1.

Позволява ли Общият регламент относно защитата на данните ( 2 ) (наричан по-нататък „ОРЗД“) надзорният орган на държава членка да сезира съд на тази държава в случай на твърдяно нарушение на този регламент при трансгранично обработване на данни, когато въпросният орган не е водещият надзорен орган по отношение на това обработване?

2.

Или възпрепятства ли новият механизъм за „обслужване на едно гише“, смятан за едно от най-важните нововъведения на ОРЗД, подобна хипотеза? Ако администратор е призован да се защити в правен спор относно трансграничното обработване на данни, иницииран от надзорен орган, пред съд извън основното място на установяване на администратора, това би ли било „обслужване на повече от едно гише“, което е несъвместимо с новия механизъм на ОРЗД?

3.

В преамбюла на ОРЗД се посочва inter alia, че: „[в]ъпреки че целите и принципите на Директива 95/46/ЕО ѝ дават солидна основа, тя не предотврати фрагментирането на прилагането на защитата на данни в Съюза [и] правната несигурност“ (съображение 9); следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на личните данни (съображение 10); надзорните органи следва да наблюдават прилагането на правилата и да допринасят за последователно им прилагане с цел защита на физическите лица и улесняване на свободното движение на личните данни в рамките на вътрешния пазар (съображение 123); в контекста на трансграничното обработване „надзорният орган на основното място на установяване на администратора или обработващия лични данни или на единственото място на установяване на администратора или обработващия лични данни следва да функционира като водещ орган“ и този орган следва да „си сътрудничи с други засегнати органи“ (съображение 124).

4.

Съгласно член 51, параграф 1 от ОРЗД „[в]сяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза („надзорен орган“)“.

5.

Съгласно член 55, параграф 1 от ОРЗД „[в]секи надзорен орган е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с настоящия регламент, на територията на своята собствена държава членка“.

6.

Член 56 от ОРЗД се отнася до компетентността на водещия надзорен орган. Първият параграф от тази разпоредба гласи:

„Без да се засяга член 55, надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни в съответствие с процедурата по член 60“.

7.

Член 56, параграфи 2—5 предвижда, че чрез дерогация от параграф 1 „всеки надзорен орган е компетентен да разглежда внесена при него жалба или евентуални нарушения на настоящия регламент, ако случаят се отнася единствено до място на установяване в държавата членка на надзорния орган или засяга в значителна степен субекти на данни единствено в тази държава членка“. Тези случаи могат да бъдат разглеждани от водещите надзорни органи, действащи в съответствие с процедурата, предвидена в член 60 от ОРЗД, или „когато водещият надзорен орган реши да не разглежда случая“, от местния надзорен орган, действащ в съответствие с членове 61 и 62 от ОРЗД.

8.

Член 56, параграф 6 гласи, че „[з]а трансграничното обработване, което извършва, администраторът или обработващият лични данни комуникира единствено с водещия надзорен орган“.

9.

Член 58, параграф 5 от ОРЗД относно правомощията на надзорните органи гласи:

„Всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент“.

10.

Глава VII от ОРЗД, озаглавена „Сътрудничество и съгласуваност“, включва членове 60—76. Член 60, озаглавен „Сътрудничество между водещия надзорен орган и другите засегнати надзорни органи“, урежда подробната процедура, която водещите надзорни органи трябва да следват при извършването на трансгранично обработване на данни.

11.

На свой ред член 61, параграф 2 от ОРЗД относно взаимопомощта задължава всеки надзорен орган да предприема „всички подходящи мерки, които са необходими, за да се отговори на искането на друг надзорен орган без ненужно забавяне и не по-късно от един месец след получаване на искането“. Член 61, параграф 8 от ОРЗД предвижда, че когато надзорен орган не предостави исканата информация, искащият надзорен орган може да приеме временна мярка на територията на своята държава членка, като се счита, че са необходими спешни действия съгласно член 66, параграф 1.

12.

Член 65, параграф 1, буква а) от ОРЗД, озаглавен „Решаване на спорове от Комитета“, предвижда, че с цел да осигури правилно и последователно прилагане на този регламент в отделните случаи, Европейският комитет по защита на данните (наричан по-нататък „Комитетът“) приема решение със задължителен характер, по-специално в случаите, когато засегнат надзорен орган е повдигнал относимо и обосновано възражение срещу проект за решение на водещия орган или когато водещият орган е отхвърлил възражението като неотносимо или необосновано.

13.

Член 66, параграф 1, който урежда процедурата по спешност, предвижда, че при извънредни обстоятелства, когато засегнат надзорен орган счита, че е налице спешна необходимост да се действа в защита на правата и свободите на субектите на данни, той може чрез дерогация от механизмите за последователност и съгласуваност „да приеме незабавно временни мерки, водещи до правни последици на собствената му територия, с определен срок на валидност, който не надвишава три месеца“.

14.

Глава VIII от ОРЗД, озаглавена „Средства за правна защита, отговорност за причинени вреди и санкции“, включва членове 77—84. Член 77, параграф 1 предоставя на всеки субект на данни правото да подаде жалба до надзорен орган относно предполагаеми нарушения на този регламент по отношение на обработването на лични данни, отнасящи се до него/нея, „по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение“. Член 78, параграфи 1 и 2 от ОРЗД предоставя на всяко физическо или юридическо лице правото на ефективна съдебна защита, по-специално срещу отнасящо се до това лице решение със задължителен характер на надзорен орган и срещу надзорния орган, който не е разгледал жалбата.

15.

Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Закон от 8 декември 1992 г. за защита на личния живот при обработването на лични данни, наричан по-нататък „WVP“), с изменения, транспонира Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни ( 3 ). С този закон inter alia се създава белгийската Комисия за защита на личния живот. Съгласно член 32, параграф 3 от този закон, „[б]ез да се засяга компетентността на общите съдилища за прилагане на общите принципи за защита на личния живот, председателят на [Комисията за защита на личния живот] може да сезира първоинстанционния съд с всеки спор относно прилагането на настоящия закон и на мерките по прилагането му“.

16.

Съгласно член 3 от Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (Закон от 3 декември 2017 г. за създаване на орган за защита на личните данни, наричан по-нататък „GBA-Wet“), който влиза в сила на 25 май 2018 г., като правоприемник на Комисията за защита на личния живот се създава Органът за защита на личните данни (наричан по-нататък „GBA“). В съответствие с член 6 от този закон GBA „е оправомощен да довежда всяко нарушение на основните принципи за защита на личните данни в рамките на този закон и законите, които съдържат разпоредби относно защитата при обработването на лични данни, до знанието на съдебните органи и по целесъобразност да предяви иск с цел прилагането на тези основни принципи“.

17.

GBA-Wet не съдържа никаква специална разпоредба относно съдебните производства, образувани на основание член 32, параграф 3 от WVP, които все още са висящи към 25 май 2018 г.

18.

WVP е отменен с Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Закон от 30 юли 2018 г. за защита на физическите лица при обработването на лични данни). Този закон транспонира разпоредбите на ОРЗД, които изискват от държавите членки или им позволяват да приемат по-подробни правила в допълнение към общите правила.

19.

На 11 септември 2015 г. председателят на белгийската Комисия за защита на личния живот, впоследствие GBA, предявява иск срещу Facebook Inc., Facebook Ireland Ltd и Facebook Belgium BVBA (наричани по-нататък заедно „Facebook“) пред Nederlandstalige rechtbank van eerste aanleg Brussel (Първоинстанционен нидерландскоезичен съд, Брюксел, Белгия). Производството се отнася до предполагаеми нарушения от страна на Facebook на законите за защита на личните данни, изразяващи се по-специално в неправомерно събиране и използване на данни за поведението при сърфиране на интернет потребителите в Белгия чрез технологии като „cookies (бисквитки)“, „social plugins“ и „pixels“.

20.

По същество GBA твърди, че Facebook използва различни технологии, за да наблюдава и проследява субектите, докато сърфират от един уебсайт на друг, и след това използва събраните данни с цел профилиране на тяхното поведение при сърфиране и въз основа на това им показва целева реклама, без Facebook да информира надлежно засегнатите лица или да получава тяхното действително съгласие. GBA поддържа, че Facebook прилага тези практики както по отношение на членове, така и по отношение на лица, които не са членове на социалната мрежа на Facebook.

21.

GBA иска Facebook да бъде осъдено да преустанови да поставя по отношение на всички интернет потребители на територията на Белгия, без да е получило тяхното съгласие, „бисквитки“, които в продължение на две години остават активни на устройствата, които тези лица използват, когато сърфират в уебсайт на домейна Facebook.com или уебсайт на трето лице, както и да преустанови събирането на данни по прекомерен начин чрез „social plugins“ и „pixels“ на уебсайтове на трети лица. Освен това той иска да бъдат унищожени всички лични данни, получени чрез „бисквитки“ и „social plugins“, отнасящи се до всеки интернет потребител, установен на територията на Белгия.

22.

С определение за допускане на временни мерки от 9 ноември 2015 г. председателят на Nederlandstalige rechtbank van eerste aanleg Brussel (Първоинстанционен нидерландскоезичен съд, Брюксел) приема, че този съд е компетентен да разгледа делото и че искът е допустим по отношение и на тримата ответници. Освен това този съд издава временно разпореждане на ответниците за преустановяване на определени дейности, свързани с интернет потребителите, намиращи се на територията на Белгия.

23.

На 2 март 2016 г. Facebook подава въззивна жалба срещу това определение пред Hof van beroep te Brussel (Апелативен съд Брюксел, Белгия). С решение от 29 юни 2016 г. този съд изменя определението, постановено от първоинстанционния съд. Този съд приема по-специално че не е компетентен да разгледа исковете срещу Facebook Inc. и Facebook Ireland Ltd, но е компетентен да разгледа иска, предявен срещу Facebook Belgium BVBA. Така спорът в главното производство се ограничава само до исковете, предявени срещу Facebook Belgium. Този съд обявява също така, че не е налице спешност.

24.

Разбирам, че понастоящем висящото пред Hof van beroep te Brussel (Апелативен съд Брюксел) дело се отнася до жалбата срещу последващо решение по същество, постановено от първоинстанционния съд. В производството по обжалване Facebook Belgium изтъква inter alia, че след прилагането на новия механизъм „обслужване на едно гише“ на ОРЗД е отпаднала компетентността на GBA да продължи делото в главното производство, тъй като последният не е водещият надзорен орган. Що се отнася до спорното трансгранично обработване, водещият надзорен орган бил ирландската комисия за защита на данните. Основното място на установяване на администратора в Европейския съюз се намира в Ирландия (Facebook Ireland Ltd).

25.

При тези обстоятелства Hof van beroep te Brussel (Апелативен съд Брюксел) решава да спре производството и да постави на Съда следните преюдициални въпроси:

26.

Facebook, GBA, белгийското, чешкото, италианското, полското, португалското и финландското правителство, както и Европейската комисия представят писмени становища. В съдебното заседание от 5 октомври 2020 г. Facebook, GBA и Комисията представят и устни становища.

27.

Накратко, основният въпрос, който се поставя в главното производство, е дали GBA може да продължи съдебното производство срещу Facebook Belgium относно трансграничното обработване на лични данни, извършено след прилагането на ОРЗД, при положение че лицето, обработващо данните, е Facebook Ireland Ltd.

28.

За да бъде разгледан този въпрос, следва да се преценят приложното поле и функционирането на механизма, който самият ОРЗД в съображение 127 нарича „обслужване на едно гише“. Този механизъм се състои от група правила, които в случай на трансгранично обработване на лични данни водят до обособяването на център за изпълнение чрез водещ надзорен орган (наричан по-нататък „ВНО“), включен в системата на процедурите за сътрудничество и съгласуваност между засегнатите надзорни органи (наричани по-нататък „ЗНО“), създадена за да гарантира участието на всички заинтересовани надзорни органи.

29.

По силата на член 56, параграф 1 от ОРЗД надзорният орган действа като ВНО за трансграничното обработване, извършвано от администратори или обработващи лични данни, чието основно или единствено място на установяване е на неговата територия. Съгласно член 4, точка 22 от ОРЗД надзорният орган действа като ВНО при следните алтернативни условия: „а) администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган; б) субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или в) до този надзорен орган е подадена жалба“.

30.

Преди преюдициалните въпроси да бъдат разгледани по същество, се налагат някои предварителни бележки (А). След това ще разгледам повдигнатите от запитващата юрисдикция правни въпроси. Настоящото заключение се съсредоточава по-специално върху първия преюдициален въпрос, доколкото именно той е в центъра на спора, с който е сезирана запитващата юрисдикция (Б). По-нататък ще разгледам останалите преюдициални въпроси само накратко, тъй като, ако отговорът на първия въпрос бъде предложеният в настоящото заключение, отговорът на останалите става излишен или най-малкото ясен (В).

31.

В началото ще отбележа, че се затруднявам да разбера напълно определени елементи от главното производство.

32.

Най-напред трябва да призная, че не намирам за напълно очевидна релевантността на въпросите, поставени в хода на главното производство, тъй като изглежда, че от всички лица, срещу които GBA е предприел правни действия, към момента Facebook Belgium е единственият ответник в главното производство ( 4 ). От преписката, с която Съдът разполага, изглежда, че това дружество не е нито „основното място на установяване“ на администратора по смисъла на член 4, параграф 16 от ОРЗД, нито пък възможен „съвместен администратор“ по смисъла на член 26 от ОРЗД, тъй като изглежда, че то е част от едно и също предприятие ( 5 ).

33.

Преюдициалните въпроси обаче се ползват с презумпция за релевантност. Поради това Съдът отказва да се произнесе по преюдициален въпрос само при ограничени обстоятелства, по-специално когато изискванията на член 94 от Процедурния правилник на Съда не са спазени или когато е очевидно, че тълкуването на съответното законодателство на Съюза няма връзка с фактите, или когато въпросите са (изцяло) хипотетични ( 6 ). Смятам, че обстоятелствата по настоящия случай не са такива. Отговорът на въпросите „кой кой е“ и „кой за какво точно отговаря“ не се свежда само до преценката на фактите, която в крайна сметка следва да направи запитващата юрисдикция, а в известна степен съставлява и част от отправените до Съда въпроси.

34.

Второ, времевият аспект на главното производство също не е напълно лесен за обхващане. Към момента на предявяване на иска е била в сила Директива 95/46. Искът се поддържа и след влизането в сила на ОРЗД. Към момента производството обаче се отнася само до действия, извършени след като новата правна рамка започва да се прилага. В действителност стои въпросът, поставен като част от четвъртия преюдициален въпрос, дали продължаването на производството от страна на GBA съответства на разпоредбите на ОРЗД. Тези въпроси обаче биха били релевантни в главното производство само ако националният орган е пожелал да доведе до край висящо производство във връзка с предполагаеми нарушения, чието извършване предхожда момента, от който започва да се прилага новата правна рамка. Ако висящото производство обаче се отнася само до предполагаеми незаконосъобразни действия, извършени след датата, на която ОРЗД започва да се прилага, евентуално свързани с търсене на съдебна забрана (по необходимост за в бъдеще) на подобни практики, е трудно да се разбере защо GBA, след като смята, че е компетентен да встъпи в производството, не е прекратил настоящото производство и не е продължил съгласно съответните разпоредби на ОРЗД.

35.

Трето, в съдебното заседание GBA споменава кореспонденцията си с ирландския надзорен орган и Комитета относно една от технологиите, използвани от Facebook за събиране на данни („бисквитки“). Отбелязано е, че двата надзорни органа били на противоположно мнение по въпроса дали тази технология действително попада в приложното поле ratione materiae на ОРЗД.

36.

В тази връзка и в контекста на настоящия случай следва да се отбележи, че определени дейности по обработване на данни действително могат да попадат в материалното приложно поле на повече от един законодателен инструмент на Съюза, като в такъв случай всички инструменти се прилагат едновременно, освен ако не е предвидено друго ( 7 ). В други случаи обаче, например когато обработването не включва лични данни по смисъла на член 4, параграф 1 от ОРЗД, последният очевидно не се прилага.

37.

Така, когато предполагаемата незаконосъобразност на някои видове обработване на данни произтича от други разпоредби на правото (на Съюза или на националното право), предвидените в ОРЗД процедури и механизми не се прилагат. ОРЗД не може да се използва като средство за въвеждане в механизма „обслужване на едно гише“ на форми на поведение, които, макар да включват определени потоци от данни или дори тяхното обработване, не попадат в обхвата на задълженията, предвидени в този регламент.

38.

За да се реши дали даден случай действително попада в приложното поле на ОРЗД ratione materiae, националната юрисдикция, в това число всяка запитващата юрисдикция, следва да поиска да бъде посочен точният източник на правното задължение в тежест на икономическия оператор, за което се твърди, че последният е нарушил. Ако източникът на това задължение не е ОРЗД, предвидените в този инструмент процедури, свързани с неговото материално приложно поле, логично също не са приложими.

39.

С първия си въпрос запитващата юрисдикция по същество иска да се установи дали разпоредбите на ОРЗД във връзка с членове 7, 8 и 47 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“) позволяват на надзорен орган на държава членка да сезира съд на тази държава относно предполагаемо нарушение на ОРЗД при трансгранично обработване на данни, макар този орган да не е „водещият надзорен орган“.

40.

По този въпрос GBA и белгийското, италианското и португалското правителство предлагат на Съда да отговори утвърдително, а Facebook, чешкото и финландското правителство, както и Комисията защитават обратното становище.

41.

По-нататък ще обясня защо не намирам тълкуването на ОРЗД, предложено от GBA и белгийското, италианското, полското и португалското правителство, за убедително: буквалното и систематичното (1), както и телеологичното и историческото (2) тълкуване на ОРЗД води до точно обратните изводи. Освен това нито тълкуването на този регламент във връзка с Хартата (3), нито предполагаемите рискове от възможно непълно прилагане на ОРЗД (4) могат да поставят под въпрос правилното според мен тълкуване на ОРЗД, със сигурност не и в настоящия случай.

42.

При това положение последиците от този особен прочит на ОРЗД според мен не са толкова крайни, колкото предложените от Facebook, чешкото и финландското правителство, както и от Комисията. С оглед на това ще обясня защо отговорът на въпроса, поставен от запитващата юрисдикция, следва да се намира по средата между двете гледни точки, застъпени в настоящото производство: надзорният орган на държава членка има право да сезира съд на тази държава относно предполагаемо нарушение на ОРЗД при трансгранично обработване на данни, макар този орган да не е ВНО, при условие че предприема тези действия в хипотезите и съгласно процедурите, установени в ОРЗД (5).

43.

На първо място ми се струва, че текстът на приложимите разпоредби, разгледан по-специално в техния контекст, подкрепя тълкуване на ОРЗД, според което ВНО разполага с обща компетентност в областта на трансграничното обработване, а ЗНО по подразбиране разполагат с ограничени правомощия за действие в това отношение.

44.

Член 56, параграф 1 от ОРЗД гласи, че „надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни в съответствие с процедурата по член 60“ ( 8 ). Съгласно член 56, параграф 6 от ОРЗД „[з]а трансграничното обработване, което извършва, администраторът или обработващият лични данни комуникира единствено с водещия надзорен орган“ ( 9 ). Тези разпоредби са отражение на съображение 124, в което по същество се посочва, че при трансграничното обработване на данни „надзорният орган на основното място на установяване на администратора или обработващия лични данни или на единственото място на установяване на администратора или обработващия лични данни следва да функционира като водещ орган“ ( 10 ).

45.

Общата компетентност на ВНО в областта на трансграничното обработване на данни се потвърждава и от факта, че хипотезите, в които компетентността в областта на трансграничното обработване е предоставена на други надзорни органи, се приемат за изключения от общото правило. По-специално член 55, параграф 2 от ОРЗД изключва компетентността на ВНО по отношение на някои видове обработване на данни, което „се извършва от публични органи“. Освен това член 56, параграф 2 от ОРЗД предвижда, че чрез дерогация от принципа, според който ВНО е компетентният орган, „всеки надзорен орган е компетентен да разглежда внесена при него жалба или евентуални нарушения на настоящия регламент, ако случаят се отнася единствено до място на установяване в държавата членка на надзорния орган или засяга в значителна степен субекти на данни единствено в тази държава членка“.

46.

Освен това член 66 от ОРЗД, който се отнася до „процедурата по спешност“, оправомощава всеки ЗНО, „при извънредни обстоятелства“, когато е налице спешна необходимост да се действа в защита на правата и свободите на субектите на данни, да приеме незабавно временни мерки, водещи до правни последици на собствената му територия, с определен срок на валидност, който не надвишава три месеца, „чрез дерогация“ от механизмите за сътрудничество и съгласуваност, предвидени в членове 60, 63, 64 и 65 от ОРЗД.

47.

Ето защо според мен от текста на ОРЗД става пределно ясно, че що се отнася до трансграничното обработване, компетентността на ВНО е правилото, а компетентността на другите надзорни органи е изключение ( 11 ).

48.

GBA и някои правителства обаче оспорват това тълкуване на ОРЗД. Според тях текстът на релевантните разпоредби предполага (почти неограниченото) право на всеки надзорен орган да инициира съдебно производство срещу евентуални нарушения, засягащи територията му, независимо от трансграничния характер на обработването. Те излагат два основни довода.

49.

Първо, те изтъкват, че изразът „без да се засяга член 55“, с който започва член 56, параграф 1, означава, че компетентността, предоставена на ВНО от последната разпоредба, не може да засяга или ограничава правомощията, предоставени от първата разпоредба на всеки надзорен орган, включително правомощието за иницииране на съдебно производство.

50.

Не намирам този довод за убедителен.

51.

Член 55, параграф 1 установява принципа, че всеки надзорен орган „е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с настоящия регламент, на територията на своята собствена държава членка“. Тези задачи са изброени по-нататък в член 57 от ОРЗД. Правомощията са изброени в член 58 от този регламент. Сред възложените задачи е по-специално наблюдението и осигуряването на прилагането на ОРЗД (член 57, параграф 1, буква а). Съгласно член 58 на надзорните органи се предоставят различни правомощия за разследване (параграф 1), корективни правомощия (параграф 2), правомощие за даване на разрешения и становища (параграф 3), както и правомощието за участие в съдебни производства (параграф 5).

52.

По същество тези разпоредби — към които член 55 имплицитно препраща — обхващат всички задачи и правомощия, предоставени на надзорните органи по силата на ОРЗД. Ако следваме подкрепеното от GBA и някои правителства тълкуване, на практика не би останало нищо в общата компетентност на ВНО и член 56 би останал лишен от смисъл. ВНО не би бил нито „единственият“ орган, с когото да се комуникира, нито по някакъв начин би „водил“ другите надзорни органи. Неговата роля безспорно би се свела до ролята на „информационен център“ без ясно определена задача.

53.

Значението на ролята, отредена на ВНО, и по подразбиране на механизма „обслужване на едно гише“, става още по-ясна, когато тези разпоредби се тълкуват в тяхната съвкупност и общ контекст.

54.

Предимството, дадено на член 56 в системата на ОРЗД, е първият признак за това. Член 56 е втората разпоредба от съответния раздел на ОРЗД (глава VI „Независими надзорни органи, раздел 2 „Компетентност, задачи и правомощия“) и се намира непосредствено след общата разпоредба относно „компетентността“ и преди другите общи разпоредби относно „задачите“ и „правомощията“. От това следва, че законодателят на Съюза е решил да подчертае централния характер на компетентността на ВНО, дори преди подробно да изброи конкретните задачи и правомощия на всички надзорни органи.

55.

В по-широк план значението на ролята на ВНО се потвърждава и от разпоредбите на глава VII от ОРЗД, озаглавена „Сътрудничество и съгласуваност“, които определят различните процедури и механизми, които надзорните органи трябва да следват, за да гарантират съгласуваното прилагане на ОРЗД. По-специално член 60, който е първият от тази глава и към който препраща член 56, параграф 1, предвижда процедурата за „сътрудничество между водещия надзорен орган и другите засегнати надзорни органи“.

56.

Налага се изводът, че това е процедурата, която се следва, когато са необходими действия по правоприлагане срещу трансгранично обработване. Тази процедура, както и другите процедури, предвидени в глава VII от ОРЗД, не е предмет на избор. Императивните формулировки по-специално на член 51, параграф 2 и член 63 от ОРЗД, недвусмислено сочат, че надзорните органи са длъжни да си сътрудничат, и то чрез (задължителното) използване на установените за тази цел процедури и механизми.

57.

Следователно смисълът на израза „без да се засяга член 55“, съдържащ се в член 56, параграф 1, е различен от предложения от GBA. Според мен тази формулировка, с оглед на контекста, в който е поставена, означава просто, че макар ВНО да е компетентен по конкретен случай на трансгранично обработване съгласно член 56 от ОРЗД, всички надзорни органи естествено запазват общите правомощия, които са им възложени по силата на член 55 (и член 58) от ОРЗД.

58.

Съгласно член 55, параграф 1 от ОРЗД държавите членки са длъжни да гарантират възможността на надзорния орган да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с този регламент. Така тази разпоредба възлага на всеки надзорен орган общото правомощие (или компетентност) да предприема действия по отношение на своята територия, което е в сила независимо („без да се засяга“) дали обработването е трансгранично или не по естеството си, като в първия случай въпросният орган действа като ВНО или като ЗНО ( 12 ). Въпреки това член 55 от ОРЗД не урежда въпросите кога и как това правомощие за действие се упражнява в конкретен случай. Всъщност тези аспекти са уредени от други разпоредби на ОРЗД, по-специално включените в глава VII от този регламент. Според тези разпоредби възможността надзорният орган да упражни общото правомощие за действие и условията за това зависят и от това дали този орган е ВНО или ЗНО по отношение на конкретния администратор или обработващия лични данни ( 13 ).

59.

В тази връзка и що се отнася до резултата, споделям мнението на Комитета, който в свое скорошно Становище определя член 56, параграф 1 от ОРЗД като „особена повелителна норма“ и като „lex specialis“: тази разпоредба „е с приоритет [пред общото правило на член 55 от ОРЗД] във всички случаи, когато възникне ситуация, свързана с обработването, която отговаря на посочените в него условия“ ( 14 ).

60.

Ето защо смятам, че GBA и някои правителства тълкуват неправилно член 55 и член 56, параграф 1 от ОРЗД. Тези встъпили страни разглеждат първата част от изречението от член 56, параграф 1 извън контекста ѝ, за да обърнат връзката между правилото и изключението. Този подход води до размиване на нормативното съдържание на няколко разпоредби от ОРЗД и възпрепятства постигането на целта, подчертана по-специално в съображение 10 от този регламент, да се гарантира последователно и еднородно прилагане на правилата за защита на данните. По същество това би довело до връщане към предходния режим, установен с Директива 95/46.

61.

На второ място, GBA и някои правителства поддържат, че както става ясно от самата формулировка на член 58, параграф 5 от ОРЗД всички надзорни органи трябва да могат да инициират съдебно производство срещу всяко предполагаемо нарушение на правилата за защита на данните, засягащо територията им, независимо от естеството на обработването (местно или трансгранично). От това според тях следва, че дори механизмът „обслужване на едно гише“ да се тълкува в смисъл, че ограничава правомощията на други надзорни органи при трансгранично обработване, тези ограничения се отнасят само до административните, но не и до съдебните производства.

62.

Според мен и вторият довод е несъстоятелен. Той страда от същия „порок“ като предходния довод: тълкуване на конкретна разпоредба на ОРЗД в „клинична изолация“ от останалата част на този регламент, съчетано с прекалено задълбочаване в тази разпоредба.

63.

Член 58, параграф 5 от ОРЗД посочва: „[в]сяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент“.

64.

Тази разпоредба задължава държавите членки, от една страна, да разрешат на надзорните органи да поддържат тесни връзки със съдебните органи (включително евентуално с наказателните органи), и от друга страна, да предоставят на надзорните органи (не само пасивна, но и активна) процесуална легитимация пред националните правораздавателни органи. С други думи, надзорните органи поначало би трябвало да могат да осъществяват връзка със съдебните органи и при необходимост да инициират съдебни производства. Разбирам, че подобна изрична разпоредба е приета за необходима от законодателя на Съюза, тъй като въпреки текста на член 28, параграф 3 от Директива 95/46 ( 15 ) са съществували значителни различия между законодателствата на държавите членки в тази област, което, от своя страна, е създавало проблеми при правоприлагането ( 16 ). Главното производство по настоящото дело, инициирано, докато тази директива все още е в сила, предлага пример в това отношение: случаят повдига въпроси по националното право относно процесуалната легитимация на Комисията за защита на личния живот и относно това доколко е подходящо правното основание за иска, предявен от председателя на тази комисия.

65.

При все това, подобно на вече отбелязаното по-горе ( 17 ), член 58, параграф 5 от ОРЗД урежда правомощия, които следва да бъдат предоставени на всички надзорни органи без изключения на етап, на който това няма отношение към установяването (или преди него) в конкретен случай дали съответният орган е компетентният ВНО или ЗНО, или изобщо не е засегнат. Член 58, параграф 5 от ОРЗД не урежда въпросите кога и как се упражнява правомощието за иницииране на съдебно производство. Навярно затова в разпоредбата е използван изразът „по целесъобразност“. Това е предмет на други разпоредби на ОРЗД.

66.

Освен това нито текстът, нито структурата на член 58 от ОРЗД дават основание да се предположи, както GBA твърди, че е налице разграничение между административните правомощия на органите (които биха подлежали на ограниченията, произтичащи от механизма „обслужване на едно гише“) и правомощието за иницииране на съдебно производство (което не би подлежало на тези ограничения). Тази разпоредба изброява в своите параграфи различните правомощия, които следва да бъдат предоставени на надзорните органи, групирани с оглед на целта им (разследване, корективни действия, даване на становища и т.н.). Текстовете на тези параграфи са доста сходни, като по същество се посочва, че всеки надзорен орган има правомощията по всеки от параграфите.

67.

Затова не виждам основание параграф 5 от член 58 да се тълкува по различен начин от параграфи 1—3 от същата разпоредба. Само едно от двете твърдения може да е вярно: или всеки един надзорен орган се ползва от всички тези правомощия, без да е ограничен от механизма „обслужване на едно гише“, или всички тези правомощия се упражняват в съответствие с процедурите и в рамките на ограниченията, предвидени в този регламент.

68.

Поради изложените в точки 51 и 52 по-горе причини първото твърдение не може да бъде споделено. Напротив, от тълкуването на член 58 от ОРЗД в неговия контекст всъщност става ясно, че обратното на твърдяното от GBA и от някои правителства действително е вярно.

69.

Действително всеки надзорен орган допринася за правилното и последователно прилагане на този регламент. За тази цел всеки надзорен орган — независимо от качеството му на ВНО или ЗНО по конкретен случай — трябва например да разглежда оплакванията, с които е сезиран, и то с цялата дължима грижа ( 18 ). Всъщност, дори когато предполагаемите нарушения засягат трансгранично обработване и органът не е ВНО, другите надзорни органи следва да имат възможността да разгледат въпроса, така че да могат да предоставят съществена информация, когато такава им бъде поискана в рамките на механизмите за сътрудничество и съгласуваност ( 19 ), или да предприемат спешни мерки. В такъв случай обаче ВНО по правило е органът, компетентен да приложи ОРЗД, като приеме решение със задължителен характер спрямо обработващия данни или администратора ( 20 ). По-специално, както става ясно от неотдавнашното решение по дело Facebook Ireland и Schrems, именно „компетентният национален надзорен орган […] ако е необходимо, [може] да подаде жалба пред националните юрисдикции“ ( 21 ). Следователно твърдението, че надзорните органи могат да не се съобразят с механизмите за съгласуваност и сътрудничество, когато възнамеряват да инициират съдебно производство, е несъвместимо с текста на ОРЗД и с практиката на Съда.

70.

Освен това от практическа гледна точка би било нелогично да се попречи на органа да започне административна процедура, за да обсъди със съответните оператори предполагаемото нарушение на правилата в областта на защитата на данните, но в същото време да се позволи на същия този орган да инициира съдебно производство със същия предмет. Често съдебното производство е крайно средство, към което органът може да прибегне, когато даден проблем не може да бъде ефективно разрешен чрез дискусии и решения (формални или неформални) по административен ред.

71.

Твърдяното от GBA разграничение, според което надзорният орган не би могъл да разследва, подготвя, обработва и взема решения (по административен ред), но за сметка на това би могъл незабавно да предяви иск пред съд, е опасно близо до превръщането на административните органи в съмнителни персонажи от уестърн филм, които първо стрелят, а след това (евентуално) говорят, ако изобщо кажат нещо („когато трябва да стреляш — стреляй, не дрънкай“ ( 22 )). Не съм сигурен, че това е разумен или подходящ начин за административните органи да се справят с предполагаеми нарушения на правилата за защита на данните.

72.

Освен това още по-важно е, че като се позволява на надзорните органи свободно да сезират националните юрисдикции, при положение че не могат да изпълняват своите административни правомощия, без да се съобразят с механизмите за сътрудничество и съгласуваност, предвидени в този регламент, биха се създали предпоставки за лесното заобикаляне на тези механизми. По-специално при разногласия относно проект за решение, както ВНО, така и (всеки) ЗНО биха могли „да вземат нещата в свои ръце“ и да сезират своите национални юрисдикции, заобикаляйки по този начин процедурата, предвидена в член 60, параграф 4 и член 65 от ОРЗД.

73.

Това от своя страна би обезсмислило една от основните функции на Комитета — орган, създаден с ОРЗД, съставен от ръководителите на по един надзорен орган от всяка държава членка и Европейския надзорен орган по защита на данните ( 23 ). Една от задачите на Комитета е именно да наблюдава и гарантира правилното прилагане на ОРЗД в случай на противоречия между отделните надзорни органи ( 24 ). В такива случаи Комитетът действа като форум за разрешаване на спорове и решаващ орган. Ако се възприеме предлаганото от GBA и някои правителства тълкуване, предвиденият в член 65 от ОРЗД механизъм би могъл да бъде напълно изключен: всеки орган би могъл действа по собствена преценка, заобикаляйки Комитета.

74.

Струва ми се, че произтичащото от това положение противоречи на целта, която законодателят на Съюза е искал да постигне с новата система и която ще бъде разяснена в следващата част.

75.

Както става ясно от съображение 9 от ОРЗД, законодателят на Съюза приема, че въпреки че „целите и принципите на Директива 95/46/ЕО ѝ [даваха] солидна основа“ този инструмент „не предотврати фрагментирането на прилагането на защитата на данни в Съюза, нито правната несигурност и широко разпространеното в обществото схващане, че съществуват значителни рискове за защитата на физическите лица“.

76.

Така необходимостта да се гарантира съгласуваност заема централно място в новия правен инструмент, предназначен да замени Директива 95/46. Тази цел е била сметната за важна в две насоки: от една страна, за да се гарантира еднакво и високо ниво на защита на физическите лица, и от друга страна, за да се премахнат препятствията пред движението на лични данни в Съюза по начин, който да осигурява правна сигурност и прозрачност за икономическите оператори ( 25 ).

77.

Последният аспект заслужава да бъде подчертан. Съгласно Директива 95/46 икономическите оператори, действащи на територията на целия Европейски съюз, са били длъжни да спазват различните национални правила, въведени чрез транспонирането на тази директива, и едновременно с това да осъществяват връзка с всички национални органи за защита на данните. Това положение е било не само скъпо, обременяващо и отнемащо много време за икономическите оператори, но и неизбежно е водело до несигурност и конфликти за последните и за техните клиенти ( 26 ).

78.

Ограниченията на въведената с Директива 95/46 система са установени и в редица решения на Съда. По дело Weltimmo Съдът приема, че правомощията на органите за защита на данните са строго ограничени от принципа на териториалност: тези органи могат да предприемат действия само срещу нарушения, извършвани на собствената им територия, като във всичко останали случаи са длъжни да поискат намесата на органите на другите държави членки ( 27 ). По дело Wirtschaftsakademie Schleswig-Holstein Съдът постановява, че в хипотезите на трансгранично обработване всеки орган за защита на данните има право да упражни правомощията си по отношение на организация, която е установена на неговата територия, самостоятелно от преценката и действията на органа за защита на данните на държавата членка по седалището на организацията, отговорна за обработването ( 28 ).

79.

Във виртуалния свят на обработването на данни обаче разделянето на компетентността между различните органи на териториален признак често води до проблеми ( 29 ). Освен това липсата на ясни механизми за координация между националните органи е била източник на несъответствия и несигурност.

80.

Затова въвеждането на механизма „обслужване на едно гише“ заедно с важната роля на ВНО и механизмите за сътрудничество, създадени за да гарантират участието на другите надзорни органите, има за цел да разреши именно тези проблеми ( 30 ). По дело Google (Териториален обхват на премахването от резултатите при търсене) Съдът подчертава значението на механизмите за сътрудничество и съгласуваност за правилното и последователно прилагане на ОРЗД, както и техния задължителен характер ( 31 ). По-наскоро, в своето заключение по дело Facebook Ireland и Schrems генералният адвокат Saugmandsgaard Øe също подчертава, че механизмите за сътрудничество и съгласуваност, предвидени в глава VII от ОРЗД, са насочени към предотвратяването на риска от фрагментирани подходи на различните надзорни органи в случай на трансгранично обработване ( 32 ).

81.

Действително, както отбелязва GBA, в хода на законодателния процес както Съветът, така и Парламентът са имали намерението да ограничат първоначално предвидената от Комисията компетентност на ВНО. При все това измененията, които в крайна сметка са внесени в окончателния текст на ОРЗД, не поставят под съмнение изложеното по-горе тълкуване на този регламент, a го потвърждават.

82.

Според първоначалното предложение на Комисията механизмът „обслужване на едно гише“ предвижда, че при трансгранично обработване един-единствен надзорен орган (ВНО) следва да отговаря за наблюдението върху дейностите на администратора или на обработващия лични данни навсякъде в Европейския съюз и за вземането на съответните решения ( 33 ). Това предложение обаче става повод за дискусии в рамите на Съвета и на Парламента.

83.

В крайна сметка Съветът се споразумява по текст въз основа на предложение, внесено от председателството ( 34 ). Това предложение по никакъв начин не поставя под въпрос механизма „обслужване на едно гише“ като такъв, а Съветът го определя като „един от централните стълбове“ на новата правна рамка ( 35 ). Предложението на председателството в крайна сметка води до две групи конкретни изменения.

84.

Първо, Съветът е искал да въведе някои изключения от общата компетентност на ВНО: по отношение на обработването, извършвано от публични органи, и по отношение на положения на местно равнище. Така Съветът предлага да се въведат две разпоредби, които не са били включени в предложението на Комисията ( 36 ), и които понастоящем са член 55, параграф 2 и член 56, параграф 2 от ОРЗД ( 37 ).

85.

Второ, Съветът е искал да смекчи ролята и компетентността на ВНО, като направи процедурата по-приобщаваща. Текстът на предложението на Комисията е приет за донякъде двусмислен по този въпрос по начин, който би могъл да доведе до изключителна компетентност на ВНО в областта на трансграничното обработване на данни. В текста са внесени редица поправки с оглед на „сближаването“ между субектите на данни и надзорните органи ( 38 ). Освен това значително е засилено участието на другите надзорни органи в процеса на вземане на решения.

86.

Що се отнася до Парламента, той също е подкрепил създаването на механизма „обслужване на едно гише“, включващ засилената роля на ВНО, но предлага да се укрепи системата за сътрудничество между надзорните органи. Както изложението на мотивите, приложено към проектодоклада на Парламента ( 39 ), така и законодателната резолюция на Европейския парламент от 12 март 2014 г. ( 40 ) са достатъчно ясни в това отношение.

87.

По същество с намесата на Съвета и Парламента механизмът „обслужване на едно гише“, в който дотогава е била силно застъпена ролята на ВНО, е преобразуван в един по-уравновесен механизъм с два стълба: водещата роля на ВНО по отношение на трансграничното обработване на данни е запазена, но вече е придружена от засилената роля на другите надзорни органи, които вземат активно участие в процеса чрез механизмите за сътрудничество и съгласуваност, както и от Комитета, който има ролята на арбитър и наставник в случай на разногласие.

88.

Следователно телеологичното и историческото тълкуване на ОРЗД потвърждават значението на механизма „обслужване на едно гише“, а оттам и общата компетентност на ВНО по отношение на трансграничното обработване на данни. Предложеното от GBA и някои правителства тълкуване на разпоредбите на ОРЗД е несъвместимо с намерението на законодателя на Съюза, което може да бъде изведено от преамбюла и разпоредбите на този регламент, както и от подготвителните работи по него.

89.

Ето защо заключавам, че буквалният, контекстуалният, телеологичният и историческият подход при тълкуването на релевантните разпоредби от ОРЗД потвърждава, че надзорните органи са длъжни да спазват правилата за компетентност, както и за механизмите и процедурите за сътрудничество и съгласуваност, предвидени в този регламент. В хипотезите на трансгранично обработване тези органи са длъжни да действат в установената от ОРЗД рамка.

90.

GBA и някои правителства обаче изтъкват две допълнителни групи от доводи, които според тях са в подкрепа на засилването на правомощията на всички надзорни органи да предприемат едностранни действия дори при трансгранично обработване. В следващите части ще обясня защо тези доводи не следва да поставят под въпрос тълкуването на ОРЗД, което предложих по-горе, със сигурност не и за момента.

91.

GBA поддържа, че неограниченото правомощие на надзорните органи да инициират съдебно производство срещу обработващите данни и администраторите, включително в хипотезите на трансгранично по естеството си обработване, е необходимо, за да се гарантира спазването на членове 7, 8 и 47 от Хартата. Струва ми се, че доводите на GBA в това отношение се основават на две основни опасения, макар нито едно от двете да не е изцяло формулирано в неговото становище ( 41 ).

92.

Първото опасение на GBA, изглежда, е свързано с намаляването на броя на органите, които могат да предприемат действия срещу определено поведение. Изглежда, че то включва скритото предположение, че високото ниво на защита предполага наличието на множество органи, които могат да гарантират спазването на ОРЗД, дори чрез успоредни действия. Казано накратко, колкото повече са органите, които могат да встъпят, толкова по-високо е нивото на защита.

93.

Според мен това невинаги е така, поне що се отнася до нивото на защита.

94.

Действително, както Съдът приема, законодателството на Съюза относно защитата на данните, тълкувано в светлината на членове 7 и 8 от Хартата, има за цел да гарантира висока степен на защита, по-специално на основното право на зачитане на личния живот при обработването на лични данни ( 42 ).

95.

Законодателят на Съюза обаче е приел, че за да се гарантира „високо ниво на защита на физическите лица“, е необходима „силна и по-съгласувана рамка за защита на данните“ ( 43 ). За тази цел рамката, установена с ОРЗД, е предназначена да гарантира съгласуваност на всички нива: за физическите лица, за икономическите оператори, за администраторите и обработващите данни, както и за надзорните органи ( 44 ). По отношение на последните, както се подчертава в съображение 116, ОРЗД има за цел да насърчава „по-тясното сътрудничество“ между тях ( 45 ).

96.

Следователно, противно на твърдяното от GBA, преследването на високо ниво на защита на правата и свободите на субектите на данни според законодателя на Съюза е в пълно съответствие с функционирането на механизма „обслужване на едно гише“, описан по-горе. Като позволяват по-последователен, ефективен и прозрачен подход в тази област, предвидените в ОРЗД механизми за сътрудничество и съгласуваност следва да допринасят за по-засиленото наблягане върху насърчаването и защитата на правата, прогласени inter alia в членове 7 и 8 от Хартата.

97.

С други думи, последователното и еднакво ниво на закрила със сигурност не изключва поставянето на тази защита на високо равнище. Въпросът е къде следва да бъде поставен този критерий за еднаквост. В крайна сметка едва ли едновременното предприемане на множество несвързани помежду си, а евентуално и противоречащи си действия от надзорните органи, би довело до напредък в гарантирането на високо ниво на защита на правата на физическите лица. Като по-добро средство за постигане на тези цел могат да се приемат съгласуваността и яснотата, гарантирани от хармонизираните действия на надзорните органи.

98.

Второто опасение, изразено от GBA, повдига въпроси относно близостта между лицето, подаващо жалбата, и органите, които в крайна сметка ще предприемат действия в отговор на тази жалба. По същество въпросът е дали физическите лица могат ефективно да инициират съдебно производство срещу действия или бездействия на надзорните органи по отношение на жалби, подадени от първите.

99.

Всъщност член 78 от ОРЗД признава на физическите и юридическите лица правото на ефективна съдебна защита срещу надзорен орган. Освен това, за да бъдат в съответствие с член 47 от Хартата, предвидените от ОРЗД правни средства за защита не могат да изискват от субектите на данни да спазват подробни правила, които предвид качеството им на физическо лице могат да засегнат несъразмерно правото им на съдебна защита (например чрез увеличаване на разходите или забавяне на действията ( 46 )).

100.

Въпреки това нито един от доводите (които са по-скоро неясни), изтъкнати от всяка страна по този въпрос, не обяснява ясно защо предлаганото от Facebook, чешкото и финландското правителство и Комисията тълкуване на ОРЗД противоречи на член 47 от Хартата.

101.

Най-напред, ОРЗД изрично предвижда правото на субектите на данни да инициират съдебно производство както срещу администраторите и обработващите данни, така и срещу надзорните органи. Следователно от структурна гледна точка няма видима причина, поради която ОРЗД да не отговаря на член 47 от Хартата.

102.

Що се отнася до правото на субектите на данни да инициират съдебно производство срещу администраторите и обработващите данни, те могат да изберат дали да заведат дело пред съдилищата на държавите членки, в които администраторът или обработващият лични данни е установен, или по местопребиваването на субекта на данни ( 47 ). Това правило изглежда по-скоро благоприятно или поне безпроблемно за субектите на данни ( 48 ).

103.

Що се отнася до правото на субектите на данни да инициират съдебно производство срещу надзорните органи, тук положението е по-сложно. Най-напред, субектите на данни имат право да оспорват както действията, така и бездействието на надзорните органи. По-специално те могат да заведат дело срещу всеки надзорен орган, който „не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данни“ ( 49 ).

104.

Производствата срещу надзорния орган обаче, за разлика от производствата срещу администраторите и обработващите данни, следва да се завеждат пред съдилищата на държавата членка, в която е установен надзорният орган ( 50 ). Макар това правило да изглежда по-неблагоприятно за физическите лица, следва да се има предвид, че съгласно член 60, параграфи 8 и 9 от ОРЗД, когато дадена жалба, подадена от субект на данни, е изцяло или частично отхвърлена или оставена без разглеждане, надзорният орган, до който е била подадена жалбата, приема съответното решение и уведомява субекта на данни за него. Това е така, независимо дали този орган е ВНО, като по този начин (когато е уместно) субектът на данни има възможността да инициира съдебно производство в собствената си държава членка.

105.

Тези механизми за прехвърляне на компетентността за приемане на решения и, когато е необходимо, за приемане на двустепенни решения (ВНО по отношение на администратора или обработващия лични данни, и местния орган по отношение на жалбоподателя), изглежда, имат за цел да се избегне необходимостта субектите на данни да „обикалят“ съдебните зали на Европейския съюз, за да образуват производства срещу неактивни надзорни органи.

106.

Все пак приемам, че подобно разрешение може да доведе до редица въпроси от практическо естество. Какво ще бъде точното съдържание на всяко от тези решения? Това съдържание еднакво ли ще е ( 51 ) или различно? Допустимо ли е субектът на данни да оспорва всички въпроси, които смята, че трябва да бъдат разгледани по неговия случай, дори тези, които действително са част от решението на ВНО? Или решението на надзорния орган, пред който субектът на данни е подал жалба, до голяма степен би било изпразнено от съдържание и в него просто формално се разглежда жалбата, с която органът е сезиран, докато реалното съдържание се намира в решението на ВНО? В такъв случай, за да получи достъп до „ефективна съдебна защита“ по смисъла на член 78 от ОРЗД и член 47 от Хартата, трябва ли субектът на данни във всички случаи да заведе съдебно производство пред съдилищата на държавата членка, в която е установен ВНО? Как следва да се прилагат правилата за достъп до ефективна съдебна защита във връзка с обжалването на всяко основно решение, било на хоризонтално равнище (измежду съвместно действащите надзорни органи) или на вертикално равнище (във връзка с обжалването на становище или решение на Комитета в рамките на механизма за съгласуваност, което предхожда и с голяма степен на вероятност определя окончателното решение на надзорния орган ( 52 ))?

107.

Възможните деликатни въпроси далеч не са в недостиг. Практическият опит може някой ден да разкрие действителни проблеми, свързани с качеството, или дори с нивото на правната защита, присъщо на новата система. Понастоящем обаче подобни въпроси остават в сферата на предположенията. На този етап, и със сигурност в рамките на настоящото производство, пред Съда не са повдигнати действителни въпроси в това отношение.

108.

GBA твърди по същество, че прилагането на ОРЗД при трансгранично обработване на данни не може да бъде оставено почти изключително на ВНО и на субектите на данни, които биха могли да бъдат засегнати от обработването. Всъщност ролята на всеки един надзорен орган е именно да действа, за да защити правата на физическите лица, които могат да бъдат засегнати от обработването на данни. По-специално надзорният орган не може да изпълни правилно задачата си, ако всеки път решението дали да предприеме действие срещу предполагаемо нарушение и как да направи това са оставени на преценката на друг орган.

109.

Според мен този довод по същество представлява пряко оспорване на новия механизъм за сътрудничество, въведен с ОРЗД. Отговорът ми на този довод се състои от два аспекта: от една страна, що се отнася до аспекта, свързан със съществуващия закон, може да се приеме, че ОРЗД съдържа механизми, насочени към предотвратяване на такива случаи. От друга страна, що се отнася до същинското действие и ефекта на новите системи, на този етап такива опасения са преждевременни и хипотетични.

110.

Първо, в началото следва да се уточни, че фактът, че надзорен орган не е ВНО по отношение на определен администратор или обработващ данни, далеч не означава, както твърди GBA, че нарушенията на ОРЗД, които водят до извършването на престъпление, не могат да бъдат преследвани ефективно. Правомощието да „довеждат нарушения на настоящия регламент до знанието на съдебните органи“, предвидено в член 58, параграф 5, очевидно включва правомощието за осъществяване на връзка с органите на наказателното производство, например прокуратурата. Това правомощие съответства на задачата на надзорните органи да наблюдават и да осигуряват прилагането на ОРЗД на тяхна територия и не накърнява ефективното действие на посочените в глава VII от ОРЗД механизми за сътрудничество и съгласуваност. В тази връзка едва ли е необходимо да се припомня, че макар тези механизми да са задължителни за надзорните органи, те не се прилагат по отношение на другите органи на държавите членки, по-специално по отношение на органите, отговорни за преследването на престъпления.

111.

Второ, и по-важно, от един цялостен поглед върху системата, въведена с ОРЗД, по-скоро става ясно, че ВНО не е единственият орган по прилагане на ОРЗД при трансгранично обработване на данни. ВНО е по-скоро пръв сред равни. Поначало ВНО може да предприема действия (административни или съдебни) само със съгласието на ЗНО. В рамките на процедурата, предвидена в член 60 от ОРЗД, ВНО е длъжен да се стреми към постигането на консенсус ( 53 ). Той не може да пренебрегва становищата на ЗНО. ВНО не просто е длъжен да „вземе надлежно предвид“ тези становища, но и всяко официално възражение, изразено от ЗНО, води до временно блокиране на приемането на проекта за решение на ВНО. В крайна сметка продължаващите различия в становищата на органите се уреждат от специален орган (Комитетът), който се състои от представители на всички надзорни органи на Съюза. Следователно положението на ВНО в това отношение не превъзхожда положението на който и да е друг орган ( 54 ).

112.

Според бившия ръководител на Европейския надзорен орган по защита на данните г‑н P. Hustinx ролята на ВНО в системата на ОРЗД „не следва да се разбира като изключителна компетентност, а по-скоро като структуриран начин за сътрудничество с други местни компетентни надзорни органи“ ( 55 ). ОРЗД предвижда споделена отговорност за наблюдението как се прилага ОРЗД и за гарантирането на неговото последователно прилагане. За тази цел на надзорните органи са възложени задачи и определени правомощия; предоставени са им някои права, но също така са натоварени и с определени задължения. Сред тези задължения е по-специално задължението за следване на определени процедури и механизми, предназначени да гарантират съгласуваност. Намерението на даден орган да приеме „едностранно“ становище ( 56 ) относно изпълнението (по съдебен ред) на ОРЗД, без да си сътрудничи с другите органи, не е съвместимо нито с буквата, нито с духа на този регламент.

113.

Както бе посочено в точки 76 и 77 от настоящото заключение, ОРЗД се основава на деликатно равновесие между необходимостта да се гарантира високо ниво на защита на физическите лица и необходимостта от премахване на пречките пред потоците от лични данни в рамките на Съюза. Тези две цели са неразривно свързани, както става ясно по-специално от съображение 10 и от член 1, параграф 1 от ОРЗД. Следователно националните надзорни органи са длъжни да постигнат справедлив баланс между тези цели, както Съдът многократно подчертава още с първите си решения в областта на защитата на данните ( 57 ). Член 51, параграф 1 от ОРЗД отразява този подход при определянето на задачата на надзорните органи ( 58 ).

114.

Трето, ОРЗД не само предвижда механизми за справяне с различията във вижданията за начина на изпълнение, като под това се разбира постигането на баланс между конфликтните виждания и становища, изразени от надзорните органи. Той предвижда и механизми за преодоляване на положения на административна инерция. Става въпрос по-специално за положения, при които поради липса на експертни познания и/или персонал или поради друга причина ВНО просто не предприема съществени действия по разследването на евентуални нарушения на ОРЗД и при необходимост по прилагането на неговите правила.

115.

Поначало в случаите на трансгранично обработване ОРЗД изисква ВНО да действа бързо. По-специално съгласно член 60, параграф 3 от ОРЗД ВНО „незабавно предава информация за това на другите засегнати надзорни органи [и] незабавно представя на другите засегнати надзорни органи проект за решение, за да получи тяхното становище и да вземе надлежно предвид вижданията им“ ( 59 ).

116.

В случай че ВНО не изпълни това си задължение или в по-общ план бездейства, когато е длъжен да действа, се поставя въпросът дали ЗНО, възнамеряващи да предприемат разследване и евентуално мерки за принудително изпълнение, разполагат с някакво правно средство ( 60 )? Струва ми се, че тези органи разполагат най-малко с два различни начина, като тези два начина не са взаимоизключващи се.

117.

От една страна, съгласно член 61, параграфи 1 и 2 от ОРЗД надзорният орган може да поиска от друг надзорен орган да предостави „информация и [взаимна] помощ, за да изпълняват и прилагат [ОРЗД]“ ( 61 ). Това искане може да бъде под формата на искане за предоставяне на информация, включително „относно хода на дадено разследване“, или за оказване на други мерки за съдействие (като например провеждане на проверки и разследвания или въвеждане на мерки за ефективно сътрудничество). Всеки запитан орган е длъжен да отговори на такова искане „без ненужно забавяне и не по-късно от един месец след получаване на искането“.

118.

Съгласно член 61, параграфи 5 и 8 от ОРЗД непредоставянето на отговор в определения срок или отказ да се изпълни искането позволява на запитващия орган „да приеме временна мярка на територията на своята държава членка в съответствие с член 55, параграф 1“. В такива случаи „се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2“ ( 62 ).

119.

Струва ми се, че този механизъм може да се използва (и най-вероятно е предвиден да се използва ( 63 )) от ВНО спрямо ЗНО. В този смисъл непредприемането на действия от страна на ВНО в конкретен случай на трансгранично обработване, въпреки искането на даден ЗНО в този смисъл, може да позволи на последния да приеме спешни мерки, за които се смята, че са необходими, за да се защитят интересите на субектите на данни. Всъщност наличието на изключителни обстоятелства, обосноваващи необходимостта от спешни действия, се предполага и няма нужда да бъде доказвано.

120.

От друга страна, член 64, параграф 2 от ОРЗД позволява на всеки надзорен орган (или на председателя на Комитета, или на Комисията) да „поиска разглеждането на въпрос с общо приложение или с последици в повече от една държава членка от Комитета с цел получаване на становище, по-специално когато даден компетентен надзорен орган не изпълнява задълженията за взаимопомощ съгласно член 61 […]“ ( 64 ).

121.

Не става напълно ясно дали решението на Комитета е със задължителен характер за съответния ЗНО ( 65 ). Съгласно член 65, параграф 1, буква в) от ОРЗД обаче, когато компетентният надзорен орган не се е съобразил със становището на Комитета, дадено по член 64, всеки ЗНО (или Комисията) може да отнесе въпроса до Комитета и така да инициира процедурата за разрешаване на спорове, предвидена за тази цел. Последната процедура в крайна сметка може да доведе до приемане на решение със задължителен характер ( 66 ).

122.

След това уточнение трябва да се признае, че двата механизма, описани по-горе (по членове 61 и 66 от ОРЗД, от една страна, и по членове 64 и 65 от ОРЗД, от друга страна), са доста тромави. Тяхното функциониране на практика невинаги е безупречно. Затова, макар и на хартия да изглежда, че цитираните по-горе разпоредби са в състояние да избегнат тези проблеми, само от бъдещото прилагане на тези разпоредби може да стане ясно дали последните ще се окажат „хартиени тигри“.

123.

Това ме връща на втория аспект от доводите, изложени във връзка с непълното прилагане, който по същество, и със сигурност към настоящия момент, е доста хипотетичен и необоснован. Трябва да призная, че според мен, ако опасностите във връзка с непълното прилагане на ОРЗД, посочени от GBA и някои други встъпили страни, се материализират, то цялата система би трябвало да премине през основно преразглеждане.

124.

От структурна гледна точка такъв би могъл да е случаят, ако новата структура би довела до регулаторни „гнезда“ за определени оператори, които, след като сами са избрали националния си регулатор чрез избора на съответното основно място на установяване в Съюза, вместо да бъдат наблюдавани, те на практика ще бъдат защитавани от другите регулатори чрез конкретен ВНО. Малцина биха оспорили, че регулаторна конкуренция под формата на яростна надпревара между държавите членки би била точно толкова нездравословна и опасна, колкото и регулаторната несъгласуваност — тази липса на координация и съгласуваност, характерна за предишната система. Регулаторните режими под формата на мрежи могат да успеят да предотвратят несъгласуваността и различията чрез насърчаване на постигането на консенсус и сътрудничеството. Често обаче цената на консенсуса е блокирането на активните органи, особено в система, в която всяко решение се взема с повишена концентрация. В рамките на тези системи колективната отговорност може да предизвика колективна безотговорност и в крайна сметка инерция.

125.

Що се отнася обаче до всякакви такива опасности, въведената с ОРЗД правна рамка е още на съвсем начален етап. Не е лесно да се предвиди — особено за един съд в контекста на една, или по-скоро на единствена по рода си, процедура — как механизмите, създадени с този регламент, ще проработят на практика и колко ефективни ще бъдат. В такъв контекст, подобно на възможните въпроси, свързани със защитата на основните права и тълкуването във връзка с Хартата ( 67 ), се препоръчва повишено внимание.

126.

Според мен би било лоша идея Съдът да изменя значително тази рамка, която е (деликатен и изработен с много внимание) продукт на продължителен и интензивен законодателен процес, чрез тълкуване на отделни изречения, извадени от техния контекст, и основани, към настоящия момент, на предположения и спекулации. Това важи в още по-голяма степен, ако предложеното от някои страни тълкуване по същество се свежда до избирателен прочит на някои ключови части от Регламента в смисъл, който de facto връща старата система на Директива 95/46, която по отношение на институционалното ѝ измерение е била изрично и недвусмислено отхвърлена от законодателя на Съюза.

127.

Тази пределно ясна законодателна техника, видно както от предишните раздели на настоящото заключение, така и от текста и структурата на ОРЗД и документираната законодателна воля, дава отговор също така на други възможни структурни опасения, например относно доброто равновесие между прилагането на правилата за защита на данните и на ОРЗД в публичната и в частната сфера. Има ли смисъл ограничаването на прилагането в публичната сфера до един-единствен орган, съответно една-единствена държава членка, като това прилагане се осъществява само след продължителна и тромава административна процедура, след като прилагането на същите правила в частната сфера на практика се случва по-бързо и пред (гражданските) съдилища във всички държави членки? Трябва ли националните надзорни органи да имат по-ограничен достъп до съд, отколкото физическо лице — частен потребител? Ще се случи ли така, че повечето дела относно защитата на данните няма да се разглеждат от националните съдилища (и вероятно от Съда чрез преюдициално запитване), тъй като са заведени пряко от частноправни субекти ищци при пълно заобикаляне на националните регулатори, създадени за тази цел, понеже тези национални регулатори все още са в процес на сътрудничество и координиране на позициите? Няма ли опасност в един такъв режим прилагането в частната сфера да измести изцяло прилагането в публичната сфера?

128.

Във всеки случай законодателят на Съюза е направил ясен институционален и структурен избор и според мен няма никакво съмнение относно неговата законодателна воля. Казано метафорично, при това положение следва поне за момент да му се доверим. Ако обаче се окаже, че резултатът е лош, което би било доказано от солидни факти и доводи, не мисля, че Съдът следва да си затваря очите за който и да е пропуск, който би могъл да възникне при защитата на основните права, гарантирани от Хартата, и ефективното им прилагане от компетентните регулаторни органи. Въпросът дали тогава проблемът отново ще се отнася до тълкуването на вторичното право във връзка с Хартата, или ще бъде проблем за валидността на съответните разпоредби, или дори на раздели от някой инструмент на вторичното право, е въпрос за друго дело.

129.

Всички елементи от тълкуването, очертани до този момент, сочат към едно и също заключение: ВНО има обща компетентност в областта на трансграничното обработване на данни. Всички надзорни органи (независимо от качеството им на ВНО или ЗНО) следва да предприемат действия, по-специално в случай на трансгранично обработване в съответствие с процедурите и механизмите, предвидени в ОРЗД.

130.

Означава ли това, че надзорен орган, който не е ВНО, по правило няма никаква възможност да инициира производство пред националните съдилища срещу администратор или обработващ данни, когато обработването е трансгранично по характер?

131.

Не, не означава.

132.

Първо, надзорните органи могат, естествено, да сезират националните съдилища, когато действат извън материалното приложно поле на ОРЗД, при условие че това е разрешено от националното право и не е изключено от правото на Съюза, например защото обработването на данни не включва лични такива или защото обработването на лични данни се извършва в рамките на дейностите, посочени в член 2, параграф 2 от ОРЗД ( 68 ).

133.

Второ, въпреки трансграничния характер на обработването в случаите, предвидени в член 55, параграф 2 от ОРЗД (обработване, извършвано от публични органи, но също и всяко обработване, което се извършва в обществен интерес или при упражняване на официални правомощия), регулаторната компетентност остава възложена на местния надзорен орган, което естествено включва, ако се наложи, и способността да се инициира производство пред съд.

134.

Трето, има случаи, в които въпреки наличието на трансгранично обработване на лични данни, попадащи в обхвата на ОРЗД, нито един надзорен орган не действа като ВНО. Тъй като предвиденият от ОРЗД механизъм за сътрудничество и съгласуваност се прилага само за администраторите, които имат едно или повече места на установяване в Европейския съюз, няма ВНО при трансгранично обработване, извършвано от администратори, които нямат място на установяване в Европейския съюз. Това означава, че администраторите, които нямат място на установяване в Съюза, трябва да се обръщат към местните надзорни органи на всяка държава членка, в която осъществяват дейност ( 69 ).

135.

Четвърто, всеки надзорен орган може да приеме спешни мерки, когато са изпълнени съответните условия. Освен това има хипотези, при които спешността на мерките се предполага. Такъв може да бъде например случаят, когато ЗНО потенциално е изправен пред трайното бездействие от страна на отговорния ВНО. След като член 66, параграф 1 от ОРЗД предвижда голямо отклонение от механизма за съгласуваност, е основателно да се предположи, че при подобни изключителни обстоятелства се възстановява и временно може да бъде упражняван целият набор от правомощия на надзорния орган (които при обичайни обстоятелства не може да упражнява, тъй като е ограничен от специалните правила относно компетентността на ВНО при трансгранично обработване). Следователно това естествено включва правомощието да се инициира съдебно производство съгласно член 58, параграф 5 от ОРЗД.

136.

Накрая, на пето място, за изчерпателност може да се отбележи, че е възможно също надзорен орган, който е уведомил ВНО, също да получи (или по-скоро да запази) правомощието за сезиране на съд, когато ВНО „реши да не разгледа случая“ в съответствие с член 56, параграф 5 от ОРЗД. На пръв поглед последната разпоредба изглежда като подходящо средство за постигане на действително споразумение между двата надзорни органа за това кой от тях е в по-добра позиция да разгледа случая.

137.

В резюме, разпоредбите на ОРЗД не предвиждат обща забрана за другите надзорни органи, по-специално за ЗНО, да инициират съдебни производства срещу предполагаеми нарушения на правилата за защита на данните. Напротив, в ОРЗД изрично или имплицитно са предвидени различни хипотези, при които те разполагат с това правомощие ( 70 ).

138.

Като цяло обаче е от първостепенно значение, когато се прилагат процедурите и механизмите, предвидени в ОРЗД (по-специално тези в глави VI и VII от този регламент), както ВНО, така и ЗНО да ги следват надлежно. Правилата на ОРЗД са много ясни, в смисъл че никой от тези органи няма право да действа извън или в нарушение на тази правна уредба.

139.

Въпреки това въпросът дали в настоящия случай GBA е спазил тези процедури и механизми — въпрос, който стана повод за известни разисквания в съдебното заседание, но който с оглед на особения процесуален контекст по настоящото дело не е получил ясен отговор ( 71 ) — следва да бъде проверен от запитващата юрисдикция.

140.

С оглед на това отговорът на първия въпрос следва да е, че разпоредбите на ОРЗД позволяват на надзорния орган на държава членка да сезира съд на своята държава относно предполагаемо нарушение на ОРЗД при трансгранично обработване на данни, макар този орган да не е ВНО, при условие че предприема тези действия в хипотезите и съгласно процедурите, предвидени в ОРЗД.

141.

С втория си въпрос запитващата юрисдикция иска да се установи дали отговорът на първия въпрос би бил различен, ако основното място на установяване на администратора на това трансгранично обработване не се намира в тази държава членка, но администраторът има друго място на установяване в нея.

142.

В контекста на отговора, предложен по първия въпрос, отговорът, който следва да се даде на втория въпрос, е доста ясен: поначало не, при условие че „основното място на установяване“ по смисъла на член 4, параграф 16 от ОРЗД действително се намира в друга държава членка.

143.

Обстоятелството, че администраторът разполага с място на установяване в държава членка, което не е основното му, по принцип не засяга възможността на местния надзорен орган да инициира съдебно производство в съответствие с член 58, параграф 5 от ОРЗД по отношение на дадено трансгранично обработване. С други думи, в хипотезите на трансгранично обработване на данни, обхватът на правомощията, предоставени на надзорния орган, и начинът, по който тези правомощия следва да бъдат упражнявани, поначало не зависят от това дали администраторът или обработващият данни, който има своето основно място на установяване в друга държава членка, има място на установяване и в държавата членка на този орган.

144.

При все това, подобно на вече изложеното по-горе ( 72 ), националната юрисдикция следва предварително да провери кое е основното място на установяване за целите на дадена операция по обработване. В това отношение член 4, параграф 16, буква а) от ОРЗД възприема динамично схващане ( 73 ) за това какво се смята за основно място на установяване, предвид че то не съвпада задължително с мястото, където се намира статичната корпоративна структура на дадено предприятие.

145.

Освен това обстоятелството, че администраторът или обработващият лични данни разполага с (друго, различно от основното) място на установяване на територията на надзорния орган, означава, че този орган е ЗНО по смисъла на член 4, параграф 22 от ОРЗД. На ЗНО са предоставени важни правомощия във връзка с процедурите, предвидени в глава VII от ОРЗД ( 74 ).

146.

Освен това член 56, параграф 2 от ОРЗД предвижда изключение от общата компетентност на ВНО по отношение на трансграничното обработване: „всеки надзорен орган е компетентен да разглежда внесена при него жалба или евентуални нарушения на [ОРЗД], ако случаят се отнася единствено до място на установяване в държавата членка на надзорния орган или засяга в значителна степен субекти на данни единствено в тази държава членка“. На свой ред тази компетентност следва да се упражнява в съответствие с процедурата, предвидена в параграфи 3—5 от същата разпоредба ( 75 ).

147.

С третия си въпрос запитващата юрисдикция иска да се установи дали отговорът на първия въпрос би бил различен, ако националният надзорен орган започне съдебното производство срещу основното място на установяване на администратора или срещу мястото му на установяване в държавата членка на органа.

148.

Предвид предложения отговор на първия въпрос и доколкото третият въпрос в действителност не се припокрива с втория, третият въпрос също трябва да получи отрицателен отговор.

149.

Отново, доколкото действително в случая е уточнено, че основното място на установяване за дадена операция по обработване на данни съгласно член 4, параграф 16 от ОРЗД действително се намира в друга държава членка, националният надзорен орган на държавата членка, в която се намира мястото на установяване на администратора, не е ВНО, но би могъл да се превърне в ЗНО. В рамките на тази преценка обаче компетентността за предприемане на действия от надзорния орган не зависи от това дали съдебното производство е заведено срещу основното място на установяване на администратора или срещу мястото му на установяване в държавата членка на органа ( 76 ).

150.

За изчерпателност би могло да се добави, че член 58, параграф 5 от ОРЗД е формулиран широко и не уточнява образуванията, срещу които надзорните органи са длъжни или могат да предприемат действия. Това предизвика интересна дискусия в становищата на някои от страните по въпрос, който според мен, макар и да не е маловажен, не е необходимо да бъде разглеждан от Съда по настоящото дело. Въпросът е следният: дали надзорните органи, при условие че действително са компетентни за това съгласно правилата на ОРЗД, могат да предприемат действия единствено срещу мястото на установяване на администратора или обработващия данни, намиращо се на територията на тези органи, или могат да предприемат действия и срещу места на установяване, намиращи се в чужбина?

151.

От една страна, белгийското, италианското и полското правителство подчертават, че член 55, параграф 1 от ОРЗД ограничава териториалната компетентност на всеки надзорен орган до собствената му територия. От това те правят извода, че надзорните органи могат да предприемат действия само срещу места на установяване на собствената им територия.

152.

Въпреки това според мен текстът не е толкова ясен: в него става въпрос за упражняване на правомощията, възложени в съответствие с този регламент „на територията на своята собствена държава членка“. Не тълкувам тази разпоредба в смисъл, че тя неизбежно изключва възможността за предявяване на иск срещу място на установяване, намиращо се в друга държава членка. Териториалният елемент, включен в член 55, параграф 1 от ОРЗД, тълкуван в контекста на цялостното приложно поле на ОРЗД съгласно член 1, параграф 1 и член 3 от този регламент, който задейства компетентността на надзорен орган по конкретен случай, е свързан с правните последици от обработването на данните на територията на държавата членка. Всъщност този елемент не действа като преграда пред предприемането на правни действия срещу администраторите или обработващите данни, които се намират извън националните граници.

153.

От друга страна, GBA твърди, че всеки орган е оправомощен да предприема действия срещу всички нарушения на ОРЗД, извършвани на неговата територия, независимо от това дали администраторът или обработващият данни разполага с място на установяване на тази територия. Това означавало, че даден орган би могъл също така да инициира производство и срещу места на установяване, намиращи се в чужбина. В тази връзка GBA се позовава на решението на Съда по дело Wirtschaftsakademie Schleswig-Holstein ( 77 ). В това решение Съдът приема, че членове 4 и 28 от Директива 95/46 позволяват на надзорния орган да упражни правомощието си да води съдебни производства по отношение на място на установяване на това предприятие, което се намира на територията на държавата членка на органа. Такъв е случаят, дори ако това място на установяване е било отговорно единствено за продажбата на рекламни пространства и за други търговски дейности на територията на тази държава членка, докато изключителната отговорност за събирането и обработването на лични данни за цялата територия на Съюза се е носела от обект, разположен в друга държава членка.

154.

GBA правилно изтъква, че доколкото в това отношение ОРЗД съдържа разпоредби, сходни с тези на Директива 94/46 ( 78 ), принципите, установени от Съда по дело Wirtschaftsakademie Schleswig-Holstein, следва mutatis mutandis да са валидни и по отношение на ОРЗД. Това решение обаче обяснява само кога едно място на установяване, намиращо на територията на дадена държава членка, може да бъде съдено от органа на тази държава, макар и (основната част от) обработването да се извършва от място на установяване, намиращо се на друго място в Европейския съюз. Това решение, поне изрично, нито потвърждава, нито изключва възможността надзорният орган да предприеме действия и срещу последното място на установяване.

155.

Струва ми се обаче, че новият механизъм „обслужване на едно гише“, създавайки център за изпълнение, по необходимост предполага, че надзорният орган може да предприема действия и срещу места на установяване, намиращи се в чужбина. Не съм сигурен, че новата система може да функционира правилно, ако изключва възможността органите, и по-специално ВНО, да предприемат действия срещу места на установяване, намиращи се в чужбина ( 79 ).

156.

С четвъртия си въпрос запитващата юрисдикция иска да се установи дали отговорът на първия въпрос би бил различен, ако националният надзорен орган вече е инициирал съдебното производство преди датата на влизане в сила на ОРЗД.

157.

В началото следва да се отбележи, че в ОРЗД не съществуват преходни правила или други норми, уреждащи статута на висящите съдебни производства към момента на влизане в сила на новата рамка.

158.

С оглед на това според мен на поставения въпрос следва да се отговори „зависи“.

159.

От една страна, що се отнася до нарушения на правилата за защита на данните от страна на администратори или обработващи данни, извършени преди датата, на която ОРЗД започва да се прилага, смятам, че тези производства могат да продължат. Не виждам никаква основателна причина органите да бъдат принуждавани да прекратяват производства по изпълнение, отнасящи се до минали действия, които (както се твърди) са били незаконосъобразни към момента на тяхното извършване, и срещу които съответните органи са били (към онзи момент) компетентни да предприемат действия. Различно разрешение би довело до своеобразна амнистия по отношение на някои нарушения на законодателството относно защитата на данните.

160.

От друга страна, случаят би бил различен по отношение на действия, започнати срещу нарушения, които още не са се материализирали, тъй като последните ще настъпят след датата, на която ОРЗД започва да се прилага ( 80 ). В това отношение, както при всяко друго положение, при което новите правила се прилагат към факти, възникнали по време на действието на новия режим, новите материални норми са приложими само към факти, настъпили след прилагането на новия правен инструмент ( 81 ).

161.

Запитващата юрисдикция следва да прецени коя от двете хипотези понастоящем действително съответства на фактите в спора по главното производство ( 82 ). Ако това е първата хипотеза, мога да приема, че със сигурност от гледна точка на правото на Съюза, висящото производство може да продължи, при условие че се ограничи до възможното установяване на минали нарушения. Ако това е втората хипотеза, главното производство следва да бъде прекратено. Всъщност новата рамка установява различна система на компетентност и правомощия, в резултат на която ЗНО не може да предприема действия срещу нарушения, произтичащи от трансгранично обработване извън конкретните случаи, освен ако не следва предвидените за тази цел процедури и механизми.

162.

Обратното решение би представлявало de facto пророгация на системата, установена с Директива 95/46, независимо че последната е изрично отменена и заменена с нова както в правото на Съюза, така и в националното право. В крайна сметка, ако GBA действително беше получил разпореждане да се забрана на Facebook да извършва занапред (между другото, за какъв срок?) практиките, разглеждани в главното производство, това нямаше ли да доведе до намеса в компетентността по отношение на (същото) поведение, която, считано от 25 май 2018 г. ОРЗД е предоставил на ВНО и ЗНО, както и евентуално до противоречиви съдебни решения (или определения) от различни държави членки?

163.

С петия си въпрос, поставен ако на първия въпрос се даде утвърдителен отговор, запитващата юрисдикция иска да се установи дали член 58, параграф 5 от ОРЗД има директен ефект, така че националният надзорен орган да може да се позове на него, за да инициира или продължи съдебно производство срещу частноправни субекти, дори ако тази разпоредба не е била транспонирана в националното право.

164.

Припомням, че член 58, параграф 5 гласи: „[в]сяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент“.

165.

Facebook, чешкото и португалското правителство подчертават, че тази разпоредба недвусмислено задължава държавите членки да предприемат действие: да въведат разпоредби, които позволяват на органите да инициират съдебни производства. За да бъде упражнявано пълноценно, правомощието за иницииране на съдебно производство може да изисква и определени национални правила за определяне по-специално на компетентните съдилища, условията за иницииране на съдебно производство и процедурите, които трябва да се следват.

166.

С оглед на предложения от мен отговор на първия преюдициален въпрос действително отговорът на петия преюдициален въпрос се оказва излишен. Все пак, с оглед на изчерпателността, не виждам причина да не се съглася с GBA, че нормативното съдържание на тази конкретна разпоредба от правото на Съюза е по-скоро недвусмислено и пряко приложимо. В това отношение следва да се има предвид, че поначало една разпоредба от правото на Съюза има директен ефект, когато с оглед на съдържанието си тя е достатъчно ясна, точна и безусловна, за да може при противоречие с национална мярка да се прави позоваване на нея, или в случаите, когато разпоредбата определя права, на които частноправните субекти да могат да се позоват срещу държавата ( 83 ).

167.

Независимо от обстоятелството, че тази разпоредба е включена в регламент (правен инструмент, който съгласно член 288 ДФЕС е „задължителен в своята цялост и се прилага пряко във всички държави членки“ ( 84 )), ми се струва, че от член 58, параграф 5 от ОРЗД определено може да се изведе специфично и непосредствено приложимо правило. Това правило е много просто: надзорните органи трябва да са процесуално легитимирани да предявяват искове пред националните съдилища, предоставена им е възможността на инициират съдебни производства по националното право. Искът, предявен пред националния съд, не може да бъде обявяван за недопустим поради липса на процесуална легитимация.

168.

Макар да съм съгласен с Facebook, както и с чешкото и португалското правителство относно възможността държавите членки да предвидят специфични правила, условия или юрисдикция за предявените от надзорните органи искове, подобни правила безспорно са необходими за действието на правилото, предвидено в член 58, параграф 5 от ОРЗД, което има директен ефект. При липсата на правила ad hoc, въведени от националния законодател, общите правила по съответните национални процесуални кодекси (независимо дали става въпрос за административни кодекси или дори за общите гражданскопроцесуални кодекси) естествено ще бъдат приложими към исковете, предявени от надзорните органи. Така например при липсата на специални правила за прилагане в областта на компетентността е безопасно да се допусне, че приложимото общо правило по подразбиране, което обикновено може да се намери във всеки гражданскопроцесуален кодекс е, че компетентният съд е този по мястото на установяване на ответника, освен ако не е предвидено друго.

169.

Със своя шести и последен въпрос запитващата юрисдикция иска да се установи дали, когато националният надзорен орган е оправомощен да инициира съдебно производство, резултатът от такова производство възпрепятства възможността водещият надзорен орган да достигне до извод в противоположен смисъл, ако този водещ орган разследва същите или подобни трансгранични дейности по обработване съгласно предвидения в членове 56 и 60 от ОРЗД механизъм.

170.

Предвид предложения отговор на първия въпрос не е необходимо да се отговаря на този въпрос.

171.

Въпреки това повдигнатият с този въпрос проблем отново показва причините, поради които на първия въпрос следва да се отговори в предложения по-горе смисъл. Ако трябва да се отхвърли задължителният характер на предвидените в ОРЗД механизми за съгласуваност и сътрудничество, като по този начин механизмът „обслужване на едно гише“ стане „по избор“, или на практика несъществуващ, съгласуваността на цялата система би била сериозно засегната. Понастоящем съдържащите се в ОРЗД правила за компетентност по същество биха били заменени от едновременната „надпревара до първото решение“ между всички надзорни органи. Може би в крайна сметка, който „първи прекоси финалната линия“ с окончателно решение в рамките на своята юрисдикция, би се превърнал в действащия ВНО за останалата част от Европейския съюз, както се намеква в шестия въпрос.

172.

Предлагам на Съда да отговори на поставените от Hof van beroep te Brussel (Апелативен съд Брюксел, Белгия) преюдициални въпроси по следния начин: