Vyberte pokusně zaváděné prvky, které byste chtěli vyzkoušet

Tento dokument je výňatkem z internetových stránek EUR-Lex

Dokument 62019CJ0645

    Rozsudek Soudního dvora (velkého senátu) ze dne 15. června 2021.
    Facebook Ireland Limited a další v. Gegevensbeschermingsautoriteit.
    Žádost o rozhodnutí o předběžné otázce podaná Hof van beroep te Brussel.
    Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Listina základních práv Evropské unie – Články 7, 8 a 47 – Nařízení (EU) 2016/679 – Přeshraniční zpracování osobních údajů – Mechanismus ‚jediného kontaktního místa‘ – Loajální a účinná spolupráce mezi dozorovými úřady – Příslušnost a pravomoci – Pravomoc zahájit soudní řízení.
    Věc C-645/19.

    Identifikátor ECLI: ECLI:EU:C:2021:483

     ROZSUDEK SOUDNÍHO DVORA (velkého senátu)

    15. června 2021 ( *1 )

    „Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Listina základních práv Evropské unie – Články 7, 8 a 47 – Nařízení (EU) 2016/679 – Přeshraniční zpracování osobních údajů – Mechanismus ‚jediného kontaktního místa‘ – Loajální a účinná spolupráce mezi dozorovými úřady – Příslušnost a pravomoci – Pravomoc zahájit soudní řízení“

    Ve věci C‑645/19,

    jejímž předmětem je žádost o rozhodnutí o předběžné otázce na základě článku 267 SFEU, podaná rozhodnutím hof van beroep te Brussel (odvolací soud v Bruselu, Belgie) ze dne 8. května 2019, došlým Soudnímu dvoru dne 30. srpna 2019, v řízení

    Facebook Ireland Ltd,

    Facebook Inc.,

    Facebook Belgium BVBA,

    proti

    Gegevensbeschermingsautoriteit,

    SOUDNÍ DVŮR (velký senát),

    ve složení K. Lenaerts, předseda, R. Silva de Lapuerta, místopředsedkyně, A. Arabadžev, A. Prechal, M. Vilaras, M. Ilešič a N. Wahl, předsedové senátů, E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P. G. Xuereb a L. S. Rossi (zpravodajka), soudci,

    generální advokát: M. Bobek,

    vedoucí soudní kanceláře: M. Ferreira, vrchní radová,

    s přihlédnutím k písemné části řízení a po jednání konaném dne 5. října 2020,

    s ohledem na vyjádření předložená:

    za Facebook Ireland Ltd, Facebook Inc. a Facebook Belgium BVBA S. Raesem, P. Lefebvrem a D. Van Liedekerkem, advocaten,

    za Gegevensbeschermingsautoriteit F. Debusserém a R. Roexem, advocaten,

    za belgickou vládu J.-C. Halleuxem, P. Cottinem a C. Pochet, jako zmocněnci, ve spolupráci s P. Paepem, advocaat,

    za českou vládu M. Smolkem, O. Serdulou a J. Vláčilem, jako zmocněnci,

    za italskou vládu G. Palmieri, jako zmocněnkyní, ve spolupráci s G. Natale, avvocato dello Stato,

    za polskou vládu B. Majczynou, jako zmocněncem,

    za portugalskou vládu L. Inez Fernandesem, A. C. Guerra, P. Barros da Costa a L. Medeiros, jako zmocněnci,

    za finskou vládu A. Laine a M. Pere, jako zmocněnkyněmi,

    za Evropskou komisi H. Kranenborgem, D. Nardim a P. J. O. Van Nuffelem, jako zmocněnci,

    po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 13. ledna 2021,

    vydává tento

    Rozsudek

    1

    Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 55 odst. 1 a článků 56 až 58 a 60 až 66 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, a oprava Úř. věst. 2018, L 127, s. 2) ve spojení s články 7, 8 a 47 Listiny základních práv Evropské unie (dále jen „Listina“).

    2

    Tato žádost byla předložena v rámci sporu mezi společnostmi Facebook Ireland Ltd, Facebook Inc. a Facebook Belgium BVBA na straně jedné a Gegevensbeschermingsautoriteit (úřad na ochranu údajů, Belgie) (dále jen „GBA“), který je nástupcem Commissie ter bescherming van de persoonlijke Levenssfeer (Výbor pro ochranu soukromí, Belgie) (dále jen „CBPL“), na straně druhé, ohledně žaloby na zdržení se jednání, kterou podal předseda posledně uvedeného orgánu s cílem ukončit zpracování osobních údajů uživatelů internetu na území Belgie, které provádí internetová sociální síť Facebook prostřednictvím technologií cookies, social plug-ins a pixels.

    Právní rámec

    Unijní právo

    3

    Body 1, 4, 10, 11, 13, 22, 123, 141 a 145 odůvodnění nařízení 2016/679 uvádějí:

    „(1)

    Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 [Listiny] a čl. 16 odst. 1 [SFEU] přiznávají každému právo na ochranu osobních údajů, které se jej týkají.

    […]

    (4)

    Zpracování osobních údajů by mělo sloužit lidem. Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy. Toto nařízení ctí všechna základní práva a dodržuje svobody a zásady uznávané Listinou, jak jsou zakotveny ve Smlouvách, zejména respektování soukromého a rodinného života, obydlí a komunikace, ochranu osobních údajů, svobodu myšlení, svědomí a náboženského vyznání, svobodu projevu a informací, svobodu podnikání, právo na účinnou právní ochranu a spravedlivý proces, jakož i kulturní, náboženskou a jazykovou rozmanitost.

    […]

    (10)

    S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci [Evropské] [u]nie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů. […]

    (11)

    Účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení a podrobné vymezení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a rovnocenné sankce za jejich porušování v členských státech.

    […]

    (13)

    Aby byla zajištěna jednotná úroveň ochrany fyzických osob v celé Unii a zamezilo se rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly, které zajistí důsledné monitorování zpracování osobních údajů a rovnocenné sankce ve všech členských státech, jakož i účinnou spolupráci mezi dozorovými úřady jednotlivých členských států. […]

    […]

    (22)

    Jakékoliv zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii by mělo být prováděno v souladu s tímto nařízením bez ohledu na to, zda samotné zpracování probíhá v Unii nebo mimo ni. Provozovna předpokládá účinný a skutečný výkon činnosti prostřednictvím stálého zařízení. Právní forma této provozovny, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem.

    […]

    (123)

    Dozorové úřady by měly sledovat uplatňování ustanovení tohoto nařízení a přispívat k jejich jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu. Za tímto účelem by dozorové úřady měly spolupracovat mezi sebou a s [Evropskou] [k]omisí, aniž by byla zapotřebí jakákoliv dohoda mezi členskými státy o poskytování vzájemné pomoci nebo o takové spolupráci.

    […]

    (141)

    Každý subjekt údajů by měl mít právo podat stížnost u jediného dozorové[ho] úřadu, zejména v členském státě, kde má své obvyklé bydliště, a právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. […]

    […]

    (145)

    Při řízeních proti správci nebo zpracovateli by žalobce měl mít možnost volby, zda podá žalobu u soudů členského státu, kde má správce nebo zpracovatel provozovnu nebo kde má subjekt údajů bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci členského státu, který jedná v rámci výkonu veřejné moci.“

    4

    Článek 3 tohoto nařízení, nadepsaný „Místní působnost“, v odstavci 1 stanoví:

    „Toto nařízení se vztahuje na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni.“

    5

    Článek 4 uvedeného nařízení definuje v bodě 16 pojem „hlavní provozovna“ a v bodě 23 pojem „přeshraniční zpracování“ takto:

    „16) ‚hlavní provozovnou‘ [se rozumí]:

    a)

    v případě správce s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, ledaže jsou rozhodnutí o účelech a prostředcích zpracování osobních údajů přijímána v jiné provozovně správce v Unii a tato jiná provozovna má pravomoc vymáhat provádění těchto rozhodnutí, přičemž v takovém případě je za hlavní provozovnu považována provozovna, která tato rozhodnutí přijala;

    b)

    v případě zpracovatele s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, nebo pokud zpracovatel nemá v Unii žádnou ústřední správu, pak ta provozovna zpracovatele v Unii, kde probíhají hlavní činnosti zpracování v souvislosti s činnostmi provozovny zpracovatele, v rozsahu, v jakém se na zpracovatele vztahují specifické povinnosti podle tohoto nařízení;

    […]

    23) ‚přeshraničním zpracováním‘ [se rozumí] buď:

    a)

    zpracování osobních údajů, které probíhá v souvislosti s činnostmi provozoven ve více než jednom členském státě správce či zpracovatele v Unii, je-li tento správce či zpracovatel usazen ve více než jednom členském státě; nebo

    b)

    zpracování osobních údajů, které probíhá v souvislosti s činnostmi jediné provozovny správce či zpracovatele v Unii, ale kterým jsou nebo pravděpodobně budou podstatně dotčeny subjekty údajů ve více než jednom členském státě“.

    6

    Článek 51 téhož nařízení, nadepsaný „Dozorový úřad“, stanoví:

    „1.   Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie […].

    2.   Každý dozorový úřad přispívá k jednotnému uplatňování tohoto nařízení v celé Unii. Dozorové úřady za tímto účelem spolupracují mezi sebou a s Komisí v souladu s kapitolou VII.

    […]“

    7

    Článek 55 nařízení 2016/679, nadepsaný „Příslušnost“, který je součástí kapitoly VI tohoto nařízení, nadepsané „Nezávislé dozorové úřady“, v odstavci 1 stanoví:

    „1.   Každý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením.

    2.   Pokud zpracování provádějí orgány veřejné moci nebo soukromé subjekty jednající na základě čl. 6 odst. 1 písm. c) nebo e), je příslušným dozorový úřad dotčeného členského státu. V takových případech se nepoužije článek 56.“

    8

    Článek 56 uvedeného nařízení, nadepsaný „Příslušnost vedoucího dozorového úřadu“, stanoví:

    „1.   Aniž je dotčen článek 55, je dozorový úřad pro hlavní nebo jedinou provozovnu správce či zpracovatele příslušný k tomu, aby jednal jako vedoucí dozorový úřad v případě přeshraničního zpracování prováděného tímto správcem či zpracovatelem v souladu s postupem stanoveným v článku 60.

    2.   Odchylně od odstavce 1 je každý dozorový úřad příslušný k tomu, aby se zabýval stížnostmi, které u něj byly podány, nebo možným porušením tohoto nařízení, pokud se daná záležitost týká pouze provozovny v jeho členském státě nebo jsou touto záležitostí podstatným způsobem dotčeny subjekty údajů pouze v jeho členském státě.

    3.   V případech uvedených v odstavci 2 tohoto článku daný dozorový úřad o této záležitosti neprodleně informuje vedoucí dozorový úřad. Ve lhůtě tří týdnů po obdržení těchto informací vedoucí dozorový úřad rozhodne, zda se postupem podle článku 60 bude danou věcí zabývat, či nikoli, a zohlední přitom, zda se v členském státě dozorového úřadu, který jej informoval, nachází provozovna správce nebo zpracovatele, či nikoli.

    4.   Pokud vedoucí dozorový úřad rozhodne, že se věcí zabývat bude, použije se postup podle článku 60. Dozorový úřad, který vedoucí dozorový úřad informoval, může vedoucímu dozorovému úřadu předložit návrh rozhodnutí. Vedoucí dozorový úřad tento návrh co nejvíce zohlední při přípravě návrhu rozhodnutí podle čl. 60 odst. 3.

    5.   Pokud vedoucí dozorový úřad rozhodne, že se věcí zabývat nebude, zabývá se jí v souladu s články 61 a 62 dozorový úřad, který informoval vedoucí dozorový úřad.

    6.   Provádějí-li správce či zpracovatel přeshraniční zpracování, je pro ně jediným příslušným orgánem vedoucí dozorový úřad.“

    9

    Článek 57 nařízení 2016/679, nadepsaný „Úkoly“, v odstavci 1 stanoví:

    „1. Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:

    a)

    monitoruje a vymáhá uplatňování tohoto nařízení;

    […]

    g)

    s cílem zajistit jednotné uplatňování a prosazování tohoto nařízení spolupracuje s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytuje pomoc;

    […]“

    10

    Článek 58 téhož nařízení, nadepsaný „Pravomoci“, v odstavcích 1, 4 a 5 stanoví:

    „1.   Každý dozorový úřad má všechny tyto vyšetřovací pravomoci:

    a)

    nařídit správci a zpracovateli, případně zástupci správce nebo zpracovatele, aby mu poskytli veškeré informace, které potřebuje k plnění svých úkolů;

    […]

    d)

    ohlásit správci nebo zpracovateli údajné porušení tohoto nařízení;

    […]

    4.   Výkon pravomocí svěřených tímto článkem dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou.

    5.   Každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení tohoto nařízení.“

    11

    Součástí kapitoly VII nařízení 2016/679, nadepsané „Spolupráce a jednotnost“, je oddíl I, nadepsaný „Spolupráce“, který obsahuje články 60 až 62. Článek 60, nadepsaný „Spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady“, stanoví:

    „1.   Vedoucí dozorový úřad spolupracuje s ostatními dotčenými dozorovými úřady v souladu s tímto článkem ve snaze dosáhnout konsensu. Vedoucí dozorový úřad a dotčené dozorové úřady si vzájemně vyměňují veškeré relevantní informace.

    2.   Vedoucí dozorový úřad může kdykoliv požádat další dotčené dozorové úřady o poskytnutí vzájemné pomoci podle článku 61 a může provádět společné postupy podle článku 62, zejména pokud jde o vedení šetření nebo monitorování provádění opatření týkajících se správce či zpracovatele usazených v jiném členském státě.

    3.   Vedoucí dozorový úřad neprodleně sdělí relevantní informace o dané záležitosti ostatním dotčeným dozorovým úřadům. Neprodleně předloží ostatním dotčeným dozorovým úřadům návrh rozhodnutí, aby se k němu vyjádřily, a řádně zohlední jejich stanoviska.

    4.   Pokud ve lhůtě čtyř týdnů kterýkoliv z ostatních dotčených dozorových úřadů poté, co byl v souladu s odstavcem 3 tohoto článku konzultován, vznese k návrhu rozhodnutí relevantní a odůvodněnou námitku, postoupí vedoucí dozorový úřad v případě, že relevantní a odůvodněnou námitku nesdílí nebo ji považuje za irelevantní či nedůvodnou, záležitost k řešení v rámci mechanismu jednotnosti uvedeného v článku 63.

    5.   Pokud má vedoucí dozorový úřad v úmyslu vznesenou relevantní a odůvodněnou námitku zohlednit, předloží ostatním dotčeným dozorovým úřadům revidovaný návrh rozhodnutí k vyjádření. Tento revidovaný návrh rozhodnutí podléhá postupu uvedenému v odstavci 4 v rámci dvoutýdenní lhůty.

    6.   Pokud ve lhůtě uvedené v odstavcích 4 a 5 nevznesl žádný z ostatních dotčených dozorových úřadů námitku proti návrhu rozhodnutí předloženému vedoucím dozorovým úřadem, má se za to, že vedoucí dozorový úřad a dotčené dozorové úřady s tímto návrhem rozhodnutí souhlasí a toto rozhodnutí je pro ně závazné.

    7.   Vedoucí dozorový úřad dané rozhodnutí přijme, ohlásí je hlavní nebo jediné provozovně správce či zpracovatele a o daném rozhodnutí včetně shrnutí relevantních skutečností a důvodů informuje ostatní dotčené dozorové úřady a [Evropský sbor pro ochranu osobních údajů]. Dozorový úřad, u něhož byla podána stížnost, informuje o daném rozhodnutí stěžovatele.

    8.   Odchylně od odstavce 7, pokud je stížnost odmítnuta nebo zamítnuta, přijme rozhodnutí dozorový úřad, u něhož byla stížnost podána; tento úřad oznámí rozhodnutí stěžovateli a informuje o něm správce.

    9.   Pokud se vedoucí dozorový úřad a dotčené dozorové úřady shodnou na tom, že určité části stížnosti odmítnou nebo zamítnou a že budou reagovat na jiné části této stížnosti, přijme se pro každou z těchto částí dané věci samostatné rozhodnutí. […]

    10.   Poté, co mu bylo oznámeno rozhodnutí vedoucího dozorového úřadu podle odstavců 7 a 9, přijme správce nebo zpracovatel opatření nezbytná k zajištění souladu s daným rozhodnutím, pokud jde o činnosti zpracování prováděné v souvislosti se všemi jeho provozovnami v Unii. Správce nebo zpracovatel oznámí opatření přijatá k zajištění souladu s daným rozhodnutím vedoucímu dozorovému úřadu, který o tom informuje ostatní dotčené dozorové úřady.

    11.   Pokud má za výjimečných okolností dotčený dozorový úřad důvody se domnívat, že je třeba naléhavě jednat, aby byly ochráněny zájmy subjektů údajů, použije se postup pro naléhavé případy podle článku 66.

    […]“

    12

    Článek 61 uvedeného nařízení, nadepsaný „Vzájemná pomoc“, v odstavci 1 stanoví:

    „Dozorové úřady si vzájemně poskytují relevantní informace a pomoc v zájmu soudržného provádění a uplatňování tohoto nařízení a zavedou opatření pro účinnou vzájemnou spolupráci. Vzájemná spolupráce zahrnuje zejména žádosti o informace a opatření v oblasti dozoru, například žádosti o předchozí povolení a konzultace, inspekce a šetření.“

    13

    Článek 62 téhož nařízení, nadepsaný „Společné postupy dozorových úřadů“, stanoví:

    „1.   Dozorové úřady podle potřeby provádějí společné postupy, včetně společných šetření a společných donucovacích opatření, do nichž jsou zapojeni členové nebo pracovníci dozorových úřadů z jiných členských států.

    2.   Pokud má správce nebo zpracovatel provozovny v několika členských státech, nebo pokud je pravděpodobné, že operacemi zpracování bude podstatně dotčen významný počet subjektů údajů ve více než jednom členském státě, má dozorový úřad každého z těchto členských států právo účastnit se společných postupů. […]

    […]“

    14

    Oddíl 2, nadepsaný „Jednotnost“, kapitoly VII nařízení 2016/679, obsahuje články 63 až 67. Článek 63, nadepsaný „Mechanismus jednotnosti“, zní následovně:

    „S cílem přispět k jednotnému uplatňování tohoto nařízení v celé Unii spolupracují dozorové úřady mezi sebou navzájem a ve vhodných případech s Komisí prostřednictvím mechanismu jednotnosti stanoveného v tomto oddíle.“

    15

    Článek 64 odst. 2 uvedeného nařízení zní:

    „Kterýkoli dozorový úřad, předseda [Evropského sboru pro ochranu osobních údajů] nebo Komise mohou požádat, aby [Evropský sbor pro ochranu osobních údajů] posoudil jakoukoli záležitost s obecnou působností nebo s účinky ve více než jednom členském státě za účelem získání stanoviska, zejména v případě, kdy příslušný dozorový úřad nesplní povinnosti související se vzájemnou pomocí podle článku 61 nebo se společnými postupy podle článku 62.“

    16

    Článek 65 tohoto nařízení, nadepsaný „Řešení sporů sborem“, v odstavci 1 stanoví:

    „S cílem zajistit, aby toto nařízení bylo v jednotlivých případech správně a důsledně uplatňováno, přijme [Evropský sbor pro ochranu osobních údajů] závazné rozhodnutí v těchto případech:

    a)

    pokud v případě uvedeném v čl. 60 odst. 4 vznesl dotčený dozorový úřad relevantní a odůvodněnou námitku vůči návrhu rozhodnutí vedoucího dozorového úřadu nebo pokud vedoucí dozorový úřad tuto námitku nezohlednil nebo ji zamítl jako irelevantní či nedůvodnou. Závazné rozhodnutí se týká všech záležitostí, které jsou předmětem relevantní a odůvodněné námitky, zejména dojde-li k porušení tohoto nařízení;

    b)

    pokud existují protikladné názory ohledně toho, který dotčený dozorový úřad je příslušný pro hlavní provozovnu;

    […]“

    17

    Článek 66 nařízení 2016/679, nadepsaný „Postup pro naléhavé případy“, v odstavcích 1 a 2 stanoví:

    „1.   Dotčený dozorový úřad se za výjimečných okolností, kdy se domnívá, že je třeba naléhavě jednat v zájmu ochrany práv a svobod subjektů údajů, může odchýlit od mechanismu jednotnosti uvedeného v článcích 63, 64 a 65 nebo od postupu uvedeného v článku 60 a okamžitě přijmout předběžná opatření s právními účinky na svém území a se stanovenou dobou platnosti, která nepřesáhne tři měsíce. Tento dozorový úřad neprodleně oznámí tato opatření a důvody pro jejich přijetí ostatním dotčeným dozorovým úřadům, [Evropskému sboru pro ochranu osobních údajů] a Komisi.

    2.   Pokud některý dozorový úřad přijal opatření podle odstavce 1 a domnívá se, že je třeba naléhavě přijmout konečná opatření, může požádat [Evropský sbor pro ochranu osobních údajů] o naléhavé stanovisko nebo naléhavé závazné rozhodnutí, přičemž svou žádost o takové stanovisko nebo rozhodnutí odůvodní.“

    18

    Článek 77 tohoto nařízení, nadepsaný „Právo podat stížnost u dozorového úřadu“, stanoví:

    „1.   Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.

    2.   Dozorový úřad, kterému byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 78.“

    19

    Článek 78 uvedeného nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči dozorovému úřadu“, stanoví:

    „1.   Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

    2.   Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku.

    3.   Řízení proti dozorovému úřadu se zahajuje u soudů toho členského státu, v němž je daný dozorový úřad zřízen.

    4.   Je-li zahájeno řízení proti rozhodnutí dozorového úřadu, kterému předcházelo stanovisko nebo rozhodnutí [Evropského sboru pro ochranu osobních údajů] v rámci mechanismu jednotnosti, dozorový úřad toto stanovisko nebo rozhodnutí předloží soudu.“

    20

    Článek 79 tohoto nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“, stanoví:

    „1.   Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.

    2.   Řízení proti správci nebo zpracovateli se zahajuje u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů své obvyklé bydliště, s výjimkou případů, kdy je správce nebo zpracovatel orgánem veřejné moci některého členského státu, který jedná v rámci výkonu veřejné moci.“

    Belgické právo

    21

    Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (zákon o ochraně soukromí při zpracování osobních údajů) ze dne 8. prosince 1992 (Belgisch Staatsblad, 18. března 1993, s. 5801), ve znění zákona ze dne 11. prosince 1998 (Belgisch Staatsblad, 3. února 1999, s. 3049) (dále jen „zákon ze dne 8. prosince 1992“), provedl do belgického práva směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355).

    22

    Zákonem ze dne 8. prosince 1992 byl zřízen CBPL, nezávislý subjekt, jehož úkolem bylo zajistit, aby osobní údaje byly zpracovávány v souladu s tímto zákonem tak, aby bylo chráněno soukromí občanů.

    23

    Článek 32 odst. 3 zákona ze dne 8. prosince 1992 stanovil:

    „Aniž je dotčena příslušnost obecných soudů pro uplatňování obecných zásad ochrany soukromí, může předseda [CBPL] předložit soudu prvního stupně jakýkoli spor týkající se použití tohoto zákona a jeho prováděcích opatření“.

    24

    Wet tot oprichting van de Gegevensbeschermingsautoriteit (zákon o zřízení úřadu na ochranu údajů) ze dne 3. prosince 2017 (Belgisch Staatsblad, 10. ledna 2018, s. 989, dále jen „zákon ze dne 3. prosince 2017“), který nabyl účinnosti dne 25. května 2018, zřídil GBA jako dozorový úřad ve smyslu nařízení 2016/679.

    25

    Článek 3 zákona ze dne 3. prosince 2017 stanoví:

    „Při Poslanecké sněmovně se zřizuje ‚Úřad na ochranu údajů‘. Nahrazuje [CBPL].“

    26

    Článek 6 zákona ze dne 3. prosince 2017 stanoví:

    „[GBA] je oprávněn informovat soudní orgány o jakémkoli porušení základních zásad ochrany osobních údajů v rámci tohoto zákona a právních předpisů obsahujících ustanovení týkající se ochrany zpracování osobních údajů a případně zahájit soudní řízení za účelem uplatnění těchto základních zásad.“

    27

    Pro soudní řízení již zahájená předsedou CBPL ke dni 25. květnu 2018 na základě čl. 32 odst. 3 zákona ze dne 8. prosince 1992 není stanoveno žádné zvláštní ustanovení. Pokud jde pouze o stížnosti nebo návrhy podané u samotného GBA, článek 112 zákona ze dne 3. prosince 2017 stanoví:

    „Kapitola VI se nepoužije na stížnosti nebo návrhy dosud projednávané u [GBA] v době nabytí účinnosti tohoto zákona. Stížnosti nebo návrhy uvedené v odstavci 1 vyřizuje [GBA] jakožto právní nástupce [CBPL] postupem použitelným před nabytím účinnosti tohoto zákona.“

    28

    Zákon ze dne 8. prosince 1992 byl zrušen prostřednictvím wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (zákon o ochraně fyzických osob při zpracování osobních údajů) ze dne 30. července 2018 (Belgisch Staatsblad, 5. září 2018, s. 68616, dále jen „zákon ze dne 30. července 2018“). Cílem posledně uvedeného zákona je provést do belgického práva ustanovení nařízení 2016/679, která ukládají nebo umožňují členským státům přijmout k doplnění tohoto nařízení podrobnější pravidla.

    Spor v původním řízení a předběžné otázky

    29

    Dne 11. září 2015 podal předseda CBPL proti společnostem Facebook Ireland, Facebook Inc. a Facebook Belgium k Nederlandstalige rechtbank van eerste aanleg Brussel (nizozemskojazyčný soud prvního stupně v Bruselu, Belgie) žalobu na zdržení se jednání. Vzhledem k tomu, že CBPL nemá právní subjektivitu, bylo na jeho předsedovi, aby podal žalobu k zajištění dodržování právních předpisů v oblasti ochrany osobních údajů. Samotný CBPL nicméně požádal o vstup do řízení zahájeného jeho předsedou.

    30

    Cílem této žaloby na zdržení se jednání bylo ukončit to, co CBPL popisuje zejména jako „závažné a rozsáhlé porušování právních předpisů na ochranu soukromí ze strany Facebooku“ spočívající v tom, že tato internetová sociální síť shromažďuje informace o chování jak majitelů účtu na Facebooku, tak osob, které nejsou uživateli služeb Facebooku, při prohlížení internetu, a to prostřednictvím různých technologií, jako jsou cookies, social plugins (například tlačítka „To se mi líbí“ nebo „Sdílet“) nebo pixels. Tyto prvky umožňují dotyčné sociální síti získat určité údaje uživatele internetu, jenž navštíví internetovou stránku, která je obsahuje, jako je adresa této stránky, IP adresa návštěvníka uvedené stránky, jakož i datum a čas dotyčné návštěvy.

    31

    Rozhodnutím ze dne 16. února 2018 se Nederlandstalige rechtbank van eerste aanleg Brussel (nizozemskojazyčný soud prvního stupně v Bruselu) prohlásil za příslušný k rozhodnutí o uvedené žalobě na zdržení se jednání v rozsahu, v němž se týká společností Facebook Ireland, Facebook Inc. a Facebook Belgium, a konstatoval, že návrh CBPL na vstup do řízení je nepřípustný.

    32

    Ve věci samé tento soud rozhodl, že dotčená sociální síť neinformovala dostatečně belgické uživatele internetu o shromažďování dotčených informací a o jejich využití. Kromě toho posoudil souhlas se shromažďováním a zpracováním uvedených informací udělený uživateli internetu jako neplatný. Společnostem Facebook Ireland, Facebook Inc. a Facebook Belgium bylo tedy nařízeno, zaprvé aby vůči všem uživatelům internetu usazeným na belgickém území přestaly umisťovat bez jejich souhlasu soubory cookies, které zůstávají aktivní po dobu dvou let, na zařízení, které používají při prohlížení internetových stránek v doméně Facebook.com nebo když se ocitnou na internetové stránce třetí osoby, jakož i umisťovat soubory cookies a shromažďovat údaje prostřednictvím social plugins, pixels nebo jiných podobných technologických prostředků na internetových stránkách třetích osob způsobem, který je nepřiměřený s ohledem na cíle sledované sociální sítí Faceboook, zadruhé aby přestaly poskytovat informace, které by mohly důvodně vyvolat omyl dotčených osob ohledně skutečného rozsahu mechanismů, které poskytuje sociální síť Facebook pro používání souborů cookies, a zatřetí aby vymazaly veškeré osobní údaje získané prostřednictvím technologií cookies a social plugins.

    33

    Dne 2. března 2018 podaly Facebook Ireland, Facebook Inc. a Facebook Belgium proti tomuto rozhodnutí odvolání k Hof van beroep te Brussel (odvolací soud v Bruselu, Belgie). Před tímto soudem vystupuje GBA jako právní nástupce jak předsedy CBPL, který podal žalobu na zdržení se jednání, tak samotného CBPL.

    34

    Předkládající soud se prohlásil za příslušný k rozhodnutí o odvolání pouze v rozsahu, v němž se týká společnosti Facebook Belgium. Naproti tomu prohlásil, že není příslušný k projednání tohoto odvolání, pokud jde o společnosti Facebook Ireland a Facebook Inc.

    35

    Před rozhodnutím o meritu sporu v původním řízení si předkládající soud klade otázku, zda má GBA požadovanou aktivní legitimaci a právní zájem na podání žaloby. Podle společnosti Facebook Belgium je podaná žaloba na zdržení se jednání nepřípustná, pokud jde o skutečnosti předcházející 25. květnu 2018, jelikož v návaznosti na nabytí účinnosti zákona ze dne 3. prosince 2017 a nařízení 2016/679 byl zrušen čl. 32 odst. 3 zákona ze dne 8. prosince 1992, který představoval právní základ umožňující takovou žalobu podat. Pokud jde o skutečnosti, které nastaly po 25. květnu 2018, společnost Facebook Belgium tvrdí, že GBA není příslušný a není oprávněn podat tuto žalobu vzhledem k mechanismu „jediného kontaktního místa“, který je nyní zaveden na základě ustanovení nařízení 2016/679. Na základě těchto ustanovení je totiž k podání žaloby na zdržení se jednání proti společnosti Facebook Ireland příslušný pouze Data Protection Commissioner (komisař pro ochranu údajů, Irsko), který je jediným správcem osobních údajů uživatelů dotčené sociální sítě v Unii.

    36

    Předkládající soud rozhodl, že GBA nedoložil právní zájem na podání žaloby nutný k podání této žaloby na zdržení se jednání v rozsahu, v němž se tato žaloba týká skutečností předcházejících 25. květnu 2018. Pokud jde o skutečnosti, které nastaly po tomto datu, předkládající soud má však pochybnosti o tom, jaký dopad má vstup nařízení 2016/679 v platnost, zejména uplatnění mechanismu „jediného kontaktního místa“, který toto nařízení stanoví, na příslušnost GBA, jakož i na jeho pravomoc podat takovou žalobu na zdržení se jednání.

    37

    Předkládající soud má konkrétně za to, že nyní vyvstává otázka, zda v souvislosti se skutkovými okolnostmi po 25. květnu 2018 může GBA žalovat společnost Facebook Belgium, jelikož za správce dotčených údajů byla označena společnost Facebook Ireland. Od tohoto data a na základě zásady „jediného kontaktního místa“ je podle všeho na základě článku 56 nařízení 2016/679 příslušný pouze komisař pro ochranu údajů, pod dohledem pouze irských soudů.

    38

    Předkládající soud připomíná, že v rozsudku ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16EU:C:2018:388), Soudní dvůr rozhodl, že „německý orgán dozoru“ je příslušný rozhodnout spor v oblasti ochrany osobních údajů, třebaže má správce předmětných údajů sídlo v Irsku a jeho dceřiná společnost se sídlem v Německu, a sice Facebook Germany GmbH, se zabývá pouze prodejem reklamního prostoru a jinými marketingovými činnostmi na německém území.

    39

    Nicméně ve věci, v níž byl vydán tento rozsudek, byla Soudnímu dvoru předložena žádost o rozhodnutí o předběžné otázce týkající se výkladu ustanovení směrnice 95/46, která byla zrušena nařízením 2016/679. Předkládající soud se táže, do jaké míry je výklad, který Soudní dvůr podal v uvedeném rozsudku, nadále relevantní, pokud jde o použití nařízení 2016/679.

    40

    Předkládající soud zmiňuje rovněž rozhodnutí Bundeskartellamt (spolkový úřad pro hospodářskou soutěž, Německo) ze dne 6. února 2019 (tzv. „rozhodnutí Facebook“), ve kterém tento úřad pro hospodářskou soutěž v podstatě konstatoval, že dotyčný podnik zneužil svého postavení tím, že shromažďoval údaje pocházející z různých zdrojů, což by nyní mělo být možné pouze s výslovným souhlasem uživatelů, přičemž uživatele, který s tím nesouhlasí, nelze vyloučit ze služeb Facebooku. Předkládající soud uvádí, že uvedený úřad pro hospodářskou soutěž se zjevně považoval za příslušný navzdory mechanismu „jediného kontaktního místa“.

    41

    Předkládající soud má kromě toho za to, že článek 6 zákona ze dne 3. prosince 2017, který v zásadě umožňuje GBA, aby případně zahájil soudní řízení, neznamená, že může za všech okolností zahájit řízení u belgických soudů, neboť mechanismus „jediného kontaktního místa“ podle všeho vyžaduje, aby takové řízení bylo zahájeno u soudu místa, kde je prováděno zpracování údajů.

    42

    Za těchto podmínek se hof van beroep te Brussel (odvolací soud v Bruselu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

    „1)

    Musí být čl. 55 odst. 1, články 56 až 58 a články 60 až 66 [nařízení 2016/679] ve spojení s články 7, 8 a 47 [Listiny] vykládány v tom smyslu, že dozorový úřad, který je podle vnitrostátních právních předpisů provádějících čl. 58 odst. 5 tohoto nařízení oprávněn podat v případě porušení tohoto nařízení žalobu k soudu svého členského státu, nemůže tuto pravomoc vykonávat v rámci přeshraničního zpracování, není-li vedoucím dozorovým úřadem pro toto přeshraniční zpracování?

    2)

    Je pro odpověď na první položenou otázku relevantní skutečnost, že správce odpovědný za toto přeshraniční zpracování nemá svou hlavní provozovnu v tomto členském státě, avšak má zde jinou provozovnu?

    3)

    Je pro odpověď na první položenou otázku relevantní, zda vnitrostátní dozorový úřad podá žalobu proti hlavní provozovně správce tohoto přeshraničního zpracování nebo proti provozovně v jeho vlastním členském státě?

    4)

    Je pro odpověď na první položenou otázku relevantní skutečnost, že vnitrostátní dozorový úřad podal žalobu již před nabytím účinnosti [nařízení 2016/679] (25. května 2018)?

    5)

    V případě kladné odpovědi na první položenou otázku: Zakládá čl. 58 odst. 5 nařízení 2016/679 přímý účinek, takže se vnitrostátní dozorový úřad může na toto ustanovení odvolat, aby zahájil soudní řízení proti jednotlivým účastníkům nebo v tomto řízení pokračoval i v případě, že čl. 58 odst. 5 tohoto nařízení nebyl do vnitrostátního práva proveden, ačkoliv tato povinnost existuje?

    6)

    V případě kladných odpovědí na první až pátou položenou otázku: Může výsledek takového řízení bránit opačnému závěru vedoucího dozorového úřadu, jestliže tento vedoucí dozorový úřad prošetřuje stejné nebo podobné přeshraniční zpracování na základě mechanismu stanoveného v článcích 56 a 60 nařízení 2016/679?“

    K předběžným otázkám

    K první otázce

    43

    Podstatou první otázky předkládajícího soudu je, zda čl. 55 odst. 1 a články 56 až 58 a 60 až 66 nařízení 2016/679, ve spojení s články 7, 8 a 47 Listiny, musí být vykládány v tom smyslu, že dozorový úřad členského státu, který má podle vnitrostátních právních předpisů provádějících čl. 58 odst. 5 tohoto nařízení pravomoc upozornit na jakékoliv údajné porušení tohoto nařízení soud tohoto členského státu, a pokud je to vhodné, zahájit soudní řízení, může vykonávat tuto pravomoc v souvislosti s přeshraničním zpracováním údajů, třebaže není u takového zpracování údajů „vedoucím dozorovým úřadem“ ve smyslu čl. 56 odst. 1 téhož nařízení.

    44

    V tomto ohledu je třeba úvodem připomenout, že na rozdíl od směrnice 95/46, která byla přijata na základě článku 100a Smlouvy o ES týkajícího se harmonizace společného trhu, je právním základem nařízení 2016/679 článek 16 SFEU, který zakotvuje právo každého na ochranu osobních údajů a pověřuje Evropský parlament a Radu Evropské unie stanovením pravidel o ochraně fyzických osob při zpracovávání osobních údajů orgány, institucemi a jinými subjekty Unie a členskými státy, pokud vykonávají činnosti spadající do oblasti působnosti práva Unie, a pravidel o volném pohybu těchto údajů. Bod 1 odůvodnění tohoto nařízení dále uvádí, že „[o]chrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem“, a připomíná, že čl. 8 odst. 1 Listiny, jakož i čl. 16 odst. 1 SFEU přiznávají každému právo na ochranu osobních údajů, které se jej týkají

    45

    Jak tedy vyplývá z čl. 1 odst. 2 nařízení 2016/679 ve spojení s body 10, 11 a 13 jeho odůvodnění, toto nařízení ukládá unijním orgánům, institucím a jiným subjektům, jakož i příslušným orgánům členských států povinnost zajistit vysokou úroveň ochrany práv zaručených článkem 16 SFEU a článkem 8 Listiny.

    46

    Kromě toho, jak uvádí bod 4 odůvodnění tohoto nařízení, toto nařízení ctí všechna základní práva a dodržuje svobody a zásady uznávané Listinou.

    47

    Na tomto pozadí čl. 55 odst. 1 nařízení 2016/679 stanoví, že každý dozorový úřad je na území svého členského státu v zásadě příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením (v tomto smyslu viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18EU:C:2020:559, bod 147).

    48

    Mezi úkoly, které byly těmto dozorovým úřadům svěřeny, patří zejména úkol monitorovat a vymáhat uplatňování nařízení 2016/679, stanovený v čl. 57 odst. 1 písm. a) tohoto nařízení, jakož i úkol spolupracovat s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytovat pomoc s cílem zajistit jednotné uplatňování a prosazování tohoto nařízení, stanovený v čl. 57 odst. 1 písm. g) téhož nařízení. Mezi pravomoci svěřené uvedeným dozorovým úřadům za účelem plnění těchto úkolů patří různé vyšetřovací pravomoci stanovené v čl. 58 odst. 1 nařízení 2016/679, jakož i pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení s cílem vymoci dodržení tohoto nařízení, stanovená v jeho čl. 58 odst. 5.

    49

    Výkon těchto úkolů a pravomocí nicméně předpokládá, že dozorový úřad je příslušný, pokud jde o dané zpracování údajů.

    50

    V tomto ohledu, aniž je dotčeno pravidlo příslušnosti uvedené v čl. 55 odst. 1 nařízení 2016/679, stanoví čl. 56 odst. 1 tohoto nařízení pro „přeshraniční zpracování“ ve smyslu čl. 4 bodu 23 tohoto nařízení mechanismus „jediného kontaktního místa“ založený na rozdělení příslušnosti mezi „vedoucí dozorový úřad“ a další dotčené dozorové úřady. Podle tohoto mechanismu je dozorový úřad pro hlavní nebo jedinou provozovnu správce či zpracovatele příslušný k tomu, aby jednal jako vedoucí dozorový úřad v případě přeshraničního zpracování prováděného tímto správcem či zpracovatelem v souladu s postupem stanoveným v článku 60.

    51

    Posledně uvedený článek upravuje proces spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady. V rámci tohoto procesu je vedoucí dozorový úřad zejména povinen usilovat o dosažení konsensu. Podle čl. 60 odst. 3 nařízení 2016/679 za tím účelem neprodleně předloží ostatním dotčeným dozorovým úřadům návrh rozhodnutí, aby se k němu vyjádřily, a řádně zohlední jejich stanoviska.

    52

    Z článků 56 a 60 nařízení 2016/679 konkrétně vyplývá, že při „přeshraničním zpracování“ ve smyslu článku 4 bodu 23 tohoto nařízení a s výhradou jeho čl. 56 odst. 2 musí jednotlivé dotčené dozorové úřady spolupracovat v souladu s postupy stanovenými těmito ustanoveními, aby dosáhly konsensu a přijaly jednotné rozhodnutí zavazující všechny tyto úřady, přičemž správce musí zajistit, aby bylo dodrženo, pokud jde o činnosti zpracování v souvislosti se všemi jeho provozovnami v Unii. Článek 61 odst. 1 uvedeného nařízení dále ukládá dozorovým úřadům povinnost předat si užitečné informace a poskytovat si navzájem pomoc, aby bylo toto nařízení uplatňováno soudržným způsobem v celé Unii. Článek 63 nařízení 2016/679 stanoví, že za tímto účelem je v jeho článcích 64 a 65 stanoven mechanismus jednotnosti [rozsudek ze dne 24. září 2019, Google (Územní dosah odstranění odkazů), C‑507/17EU:C:2019:772, bod 68].

    53

    Použití mechanismu „jediného kontaktního místa“ tedy vyžaduje, jak potvrzuje bod 13 odůvodnění nařízení 2016/679, loajální a účinnou spolupráci mezi vedoucím dozorovým úřadem a ostatními dotčenými dozorovými úřady. Jak uvedl generální advokát v bodě 111 svého stanoviska, vedoucí dozorový úřad proto nemůže opomíjet názory dotčených dozorových úřadů a jakákoli relevantní a odůvodněná námitka vyjádřená některým z těchto dozorových úřadů má za následek zablokování, přinejmenším dočasné, přijetí návrhu rozhodnutí vedoucího dozorového úřadu.

    54

    Článek 60 odst. 4 nařízení 2016/679 stanoví, že pokud kterýkoliv z ostatních dotčených dozorových úřadů ve lhůtě čtyř týdnů poté, co byl v souladu s odstavcem 3 tohoto článku konzultován, vznese k návrhu rozhodnutí takovou relevantní a odůvodněnou námitku, postoupí vedoucí dozorový úřad v případě, že relevantní a odůvodněnou námitku nesdílí nebo ji považuje za irelevantní či nedůvodnou, záležitost k řešení v rámci mechanismu jednotnosti uvedeného v článku 63 tohoto nařízení, aby získal závazné rozhodnutí Evropského sboru pro ochranu osobních údajů, přijaté na základě čl. 65 odst. 1 písm. a) uvedeného nařízení.

    55

    Článek 60 odst. 5 nařízení 2016/679 uvádí, že pokud má vedoucí dozorový úřad v úmyslu vznesenou relevantní a odůvodněnou námitku zohlednit, předloží ostatním dotčeným dozorovým úřadům revidovaný návrh rozhodnutí k vyjádření. Tento revidovaný návrh rozhodnutí podléhá postupu uvedenému v čl. 60 odst. 4 tohoto nařízení v rámci dvoutýdenní lhůty.

    56

    Podle čl. 60 odst. 7 uvedeného nařízení přísluší v zásadě vedoucímu dozorovému úřadu, aby v případě dotčeného přeshraničního zpracování údajů přijal rozhodnutí, ohlásil je hlavní nebo jediné provozovně správce či zpracovatele a o daném rozhodnutí včetně shrnutí relevantních skutečností a důvodů informoval ostatní dotčené dozorové úřady a Evropský sbor pro ochranu osobních údajů.

    57

    Je však třeba zdůraznit, že nařízení 2016/679 stanoví výjimky ze zásady příslušnosti vedoucího dozorového úřadu rozhodovat v rámci mechanismu „jediného kontaktního místa“ stanoveného v čl. 56 odst. 1 uvedeného nařízení.

    58

    Mezi tyto výjimky patří zaprvé čl. 56 odst. 2 nařízení 2016/679, který stanoví, že dozorový úřad, který není vedoucím dozorovým úřadem, je příslušný k tomu, aby se zabýval stížnostmi, které u něj byly podány a týkají se přeshraničního zpracování osobních údajů, nebo možným porušením tohoto nařízení, pokud se daná záležitost týká pouze provozovny v jeho členském státě nebo jsou touto záležitostí podstatným způsobem dotčeny subjekty údajů pouze v jeho členském státě.

    59

    Zadruhé článek 66 nařízení 2016/679 stanoví, odchylně od mechanismu jednotnosti uvedeného v článcích 60 a 63 až 65 tohoto nařízení, postup pro naléhavé případy. Tento postup pro naléhavé případy umožňuje, aby dotčený dozorový úřad za výjimečných okolností, kdy se domnívá, že je třeba naléhavě jednat v zájmu ochrany práv a svobod subjektů údajů, okamžitě přijal předběžná opatření s právními účinky na svém území a se stanovenou dobou platnosti, která nepřesáhne tři měsíce, přičemž čl. 66 odst. 2 nařízení 2016/679 navíc stanoví, že pokud některý dozorový úřad přijal opatření podle odstavce 1 a domnívá se, že je třeba naléhavě přijmout konečná opatření, může požádat Evropský sbor pro ochranu osobních údajů o naléhavé stanovisko nebo naléhavé závazné rozhodnutí, přičemž svou žádost o takové stanovisko nebo rozhodnutí odůvodní

    60

    Při výkonu této pravomoci dozorových úřadů však musí být dodržena loajální a účinná spolupráce s vedoucím dozorovým úřadem v souladu s postupem uvedeným v čl. 56 odst. 3 až 5 nařízení 2016/679. V takovém případě totiž podle čl. 56 odst. 3 tohoto nařízení musí dotčený dozorový úřad neprodleně informovat vedoucí dozorový úřad, který ve lhůtě tří týdnů po obdržení těchto informací rozhodne, zda se bude danou věcí zabývat, či nikoli.

    61

    Podle čl. 56 odst. 4 nařízení 2016/679 platí, že pokud vedoucí dozorový úřad rozhodne, že se věcí zabývat bude, použije se postup spolupráce podle článku 60 tohoto nařízení. V této souvislosti může dozorový úřad, který vedoucí dozorový úřad informoval, předložit vedoucímu dozorovému úřadu návrh rozhodnutí a ten musí při přípravě návrhu rozhodnutí podle čl. 60 odst. 3 uvedeného nařízení uvedený návrh co nejvíce zohlednit.

    62

    Naproti tomu podle čl. 56 odst. 5 nařízení 2016/679 platí, že pokud vedoucí dozorový úřad rozhodne, že se věcí zabývat nebude, zabývá se jí dozorový úřad, který informoval vedoucí dozorový úřad, a to v souladu s články 61 a 62 tohoto nařízení, které vyžadují, aby dozorové úřady dodržovaly v rámci společných postupů pravidla vzájemné pomoci a spolupráce s cílem zajistit účinnou spolupráci mezi dotčenými úřady.

    63

    Z výše uvedeného vyplývá, že v oblasti přeshraničního zpracování osobních údajů je pravidlem příslušnost vedoucího dozorového úřadu k přijetí rozhodnutí konstatujícího, že takové zpracování porušuje pravidla na ochranu práv fyzických osob v souvislosti se zpracováním osobních údajů obsažená v nařízení 2016/679, zatímco příslušnost ostatních dotčených dozorových úřadů k přijetí takového rozhodnutí, a to i prozatímně, představuje výjimku. Dále, i když je zásadní příslušnost vedoucího dozorového úřadu potvrzena v čl. 56 odst. 6 nařízení 2016/679, podle kterého provádějí-li správce či zpracovatel přeshraniční zpracování, je pro ně „jediným příslušným orgánem“ vedoucí dozorový úřad, musí tento orgán v rámci této příslušnosti úzce spolupracovat s ostatními dotčenými dozorovými úřady. Vedoucí dozorový úřad se při výkonu svých pravomocí zejména nemůže vyhnout nezbytnému dialogu, jakož i loajální a účinné spolupráci s ostatními dotčenými dozorovými úřady, jak bylo uvedeno v bodě 53 tohoto rozsudku.

    64

    V tomto ohledu z bodu 10 odůvodnění nařízení 2016/679 vyplývá, že cílem tohoto nařízení je mimo jiné zajistit v celé Unii soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů a odstranit překážky bránící pohybu osobních údajů v rámci Unie.

    65

    Tento cíl i užitečný účinek mechanismu „jediného kontaktního místa“ by přitom mohl být ohrožen, kdyby dozorový úřad, který není v případě přeshraničního zpracování údajů vedoucím dozorovým úřadem, mohl vykonávat pravomoc stanovenou v čl. 58 odst. 5 nařízení 2016/679, nad rámec případů, kdy je příslušný k přijetí takového rozhodnutí, jaké je uvedeno v bodě 63 tohoto rozsudku. Výkon takové pravomoci totiž směřuje k vydání závazného soudního rozhodnutí, které může ohrozit tento cíl i mechanismus stejně jako rozhodnutí přijaté dozorovým úřadem, který není vedoucím dozorovým úřadem.

    66

    Na rozdíl od toho, co tvrdí GBA, okolnost, že dozorový úřad členského státu, který není vedoucím dozorovým úřadem, může vykonávat pravomoc stanovenou v čl. 58 odst. 5 nařízení 2016/679 pouze při dodržení pravidel pro určení příslušnosti k rozhodování stanovených zejména v článcích 55 a 56 téhož nařízení ve spojení s jeho článkem 60, je v souladu s články 7, 8 a 47 Listiny.

    67

    Pokud jde o argument vycházející z údajného porušení článků 7 a 8 Listiny, je třeba připomenout, že uvedený článek 7 zaručuje každému právo na respektování jeho soukromého a rodinného života, obydlí a komunikace, zatímco čl. 8 odst. 1 Listiny, stejně jako čl. 16 odst. 1 SFEU, výslovně přiznává každému právo na ochranu osobních údajů, které se ho týkají. Z článku 51 odst. 1 nařízení 2016/679 přitom konkrétně vyplývá, že dozorové úřady jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem mimo jiné chránit základní práva fyzických osob v souvislosti se zpracováním jejich osobních údajů. Z toho plyne, že v souladu s tím, co bylo uvedeno v bodě 45 tohoto rozsudku, nemají pravidla rozdělení příslušnosti k rozhodování mezi vedoucí dozorový úřad a další dozorové úřady stanovená v tomto nařízení vliv na odpovědnost každého z těchto úřadů přispívat k vysoké úrovni ochrany těchto práv při dodržení těchto pravidel, jakož i požadavků spolupráce a vzájemné pomoci připomenutých v bodě 52 tohoto rozsudku.

    68

    To zejména znamená, že mechanismus „jediného kontaktního místa“ nemůže v žádném případě vést k tomu, že vnitrostátní dozorový úřad, zejména vedoucí dozorový úřad, nenese odpovědnost přispívat k účinné ochraně fyzických osob před porušeními jejich základních práv připomenutých v předchozím bodě tohoto rozsudku, která pro něj vyplývá z nařízení 2016/679, neboť jinak by byla podporována praxe forum shopping, zejména ze strany správců, s cílem obcházet tato práva a účinné uplatňování ustanovení tohoto nařízení, která je provádějí.

    69

    Nelze přijmout ani argumentaci vycházející z údajného porušení práva na účinnou právní ochranu zaručeného článkem 47 Listiny. Vymezením možnosti jiného dozorového úřadu, než je vedoucí dozorový úřad, vykonávat pravomoc stanovenou v čl. 58 odst. 5 nařízení 2016/679, pokud jde o přeshraniční zpracování osobních údajů, jak je popsáno v bodech 64 a 65 tohoto rozsudku, totiž není dotčeno právo, které každé osobě přiznává čl. 78 odst. 1 a 2 tohoto nařízení, na účinnou soudní ochranu mimo jiné proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká, nebo proti tomu, že se dozorový úřad, který je příslušný k rozhodnutí podle článků 55 a 56 uvedeného rozhodnutí ve spojení s jeho článkem 60, nezabývá stížností, kterou tato osoba podala.

    70

    Tak je tomu zejména v případě uvedeném v čl. 56 odst. 5 nařízení 2016/679, podle kterého, jak bylo uvedeno v bodě 62 tohoto rozsudku, se dozorový úřad, který poskytl informaci na základě čl. 56 odst. 3 tohoto nařízení, může zabývat věcí v souladu s články 61 a 62 tohoto nařízení, pokud vedoucí dozorový úřad poté, co o věci byl informován, rozhodne, že se jí nebude zabývat sám. V rámci takového zpracování nelze ostatně vyloučit, že dotyčný dozorový úřad se může případně rozhodnout uplatnit pravomoc, kterou mu svěřuje čl. 58 odst. 5 nařízení 2016/679.

    71

    Po tomto upřesnění je třeba zdůraznit, že výkon pravomoci dozorového úřadu členského státu obrátit se na soudy svého státu nelze vyloučit, pokud mu vedoucí dozorový úřad poté, co jej požádal o vzájemnou pomoc podle článku 61 nařízení 2016/679, neposkytne požadované informace. V takovém případě může příslušný dozorový úřad na základě čl. 61 odst. 8 tohoto nařízení přijmout na území svého členského státu předběžné opatření, a domnívá-li se, že je třeba naléhavě přijmout konečná opatření, může tento úřad požádat Evropský sbor pro ochranu osobních údajů o naléhavé stanovisko nebo naléhavé závazné rozhodnutí v souladu s čl. 66 odst. 2 uvedeného nařízení. Kromě toho podle čl. 64 odst. 2 téhož nařízení může dozorový úřad požádat, aby Evropský sbor pro ochranu osobních údajů posoudil jakoukoli záležitost s obecnou působností nebo s účinky ve více než jednom členském státě za účelem získání stanoviska, zejména v případě, kdy příslušný dozorový úřad nesplní povinnosti související se vzájemnou pomocí, které mu ukládá článek 61 tohoto nařízení. Po přijetí takového stanoviska nebo takového rozhodnutí a za předpokladu, že se v něm Evropský sbor pro ochranu osobních údajů vyjádří příznivě poté, co zohlednil všechny relevantní okolnosti, musí mít dotčený dozorový úřad možnost přijmout opatření nezbytná k zajištění dodržení pravidel týkajících se ochrany práv fyzických osob v souvislosti se zpracováním osobních údajů obsažených v nařízení 2016/679 a z tohoto titulu uplatnit pravomoc, kterou mu přiznává čl. 58 odst. 5 tohoto nařízení.

    72

    Rozdělení příslušnosti a odpovědností mezi dozorové úřady totiž nutně vychází z předpokladu loajální a účinné spolupráce mezi těmito úřady, jakož i s Komisí za účelem zajištění správného a jednotného uplatňování tohoto nařízení, jak potvrzuje čl. 51 odst. 2 tohoto nařízení.

    73

    V projednávané věci bude na předkládajícím soudu, aby určil, zda byla pravidla pro rozdělení příslušnosti, jakož i relevantní postupy a mechanismy stanovené nařízením 2016/679 v rámci věci v původním řízení správně použita. Bude muset zejména ověřit, zda dotčené zpracování, v rozsahu, v němž se týká jednání internetové sociální sítě Facebook po 25. květnu 2018, zejména spadá pod situaci popsanou v bodě 71 tohoto rozsudku, třebaže GBA není v této věci vedoucím dozorovým úřadem.

    74

    V tomto ohledu Soudní dvůr poznamenává, že Evropský sbor pro ochranu osobních údajů ve svém stanovisku 5/2019 ze dne 12. března 2019, týkajícím se vztahu mezi směrnicí „o soukromí a elektronických komunikacích“ a [obecným nařízením o ochraně osobních údajů], zejména pokud jde o příslušnost, úkoly a pravomoci úřadů na ochranu údajů, prohlásil, že zaznamenávání a čtení osobních údajů prostřednictvím souborů cookies spadá do působnosti směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. 2002, L 201, s. 37; Zvl. vyd. 13/29, s. 514), a nikoli pod mechanismus „jediného kontaktního místa“. Naproti tomu všechny předchozí operace a následné činnosti zpracování těchto osobních údajů prostřednictvím jiných technologií spadají do působnosti nařízení 2016/679, a v důsledku toho i mechanismu „jediného kontaktního místa“. Vzhledem k tomu, že se žádost GBA o vzájemnou pomoc týkala těchto následných operací zpracování osobních údajů, požádal uvedený úřad v dubnu 2019 komisaře pro ochranu údajů, aby jeho žádost vyřídil co nejrychleji, nicméně ta zůstala bez odpovědi.

    75

    S ohledem na všechny výše uvedené úvahy je třeba na první položenou otázku odpovědět tak, že čl. 55 odst. 1 a články 56 až 58 a 60 až 66 nařízení 2016/679 ve spojení s články 7, 8 a 47 Listiny musí být vykládány v tom smyslu, že dozorový úřad členského státu, který má podle vnitrostátních právních předpisů provádějících čl. 58 odst. 5 tohoto nařízení pravomoc upozornit na jakékoliv údajné porušení tohoto nařízení soud tohoto členského státu, a pokud je to vhodné, zahájit soudní řízení, může vykonávat tuto pravomoc v souvislosti s přeshraničním zpracováním údajů, třebaže není u tohoto zpracování údajů „vedoucím dozorovým úřadem“ ve smyslu čl. 56 odst. 1 téhož nařízení, za předpokladu, že jde o některou ze situací, kdy nařízení 2016/679 svěřuje tomuto dozorovému úřadu pravomoc přijmout rozhodnutí konstatující, že uvedené zpracování porušuje pravidla, která toto nařízení obsahuje, a jsou dodrženy postupy spolupráce a jednotnosti stanovené tímto nařízením.

    K druhé otázce

    76

    Podstatou druhé otázky předkládajícího soudu je, zda čl. 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že v případě přeshraničního zpracování údajů vyžaduje výkon pravomoci jiného dozorového úřadu členského státu, než je vedoucí dozorový úřad, zahájit soudní řízení ve smyslu tohoto ustanovení, aby správce přeshraničního zpracování osobních údajů, proti němuž je toto řízení zahájeno, měl na území tohoto členského státu „hlavní provozovnu“ ve smyslu čl. 4 bodu 16 nařízení 2016/679 nebo jinou provozovnu.

    77

    V tomto ohledu je třeba připomenout, že podle čl. 55 odst. 1 nařízení 2016/679 je každý dozorový úřad na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením.

    78

    Článek 58 odst. 5 nařízení 2016/679 kromě toho stanoví, že každý dozorový úřad má pravomoc upozornit na údajné porušení tohoto nařízení soud, a pokud je to vhodné, zahájit soudní řízení s cílem vymoci dodržení tohoto nařízení.

    79

    Je přitom třeba uvést, že čl. 58 odst. 5 nařízení 2016/679 je formulován obecně a unijní normotvůrce nepodmínil výkon této pravomoci dozorovým úřadem členského státu tím, že jeho žaloba směřuje proti správci, který má na území tohoto členského státu „hlavní provozovnu“ ve smyslu čl. 4 bodu 16 tohoto nařízení nebo jinou provozovnu.

    80

    Dozorový úřad členského státu však může vykonávat pravomoc, kterou mu svěřuje čl. 58 odst. 5 nařízení 2016/679, pouze pokud je prokázáno, že tato pravomoc spadá do místní působnosti tohoto nařízení.

    81

    Článek 3 nařízení 2016/679, který upravuje místní působnost tohoto nařízení, v tomto ohledu v odstavci 1 stanoví, že toto nařízení se vztahuje na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni.

    82

    Bod 22 odůvodnění nařízení 2016/679 upřesňuje, že taková provozovna předpokládá účinný a skutečný výkon činnosti prostřednictvím stálého zařízení a že právní forma této provozovny, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem.

    83

    Z toho vyplývá, že v souladu s čl. 3 odst. 1 nařízení 2016/679 je místní působnost tohoto nařízení dána, s výhradou případů uvedených v odstavcích 2 a 3 tohoto článku, za podmínky, že správce nebo zpracovatel pro přeshraniční zpracování má provozovnu na území Unie.

    84

    Na druhou položenou otázku je tedy třeba odpovědět tak, že čl. 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že v případě přeshraničního zpracování údajů nevyžaduje výkon pravomoci jiného dozorového úřadu členského státu, než je vedoucí dozorový úřad, zahájit soudní řízení ve smyslu tohoto ustanovení, aby správce nebo zpracovatel provádějící přeshraniční zpracování osobních údajů, proti němuž je toto řízení zahájeno, měl na území tohoto členského státu hlavní provozovnu nebo jinou provozovnu.

    K třetí otázce

    85

    Podstatou třetí otázky předkládajícího soudu je, zda čl. 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že v případě přeshraničního zpracování údajů výkon pravomoci jiného dozorového úřadu členského státu, než je vedoucí dozorový úřad, upozornit na údajné porušení tohoto nařízení soud tohoto státu, a pokud je to vhodné, zahájit soudní řízení ve smyslu tohoto ustanovení, vyžaduje, aby dotyčný dozorový úřad směřoval žalobu proti hlavní provozovně správce nebo proti provozovně v jeho vlastním členském státě.

    86

    Z předkládacího rozhodnutí vyplývá, že tato otázka vyvstala v rámci diskuse mezi účastníky řízení týkající se otázky, zda je předkládající soud příslušný k posouzení žaloby na zdržení se jednání v rozsahu, v němž je podána proti společnosti Facebook Belgium, a to s ohledem na skutečnost, že v rámci Unie má skupina Facebook sídlo v Irsku a společnost Facebook Ireland je výlučně odpovědná za shromažďování a zpracování osobních údajů na celém území Unie, a dále s ohledem na to, že podle vnitřního rozdělení této skupiny byla provozovna v Belgii zřízena především proto, aby uvedená skupina mohla udržovat vztahy s unijními orgány, a podpůrně proto, aby podporovala reklamní a marketingovou činnost této skupiny zaměřenou na osoby s bydlištěm v Belgii.

    87

    Jak bylo uvedeno v bodě 47 tohoto rozsudku, čl. 55 odst. 1 nařízení 2016/679 stanoví, že každý dozorový úřad je na území svého členského státu v zásadě příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením.

    88

    Pokud jde o pravomoc dozorového úřadu členského státu zahájit soudní řízení ve smyslu čl. 58 odst. 5 nařízení 2016/679, je třeba připomenout, jak uvedl generální advokát v bodě 150 svého stanoviska, že toto ustanovení je formulováno široce a neuvádí subjekty, proti nimž by dozorové úřady měly či mohly podat žalobu týkající se porušení tohoto nařízení.

    89

    Uvedené ustanovení tudíž neomezuje výkon pravomoci zahájit soudní řízení v tom smyslu, že žaloba může být podána pouze proti „hlavní provozovně“ nebo proti jiné „provozovně“ správce. Podle téhož ustanovení naopak platí, že má-li dozorový úřad členského státu na základě článků 55 a 56 nařízení 2016/679 k tomu nezbytnou příslušnost, může na území svého státu vykonávat pravomoci, které mu jsou tímto nařízením svěřeny, bez ohledu na členský stát, ve kterém je usazen správce nebo zpracovatel.

    90

    Výkon pravomoci přiznané každému dozorovému úřadu v čl. 58 odst. 5 nařízení 2016/679 však předpokládá, že je toto nařízení použitelné. Jak bylo zdůrazněno v bodě 81 tohoto rozsudku, čl. 3 odst. 1 uvedeného nařízení stanoví, že toto nařízení se vztahuje na zpracování osobních údajů „v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni“.

    91

    S ohledem na cíl sledovaný nařízením 2016/679, který spočívá v zajištění účinné ochrany základních práv a svobod fyzických osob, zejména jejich práva na soukromí a na ochranu osobních údajů, nelze podmínku, že zpracování osobních údajů musí probíhat „v souvislosti s činnostmi“ předmětné provozovny, vykládat restriktivně (obdobně viz rozsudek ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16EU:C:2018:388, bod 56 a citovaná judikatura).

    92

    V projednávané věci z předkládacího rozhodnutí a z písemných vyjádření předložených společností Facebook Belgium vyplývá, že tato společnost je pověřena především udržováním vztahů s unijními orgány a podpůrně podporou reklamní a marketingové činnosti její skupiny zaměřené na osoby s bydlištěm v Belgii.

    93

    Účelem zpracování osobních údajů dotčených ve věci v původním řízení, které provádí na území Unie výlučně společnost Facebook Ireland a které spočívá ve shromažďování informací o chování jak majitelů účtu na Facebooku, tak osob, které nejsou uživateli služeb Facebooku, při prohlížení internetu prostřednictvím různých technologií, jako jsou zejména social plugins a pixels, je právě umožnit dotyčné sociální síti, aby byl její systém reklamy výkonnější tím, že sdělení jsou šířena cíleně.

    94

    Je přitom třeba uvést, že taková sociální síť, jako je Facebook, generuje podstatnou část svých příjmů zejména díky reklamě, která je jejím prostřednictvím šířena, a že činnost vykonávaná provozovnou nacházející se v Belgii má v tomto členském státě zajistit, i když pouze podpůrně, propagaci a prodej reklamního prostoru, který slouží zajištění ziskovosti služeb Facebooku. Kromě toho cílem hlavní činnosti vykonávané společností Facebook Belgium, spočívající v tom, že udržuje vztahy s unijními orgány a je pro ně kontaktním místem, je mimo jiné stanovit politiku zpracování osobních údajů společností Facebook Ireland.

    95

    Za těchto podmínek musí být činnosti provozovny skupiny Facebook nacházející se v Belgii považovány za činnosti neoddělitelně spojené se zpracováním osobních údajů dotčeným v původním řízení, u něhož je pro území Unie správcem společnost Facebook Ireland. Takové zpracování musí být tudíž považováno za zpracování prováděné „v souvislosti s činnostmi provozovny správce“ ve smyslu čl. 3 odst. 1 nařízení 2016/679.

    96

    S ohledem na všechny výše uvedené úvahy je třeba na třetí položenou otázku odpovědět tak, že čl. 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že pravomoc jiného dozorového úřadu členského státu, než je vedoucí dozorový úřad, upozornit na údajné porušení tohoto nařízení soud tohoto státu, a pokud je to vhodné, zahájit soudní řízení ve smyslu tohoto ustanovení, může být vykonávána jak ve vztahu k hlavní provozovně správce, která se nachází v členském státě tohoto úřadu, tak ve vztahu k jiné provozovně tohoto správce, pokud se žaloba týká zpracování údajů prováděného v souvislosti s činnostmi této provozovny a uvedený úřad je příslušný k výkonu této pravomoci v souladu s tím, co je uvedeno v odpovědi na první položenou otázku.

    Ke čtvrté otázce

    97

    Podstatou čtvrté otázky předkládajícího soudu je, zda čl. 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že pokud dozorový úřad členského státu, který není „vedoucím dozorovým úřadem“ ve smyslu čl. 56 odst. 1 tohoto nařízení, podal žalobu týkající se přeshraničního zpracování osobních údajů před 25. květnem 2018, tedy dnem, kdy se uvedené nařízení stalo použitelným, může tato okolnost ovlivnit podmínky, za kterých tento dozorový úřad může vykonávat pravomoc zahájit soudní řízení, kterou má podle tohoto čl. 58 odst. 5.

    98

    Společnosti Facebook Ireland, Facebook Inc. a Facebook Belgium totiž před tímto soudem tvrdí, že použití nařízení 2016/679 od 25. května 2018 má za následek, že pokračování v řízení zahájeném před tímto datem je nepřípustné, či dokonce neopodstatněné.

    99

    Na úvod je třeba konstatovat, že čl. 99 odst. 1 nařízení 2016/679 stanoví, že toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie. Vzhledem k tomu, že toto nařízení bylo vyhlášeno v uvedeném Úředním věstníku dne 4. května 2016, vstoupilo v platnost dne 25. května 2016. Článek 99 odst. 2 uvedeného nařízení kromě toho stanoví, že se toto nařízení použije ode dne 25. května 2018.

    100

    V tomto ohledu je třeba připomenout, že nová právní úprava se použije od okamžiku, kdy vstoupil v platnost akt, kterým byla zavedena, a že se sice nepoužije na právní situace vzniklé a na právní postavení s konečnou platností nabytá za platnosti dřívějšího práva, avšak použije se na jejich budoucí účinky, jakož i na nové právní situace. S výhradou zásady zákazu zpětné účinnosti právních aktů je tomu jinak pouze tehdy, když je nové pravidlo spojeno se zvláštními ustanoveními, která zvláštním způsobem určují jeho podmínky použití v čase. Zvláště u procesních pravidel se má obecně za to, že jsou použitelná ke dni, kdy tato pravidla vstoupí v platnost, na rozdíl od hmotněprávních pravidel, která jsou obvykle vykládána tak, že se vztahují na situace vzniklé před jejich vstupem v platnost pouze tehdy, pokud z jejich znění, cíle nebo struktury jasně vyplývá, že jim musí být přiznán takový účinek [viz rozsudek ze dne 25. února 2021, Caisse pour l’avenir des enfants (Zaměstnání při narození dítěte), C‑129/20EU:C:2021:140, bod 31 a citovaná judikatura].

    101

    Nařízení 2016/679 neobsahuje žádné přechodné ustanovení ani žádné jiné pravidlo upravující status soudních řízení zahájených před jeho použitelností, která ke dni, kdy se stalo použitelným, stále probíhala. Žádné ustanovení tohoto nařízení zejména nestanoví, že toto nařízení má za následek ukončení všech soudních řízení probíhajících ke dni 25. května 2018, která se týkají údajných porušení pravidel pro zpracování osobních údajů stanovených směrnicí 95/46, a to i pokud jednání představující taková údajná porušení trvají i po tomto datu.

    102

    V projednávané věci stanoví čl. 58 odst. 5 nařízení 2016/679 pravidla, kterými se řídí pravomoc dozorového úřadu upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení uvedeného nařízení.

    103

    Za těchto podmínek je třeba rozlišovat mezi řízeními zahájenými dozorovými úřady členského státu v důsledku porušení pravidel na ochranu osobních údajů, kterých se dopustili správci nebo zpracovatelé přede dnem, kdy se nařízení 2016/679 stalo použitelným, a řízeními zahájenými kvůli porušením, ke kterým došlo po tomto datu.

    104

    V prvním případě může z hlediska unijního práva takové řízení, jako je řízení dotčené v původním řízení, pokračovat na základě ustanovení směrnice 95/46, která zůstává použitelná na protiprávní jednání spáchaná do dne jejího zrušení, tedy do 25. května 2018. Ve druhém případě lze takové řízení zahájit na základě čl. 58 odst. 5 nařízení 2016/679 pouze za podmínky, že – jak bylo zdůrazněno v rámci odpovědi na první položenou otázku – toto řízení je součástí situace, kdy toto nařízení výjimečně přiznává dozorovému úřadu členského státu, který není „vedoucím dozorovým úřadem“, příslušnost k přijetí rozhodnutí, kterým se konstatuje, že předmětné zpracování údajů je v rozporu s pravidly, která uvedené nařízení obsahuje, pokud jde o ochranu práv fyzických osob v souvislosti se zpracováním osobních údajů, a při dodržení postupů stanovených tímto nařízením.

    105

    S ohledem na všechny výše uvedené úvahy je třeba na čtvrtou položenou otázku odpovědět tak, že čl. 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že pokud dozorový úřad členského státu, který není „vedoucím dozorovým úřadem“ ve smyslu čl. 56 odst. 1 tohoto nařízení, podal žalobu týkající se přeshraničního zpracování osobních údajů před 25. květnem 2018, tedy dnem, kdy se uvedené nařízení stalo použitelným, může z hlediska unijního práva řízení pokračovat na základě ustanovení směrnice 95/46, která zůstává použitelná na porušení pravidel, která stanoví, k nimž došlo do dne jejího zrušení. Uvedené řízení může nadto tento úřad zahájit v případě porušení, k nimž došlo po tomto dni, na základě čl. 58 odst. 5 nařízení 2016/679, a to za předpokladu, že jde o některou ze situací, kdy toto nařízení výjimečně přiznává dozorovému úřadu členského státu, který není „vedoucím dozorovým úřadem“, příslušnost k přijetí rozhodnutí, kterým se konstatuje, že předmětné zpracování údajů je v rozporu s pravidly, která uvedené nařízení obsahuje, pokud jde o ochranu práv fyzických osob v souvislosti se zpracováním osobních údajů, a při dodržení postupů spolupráce a jednotnosti stanovených tímto nařízením, což musí ověřit předkládající soud.

    K páté otázce

    106

    Podstatou páté otázky předkládajícího soudu je, zda v případě kladné odpovědi na první položenou otázku musí být čl. 58 odst. 5 nařízení 2016/679 vykládán v tom smyslu, že toto ustanovení má přímý účinek, takže se vnitrostátní dozorový úřad může uvedeného ustanovení dovolávat, aby zahájil soudní řízení proti jednotlivcům nebo v tomto řízení pokračoval, a to i pokud toto ustanovení nebylo v právních předpisech dotyčného členského státu specificky provedeno.

    107

    Podle čl. 58 odst. 5 nařízení 2016/679 každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení uvedeného nařízení.

    108

    Úvodem je třeba konstatovat, že v souladu s tvrzením belgické vlády byl čl. 58 odst. 5 nařízení 2016/679 do belgického právního řádu proveden článkem 6 zákona ze dne 3. prosince 2017. Podle tohoto článku 6, který je formulován v podstatě stejně jako čl. 58 odst. 5 nařízení 2016/679, je GBA oprávněn informovat soudní orgány o jakémkoli porušení základních zásad ochrany osobních údajů v rámci tohoto zákona a právních předpisů obsahujících ustanovení týkající se ochrany zpracování osobních údajů a případně zahájit soudní řízení za účelem uplatnění těchto základních zásad. Je tedy třeba mít za to, že GBA se může opírat o takové ustanovení vnitrostátního práva, jako je článek 6 zákona ze dne 3. prosince 2017, který provádí čl. 58 odst. 5 nařízení 2016/679 do belgického práva, aby zahájil soudní řízení s cílem vymoci dodržení tohoto nařízení.

    109

    Pro úplnost je nadto třeba uvést, že podle čl. 288 druhého pododstavce SFEU je nařízení závazné v celém rozsahu a přímo použitelné ve všech členských státech, takže jeho ustanovení v zásadě nevyžadují žádné prováděcí opatření členských států.

    110

    V tomto ohledu je třeba připomenout, že podle ustálené judikatury Soudního dvora mají ustanovení nařízení – na základě článku 288 SFEU a z důvodu samotné povahy nařízení a jejich funkce v systému pramenů unijního práva – ve vnitrostátních právních řádech obecně bezprostřední účinek, aniž je třeba, aby vnitrostátní orgány přijaly prováděcí opatření. Nicméně některá z těchto ustanovení mohou pro účely svého uplatnění vyžadovat přijetí prováděcích opatření členskými státy (rozsudek ze dne 15. března 2017, Al Chodor, C‑528/15EU:C:2017:213, bod 27 a citovaná judikatura).

    111

    Jak přitom v podstatě uvedl generální advokát v bodě 167 svého stanoviska, čl. 58 odst. 5 nařízení 2016/679 stanoví zvláštní a přímo použitelné pravidlo, podle kterého musí být dozorové úřady aktivně legitimovány k podání žaloby u vnitrostátních soudů a být způsobilé zahájit soudní řízení podle vnitrostátního práva.

    112

    Z článku 58 odst. 5 nařízení 2016/679 nevyplývá, že by členské státy měly výslovným ustanovením stanovit, za jakých okolností mohou vnitrostátní dozorové úřady zahájit soudní řízení ve smyslu tohoto ustanovení. Stačí, aby měl dozorový úřad podle vnitrostátních právních předpisů možnost upozornit justiční orgány na porušení tohoto nařízení, a pokud je to vhodné, zahájit soudní řízení směřující k uplatnění ustanovení uvedeného nařízení či se do něj jinak zapojit.

    113

    S ohledem na všechny výše uvedené úvahy je třeba na pátou položenou otázku odpovědět tak, že čl. 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že toto ustanovení má přímý účinek, takže se vnitrostátní dozorový úřad může uvedeného ustanovení dovolávat, aby zahájil soudní řízení proti jednotlivcům nebo v tomto řízení pokračoval, a to i pokud toto ustanovení nebylo v právních předpisech dotyčného členského státu specificky provedeno.

    K šesté otázce

    114

    Podstatou šesté otázky předkládajícího soudu je, zda v případě kladné odpovědi na první až pátou položenou otázku může výsledek soudního řízení zahájeného dozorovým úřadem členského státu, které se týká přeshraničního zpracování osobních údajů, bránit tomu, aby vedoucí dozorový úřad přijal rozhodnutí, ve kterém dospěje k opačnému závěru, jestliže tento úřad prošetřuje stejné nebo podobné přeshraniční zpracování na základě mechanismu stanoveného v článcích 56 a 60 nařízení 2016/679.

    115

    V tomto ohledu je třeba připomenout, že podle ustálené judikatury se na otázky týkající se unijního práva vztahuje domněnka relevance. Soudní dvůr smí rozhodnutí o předběžné otázce položené vnitrostátním soudem odmítnout pouze tehdy, pokud je zjevné, že žádaný výklad unijní normy nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, jestliže se jedná o hypotetický problém nebo také pokud Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na otázky, které jsou mu položeny (rozsudky ze dne 16. června 2015, Gauweiler a další, C‑62/14EU:C:2015:400, bod 25, a ze dne 7. února 2018, American Express, C‑304/16EU:C:2015:66, bod 32).

    116

    Podle rovněž ustálené judikatury kromě toho není důvodem existence žádosti o rozhodnutí o předběžné otázce vydávání konzultativních stanovisek k obecným nebo hypotetickým otázkám, ale potřeba skutečného vyřešení sporu (rozsudek ze dne 10. prosince 2018, Wightman a další, C‑621/18EU:C:2018:999, bod 28 a citovaná judikatura).

    117

    V projednávaném případě je třeba zdůraznit, jak poznamenává belgická vláda, že šestá položená otázka vychází z okolností, o nichž nebylo nijak prokázáno, že jsou dány v rámci sporu v původním řízení, a sice z toho, že u přeshraničního zpracování, které je předmětem tohoto sporu, existuje vedoucí dozorový úřad, který nejen že prošetřuje stejné nebo podobné přeshraniční zpracování osobních údajů, jaké je předmětem soudního řízení zahájeného dozorovým úřadem dotyčného členského státu, ale nadto zamýšlí přijmout rozhodnutí, ve kterém dospěje k opačnému závěru.

    118

    Za těchto podmínek je třeba uvést, že šestá položená otázka nemá žádný vztah k realitě nebo předmětu sporu v původním řízení a týká se hypotetického problému. Tato otázka tedy musí být prohlášena za nepřípustnou.

    K nákladům řízení

    119

    Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

     

    Z těchto důvodů Soudní dvůr (velký senát) rozhodl takto:

     

    1)

    Článek 55 odst. 1 a články 56 až 58 a 60 až 66 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), ve spojení s články 7, 8 a 47 Listiny základních práv Evropské unie, musí být vykládány v tom smyslu, že dozorový úřad členského státu, který má podle vnitrostátních právních předpisů provádějících čl. 58 odst. 5 tohoto nařízení pravomoc upozornit na jakékoliv údajné porušení tohoto nařízení soud tohoto členského státu, a pokud je to vhodné, zahájit soudní řízení, může vykonávat tuto pravomoc v souvislosti s přeshraničním zpracováním údajů, třebaže není u tohoto zpracování údajů „vedoucím dozorovým úřadem“ ve smyslu čl. 56 odst. 1 téhož nařízení, za předpokladu, že jde o některou ze situací, kdy nařízení 2016/679 svěřuje tomuto dozorovému úřadu pravomoc přijmout rozhodnutí konstatující, že uvedené zpracování porušuje pravidla, která toto nařízení obsahuje, a jsou dodrženy postupy spolupráce a jednotnosti stanovené tímto nařízením.

     

    2)

    Článek 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že v případě přeshraničního zpracování údajů nevyžaduje výkon pravomoci jiného dozorového úřadu členského státu, než je vedoucí dozorový úřad, zahájit soudní řízení ve smyslu tohoto ustanovení, aby správce nebo zpracovatel provádějící přeshraniční zpracování osobních údajů, proti němuž je toto řízení zahájeno, měl na území tohoto členského státu hlavní provozovnu nebo jinou provozovnu.

     

    3)

    Článek 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že pravomoc jiného dozorového úřadu členského státu, než je vedoucí dozorový úřad, upozornit na údajné porušení tohoto nařízení soud tohoto státu, a pokud je to vhodné, zahájit soudní řízení ve smyslu tohoto ustanovení, může být vykonávána jak ve vztahu k hlavní provozovně správce, která se nachází v členském státě tohoto úřadu, tak ve vztahu k jiné provozovně tohoto správce, pokud se žaloba týká zpracování údajů prováděného v souvislosti s činnostmi této provozovny a uvedený úřad je příslušný k výkonu této pravomoci v souladu s tím, co je uvedeno v odpovědi na první položenou otázku.

     

    4)

    Článek 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že pokud dozorový úřad členského státu, který není „vedoucím dozorovým úřadem“ ve smyslu čl. 56 odst. 1 tohoto nařízení, podal žalobu týkající se přeshraničního zpracování osobních údajů před 25. květnem 2018, tedy dnem, kdy se uvedené nařízení stalo použitelným, může z hlediska unijního práva řízení pokračovat na základě ustanovení směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, která zůstává použitelná na porušení pravidel, která stanoví, k nimž došlo do dne jejího zrušení. Uvedené řízení může nadto tento úřad zahájit v případě porušení, k nimž došlo po tomto dni, na základě čl. 58 odst. 5 nařízení 2016/679, a to za předpokladu, že jde o některou ze situací, kdy toto nařízení výjimečně přiznává dozorovému úřadu členského státu, který není „vedoucím dozorovým úřadem“, příslušnost k přijetí rozhodnutí, kterým se konstatuje, že předmětné zpracování údajů je v rozporu s pravidly, která uvedené nařízení obsahuje, pokud jde o ochranu práv fyzických osob v souvislosti se zpracováním osobních údajů, a při dodržení postupů spolupráce a jednotnosti stanovených tímto nařízením, což musí ověřit předkládající soud.

     

    5)

    Článek 58 odst. 5 nařízení 2016/679 musí být vykládán v tom smyslu, že toto ustanovení má přímý účinek, takže se vnitrostátní dozorový úřad může uvedeného ustanovení dovolávat, aby zahájil soudní řízení proti jednotlivcům nebo v tomto řízení pokračoval, a to i pokud toto ustanovení nebylo v právních předpisech dotyčného členského státu specificky provedeno.

     

    Podpisy.


    ( *1 ) – Jednací jazyk: nizozemština.

    Nahoru