679 og følgelig af »one-stop-shop«-mekanismen. Eftersom databeskyttelsesmyndighedens anmodning om gensidig bistand vedrørte disse efterfølgende operationer vedrørende behandling af personoplysninger, anmodede den i april 2019 databeskyttelseskommissæren om at efterkomme anmodningen hurtigst muligt, hvilken ikke blev besvaret.

75      Henset til samtlige ovenstående betragtninger skal det første spørgsmål besvares med, at artikel 55, stk. 1, artikel 56-58 og artikel 60-66 i forordning 2016/679, sammenholdt med chartrets artikel 7, 8 og 47, skal fortolkes således, at en medlemsstats tilsynsmyndighed, som i henhold til den nationale lovgivning, der er vedtaget til gennemførelse af denne forordnings artikel 58, stk. 5, har beføjelse til at indbringe alle angivelige overtrædelser af nævnte forordning for en retsinstans i denne medlemsstat og om nødvendigt indlede eller deltage i retssager, kan udøve denne beføjelse for så vidt angår en grænseoverskridende behandling af oplysninger, selv om den ikke er den »ledende tilsynsmyndighed« som omhandlet i samme forordnings artikel 56, stk. 1, for så vidt angår denne behandling af oplysninger, for så vidt som der er tale om en af de situationer, hvor forordning 2016/679 tillægger denne tilsynsmyndighed en kompetence til at vedtage en afgørelse, hvorved det fastslås, at nævnte behandling tilsidesætter de regler, som den indeholder, og overholder de procedurer for samarbejde og sammenhæng, der er fastsat i denne forordning.

 Det andet spørgsmål

76      Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at det, for at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indlede eller deltage i retssager som omhandlet i denne bestemmelse, i forbindelse med grænseoverskridende behandling af personoplysninger, kræves, at den dataansvarlige for den grænseoverskridende behandling af personoplysninger, som dette søgsmål er rettet mod, har en »hovedvirksomhed« som omhandlet i artikel 4, nr. 16), i forordning 2016/679 på denne medlemsstats område eller en anden etablering på dette område.

77      I denne forbindelse skal det bemærkes, at i henhold til ordlyden af artikel 55, stk. 1, i forordning 2016/679 er hver tilsynsmyndighed kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.

78      Artikel 58, stk. 5, i forordning 2016/679 fastsætter desuden hver tilsynsmyndigheds beføjelse til at indbringe alle angivelige overtrædelser af denne forordning for en ret i sin medlemsstat og om nødvendigt at indlede eller deltage i retssager med henblik på at håndhæve bestemmelserne i nævnte forordning.

79      Det skal bemærkes, at artikel 58, stk. 5, i forordning 2016/679 er formuleret i generelle vendinger, og at EU-lovgiver imidlertid ikke har gjort en medlemsstats tilsynsmyndigheds udøvelse af denne beføjelse betinget af, at sidstnævntes søgsmål er rettet mod en dataansvarlig, der har en »hovedvirksomhed« som omhandlet i denne forordnings artikel 4, nr. 16), eller en anden etablering på denne medlemsstats område.

80      En tilsynsmyndighed i en medlemsstat kan imidlertid kun udøve den beføjelse, som den er tillagt ved artikel 58, stk. 5, i forordning 2016/679, hvis det godtgøres, at denne beføjelse henhører under denne forordnings territoriale anvendelsesområde.

81      Artikel 3 i forordning 2016/679, der regulerer denne forordnings territoriale anvendelsesområde, fastsætter i denne henseende i stk. 1, at denne forordning finder anvendelse på behandling af personoplysninger, som foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen eller ej.

82      I denne forbindelse præciserer 22. betragtning til forordning 2016/679, at en sådan etablering indebærer effektiv og faktisk udøvelse af aktivitet gennem en mere permanent struktur, og at de pågældende ordningers retlige form, hvad enten det er en filial eller et datterselskab med status som juridisk person, ikke har afgørende betydning i denne forbindelse.

83      Det følger heraf, at i overensstemmelse med artikel 3, stk. 1, i forordning 2016/679 fastlægges denne forordnings territoriale anvendelsesområde, med forbehold af de tilfælde, der er omhandlet i denne artikels stk. 2 og 3, ved den betingelse, at den dataansvarlige eller databehandleren for den grænseoverskridende behandling er etableret på Unionens område.

84      Det andet forelagte spørgsmål skal derfor besvares med, at artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at det, for at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indlede eller deltage i retssager som omhandlet i denne bestemmelse, i forbindelse med grænseoverskridende behandling af personoplysninger, ikke kræves, at den dataansvarlige eller databehandleren for den grænseoverskridende behandling af personoplysninger, som dette søgsmål er rettet mod, har en hovedvirksomhed eller en anden etablering på denne medlemsstats område.

 Det tredje spørgsmål

85      Med det tredje spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at det, for at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indbringe alle angivelige overtrædelser af denne forordning for en retsinstans i denne medlemsstat, og om nødvendigt at indlede eller deltage i retssager som omhandlet i denne bestemmelse, i forbindelse med grænseoverskridende behandling af personoplysninger, kræves, at den berørte tilsynsmyndighed anlægger sag mod den dataansvarliges hovedvirksomhed eller mod den etablering, der befinder sig i myndighedens egen medlemsstat.

86      Det fremgår af forelæggelsesafgørelsen, at dette spørgsmål er rejst i forbindelse med en uenighed mellem parterne om, hvorvidt den forelæggende ret har kompetence til at behandle søgsmålet med påstand om forbud, for så vidt som det er anlagt mod Facebook Belgium, henset til dels den omstændighed, at hovedkontoret for Facebook-koncernen ligger i Irland, og at Facebook Ireland er eneansvarlig for indsamling og behandling af personoplysninger på hele Unionens område, dels, at etableringen i Belgien i henhold til denne koncerns interne opdeling primært er blevet oprettet for at gøre det muligt for nævnte koncern at varetage forbindelserne til EU-institutionerne og sekundært for at fremme samme koncerns reklame- og markedsføringsaktiviteter målrettet de personer, der er bosiddende i Belgien.

87      Som anført i denne doms præmis 47 indfører artikel 55, stk. 1, i forordning 2016/679 den principielle kompetence for hver tilsynsmyndighed til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.

88      Hvad angår en medlemsstats tilsynsmyndigheds beføjelse til at anlægge sag som omhandlet i artikel 58, stk. 5, i forordning 2016/679 bemærkes, således som generaladvokaten har anført i punkt 150 i forslaget til afgørelse, at denne bestemmelse er formuleret i generelle vendinger, og at den ikke præciserer, hvilke enheder tilsynsmyndighederne skal eller kan anlægge sag mod vedrørende enhver overtrædelse af denne forordning.

89      Følgelig begrænser nævnte bestemmelse ikke udøvelsen af beføjelsen til at indlede eller deltage i retssager i den forstand, at et sådant søgsmål alene kan anlægges mod en »hovedvirksomhed« eller mod en anden af den dataansvarliges »etableringer«. Det følger tværtimod af samme bestemmelse, at når en medlemsstats tilsynsmyndighed har den nødvendige kompetence hertil i henhold til artikel 55 og 56 i forordning 2016/679, kan den udøve de beføjelser, der er tillagt den ved denne forordning, på sit nationale område, uanset i hvilken medlemsstat den dataansvarlige eller dennes databehandler er etableret.

90      Udøvelsen af den beføjelse, der er tillagt hver tilsynsmyndighed ved artikel 58, stk. 5, i forordning 2016/679, forudsætter imidlertid, at denne forordning finder anvendelse. I denne forbindelse, og som fremhævet i denne doms præmis 81, fastsætter nævnte forordnings artikel 3, stk. 1, at denne forordning finder anvendelse på behandling af personoplysninger, som foretages »som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen eller ej«.

91      Henset til, at formålet med direktiv 2016/679 er at sikre en effektiv beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af privatlivets fred og beskyttelse af personoplysninger, kan betingelsen, hvorefter behandlingen af personoplysninger skal foretages »som led i [den pågældende etablerings] aktiviteter«, ikke fortolkes indskrænkende (jf. analogt dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 56 og den deri nævnte retspraksis).

92      I den foreliggende sag fremgår det af forelæggelsesafgørelsen samt af de Facebook Belgium indleverede skriftlige indlæg, at Facebook Belgium primært har til opgave at varetage forbindelser med EU-institutionerne og sekundært at fremme koncernens reklame- og markedsføringsaktiviteter rettet mod indbyggerne i Belgien.

93      Den i hovedsagen omhandlede behandling af personoplysninger, som Unionens område udelukkende foretages af Facebook Ireland, og som består i indsamling af oplysninger om søgeadfærden hos både indehavere af en Facebook-konto og hos ikke-brugere af Facebook-tjenester ved hjælp af forskellige teknologier, såsom bl.a. sociale plug-ins og pixels, har netop til formål at gøre det muligt for det pågældende sociale netværk at gøre sit reklamesystem mere effektivt ved at udsende målrettet kommunikation.

94      Det skal for det første bemærkes, at et socialt netværk som Facebook genererer størstedelen af sin indtjening fra bl.a. de reklamer, der lægges op dér, og at den aktivitet, der udøves af den etablering, der ligger i Belgien, har til formål at sikre, om end kun som sekundært formål, reklame og salg af annonceplads i denne medlemsstat, som medvirker til at gøre Facebooks ydelser rentable. For det andet har Facebook Belgiums primære aktivitet, som består i at varetage forbindelser til EU-institutionerne og at udgøre et kontaktpunkt med disse, bl.a. til formål at fastlægge Facebook Irelands politik for behandling af personoplysninger.

95      Under disse omstændigheder skal de aktiviteter, som den af Facebook-koncernens etableringer, der er beliggende i Belgien, udøver, anses for at være uløseligt forbundet med den i hovedsagen omhandlede behandling af personoplysninger, som Facebook Ireland er ansvarlig for på Unionens område. Derfor skal en sådan behandling anses for foretaget »som led i aktiviteter, der udføres for en dataansvarlig« i den forstand, hvori udtrykket er anvendt i artikel 3, stk. 1, i forordning 2016/679.

96      Henset til samtlige ovenstående betragtninger skal det tredje spørgsmål besvares med, at artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indbringe alle angivelige overtrædelser af denne forordning for en retsinstans i denne medlemsstat og om nødvendigt at indlede eller deltage i retssager som omhandlet i denne bestemmelse, både med hensyn til den dataansvarliges hovedvirksomhed, der ligger i den medlemsstat, som henhører under denne myndighed, og med hensyn til en anden af den ansvarliges etableringer, for så vidt som søgsmålet omhandler en behandling af oplysninger, der er foretaget inden for rammerne af denne etablerings aktiviteter, og at nævnte myndighed er kompetent til at udøve denne beføjelse i overensstemmelse med det, der er anført som svar på det første spørgsmål.

 Det fjerde spørgsmål

97      Med det fjerde spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at når en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed« som omhandlet i denne forordnings artikel 56, stk. 1, inden den 25. maj 2018 har anlagt et søgsmål vedrørende en grænseoverskridende behandling af personoplysninger, dvs. inden den dato, hvor denne forordning fandt anvendelse, kan denne omstændighed påvirke de betingelser, hvorunder denne tilsynsmyndighed kan udøve beføjelsen til at indlede eller deltage i retssager, som den er tillagt ved artikel 58, stk. 5.

98      Facebook Ireland, Facebook Inc. og Facebook Belgium har således for denne ret gjort gældende, at anvendelsen af denne forordning fra den 25. maj 2018 bevirker, at opretholdelsen af et søgsmål, der er anlagt før denne dato, skal afvises.

99      Det bemærkes indledningsvis, at artikel 99, stk. 1, i forordning 2016/679 fastsætter, at denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende. Eftersom denne forordning blev offentliggjort i EU-Tidende den 4. maj 2016, trådte den således i kraft den 25. maj 2016. Nævnte forordnings artikel 99, stk. 2, fastsætter desuden, at forordningen anvendes fra den 25. maj 2018.

100    Det skal i denne henseende bemærkes, at en ny retsregel finder anvendelse fra det tidspunkt, hvor den retsakt, hvori den er indeholdt, træder i kraft, og at den, selv om den ikke finder anvendelse på retlige situationer, der er opstået og endeligt fastlagt, mens den tidligere lov var gældende, skal anvendes på disses fremtidige virkninger og på nye retlige situationer. Noget andet gælder kun – og med forbehold af det principielle forbud mod retsakters tilbagevirkende kraft – såfremt den nye retsregel er ledsaget af særbestemmelser, der specielt regulerer dens tidsmæssige anvendelse. Navnlig antages processuelle regler almindeligvis at finde anvendelse fra deres ikrafttrædelsestidspunkt, til forskel fra materielle regler, der normalt fortolkes således, at de kun omfatter forhold, som ligger forud for ikrafttrædelsen, såfremt det af ordlyden, bestemmelsernes formål eller opbygning klart fremgår, at dette har været meningen (dom af 25.2.2021, Caisse pour l’avenir des enfants (Beskæftigelse ved fødslen), C-129/20, EU:C:2021:140, præmis 31 og den deri nævnte retspraksis).

101    Forordning 2016/679 indeholder ingen overgangsbestemmelse eller nogen anden regel, der regulerer retsstillingen for retslige procedurer, der er indledt, før den fandt anvendelse, og som fortsat verserede på det tidspunkt, hvor den fandt anvendelse. Navnlig er der ingen bestemmelse i denne forordning, der fastsætter, at den bevirker, at alle retslige procedurer, der verserer den 25. maj 2018, og som vedrører angivelige tilsidesættelser af regler for behandling af personoplysninger, der er fastsat i direktiv 95/46, afsluttes, selv om den adfærd, der udgør sådanne påståede tilsidesættelser, varer ved efter denne dato.

102    I den foreliggende sag fastsætter artikel 58, stk. 5, i forordning 2016/679 reglerne for en tilsynsmyndigheds beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.

103    På denne baggrund skal der sondres mellem søgsmål anlagt af en tilsynsmyndighed i en medlemsstat for overtrædelser af reglerne om beskyttelse af personoplysninger, som er begået af dataansvarlige eller databehandlere inden den dato, på hvilken forordning 2016/679 fandt anvendelse, og søgsmål, der er anlagt for overtrædelser, der er begået efter denne dato.

104    I det første tilfælde kan et søgsmål som det i hovedsagen omhandlede, set fra et EU-retligt synspunkt, opretholdes på grundlag af bestemmelserne i direktiv 95/46, som fortsat finder anvendelse for så vidt angår overtrædelser, der er begået indtil datoen for dens ophævelse, dvs. den 25. maj 2018. I det andet tilfælde kan et sådant søgsmål i henhold til artikel 58, stk. 5, i forordning 2016/679 alene anlægges på betingelse af, at dette søgsmål, således som det er blevet fremhævet i forbindelse med besvarelsen af det første spørgsmål, er omfattet af en situation, hvor denne forordning undtagelsesvis tillægger en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed«, kompetence til at vedtage en afgørelse, hvori det fastslås, at den omhandlede behandling af personoplysninger er i strid med de regler, der er fastsat i denne forordning angående beskyttelsen af fysiske personers rettigheder med hensyn til behandlingen af personoplysninger, og under overholdelse af de i samme forordning fastsatte procedurer.

105    Henset til samtlige ovenstående betragtninger skal det fjerde spørgsmål besvares med, at artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at når en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed« som omhandlet i denne forordnings artikel 56, stk. 1, har anlagt et søgsmål om grænseoverskridende behandling af personoplysninger inden den 25. maj 2018, dvs. inden den dato, hvor den nævnte forordning fandt anvendelse, kan dette søgsmål, set fra et EU-retligt synspunkt, opretholdes på grundlag af bestemmelserne i direktiv 95/46, som fortsat finder anvendelse for så vidt angår overtrædelser af de regler, som det fastsætter, der er begået indtil datoen for dette direktivs ophævelse. Nævnte søgsmål kan desuden anlægges af denne myndighed for overtrædelser, der er begået efter denne dato på grundlag af artikel 58, stk. 5, i forordning 2016/679, for så vidt som det er i en af de situationer, hvor denne forordning undtagelsesvis tillægger en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed«, en kompetence til at vedtage en afgørelse, hvori det fastslås, at den omhandlede behandling af oplysninger tilsidesætter de regler, der er fastsat i nævnte forordning for så vidt angår beskyttelsen af fysiske personers rettigheder i forbindelse med behandling af personoplysninger og under overholdelse af de samarbejds- og sammenhængsprocedurer, der er fastsat i denne forordning, hvilket det tilkommer den forelæggende ret at efterprøve.

 Det femte spørgsmål

106    Med det femte spørgsmål, som er stillet for det tilfælde, at det første spørgsmål besvares bekræftende, ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at denne bestemmelse har direkte virkning, således at en national tilsynsmyndighed kan påberåbe sig nævnte bestemmelse for at indlede eller fortsætte et søgsmål mod private, selv om denne bestemmelse ikke specifikt er blevet gennemført i den pågældende medlemsstats lovgivning.

107    I henhold til ordlyden af artikel 58, stk. 5, fastsætter hver medlemsstat ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.

108    Det skal indledningsvis bemærkes, at artikel 58, stk. 5, i forordning 2016/679, således som den belgiske regering har gjort gældende, er blevet gennemført i den belgiske retsorden ved artikel 6 i lov af 3. december 2017. I henhold til ordlyden af artikel 6, der har samme ordlyd som artikel 58, stk. 5, i forordning 2016/679, har databeskyttelsesmyndigheden beføjelse til i medfør af denne lov og retsforskrifter, der indeholder bestemmelser om beskyttelse i forbindelse med behandling af personoplysninger, at indbringe krænkelser af grundprincipperne for beskyttelse af personoplysninger for domstolene og om nødvendigt indlede eller deltage i en retssag med henblik på at sikre håndhævelsen af disse grundprincipper. Det må følgelig fastslås, at databeskyttelsesmyndigheden kan støtte sig på en bestemmelse i national ret, såsom artikel 6 i lov af 3. december 2017, der gennemfører artikel 58, stk. 5, i forordning 2016/679 i belgisk ret, for at indlede eller deltage i retssager med henblik på at sikre overholdelsen af denne forordning.

109    Det skal for fuldstændighedens skyld i øvrigt bemærkes, at i henhold til artikel 288, stk. 2, TEUF er en forordning bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat, hvorfor bestemmelserne i princippet ikke kræver nogen gennemførelsesforanstaltninger fra medlemsstaterne.

110    I denne henseende bemærkes, at det følger af Domstolens faste praksis, at artikel 288 TEUF og forordningernes karakter og funktion i det EU-retlige retskildesystem indebærer, at forordningers bestemmelser i almindelighed har umiddelbar virkning i de nationale retsordener, uden at det er nødvendigt for de nationale myndigheder at træffe gennemførelsesforanstaltninger. Visse af disse bestemmelser kan ikke desto mindre for at kunne blive gennemført kræve vedtagelse af nationale gennemførelsesforanstaltninger i medlemsstaterne (dom af 15.3.2017, Al Chodor, C-528/15, EU:C:2017:213, præmis 27 og den deri nævnte retspraksis).

111    Som generaladvokaten i det væsentlige har anført i punkt 167 i forslaget til afgørelse, fastsætter artikel 58, stk. 5, i forordning 2016/679 imidlertid en specifik og direkte anvendelig regel, hvorefter tilsynsmyndighederne skal have søgsmålskompetence ved de nationale domstole, og de skal tillægges beføjelse til at indlede eller deltage i retssager i henhold til national ret.

112    Det fremgår ikke af artikel 58, stk. 5, i forordning 2016/679, at medlemsstaterne ved en udtrykkelig bestemmelse skal fastsætte, under hvilke omstændigheder de nationale tilsynsmyndigheder kan indlede eller deltage i retssager som omhandlet i denne bestemmelse. Det er tilstrækkeligt, at tilsynsmyndigheden har muligheden i henhold til national ret for at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.

113    Henset til samtlige ovenstående betragtninger skal det femte spørgsmål besvares med, at artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at denne bestemmelse har direkte virkning, således at en national tilsynsmyndighed kan påberåbe sig nævnte bestemmelse for at indlede eller fortsætte et søgsmål mod private, selv om denne bestemmelse ikke specifikt er blevet gennemført i den pågældende medlemsstats lovgivning.

 Det sjette spørgsmål

114    Med det sjette spørgsmål ønsker den forelæggende ret, såfremt det første til det femte spørgsmål besvares bekræftende, nærmere bestemt oplyst, om udfaldet af en retssag, der er indledt af en tilsynsmyndighed i en medlemsstat angående en grænseoverskridende behandling af personoplysninger, kan være til hinder for, at den ledende tilsynsmyndighed vedtager en afgørelse, hvori den drager den modsatte konklusion i det tilfælde, hvor den ledende tilsynsmyndighed undersøger de samme eller lignende grænseoverskridende behandlingsaktiviteter i overensstemmelse med den mekanisme, der er fastsat i artikel 56 og 60 i forordning 2016/679.

115    Det skal i denne forbindelse bemærkes, at i henhold til fast retspraksis foreligger der en formodning for, at spørgsmål om EU-retten er relevante. Domstolen kan kun afslå at træffe afgørelse vedrørende et præjudicielt spørgsmål fra en national ret, såfremt det klart fremgår, at den ønskede fortolkning af en EU-retlig regel savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, når problemet er af hypotetisk karakter, eller når Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af de forelagte spørgsmål (dom af 16.6.2015, Gauweiler m.fl., C-62/14, EU:C:2015:400, præmis 25, og af 7.2.2018, American Express, C-304/16, EU:C:2018:66, præmis 32).

116    Det følger desuden af en ligeledes fast retspraksis, at begrundelsen for ordningen med præjudiciel forelæggelse ikke er, at Domstolen skal afgive responsa vedrørende generelle eller hypotetiske spørgsmål, men at der foreligger et behov med henblik på selve afgørelsen af en retstvist (dom af 10.12.2018, Wightman m.fl., C-621/18, EU:C:2018:999, præmis 28 og den deri nævnte retspraksis).

117    I det foreliggende tilfælde skal det fremhæves, således som den belgiske regering har anført, at det sjette spørgsmål er baseret på omstændigheder, med hensyn til hvilke det på ingen måde er godtgjort, at de foreligger i tvisten i hovedsagen, nemlig at der for den grænseoverskridende behandling, som er genstand for denne tvist, findes en ledende tilsynsmyndighed, som ikke alene vil undersøge de samme grænseoverskridende aktiviteter vedrørende behandling af personoplysninger som dem, der er genstand for den retslige procedure, som er indledt af tilsynsmyndigheden i den pågældende medlemsstat, eller lignende aktiviteter, men som påtænker at vedtage en afgørelse, hvori den drager den modsatte konklusion.

118    Under disse omstændigheder skal det bemærkes, at det sjette spørgsmål savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand eller vedrører et problem af hypotetisk karakter. Dette spørgsmål kan derfor ikke antages til realitetsbehandling.

 Sagsomkostninger

119    Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

1)      Artikel 55, stk. 1, artikel 56-58 og artikel 60-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en medlemsstats tilsynsmyndighed, som i henhold til den nationale lovgivning, der er vedtaget til gennemførelse af denne forordnings artikel 58, stk. 5, har beføjelse til at indbringe alle angivelige overtrædelser af nævnte forordning for en retsinstans i denne medlemsstat og om nødvendigt indlede eller deltage i retssager, kan udøve denne beføjelse for så vidt angår en grænseoverskridende behandling af oplysninger, selv om den ikke er den »ledende tilsynsmyndighed« som omhandlet i samme forordnings artikel 56, stk. 1, for så vidt angår denne behandling af oplysninger, for så vidt som der er tale om en af de situationer, hvor forordning 2016/679 tillægger denne tilsynsmyndighed en kompetence til at vedtage en afgørelse, hvorved det fastslås, at nævnte behandling tilsidesætter de regler, som den indeholder, og overholder de procedurer for samarbejde og sammenhæng, der er fastsat i denne forordning.

2)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at det, for at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indlede eller deltage i retssager som omhandlet i denne bestemmelse, i forbindelse med grænseoverskridende behandling af personoplysninger, ikke kræves, at den dataansvarlige eller databehandleren for den grænseoverskridende behandling af personoplysninger, som dette søgsmål er rettet mod, har en hovedvirksomhed eller en anden etablering på denne medlemsstats område.

3)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indbringe alle angivelige overtrædelser af denne forordning for en retsinstans i denne medlemsstat og om nødvendigt at indlede eller deltage i retssager som omhandlet i denne bestemmelse, både med hensyn til den dataansvarliges hovedvirksomhed, der ligger i den medlemsstat, som henhører under denne myndighed, og med hensyn til en anden af den ansvarliges etableringer, for så vidt som søgsmålet omhandler en behandling af oplysninger, der er foretaget inden for rammerne af denne etablerings aktiviteter, og at nævnte myndighed er kompetent til at udøve denne beføjelse i overensstemmelse med det, der er anført som svar på det første spørgsmål.

4)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at når en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed« som omhandlet i denne forordnings artikel 56, stk. 1, har anlagt et søgsmål om grænseoverskridende behandling af personoplysninger inden den 25. maj 2018, dvs. inden den dato, hvor den nævnte forordning fandt anvendelse, kan dette søgsmål, set fra et EU-retligt synspunkt, opretholdes på grundlag af bestemmelserne i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, som fortsat finder anvendelse for så vidt angår overtrædelser af de regler, som det fastsætter, der er begået indtil datoen for dette direktivs ophævelse. Nævnte søgsmål kan desuden anlægges af denne myndighed for overtrædelser, der er begået efter denne dato på grundlag af artikel 58, stk. 5, i forordning 2016/679, for så vidt som det er i en af de situationer, hvor denne forordning undtagelsesvis tillægger en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed«, en kompetence til at vedtage en afgørelse, hvori det fastslås, at den omhandlede behandling af oplysninger tilsidesætter de regler, der er fastsat i nævnte forordning for så vidt angår beskyttelsen af fysiske personers rettigheder i forbindelse med behandling af personoplysninger og under overholdelse af de samarbejds- og sammenhængsprocedurer, der er fastsat i denne forordning, hvilket det tilkommer den forelæggende ret at efterprøve.

5)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at denne bestemmelse har direkte virkning, således at en national tilsynsmyndighed kan påberåbe sig den nævnte bestemmelse for at anlægge eller genoptage en sag mod private, selv om den samme bestemmelse ikke specifikt er blevet gennemført i den pågældende medlemsstats lovgivning.

Underskrifter


*      Processprog: nederlandsk.


1 –      I overensstemmelse med præmis 11 ovenfor. Samme forslag er fremsat for så vidt angår præmis 17 herefter som beskrevet.