1

С жалбата си на основание член 263 ДФЕС жалбоподателят WhatsApp Ireland Ltd (наричано по-нататък „WhatsApp“) иска отмяната на решение със задължителен характер 1/2021 на Европейския комитет по защита на данните (наричан по-нататък „ЕКЗД“) от 28 юли 2021 г. относно спора между засегнатите надзорни органи, породен от проекта за решение относно WhatsApp, изготвен от Data Protection Commission (надзорен орган в областта на защитата на личните данни на физическите лица, Ирландия, наричан по-нататък „ирландският надзорен орган“) (наричано по-нататък „обжалваното решение“).

2

След влизането в сила на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на тези данни и за отмяна на Директива 95/46/CE (Общ регламент относно защитата на данните) (ОВ L 2016 г., 119, стр. 1 и поправка в OB L 127, 2018 г., стр. 2) ирландският надзорен орган получава от ползватели и от лица, които не ползват услугата за съобщения „WhatsApp“, оплаквания относно обработването на лични данни от страна на WhatsApp. Освен това германският федерален надзорен орган е поискал съдействие от ирландския надзорен орган във връзка със спазването от WhatsApp на задълженията за прозрачност, които администраторите на лични данни носят, що се отнася до евентуално споделяне на такива данни с други образувания от групата Facebook (преименувана през септември 2021 г. на Meta).

3

През декември 2018 г. ирландският надзорен орган започва по свой почин общо разследване за спазването от WhatsApp на задълженията за прозрачност и информиране по отношение на частните лица (за разлика от предприятията), посочени в членове 12, 13 и 14 от Регламент 2016/679, без да се засягат действията, които би могъл да предприеме вследствие на индивидуалните жалби, с които е сезиран. В това отношение ирландският надзорен орган действа като „водещ надзорен орган“, както е предвидено в член 56, параграф 1 от Регламент 2016/679, тъй като в Ирландия се намира основното място на установяване на WhatsApp като администратор на лични данни, извършващ трансграничното им обработване за целите на услугата за съобщения „WhatsApp“ в Европа.

4

След приключване на фазата на разследване през септември 2019 г. с представянето на окончателен доклад от разследващия орган, лицето, вземащо решения в рамките на ирландския надзорен орган — след приключването на междинни фази на процедурата, в хода на които WhatsApp е изразило становище — представя през декември 2020 г. на всички други засегнати от случая надзорни органи, а именно на всички останали надзорни органи на държавите членки, проект за решение, за да получи тяхното становище, в съответствие с предвиденото в член 60, параграф 3 от Регламент 2016/679.

5

През януари 2021 г. осем от тези надзорни органи, германският федерален надзорен орган, надзорният орган на Баден-Вюртемберг, унгарският, нидерландският, полският, френският, италианският и португалският надзорен орган изразяват възражения срещу някои аспекти от този проект за решение. По-нататък, различни надзорни органи просто правят коментари. Ирландският надзорен орган отговаря групирано на другите засегнати надзорни органи, като предлага компромисни решения. Въпреки че след този отговор един от надзорните органи е оттеглил едно от своите възражения, ирландският надзорен орган констатира, че между засегнатите надзорни органи няма консенсус по неговите предложения относно другите аспекти, които са били предмет на възражения, и решава да отхвърли всички тези възражения, за да сезира ЕКЗД с цел той да уреди спора между засегнатите надзорни органи по тези аспекти, в съответствие с разпоредбите на член 60, параграф 4 и член 65, параграф 1, буква а) от Регламент 2016/679.

6

През май 2021 г. ирландският надзорен орган получава писмено становището на WhatsApp по обсъдените от засегнатите надзорни органи въпроси, след като му е изпратил всички разменени в това отношение документи, и самият той препраща на ЕКЗД посоченото становище, за да се запознае с него в рамките на процедурата за уреждане на спорове, която е образувана от него през юни 2021 г.

7

ЕКЗД, който съгласно член 68, параграф 3 от Регламент 2016/679 е съставен от „ръководителите на по един надзорен орган от всяка държава членка и Европейския надзорен орган по защита на данните, или от съответните им представители“, приема на 28 юли 2021 г. обжалваното решение с мнозинство от две трети според предвиденото в член 65, параграф 2 от Регламент 2016/679. Обжалваното решение е адресирано до водещия надзорен орган и до всички засегнати надзорни органи, има задължителен характер за тях, както е предвидено в същата разпоредба, и се отнася до всички въпроси, които са били предмет на относими и обосновани възражения, както гласи член 65, параграф 1, буква а) от Регламент 2016/679. В това отношение в обжалваното решение ЕКЗД най-напред разглежда, за всяко възражение, направено от засегнат надзорен орган, дали е относимо и обосновано. Той се произнася по съответното възражение само в случай на утвърдителен отговор на този предварителен въпрос.

8

След като ирландският надзорен орган получава обжалваното решение и писменото становище на WhatsApp относно имуществените санкции, които в крайна сметка се предвижда да му бъдат наложени в светлината на обжалваното решение, лицето, вземащо решения в рамките на този надзорен орган, приема на 20 август 2021 г. окончателно решение по отношение на WhatsApp (наричано по-нататък „окончателното решение“) в съответствие с член 65, параграф 6 от Регламент 2016/679. В окончателното решение се преценява, че WhatsApp е нарушило принципа и задълженията за прозрачност, посочени в член 5, параграф 1, буква а), член 12, параграф 1, член 13, параграф 1, букви в), г), д) и е), член 13, параграф 2, букви а), в) и д) и член 14 от Регламент 2016/679. За сметка на това в него се посочва, че WhatsApp изпълнява задълженията, предвидени в член 13, параграф 1, букви a) и б) и член 13, параграф 2, букви б) и г) от Регламент 2016/679. В изпълнение на корективните си правомощия съгласно член 58, параграф 2, букви б), г) и и) от Регламент 2016/679, с окончателното решение надзорният орган налага официално предупреждение до WhatsApp, въвеждането на определен брой действия, изброени в приложение, целящи в тримесечен срок да се приведе в съответствие с разпоредбите на Регламент 2016/679, които са били нарушени, както и четири административни наказания „имуществена санкция“ за констатираните нарушения на член 5, параграф 1, буква a) и членове 12, 13 и 14 от Регламент 2016/679, в общ размер 225 милиона евро.

9

В окончателното решение лицето, вземащо решения в рамките на ирландския надзорен орган, откроява аспектите, за които обжалваното решение изисква от него да преразгледа преценката, изложена в проекта за решение, посочен в точка 4 по-горе. То избира по тези аспекти да възпроизведе дословно, в защриховани карета, мотивите, възприети от ЕКЗД в обжалваното решение, и просто да изведе последиците от всеки от тях в отделни заключителни точки. Уточнява се, че в окончателното решение, от една страна, то не споменава възраженията, които ЕКЗД е счел за неотносими или необосновани и чиято основателност поради това не е разглеждал, нито на възраженията, за които ЕКЗД приема, че не изискват изменение на преценката, съдържаща се в проекта за решение, и от друга страна, че не следва да се произнася по тези възражения.

10

В съответствие с член 65, параграф 6 от Регламент 2016/679 обжалваното решение е приложено към окончателното решение на ирландския надзорен орган.

11

В това отношение е видно, че в обжалваното решение ЕКЗД последователно е изразил становище само по следните аспекти, които според него са били предмет на относими и обосновани възражения:

12

WhatsApp обжалва окончателното решение пред ирландска юрисдикция и успоредно с това иска от Общия съд да отмени обжалваното решение.

13

В рамките на настоящото производство Computer & Communication Industry Association е поискала да встъпи в подкрепа на исканията на жалбоподателя, а Република Финландия, Европейската комисия и Европейският надзорен орган по защита на данните — в подкрепа на исканията на ЕКЗД. С оглед на встъпването главните страни са поискали някои данни от преписката да не бъдат предоставяни на някои от встъпилите страни поради поверителния им характер. На този етап не е взето решение по тези искания.

14

В процесуално-организационното действие, предприето след представяне на писмената защита, с което главните страни са приканени в репликата и дупликата да не пропуснат да изразят становище по всички важни въпроси относно компетентността на Общия съд и допустимостта на жалбата, се споменават в това отношение квалифицирането на обжалваното решение като акт на орган на Европейския съюз, квалифицирането на обжалваното решение като обжалваем акт, процесуалната легитимация на жалбоподателя и правният му интерес.

15

WhatsApp иска пълната отмяна на обжалваното решение или, при условията на евентуалност, отмяна на релевантните части от него, както и осъждането на ЕКЗД да заплати съдебните разноски.

16

ЕКЗД иска жалбата да бъде отхвърлена като недопустима, а при условията на евентуалност да бъде отхвърлена като неоснователна и също при условията на евентуалност спрямо предходното искане, отмяната на обжалваното решение да се ограничи до релевантните части от него. ЕКЗД иска също жалбоподателят да бъде осъден да заплати съдебните разноски.

17

Съгласно член 129 от Процедурния си правилник Общият съд служебно може във всеки един момент, по предложение на съдията докладчик и след изслушване на главните страни, да се произнесе с мотивирано определение относно липсата на абсолютни процесуални предпоставки.

18

В настоящия случай Общият съд счита, че делото е достатъчно изяснено от доказателствата по преписката и решава в приложение на посочената разпоредба да се произнесе по допустимостта на жалбата, без да провежда производството докрай.

19

Всъщност проверката за наличието на компетентност на Общия съд и тази на процесуалната легитимация на жалбоподателя са абсолютни процесуални предпоставки, както и проверката на други свързани с допустимостта на жалбата обстоятелства и в настоящия случай на главните страни е дадена възможност да развият становищата си по този въпрос след провеждане на процесуално-организационното действие, посочено в точка 14 по-горе, и след като впрочем самият ЕКЗД е повдигнал в писмената си защита въпроса за недопустимостта на жалбата.

20

В случая най-напред следва да се припомни институционалната правна уредба, в която се вписва обжалваното решение.

21

Глава VI от Регламент 2016/679 е озаглавена „Независими надзорни органи“. В нея член 51 гласи, че всяка държава членка „осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент“, че всеки от тези надзорни органи „допринася за последователното прилагане на настоящия регламент в рамките на Съюза“ и че за тази цел „надзорните органи си сътрудничат помежду си и с Комисията в съответствие с глава VII“.

22

Член 55 предвижда, че всеки надзорен орган е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с Регламент 2016/679, на територията на своята собствена държава членка, а член 56 посочва, че без да се засяга член 55, надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни в съответствие с процедурата по член 60. Както бе посочено в точка 3 по-горе, по настоящото дело ирландският надзорен орган действа като водещ надзорен орган по отношение на WhatsApp.

23

Член 58, параграф 2 от Регламент 2016/679 гласи, че всеки надзорен орган има правомощието да приема корективни мерки по отношение на администратор или обработващи лични данни, по-конкретно, съгласно букви б), г) и и) — да им отправя официално предупреждение, когато операции по обработване на данни са нарушили разпоредби от Регламент 2016/679, да им разпорежда да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и ако е целесъобразно, това да стане по указан начин и в определен срок и да им налага административно наказание „глоба“ или „имуществена санкция“.

24

Глава VII от Регламент 2016/679, която е след посочените по-горе в точки 21—23 разпоредби, е озаглавена „Сътрудничество и съгласуваност“.

25

В раздел „Сътрудничество“ от тази глава член 60, озаглавен „Сътрудничество между водещия надзорен орган и другите засегнати надзорни органи“, предвижда по-специално:

„1.   Водещият надзорен орган си сътрудничи с другите засегнати надзорни органи в съответствие с настоящия член и се стреми към постигането на консенсус. Водещият надзорен орган и засегнатите надзорни органи обменят всяка имаща отношение информация помежду си.

[…]

3.   Водещият надзорен орган незабавно предава информация за това на другите засегнати надзорни органи. Водещият надзорен орган незабавно представя на другите засегнати надзорни органи проект за решение, за да получи тяхното становище и да вземе надлежно предвид вижданията им.

4.   Ако някой от другите засегнати надзорни органи изрази относимо и обосновано възражение срещу проекта за решение в срок от четири седмици, след като е било поискано мнението му в съответствие с параграф 3 от настоящия член, водещият надзорен орган, в случай че не приема относимото и обосновано възражение или счита, че това възражение не е относимо или обосновано, отнася въпроса до механизма за съгласуваност, посочен в член 63.

5.   Ако водещият надзорен орган възнамерява да приеме направено относимо и обосновано възражение, той изпраща на другите засегнати надзорни органи преработен проект за решението, за да получи тяхното становище. За този преработен проект на решението се следва процедурата, посочена в параграф 4, за срок от две седмици.

6.   Когато нито един от другите засегнати органи не е възразил срещу проекта на решение, представен от водещия надзорен орган в посочения в параграфи 4 и 5 срок, се счита, че водещият надзорен орган и засегнатите надзорни органи са съгласни с този проект на решение и са обвързани от него.

7.   Водещият надзорен орган приема решението и уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни, според случая, и информира другите засегнати надзорни органи и Комитета за въпросното решение, като включва резюме на съответните факти и основания. Надзорният орган, до когото е била подадена жалбата, информира жалбоподателя за решението.

[…]

10.   След като е бил уведомен за решението на водещия надзорен орган […] администраторът или обработващият лични данни взема необходимите мерки, за да осигури съответствие с решението по отношение на дейностите по обработването на всички места, на които е установен в Съюза. Администраторът или обработващият лични данни уведомява водещия надзорен орган за мерките, взети с цел осигуряване на съответствие с решението, а водещият орган информира другите засегнати надзорни органи“.

26

В раздел „Съгласуваност“ от същата глава VII на Регламент 2016/679 член 63, озаглавен „Механизъм за съгласуваност“, предвижда:

„С цел да допринесат за съгласуваното прилагане на настоящия регламент в целия Съюз, надзорните органи си сътрудничат помежду си и, ако е целесъобразно, с Комитета чрез механизъм за съгласуваност, както е определено в настоящия раздел“.

27

ЕКЗД участва в посочения механизъм. Статутът на ЕКЗД е уреден в третия и последен раздел от глава VII на Регламент 2016/679, озаглавен „Европейски комитет по защита на данните“.

28

Член 68 от този раздел гласи:

„1.   Създава се Европейски комитет по защита на данните („Комитетът“), който е орган на Съюза и притежава правосубектност.

[…]

3.   Комитетът е съставен от ръководителите на по един надзорен орган от всяка държава членка и Европейския надзорен орган по защита на данните, или от съответните им представители.

[…]“.

29

В същия раздел член 70, озаглавен „Задачи на комитета“, предвижда:

„1.   Комитетът осигурява съгласуваното прилагане на настоящия регламент. За тази цел Комитетът по своя собствена инициатива или, ако е целесъобразно, по искане на Комисията, по-специално:

[…]“.

30

В същия член 70 са изброени подробно останалите задачи на ЕКЗД, които по същността си са консултативни и се изразяват в издаването на становища, насоки, препоръки и „най-добри практики“.

31

В посочения в точка 26 по-горе раздел „Съгласуваност“ след член 64, в който се изброяват случаите, в които ЕКЗД дава становище, член 65, озаглавен „Разрешаване на спорове от Комитета“, гласи по-конкретно:

„1.   С цел да осигури правилно и последователно прилагане на настоящия регламент в отделните случаи, Комитетът приема решение със задължителен характер в следните случаи:

[…]

2.   Посоченото в параграф 1 решение се приема […] от мнозинство от две трети от членовете на Комитета. […] Решението по параграф 1 е обосновано, адресирано е до водещия надзорен орган и всички засегнати надзорни органи и е със задължителен характер за тях.

[…]

5.   Председателят на Комитета уведомява без ненужно забавяне засегнатите надзорни органи за решението, посочено в параграф 1. Той уведомява и Комисията да него. Решението се публикува на уебсайта на Комитета без забавяне след като надзорният орган е уведомил за окончателното си решение, посочено в параграф 6.

6.   Водещият надзорен орган или, според случая, надзорният орган, до който е била подадена жалбата, приема окончателното си решение въз основа на решението, посочено в параграф 1 от настоящия член, без ненужно забавяне и най-късно един месец след като Комитетът е уведомил за решението си. […] Окончателното решение се позовава на решението, посочено в параграф 1 от настоящия член, и в него се уточнява, че посоченото в посочения параграф решение ще бъде публикувано на уебсайта на Комитета в съответствие с параграф 5 от настоящия член. Към окончателното решение се прилага решението, посочено в параграф 1 от настоящия член“.

32

Глава VIII на Регламент 2016/679, озаглавена „Средства за правна защита, отговорност за причинени вреди и санкции“, урежда „[п]раво[то] на ефективна съдебна защита срещу надзорен орган“ в член 78 и „[п]раво[то] на ефективна съдебна защита срещу администратор или обработващ лични данни“ в член 79. Тя не съдържа разпоредби относно евентуални средства за правна защита срещу решенията със задължителен характер, приети от ЕКЗД на основание посочения по-горе член 65, параграф 1. В член 78, параграф 4 обаче се посочва, че „[к]огато се образува производство срещу решението на надзорен орган, което е било предхождано от […] решение на Комитета в съответствие с механизма за съгласуваност, надзорният орган предава това […] решение на съда“.

33

В мотивите на Регламент 2016/679 съображение 143 гласи:

„Всяко физическо или юридическо лице има правото да внася иск за отмяна на решения на Комитета пред Съда при условията, предвидени в член 263 от ДФЕС. Като адресати на тези решения, засегнатите надзорни органи, които желаят да ги оспорят, трябва да внесат иск в срок от два месеца от датата, на която са били уведомени за тях, в съответствие с член 263 от ДФЕС. Когато решенията на Комитета засягат пряко и лично администратора, обработващия личните данни или жалбоподателя, те могат да внесат иск за отмяна на тези решения в срок от два месеца от публикуването им на уебсайта на Комитета, в съответствие с член 263 от ДФЕС. Без да се засяга това право по член 263 от ДФЕС, всяко физическо или юридическо лице има право на ефективни правни средства за защита пред компетентен национален съд срещу решение на надзорен орган, което има правни последици за това лице. Подобно решение се отнася по-специално за упражняването на правомощията за разследване, даване на разрешение и корективните правомощия на надзорния орган или оставянето без разглеждане или отхвърлянето на жалби. Същевременно правото на ефективни правни средства на защита не обхваща мерки, взети от надзорните органи, които не са с правно задължителен характер, като становища или консултации, предоставени от надзорния орган. Производствата срещу надзорния орган следва да се завеждат пред съдилищата на държавата членка, в която е установен надзорният орган, и следва да се водят в съответствие с процесуалното право на тази държава членка. Тези съдилища следва да разполагат с пълна компетентност, която следва да включва компетентност за разглеждане на всички фактически и правни въпроси, свързани с разглеждания спор.

Когато дадена жалба е била отхвърлена или оставена без разглеждане от надзорен орган, жалбоподателят може да заведе дело в съдилищата на същата държава членка. По отношение на средствата за правна защита, свързани с прилагането на настоящия регламент, националните съдилища, които счетат, че е необходимо решение по въпроса, за да им даде възможност да се произнесат с решение, могат или — в случая, предвиден в член 267 от ДФЕС — трябва да поискат от Съда преюдициално заключение относно тълкуването на правото на Съюза, включително на настоящия регламент. Освен това в случай на оспорване пред национален съд на решение на надзорен орган, изпълняващ решение на Комитета, и ако валидността на това решение е под въпрос, този национален съд няма правомощието да обявява решението на Комитета за невалидно, а трябва да отнесе въпроса за валидността до Съда в съответствие с член 267 от ДФЕС, съгласно тълкуванието на Съда, когато счете решението за невалидно. Национален съд обаче не може да отнесе въпрос за валидността на решението на Комитета по искане на физическо или юридическо лице, което е имало възможността да внесе иск за отмяна на това решение, по-специално ако е било пряко и лично засегнато от това решение, но не го е направило в срока, определен в член 263 от ДФЕС“.

34

Член 263 ДФЕС, първа, втора, четвърта и пета алинея от който са възпроизведени по-долу, гласи:

„Съдът на Европейския съюз осъществява контрол относно законосъобразността на законодателните актове, на актовете на Съвета, на Комисията и на Европейската централна банка, с изключение на препоръките и становищата, както и на актовете на Европейския парламент и на Европейския съвет, предназначени да произведат правно действие по отношение на трети страни. Той контролира също така законосъобразността на актовете, издадени от органите, службите или агенциите на Съюза, предназначени да произвеждат правно действие по отношение на трети страни.

За тази цел Съдът на Европейския съюз е компетентен да се произнася по искове на държава членка, на Европейския парламент, на Съвета или на Комисията, на основание некомпетентност, съществено процесуално нарушение, нарушаване на Договорите или на всякаква правна норма, свързана с тяхното изпълнение, или злоупотреба с власт.

[…]

Всяко физическо или юридическо лице може да заведе иск, съгласно условията, предвидени в първа и втора алинея, срещу решенията, които са адресирани до него или които го засягат пряко и лично, както и срещу подзаконови актове, които го засягат пряко и които не включват мерки за изпълнение.

Актовете за създаване на органи, служби и агенции на Съюза могат да предвиждат специфични условия и правила относно исковете, заведени от физически или юридически лица срещу актове на тези органи, служби или агенции, предназначени да произведат правно действие спрямо тях.

[…]“.

35

От член 263 ДФЕС, първа алинея следва, че съдът на Съюза е компетентен да контролира законосъобразността на акт на орган на Съюза, предназначен да произведе правно действие по отношение на трети страни. Освен това от алинея четвърта на същия член е видно, че за да има право дадено юридическо лице да подаде жалба срещу индивидуален акт на орган на Съюза, на който не е адресат, то следва по принцип да е пряко и лично засегнато от него. В случая, както е изложено в точка 32 по-горе, Регламент 2016/679 не съдържа нито една разпоредба, съответстваща на предвиденото в член 263, пета алинея ДФЕС, поради което в конкретния случай за WhatsApp действително трябва да се прилагат условията по алинея четвърта на този член да е пряко и лично засегнато от обжалваното решение, за да може жалбата му срещу това решение да бъде допустима.

36

Най-напред трябва да се констатира, че обжалваното решение, прието от ЕКЗД, е акт, издаден от орган на Съюза. Несъмнено, предвиденият в Регламент 2016/679 институционален механизъм, представен в точки 21—31 по-горе, в частност изключителната компетентност на националните надзорни органи да приемат корективни мерки спрямо администраторите и обработващите лични данни, както и механизмите за сътрудничество и съгласуваност между тези органи, включително в рамките на ЕКЗД, който по същество обединява такива органи, би могъл да наведе на мисълта, че последният е само орган за координация между националните органи. Според текста на член 68, параграф 1 от Регламент 2016/679 обаче ЕКЗД е създаден като орган на Съюза и притежава правосубектност. В това си качество, той също така е оправомощен да приема становища на основание членове 64 и 65 от Регламент 2016/679, а в рамките на уреждането на спорове между национални надзорни органи — и решения като обжалваното решение, които са задължителни за засегнатите надзорни органи, следователно тези становища и решения са актове на орган на Съюза.

37

По-нататък, трябва да се констатира, че обжалваното решение е предназначено да произведе правно действие по отношение на трети страни, тъй като е „решение със задължителен характер“ по отношение на засегнатите надзорни органи, прието на основание член 65 от Регламент 2016/679.

38

Въпреки това, когато жалбоподателят не е един от така наречените „привилегировани“ жалбоподатели, индивидуално и поименно споменати в член 263, втора алинея ДФЕС, според постоянната съдебна практика, за да представлява обжалваем от този жалбоподател акт, последният трябва да произвежда задължително правно действие, което да е от естество да засегне интересите на жалбоподателя, като измени съществено неговото правно положение (решение от 11 ноември 1981 г., IBM/Комисия, 60/81, EU:C:1981:264, т. 9; вж. също решение от 18 ноември 2010 г., NDSHT/Комисия, C‑322/09 P, EU:C:2010:701, т. 45 и цитираната съдебна практика).

39

Съдът е постановил и че когато такъв жалбоподател не е адресат на акта, който обжалва, условието актът да изменя съществено правното положение на жалбоподателя, съвпада с условията по член 263, четвърта алинея ДФЕС, т.е. когато обжалваният акт не е подзаконов акт, който не включва мерки за изпълнение, с необходимостта жалбоподателят да е пряко и лично засегнат от този акт (вж. в този смисъл решение от 13 октомври 2011 г., Deutsche Post и Германия/Комисия, C‑463/10 P и C‑475/10 P, EU:C:2011:656, т. 38).

40

В случая може да се отбележи в самото начало, че с оглед на естеството на обжалвания акт, който е индивидуален акт, WhatsApp е лично засегнато от обжалваното решение, тъй като то се отнася до някои аспекти на проекта за окончателно решение на ирландския надзорен орган, които го засягат конкретно. Противно на твърденията на ЕКЗД в дупликата, обжалваното решение не се ограничава до посочване на принципи или до тълкуване на някои разпоредби от Регламент 2016/679, които биха могли да засегнат който и да е администратор на лични данни. Както е изложено в точка 11 по-горе, в обжалваното решение ЕКЗД се произнася по спазването от страна на WhatsApp на някои от задълженията му по Регламент 2016/679, квалифицира като лични данни данните от процедурата, наречена „Lossy Hashing Procedure“, която е операция по обработване, извършвана само от WhatsApp, и се произнася по някои корективни мерки, които следва да се наложат на WhatsApp, по-специално по някои аспекти на определянето на административните наказания „имуществена санкция“, които да му бъдат наложени. Следователно обжалваното решение засяга конкретно WhatsApp, макар и да съдържа, както много често се случва при индивидуалните актове, обявяване или припомняне на принципи и на тълкувания от общ характер.

41

След това трябва да се разгледа въпросът дали обжалваното решение поражда правни последици, изменящи съществено правното положение на WhatsApp, и дали го засяга пряко по смисъла на член 263, четвърта алинея ДФЕС.

42

От тази гледна точка трябва да се отбележи, както правилно подчертава ЕКЗД, че обжалваното решение само по себе си не променя правното положение на WhatsApp. Всъщност, за разлика от окончателното решение на ирландския надзорен орган, обжалваното решение не може да му бъде противопоставено пряко и представлява по отношение на него подготвителен или междинен акт в рамките на процедура, която в съответствие с разпоредбите на член 58, параграф 2 и членове 60, 63 и 65 от Регламент 2016/679, цитирани в точки 23—26 и 31 по-горе, трябва да приключи именно с приемането на окончателно решение на национален надзорен орган, адресат на което е това предприятие (вж. в този смисъл и по аналогия решение от 24 юни 1986 г., AKZO Chemie и AKZO Chemie UK/Комисия, 53/85, EU:C:1986:256, т. 19).

43

В това отношение многократно е постановявано, че в процедурите, които водят до изготвянето на актове на няколко етапа, по принцип междинните мерки, чиято цел е да се подготви окончателното решение, не представляват обжалваеми актове (вж. в този смисъл решения от 11 ноември 1981 г., IBM/Комисия, 60/81, EU:C:1981:264, т. 10 и от 26 януари 2010 г., Internationaler Hilfsfonds/Комисия, C‑362/08 P, EU:C:2010:40, т. 52 и цитираната съдебна практика).

44

Изключенията от принципа, припомнен в точка 43 по-горе, се отнасят до случаи, в които междинната мярка поражда самостоятелни правни последици, по отношение на които не би могла да бъде осигурена в достатъчна степен съдебна зашита посредством възможността за обжалване на акта, с който се слага край на производството (вж. в този смисъл решения от 11 ноември 1981 г., IBM/Комисия, 60/81, EU:C:1981:264, т. 11 и 12 и от 13 октомври 2011 г., Deutsche Post и Германия/Комисия, C‑463/10 P и C‑475/10 P, EU:C:2011:656, т. 53 и 54). Например такива изключения се открояват в рамките на производство за контрол за спазване на правилата за конкуренция, приложими към предприятията (вж. в този смисъл решение от 24 юни 1986 г., AKZO Chemie и AKZO Chemie Обединено кралство/Комисия, 53/85, EU:C:1986:256, т. 20), по производство за контрол за спазване на правилата в областта на държавните помощи (вж. в този смисъл решение от 9 октомври 2001 г., Италия/Комисия, C‑400/99, EU:C:2001:528, т. 55—63) и що се отнася до допълнителна или обезпечителна мярка, предхождаща окончателно решение, за временно отстраняване на длъжностно лице, спрямо което е образувано дисциплинарно производство (вж. в този смисъл решение от 5 май 1966 г., Gutmann/Комисия, 18/65 и 35/65, EU:C:1966:24, т. 168).

45

Напротив, в случая ефективната съдебна защита по отношение на обжалваното решение е гарантирана на WhatsApp посредством възможността за обжалване пред националния съд на окончателното решение на ирландския надзорен орган, което позволява да се прецени валидността на обжалваното решение. Както предвижда разпоредбата на член 78, параграф 1 от Регламент 2016/679, която гласи, че на всяко лице във всяка държава членка трябва да се гарантира правото на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган, WhatsApp обжалва пред ирландската юрисдикция окончателното решение, издадено от ирландския надзорен орган, и в рамките на това обжалване може да изтъкне незаконосъобразността на съдържащите се в обжалваното решение правно обвързващи преценки, възпроизведени в окончателното решение. В това отношение следва да се припомни, че член 267 ДФЕС дава възможност пред националния съд да се повдигне въпросът за невалидността на актовете на институциите, органите, службите или агенциите на Съюза, като предвижда, че когато националният съд прецени, че е необходимо решение по този въпрос, за да бъде постановено неговото решение, той може или трябва да сезира Съда на Европейския съюз с преюдициален въпрос за преценка на валидността на съответния акт. Ако вследствие на преюдициалното производство той установи невалидност на такъв акт, който е подготвителен по отношение на решение, издадено от орган на държава членка, националният съд трябва да изведе съответните последици, що се отнася до законосъобразността на това решение, което уврежда заинтересованото лице (вж. в този смисъл решения от 30 октомври 1975 г., Rey Soda и др., 23/75, EU:C:1975:142, т. 51 и от 20 март 2018 г., Šroubárna Ždánice/Съвет, T‑442/16, непубликувано, EU:T:2018:159, т. 34).

46

Освен това обжалваното решение няма самостоятелно правно действие по отношение на WhatsApp, различно от действието на окончателното решение, издадено от ирландския надзорен орган: всички съдържащи се в обжалваното решение преценки са възпроизведени в окончателното решение, като първото не поражда последици, които да са независими от съдържанието на второто, за разлика от случаите, по които са постановени решения от 5 май 1966 г., Gutmann/Комисия (18/65 и 35/65, EU:C:1966:24), от 24 юни 1986 г., AKZO Chemie и AKZO Chemie Обединено кралство/Комисия (53/85, EU:C:1986:256) и от 9 октомври 2001 г., Италия/Комисия (C‑400/99, EU:C:2001:528), посочени в точка 44 по-горе.

47

В това отношение, макар припомнените в точки 43 и 44 по-горе принципи да са изведени по повод на процедури, попадащи, що се отнася до окончателното решение, в компетентността на институции или други субекти на Съюза, няма причина, която да обосновава различно положение за случаи като настоящия, в които законодателството на Съюза възлага надзора върху прилагането на специфични правила на Съюза на конкретни национални органи, осъществяван въз основа на процедури, които включват няколко фази и в които става въпрос за междинна мярка, приета от орган на Съюза в хода на такава процедура, приключила с решение на национален орган.

48

Действително WhatsApp твърди, че обжалваното решение представлява окончателна позиция на ЕКЗД, която ирландският надзорен орган е трябвало да последва в окончателното решение. Този довод се разбира в смисъл, че поради това обжалваното решение по необходимост е обжалваем акт и се различава от междинните мерки, изразяващи само временно становище и които единствени са необжалваеми актове.

49

Въпреки това, както бе припомнено в точка 38 по-горе, за да може даден акт да се обжалва от жалбоподател, различен от така наречените „привилегировани“ жалбоподатели, споменати в член 263, втора алинея ДФЕС, този акт трябва в частност да изменя съществено правното положение на същия. Фактът обаче, че в даден междинен акт може да е изразено окончателното становище на органа, което трябва да бъде възпроизведено в окончателното решение, с което приключва разглежданата процедура, както е в случая, тъй като обжалваното решение съдържа окончателен анализ на някои аспекти от окончателното решение, не означава непременно че самият междинен акт изменя съществено правното положение на жалбоподателя, както в случая се установява в точки 42—47 по-горе. Доколкото, както беше припомнено в точка 39 по-горе, това условие се припокрива с условията по член 263, четвърта алинея ДФЕС, т.е. по-конкретно с необходимостта жалбоподателят да е пряко засегнат от този акт, може да се провери в конкретния случай дали WhatsApp е пряко засегнато от обжалваното решение.

50

Както обаче основателно поддържа ЕКЗД, WhatsApp не е пряко засегнато от обжалваното решение.

51

Всъщност според постоянната съдебна практика, за да засяга пряко жалбоподател, който не е адресат на даден акт, този акт трябва, първо, да поражда преки правни последици в правната сфера на жалбоподателя и второ, да не оставя никакво право на преценка на своите адресати, на които е възложено изпълнението му, тъй като това изпълнение е автоматично и произтича единствено от правната уредба на Съюза, без да се прилагат други правила с опосредяващ характер (решения от 13 май 1971 г., International Fruit Company и др./Commission, 41/70—44/70, EU:C:1971:53, т. 23—28, от 5 май 1998 г., Dreyfus/Комисияn, C‑386/96 P, EU:C:1998:193, т. 43 и от 17 септември 2009 г., Комисия/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, т. 48).

52

Що се отнася до първото от тези условия, както вече беше посочено в точка 42 по-горе, обжалваното решение не може да бъде противопоставено на WhatsApp, което би позволило без допълнителен етап в производството то да бъде източник на задължения за него или евентуално на права за други частни лица. Така например то се различава от актовете, предмет на производството, по което е постановено решение от 23 април 1986 г., Les Verts/Парламент (294/83, EU:C:1986:166), за които, за да се направи извода за пряко засягане на сдружението жалбоподател, в точка 31 от това решение се отбелязва, че „[те представляват] пълна правна уредба, която сама по себе си е [достатъчна] и която [не изисква] никаква разпоредба за прилагане“. В настоящия случай обжалваното решение не е последният етап от предвидената в членове 58, 60 и 65 от Регламент 2016/679 пълна процедура.

53

Що се отнася до второто от тези условия, свързано с правото на преценка на органа, на който е възложено изпълнението на разглеждания акт, трябва да се констатира, че макар обжалваното решение да обвързва ирландския надзорен орган по отношение на аспектите, до които се отнася, то му оставя свобода на преценка относно съдържанието на окончателното решение.

54

Всъщност, както е видно от сравнението между съдържанието на обжалваното решение, изложено в точка 11 по-горе, с което се дават указания на съответните надзорни органи, и изложеното в точка 8 по-горе съдържание на окончателното решение, адресат на което е WhatsApp, обжалваното решение има частично съдържание спрямо окончателното решение.

55

Така общото между двете решения е установяването на нарушение от WhatsApp на принципа на прозрачност, закрепен в член 5, параграф 1, буква a), и на задълженията, въведени в член 13, параграф 1, буква г) и член 13, параграф 2, буква д) от Регламент 2016/679; квалифицирането като лични данни на данните, получени вследствие на процедурата, наречена „Lossy Hashing Procedure“, приложена към данните относно „контактите“, които не са ползватели на WhatsApp, фигуриращи в бележника за адреси на терминалите на ползвателите на WhatsApp; установяването на неизпълнение от WhatsApp на задълженията, посочени в член 14 от Регламент 2016/679 поради тази квалификация; тримесечният срок, предоставен на WhatsApp за привеждане в съответствие с изискванията, посочени в Регламент 2016/679; някои аспекти на корективните мерки, а именно тези, свързани с личните данни на лицата, които не са ползватели на WhatsApp, и със задължението на ползвателите на WhatsApp да се предостави информацията, посочена в член 13, параграф 2, буква д) от Регламент 2016/679; тълкуването на критериите за определяне на размера на административните наказания „имуществена санкция“, наложени на WhatsApp, и увеличаването на размера на тези санкции в сравнение с общото равнище от 30 до 50 милиона евро, предвидено в проекта за решение на ирландския надзорен орган.

56

От друга страна, по следните аспекти окончателното решение произтича от преценката на ирландския надзорен орган, без ЕКЗД да е изразил в обжалваното решение изрична позиция в това отношение: констатиране на нарушение от WhatsApp на задължения по член 12, параграф 1, член 13, параграф 1, букви в), д) и е), както и в член 13, параграф 2, букви а) и в) от Регламент 2016/679; констатиране на спазването от WhatsApp на задълженията, посочени в член 13, параграф 1, букви a) и б), както и в член 13, параграф 2, букви б) и г) от Регламент 2016/679; качеството на WhatsApp, когато обработва личните данни на лица, които не са ползватели на неговата услуга за съобщения; същинската част от съдържанието на корективните мерки, наложени на WhatsApp, а именно предназначените да гарантират спазването на задълженията по член 12, параграф 1, член 13, параграф 1, букви в), г), д) и е) и член 13, параграф 2, букви а) и в) от Регламент 2016/679; конкретното определяне на размера на административните наказания „имуществена санкция“, наложени на WhatsApp, достигащи обща стойност от 225 милиона евро.

57

Следва да се отбележи в частност, че ирландският надзорен орган е упражнил свободата си на преценка, за да съобрази последиците на указанията, дадени в обжалваното решение, що се отнася до квалифицирането като лични данни на данните, получени вследствие на процедурата, наречена „Lossy Hashing Procedure“, и по отношение на административните наказания.

58

По първия аспект, т.е. въпроса за обработването на личните данни на лица, които не са ползватели на WhatsApp, и по-специално на данните, получени от процедурата, наречена „Lossy Hashing Procedure“, както е видно от точка 111 от окончателното решение, следващият етап от анализа, целящ да се определи дали WhatsApp е нарушило задълженията си по член 14 от Регламент 2016/679 по отношение на тези лица, е да се установи дали при обработването на въпросните лични данни WhatsApp действа като администратор на лични данни, или обработващ лични данни, действащ за сметка на ползвател на неговата услуга за електронни съобщения, който е активирал функцията „Контакти“. Този етап от анализа обаче, възприет в първата хипотеза, е резултат от преценка на ирландския надзорен орган, без ЕКЗД да е изразил позиция по този въпрос в обжалваното решение.

59

Що се отнася до определянето на административните наказания, макар обжалваното решение да съдържа указания относно тълкуването на критериите за определяне на размера на наложените на основание Регламент 2016/679 административни наказания и относно увеличаването на общия размер на имуществените санкции, които следва да бъдат наложени в случая на WhatsApp в сравнение с предвиденото в проекта за решение на ирландския надзорен орган, последният запазва свободата си на преценка, за да определи конкретния размер на санкциите, които следва да се наложат на WhatsApp. Впрочем, както бе посочено в точка 8 по-горе, преди да приеме окончателното решение, ирландският надзорен орган е поискал от WhatsApp становище по новите административни наказания, които възнамерява да му наложи, което е в съответствие с констатацията, че този орган е запазил свобода на преценка в това отношение. В настоящия случай може да се отбележи, че в окончателното решение в крайна сметка е възприета именно долната граница на новите имуществени санкции, предвидени от ирландския надзорен орган.

60

Окончателното решение обаче представлява едно цяло, от което не може да се отделят частите, съответстващи на съдържащите се в обжалваното решение указания, които да обособят окончателно „подрешение“, за което надзорният орган не би разполагал с никаква свобода на преценка. Всъщност разследването и окончателното решение на ирландския надзорен орган се отнасят до спазването от WhatsApp на принципа на прозрачност и на всички свързани с него конкретни задължения, посочени в Регламент 2016/679. Следователно в окончателното решение е анализирана цялостната практика на WhatsApp в това отношение и един и същ аспект на тази практика е бил предмет на разглеждане с оглед на няколко релевантни разпоредби на Регламент 2016/679, например с оглед на член 5, параграф 1, буква a), член 12, параграф 1 и на множеството разпоредби на член 13 от Регламент 2016/679, като се има предвид, че обжалваното решение се отнася само до анализа с оглед на някои от тези разпоредби. Не би имало никакъв смисъл от извършения в окончателното решение цялостен анализ да се отделят някои особени елементи, след като образуваната срещу WhatsApp процедура, по инициатива и под ръководството на ирландския надзорен орган в качеството му на водещ надзорен орган, се отнася до цялостната преценка за спазване от WhatsApp на принципа на прозрачност. По-конкретно, що се отнася до определянето на имуществените санкции, ирландският надзорен орган е определил размера на всяка от четирите административни санкции с оглед на съвкупността от констатирани нарушения, съответно на член 5, параграф 1, буква а) и членове 12, 13 и 14 от Регламент 2016/679.

61

Следователно нито едно от двете условия, припомнени в точка 51 по-горе — които, ако бяха изпълнени, биха позволили да се приеме, че WhatsApp е пряко засегнато от обжалваното решение — не е изпълнено.

62

От гореизложеното следва, че жалбата на WhatsApp е недопустима.

63

Резултатът от този анализ е в съответствие с това, което е било постановено по отношение на други процедури, в които адресат на акт на Съюза със задължителен характер, отнасящ се до предприятия, е държава членка.

64

Така, в областта на контрола върху държавните помощи е постановено, че когато Комисията приема решение, с което вече предоставена помощ се обявява за неправомерна и несъвместима с вътрешния пазар и се разпорежда на държавата членка, предоставила помощта, да възстанови изплатените помощи, получателите на изплатените помощи са пряко и лично засегнати от това решение (вж. в този смисъл решение от 19 октомври 2000 г., Италия и Sardegna Lines/Комисия, C‑15/98 и C‑105/99, EU:C:2000:570, т. 33—36). В това отношение беше отбелязано, че от момента на приемане на решение от такова естество тези получатели на помощи са изложени на риска от възстановяване на получените от тях предимства, поради което е налице засягате на правната им сфера (решение от 9 юни 2011 г., Comitato Venezia vuole vivere и др./Комисия, C‑71/09 P, C‑73/09 P и C‑76/09 P, EU:C:2011:368, т. 56). Това се обяснява, защото на този етап процедурата за контрол е завършена, не се изисква никаква допълнителна преценка по същество, понеже сумите, които подлежат на възстановяване, се определят механично в зависимост от решението на Комисията и предоставената преди това на засегнатите предприятия помощ, самата държава членка следва да инициира възстановяването на помощта и да го завърши успешно, освен при наличие на изключителни обстоятелства (вж. в този смисъл решения от 7 юни 1988 г., Комисия/Гърция, 63/87, EU:C:1988:285, от 20 септември 1990 г., Комисия/Германия, C‑5/89, EU:C:1990:320, т. 15 и 16 и от 20 март 1997 г., Alcan Deutschland, C‑24/95, EU:C:1997:163), и трети лица могат да действат въз основа на решението на Комисията пред съответната администрация или пред националния съд с искане за възстановяване на въпросната помощ, без самите те да носят тежестта да докажат, че тя е била предоставена незаконно (вж. по аналогия решение от 12 февруари 2008 г., CELF и Ministre de la Culture et de la Communication, C‑199/06, EU:C:2008:79, т. 23 и 39—41). В настоящия случай обжалваното решение не се намира на аналогичен етап, тъй като процедурата за контрол не е приключила с неговото приемане, допълнителната преценка относно спазването от WhatsApp на разпоредбите на Регламент 2016/679 и следващата му се санкция все още предстои да се потвърди или направи от водещия надзорен орган и самото обжалвано решение не може да служи като имаща правна сила основание за налагане на задължения на WhatsApp.

65

Прието е също, че решение на Комисията, чийто адресат е държава членка, в което ѝ се посочва, че европейското финансиране в полза на дадено предприятие е било ограничено в сравнение с предвиденото поради недопустимост за финансиране по този начин на някои от разходите, представени от това предприятие, засяга пряко и лично последното, защото разглежданото решение го лишава от част от първоначално отпуснатата му финансова помощ, без държавата членка да разполага с право на преценка в това отношение (решение от 4 юни 1992 г., Infortec/Комисия, C‑157/90, EU:C:1992:243, т. 17). В случая обаче, за разлика от решението на Комисията, довело до тази преценка, обжалваното решение не представлява последен етап от разглежданата пълна процедура, както беше установено в точка 52 по-горе, и същото предоставя свобода на преценка на ирландския надзорен орган, както беше констатирано в точки 56 и 57 по-горе.

66

В по-общ план недопустимостта на жалбата на WhatsApp, подадена пред Общия съд срещу обжалваното решение, се вписва в логиката на установената в Договора за ЕС и Договора за функционирането на ЕС система от способи за съдебна защита.

67

Както предвижда член 2 от Договора за ЕС, Съюзът се основава по-конкретно на зачитането на правовата държава. Член 6, параграф 1 от Договора за ЕС гласи, че Съюзът зачита правата, свободите и принципите, определени в Хартата на основните права на Европейския съюз, а член 47 от нея гарантира правото на ефективни правни средства за защита и на справедлив съдебен процес. Член 19 от Договора за ЕС уточнява, че Съдът на Европейския съюз осигурява спазването на правото при тълкуването и прилагането на Договорите, и по-специално че той се произнася в съответствие с Договорите по искове, подадени от държава членка, от институция или от физическо или юридическо лице и [по реда на преюдициалното производство — ] по искане на националните юрисдикции, относно тълкуването на правото на Съюза или относно действителността на актове, приети от институциите, както и в другите случаи, предвидени в Договорите. Същият член предвижда, че държавите членки установяват правните средства, необходими за осигуряването на ефективна правна защита в областите, обхванати от правото на Съюза.

68

По-точно, Договорът за функционирането на ЕС, с член 263, отнасящ се до преките производства пред Съда на Европейския съюз, и член 267, отнасящ се до случаите, в които той се произнася [по реда на преюдициалното производство], в частност относно действителността и тълкуването на актовете, приети от институциите, органите, службите или агенциите на Съюза, установява завършена система от средства за защита, предназначена да осигури контрола за законосъобразност на актовете на Съюза (вж. в този смисъла решение от 25 юли 2002 г., Unión de Pequeños Agricultores/Съвет, C‑50/00 P, EU:C:2002:462, т. 40). В тази система участват както Съдът на Европейския съюз, част от който е Общият съд, така и националните юрисдикции. В тази система лица, които поради посочените в член 263 ДФЕС условия за допустимост не могат пряко да обжалват актове на Съюза пред Съда на Европейския съюз, могат чрез възражение за незаконосъобразност да се позоват на невалидността на такъв акт пред националния съд, като подадат пред него жалба срещу националните мерки за прилагане на този акт. В тази ситуация националният съд, ако прецени, че е необходимо решение по този въпрос, за да постанови своето решение, и има съмнение относно валидността на този акт, трябва да отправи преюдициално запитване до Съда на Европейския съюз (вж. също в този смисъл и по аналогия решение от 25 юли 2002 г., Unión de Pequeños Agricultores/Съвет, C‑50/00 P, EU:C:2002:462, т. 40).

69

Логиката на тази система, която обяснява по-специално тълкуването на посочените в член 263 ДФЕС условия за допустимост на преките искове, припомнено в хода на анализа, съдържащ се в точки 34—62 по-горе, е, че съдебните действия пред Съда на Европейския съюз и тези пред националните юрисдикции се допълват ефикасно и че съдът на Съюза и националният съд не следва да се произнасят едновременно, в рамките на паралелно протичащи производства, по действителността на един и същ акт на Съюза, било то пряко, или, що се отнася до националния съд, ако изпитва съмнения относно валидността на разглеждания акт — вследствие на преюдициален въпрос. Тази логика е в основата по-конкретно на съдебната практика, според която жалбоподател, който несъмнено може да обжалва решение на Съюза директно пред Съда на Европейския съюз, впоследствие не може да оспорва валидността на това решение по-специално в рамките на последващо производство пред националния съд (вж. в този смисъл решение от 9 март 1994 г., TWD Textilwerke Deggendorf, C‑188/92, EU:C:1994:90, т. 17; вж. в този смисъл и решение от 9 юни 2011 г., Comitato Venezia vuole vivere и др./Комисия, C‑71/09 P, C‑73/09 P и C‑76/09 P, EU:C:2011:368, т. 58 и цитираната съдебна практика). Обратно, според постоянната съдебна практика незаконосъобразността на необжалваем акт на Съюза, който е послужил като основание за издаването на друг акт, може да бъде изтъкната при обжалване на втория акт (решение от 11 ноември 1981 г., IBM/Комисия, 60/81, EU:C:1981:264, т. 12 и a contrario, позоваванията на по-ранната съдебна практика).

70

В настоящия случай да се признае допустимостта на жалбата на WhatsApp срещу обжалваното решение, би довело до воденето на две успоредни съдебни производства, които значително се припокриват, едното пред Общия съд с предмет обжалваното решение, а другото пред ирландската юрисдикция с предмет окончателното решение, част от мотивите на което се градят върху обжалваното решение. Впрочем, за да му бъде предоставен срок за представяне на писмена реплика пред Общия съд, WhatsApp изтъква натовареността си в паралелно протичащото производство пред сезираната ирландска юрисдикция. Освен ако някоя от сезираните юрисдикции не спре образуваното пред нея производство, което би могло да доведе до удължаване на времето, необходимо за постигане на окончателно разрешаване на въпроса за законосъобразността на окончателното решение, тези успоредни производства биха могли дори да доведат до положение, при което да се случи Съдът, по реда на преюдициалното запитване, и Общият съд, по прекия иск на WhatsApp, да се произнесат едновременно по валидността на обжалваното решение. Предвид посочената в точки 68 и 69 по-горе система от правни средства за защита и предвид разпоредбата на член 78 от Регламент 2016/679 относно правото на ефективна съдебна защита срещу надзорен орган, евентуално сезираната ирландска юрисдикция, която единствена е компетентна в това отношение, следва да провери законосъобразността на окончателното решение, противопоставимо на WhatsApp, като отправи преюдициално запитване до Съда на Европейския съюз, що се отнася до обжалваното решение, ако счита, че това е необходимо, за да се произнесе по спора между WhatsApp и ирландския надзорен орган. Сезираната ирландска юрисдикция би могла в това отношение да реши спора, с който е сезирана, или като отхвърли възражението за незаконосъобразност, което би могло да бъде повдигнато срещу обжалваното решение, без да се обърне към Съда, ако не изпитва съмнения относно валидността на това решение, или обратно, да сезира Съда, ако има такива съмнения, или пък да разреши спора независимо от въпроса за валидността на обжалваното решение предвид повдигнатите пред нея основания. Това разрешение е в съответствие с интереса от добро правораздаване, като се имат предвид рисковете, породени от наличието на паралелни съдебни производства, посочени в началото на настоящата точка.

71

Накрая, що се отнася до съображение 143 от Регламент 2016/679, цитирано в точка 33 по-горе, което може да остави впечатлението, че жалба като тази на WhatsApp пред Общия съд е допустима, следва да се отбележи, че съображение от регламент, макар да позволява да се изясни тълкуването, което следва да се даде на дадена правна норма, само по себе си не може да представлява такава норма, и че преамбюлът на акт на Съюза няма обвързваща правна сила (вж. решение от 26 октомври 2017 г., Marine Harvest/Комисия, T‑704/14, EU:T:2017:753, т. 150 и цитираната съдебна практика; вж. също в този смисъл решение от 24 ноември 2005 г., Deutsches Milch-Kontor, C‑136/04, EU:C:2005:716, т. 32 и цитираната съдебна практика). В настоящия случай обаче това съображение не представлява опора на нито една от разпоредбите на Регламент 2016/679, както бе посочено в точки 32 и 35 по-горе. По-нататък, обяснение, съдържащо се в изложението на мотивите на даден регламент, не може да има предимство пред приложимите норми на първичното право, съдържащи се в Договорите, в случая спрямо тези по първа и четвърта алинея на член 263 ДФЕС, чието съдържание впрочем отчасти е припомнено във въпросното съображение с уточнението, в изречение първо, че „[в]сяко физическо или юридическо лице има правото да внася [жалба] за отмяна на решения на Комитета пред Съда при условията, предвидени в член 263 ДФЕС“.

72

От всичко гореизложено следва, че жалбата трябва да се отхвърли като недопустима.

73

Съгласно член 142, параграф 2 от Процедурния правилник встъпването е акцесорно по отношение на главния спор и предметът му отпада по-конкретно когато жалбата е обявена за недопустима.

74

Следователно е отпаднало основанието за произнасяне по молбите за встъпване, както и по исканията за защита на поверителността на данни от преписката, които те са направили.

75

Съгласно член 134, параграф 1 от Процедурния правилник загубилата делото страна се осъжда да заплати съдебните разноски, ако е направено такова искане. Тъй като WhatsApp е загубило делото, то следва да бъде осъдено да заплати съдебните разноски в съответствие с направените от ЕКЗД искания, без да се засяга посоченото в точка 76 по-долу.

76

Освен това съгласно член 144, параграф 10 от Процедурния правилник, ако производството по делото между главните страни бъде прекратено преди произнасянето по молба за встъпване, молителят и главните страни понасят направените от всеки от тях разноски във връзка с молбата за встъпване. В случая WhatsApp, ЕКЗД, Република Финландия, Комисията, Европейският надзорен орган по защита на данните и Computer & Communication Investments Industry Association понасят направените от всеки от тях разноски във връзка с молбите за встъпване.

По изложените съображения

ОБЩИЯТ СЪД (четвърти разширен състав)

определи: