ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τμήμα μείζονος συνθέσεως)

της 15ης Ιουνίου 2021 ( *1 )

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης – Άρθρα 7, 8 και 47 – Κανονισμός (ΕΕ) 2016/679 – Διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα – Μηχανισμός “μίας στάσεως” – Καλόπιστη και αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών – Αρμοδιότητες και εξουσίες – Εξουσία κινήσεως ένδικων διαδικασιών»

Στην υπόθεση C‑645/19,

με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το hof van beroep te Brussel (εφετείο Βρυξελλών, Βέλγιο) με απόφαση της 8ης Μαΐου 2019, η οποία περιήλθε στο Δικαστήριο στις 30 Αυγούστου 2019, στο πλαίσιο της δίκης

Facebook Ireland Ltd,

Facebook Inc,

Facebook Belgium BVBA,

κατά

Gegevensbeschermingsautoriteit,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τμήμα μείζονος συνθέσεως),

συγκείμενο από τους K. Lenaerts, Πρόεδρο, R. Silva de Lapuerta, Αντιπρόεδρο, A. Arabadjiev, A. Prechal, M. Βηλαρά, M. Ilešič και N. Wahl, προέδρους τμήματος, E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, Κ. Λυκούργο, P. G. Xuereb και L. S. Rossi (εισηγήτρια), δικαστές,

γενικός εισαγγελέας: M. Bobek

γραμματέας: M. Ferreira, διοικητική υπάλληλος

έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 5ης Οκτωβρίου 2020,

λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:

η Facebook Ireland Ltd, η Facebook Inc. και η Facebook Belgium BVBA, εκπροσωπούμενες από τους S. Raes, P. Lefebvre και D. Van Liedekerke, advocaten,

η Gegevensbeschermingsautoriteit, εκπροσωπούμενη από τους F. Debusseré και R. Roex, advocaten,

η Βελγική Κυβέρνηση, εκπροσωπούμενη από τους J.‑C. Halleux και P. Cottin και την C. Pochet, επικουρούμενους από τον P. Paepe, advocaat,

η Τσεχική Κυβέρνηση, εκπροσωπούμενη από τους M. Smolek, O. Serdula και J. Vláčil,

η Ιταλική Κυβέρνηση, εκπροσωπούμενη από την G. Palmieri, επικουρούμενη από την G. Natale, avvocato dello Stato,

η Πολωνική Κυβέρνηση, εκπροσωπούμενη από τον B. Majczyna,

η Πορτογαλική Κυβέρνηση, εκπροσωπούμενη από τον L. Inez Fernandes και τις Α. C. Guerra, P. Barros da Costa και L. Medeiros,

η Φινλανδική Κυβέρνηση, εκπροσωπούμενη από τις A. Laine και M. Pere,

η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους H. Kranenborg, D. Nardi και P. J. O. Van Nuffel,

αφού άκουσε τον γενικό εισαγγελέα, που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 13ης Ιανουαρίου 2021,

εκδίδει την ακόλουθη

Απόφαση

1

Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 55, παράγραφος 1, των άρθρων 56 έως 58 και 60 έως 66 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (γενικός κανονισμός για την προστασία των δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2018, L 127, σ. 2), σε συνδυασμό με τα άρθρα 7, 8 και 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης).

2

Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ, αφενός, των Facebook Ireland Ltd, Facebook Inc. και Facebook Belgium BVBA, αφενός, και της Gegevensbeschermingsautoriteit (αρχής προστασίας δεδομένων, Βέλγιο) (στο εξής: AΠΔ), η οποία διαδέχθηκε την Commissie ter bescherming van de persoonlijke levenssfeer (επιτροπή προστασίας της ιδιωτικής ζωής, Βέλγιο, στο εξής: ΕΠΙΖ), αφετέρου, με αντικείμενο αγωγή παραλείψεως εγερθείσα από τον πρόεδρο της τελευταίας με σκοπό να παύσει η επεξεργασία δεδομένων προσωπικού χαρακτήρα των χρηστών του διαδικτύου στο βελγικό έδαφος, η οποία πραγματοποιείται από το ηλεκτρονικό μέσο κοινωνικής δικτύωσης Facebook μέσω τεχνολογιών όπως τα «cookies», τα «social plugins» και τα «pixels».

Το νομικό πλαίσιο

Το δίκαιο της Ένωσης

3

Οι αιτιολογικές σκέψεις 1, 4, 10, 11, 13, 22, 123, 141 και 145 του κανονισμού 2016/679 έχουν ως εξής:

«(1)

Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του [Χάρτη] και το άρθρο 16 παράγραφος 1 της [ΣΛΕΕ] ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

[…]

(4)

Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον Χάρτη όπως κατοχυρώνονται στις Συνθήκες, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου και την πολιτιστική, θρησκευτική και γλωσσική πολυμορφία.

[…]

(10)

Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της [Ευρωπαϊκής] Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […]

(11)

Η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων, καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και των αντίστοιχων εξουσιών παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και των αντίστοιχων κυρώσεων για τις παραβιάσεις στα κράτη μέλη.

[…]

(13)

Για να εξασφαλισθεί ένα συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και να αποφευχθεί το ενδεχόμενο να εμποδίζεται η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της εσωτερικής αγοράς, απαιτείται ένας κανονισμός για να εξασφαλισθεί η ασφάλεια δικαίου και η διαφάνεια στους οικονομικούς φορείς, συμπεριλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, προκειμένου να παρασχεθεί στα φυσικά πρόσωπα όλων των κρατών μελών το ίδιο επίπεδο δικαιωμάτων και υποχρεώσεων και ευθυνών για τους υπεύθυνους επεξεργασίας και τους υπεργολάβους, καθώς και για τη διασφάλιση της συνεπούς παρακολούθησης των δεδομένων προσωπικού χαρακτήρα σε όλα τα κράτη μέλη.

[…]

(22)

Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων της εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση θα πρέπει να διενεργείται σύμφωνα με τον παρόντα κανονισμό, ανεξάρτητα από το εάν η ίδια η επεξεργασία πραγματοποιείται εντός Ένωσης. Η εγκατάσταση προϋποθέτει την ουσιαστική και πραγματική άσκηση δραστηριότητας μέσω σταθερών ρυθμίσεων. Από αυτή την άποψη, ο νομικός τύπος των ρυθμίσεων αυτών, είτε πρόκειται για παράρτημα είτε για θυγατρική με νομική προσωπικότητα, δεν είναι καθοριστικής σημασίας.

[…]

(123)

Οι εποπτικές αρχές θα πρέπει να παρακολουθούν την εφαρμογή των διατάξεων του παρόντος κανονισμού και να συμβάλλουν στη συνεπή εφαρμογή του σε ολόκληρη την Ένωση, προκειμένου να προστατεύονται τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα και να διευκολύνεται η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Για τον σκοπό αυτό, οι εποπτικές αρχές θα πρέπει να συνεργάζονται μεταξύ τους και με την [Ευρωπαϊκή] Επιτροπή, χωρίς να απαιτείται κάποια συμφωνία μεταξύ των κρατών μελών για την παροχή αμοιβαίας συνδρομής ή για τέτοια συνεργασία.

[…]

(141)

Κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνη εποπτική αρχή, ιδίως στο κράτος μέλος της συνήθους διαμονής του, και το δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη, εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή όταν η εποπτική αρχή δεν δίνει συνέχεια σε μια καταγγελία, απορρίπτει εν όλω ή εν μέρει ή κρίνει απαράδεκτη μια καταγγελία ή δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. […]

[…]

(145)

Για διαδικασίες κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, ο προσφεύγων θα πρέπει να μπορεί να επιλέγει εάν θα ασκήσει την προσφυγή ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία διαθέτει εγκατάσταση ή στο κράτος μέλος στο οποίο διαμένει το υποκείμενο των δεδομένων, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή κράτους μέλους που ενεργεί στο πλαίσιο της άσκησης των δημόσιων εξουσιών της.»

4

Το άρθρο 3 του ως άνω κανονισμού, με τίτλο «Εδαφικό πεδίο εφαρμογής», προβλέπει, στην παράγραφο 1, τα εξής:

«Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης.»

5

Το άρθρο 4 του εν λόγω κανονισμού ορίζει, στο σημείο 16, την έννοια της «κύριας εγκαταστάσεως» και, στο σημείο 23, την έννοια της «διασυνοριακής επεξεργασίας» ως εξής:

«16) “κύρια εγκατάσταση”,

α)

όταν πρόκειται για υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές,

β)

όταν πρόκειται για εκτελούντα την επεξεργασία με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην Ένωση, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία, στον βαθμό που ο εκτελών την επεξεργασία υπόκειται σε ειδικές υποχρεώσεις δυνάμει του παρόντος κανονισμού,

[…]

23) “διασυνοριακή επεξεργασία”,

α)

η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή

β)

η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη».

6

Το άρθρο 51 του ίδιου κανονισμού, με τίτλο «Εποπτική αρχή», προβλέπει τα εξής:

«1.   Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση […].

2.   Κάθε εποπτική αρχή συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση. Για τον σκοπό αυτόν, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το κεφάλαιο VII.

[…]»

7

Το άρθρο 55 του κανονισμού 2016/679, με τίτλο «Αρμοδιότητα», το οποίο περιλαμβάνεται στο κεφάλαιο VI του κανονισμού αυτού, με τίτλο «Ανεξάρτητες εποπτικές αρχές», ορίζει τα εξής:

«1.   Κάθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό στο έδαφος του κράτους μέλους της.

2.   Όταν η επεξεργασία γίνεται από δημόσιες αρχές ή ιδιωτικούς φορείς που ενεργούν βάσει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε), αρμόδια είναι η εποπτική αρχή του οικείου κράτους μέλους. Σε αυτές τις περιπτώσεις δεν εφαρμόζεται το άρθρο 56.»

8

Το άρθρο 56 του εν λόγω κανονισμού, με τίτλο «Αρμοδιότητα της επικεφαλής εποπτικής αρχής», ορίζει τα εξής:

«1.   Με την επιφύλαξη του άρθρου 55, η εποπτική αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60.

2.   Κατά παρέκκλιση από την παράγραφο 1, κάθε εποπτική αρχή είναι αρμόδια για την εξέταση υποβληθείσας καταγγελίας ή για την αντιμετώπιση ενδεχόμενης παραβίασης του παρόντος κανονισμού, εάν το αντικείμενο αφορά μόνο εγκατάσταση στο οικείο κράτος μέλος ή επηρεάζει ουσιαστικώς υποκείμενα των δεδομένων μόνο στο οικείο κράτος μέλος.

3.   Στις περιπτώσεις της παραγράφου 2 του παρόντος άρθρου, η εποπτική αρχή ενημερώνει περί αυτού την επικεφαλής εποπτική αρχή χωρίς καθυστέρηση. Εντός τριών εβδομάδων από την ενημέρωσή της, η επικεφαλής εποπτική αρχή αποφασίζει εάν θα επιληφθεί της υπόθεσης κατά τη διαδικασία του άρθρου 60, λαμβάνοντας υπόψη εάν υπάρχει ή όχι εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στο κράτος μέλος της εποπτικής αρχής που την ενημέρωσε.

4.   Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να επιληφθεί της υπόθεσης, εφαρμόζεται η διαδικασία που προβλέπεται στο άρθρο 60. Η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή δύναται να υποβάλει στην επικεφαλής αρχή σχέδιο απόφασης. Η επικεφαλής εποπτική αρχή λαμβάνει ιδιαιτέρως υπόψη το σχέδιο αυτό κατά την προετοιμασία του σχεδίου απόφασης που αναφέρεται στο άρθρο 60 παράγραφος 3.

5.   Σε περίπτωση που η επικεφαλής εποπτική αρχή αποφασίσει να μην επιληφθεί της υπόθεσης, η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή επιλαμβάνεται της υπόθεσης σύμφωνα με τα άρθρα 61 και 62.

6.   Η επικεφαλής εποπτική αρχή είναι ο μοναδικός συνομιλητής του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη διασυνοριακή πράξη επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.»

9

Το άρθρο 57 του κανονισμού 2016/679, με τίτλο «Καθήκοντα», ορίζει στην παράγραφο 1 τα εξής:

«1. Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική αρχή στο έδαφός της:

α)

παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού,

[…]

ζ)

συνεργάζεται, μεταξύ άλλων μέσω ανταλλαγής πληροφοριών, με άλλες εποπτικές αρχές και παρέχει αμοιβαία συνδρομή σε άλλες εποπτικές αρχές, με σκοπό να διασφαλίσει τη συνεκτικότητα της εφαρμογής και της επιβολής του παρόντος κανονισμού·

[…]».

10

Το άρθρο 58 του ίδιου κανονισμού, με τίτλο «Εξουσίες», προβλέπει στις παραγράφους 1, 4 και 5 τα εξής:

«1.   Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:

α)

να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της·

[…]

δ)

να κοινοποιεί στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία τυχόν παράβαση του παρόντος κανονισμού·

[…]

4.   Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών σύμφωνα με τον Χάρτη.

5.   Κάθε κράτος μέλος προβλέπει διά νόμου ότι η οικεία εποπτική αρχή έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και, κατά περίπτωση, να κινεί ή να μετέχει κατ’ άλλο τρόπο σε νομικές διαδικασίες, ώστε να επιβάλει τις διατάξεις του παρόντος κανονισμού.»

11

Στο κεφάλαιο VII του κανονισμού 2016/679, με τίτλο «Συνεργασία και συνεκτικότητα», το τμήμα I, με τίτλο «Συνεργασία», περιλαμβάνει τα άρθρα 60 έως 62. Το εν λόγω άρθρο 60, με τίτλο «Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων ενδιαφερόμενων εποπτικών αρχών», ορίζει τα εξής:

«1.   Η επικεφαλής εποπτική αρχή συνεργάζεται με τις άλλες ενδιαφερόμενες εποπτικές αρχές σύμφωνα με το παρόν άρθρο με σκοπό να επιτύχει συναίνεση. Η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές ανταλλάσσουν μεταξύ τους κάθε συναφή πληροφορία.

2.   Η επικεφαλής εποπτική αρχή μπορεί να ζητεί ανά πάσα στιγμή από άλλες ενδιαφερόμενες εποπτικές αρχές να παράσχουν αμοιβαία συνδρομή δυνάμει του άρθρου 61 και μπορεί να διεξάγει κοινές επιχειρήσεις δυνάμει του άρθρου 62, ιδίως για την εκτέλεση ερευνών ή για την παρακολούθηση της εφαρμογής μέτρου που αφορά υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία εγκατεστημένο σε άλλο κράτος μέλος.

3.   Η επικεφαλής εποπτική αρχή ανακοινώνει χωρίς καθυστέρηση τις συναφείς πληροφορίες για το θέμα αυτό στις άλλες ενδιαφερόμενες εποπτικές αρχές. Υποβάλλει χωρίς καθυστέρηση σχέδιο απόφασης στις άλλες ενδιαφερόμενες εποπτικές αρχές προς διατύπωση γνώμης και λαμβάνει δεόντως υπόψη τις απόψεις τους.

4.   Εάν οποιαδήποτε από τις άλλες ενδιαφερόμενες εποπτικές αρχές, εντός προθεσμίας τεσσάρων εβδομάδων από την αίτηση γνωμοδότησης, σύμφωνα με την παράγραφο 3 του παρόντος άρθρου, προβάλλει σχετική και αιτιολογημένη ένσταση για το σχέδιο απόφασης, η επικεφαλής εποπτική αρχή, εάν δεν ακολουθήσει τη σχετική και αιτιολογημένη ένσταση ή είναι της γνώμης ότι η ένσταση δεν είναι σχετική ή αιτιολογημένη, υποβάλλει το ζήτημα στον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63.

5.   Εάν η επικεφαλής εποπτική αρχή σκοπεύει να ακολουθήσει τη διατυπωθείσα σχετική και αιτιολογημένη ένσταση, υποβάλλει στις άλλες ενδιαφερόμενες εποπτικές αρχές αναθεωρημένο σχέδιο απόφασης για να εκφέρουν τη γνώμη τους. Αυτό το αναθεωρημένο σχέδιο απόφασης υπόκειται στη διαδικασία που αναφέρεται στην παράγραφο 4, εντός προθεσμίας δύο εβδομάδων.

6.   Όταν καμία από τις άλλες ενδιαφερόμενες εποπτικές αρχές δεν έχει διατυπώσει ένσταση για το σχέδιο απόφασης που υπέβαλε η επικεφαλής εποπτική αρχή εντός της προθεσμίας που αναφέρεται στις παραγράφους 4 και 5, τεκμαίρεται ότι η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές συμφωνούν με το εν λόγω σχέδιο απόφασης και δεσμεύονται από αυτό.

7.   Η επικεφαλής εποπτική αρχή εκδίδει και κοινοποιεί την απόφαση στην κύρια ή, αναλόγως, τη μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και ενημερώνει τις άλλες ενδιαφερόμενες εποπτικές αρχές και το Συμβούλιο Προστασίας Δεδομένων για την απόφαση αυτή, παρέχοντας μεταξύ άλλων σύνοψη των πραγματικών περιστατικών και των νομικών ισχυρισμών. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα σχετικά με την απόφαση.

8.   Κατά παρέκκλιση από την παράγραφο 7, εάν μια καταγγελία έχει κριθεί απαράδεκτη ή έχει απορριφθεί, η εποπτική αρχή προς την οποία υποβλήθηκε η καταγγελία εκδίδει την απόφαση, την κοινοποιεί στον καταγγέλλοντα και ενημερώνει σχετικά τον υπεύθυνο επεξεργασίας.

9.   Εάν η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές συμφωνούν να κρίνουν απαράδεκτα ή να απορρίψουν τμήματα μιας καταγγελίας και να ενεργήσουν ως προς άλλα τμήματα της ίδιας καταγγελίας, εκδίδεται χωριστή απόφαση για καθένα από τα τμήματα αυτά. […]

10.   Μετά την κοινοποίηση της απόφασης της επικεφαλής εποπτικής αρχής σύμφωνα με τις παραγράφους 7 και 9, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία λαμβάνει τα αναγκαία μέτρα για να διασφαλίσει τη συμμόρφωση με την απόφαση όσον αφορά τις δραστηριότητες επεξεργασίας σε όλες τις εγκαταστάσεις του στην Ένωση. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποιεί τα ληφθέντα μέτρα για τη συμμόρφωση με την απόφαση στην επικεφαλής εποπτική αρχή, η οποία ενημερώνει τις άλλες ενδιαφερόμενες εποπτικές αρχές.

11.   Εάν, σε έκτακτες περιστάσεις, μια ενδιαφερόμενη εποπτική αρχή έχει λόγους να κρίνει ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα συμφέροντα των υποκειμένων των δεδομένων, εφαρμόζεται η επείγουσα διαδικασία που αναφέρεται στο άρθρο 66.

[…]»

12

Το άρθρο 61 του εν λόγω κανονισμού, με τίτλο «Αμοιβαία συνδρομή», ορίζει στην παράγραφο 1 τα εξής:

«Οι εποπτικές αρχές παρέχουν η μια στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή, ώστε να υλοποιήσουν και να εφαρμόσουν τον παρόντα κανονισμό με συνεκτικό τρόπο, και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, ιδίως, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου, παραδείγματος χάρη αιτήματα για προηγούμενες διαβουλεύσεις και εγκρίσεις, ελέγχους και έρευνες.»

13

Το άρθρο 62 του ίδιου κανονισμού, με τίτλο «Κοινές επιχειρήσεις των αρχών ελέγχου», προβλέπει τα εξής:

«1.   Οι εποπτικές αρχές πραγματοποιούν, όταν χρειάζεται, κοινές επιχειρήσεις, μεταξύ άλλων και κοινές έρευνες και κοινά μέτρα επιβολής, στα οποία συμμετέχουν μέλη ή υπάλληλοι από εποπτικές αρχές άλλων κρατών μελών.

2.   Όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε πολλά κράτη μέλη ή σε περιπτώσεις στις οποίες σημαντικός αριθμός υποκειμένων των δεδομένων σε περισσότερα του ενός κράτη μέλη ενδέχεται να επηρεάζονται σημαντικά από πράξεις επεξεργασίας, μια εποπτική αρχή από καθένα από αυτά τα κράτη μέλη δικαιούται να συμμετέχει στις κοινές επιχειρήσεις. […]

[…]»

14

Το τμήμα 2, με τίτλο «Συνεκτικότητα», του κεφαλαίου VII του κανονισμού 2016/679 περιλαμβάνει τα άρθρα 63 έως 67. Το άρθρο 63, με τίτλο «Μηχανισμός συνεκτικότητας», έχει ως εξής:

«Προκειμένου να συμβάλλουν στη συνεκτική εφαρμογή του παρόντος κανονισμού στο σύνολο της Ένωσης, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και, εφόσον απαιτείται, με την Επιτροπή, μέσω του μηχανισμού συνεκτικότητας όπως προβλέπεται στο παρόν τμήμα.»

15

Κατά το άρθρο 64, παράγραφος 2, του εν λόγω κανονισμού:

«Κάθε εποπτική αρχή, ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων ή η Επιτροπή μπορεί να ζητήσει την εξέταση οποιουδήποτε ζητήματος γενικής εφαρμογής ή ζητήματος που παράγει αποτελέσματα σε περισσότερα από ένα κράτη μέλη από το Συμβούλιο Προστασίας Δεδομένων, με σκοπό τη έκδοση γνωμοδότησης, ιδίως όταν αρμόδια εποπτική αρχή δεν συμμορφώνεται προς τις υποχρεώσεις περί αμοιβαίας συνδρομής σύμφωνα με το άρθρο 61 ή περί κοινών επιχειρήσεων σύμφωνα με το άρθρο 62.»

16

Το άρθρο 65 του ίδιου κανονισμού, με τίτλο «Επίλυση διαφορών από το Συμβούλιο Προστασίας Δεδομένων», προβλέπει στην παράγραφο 1 τα εξής:

«Προκειμένου να διασφαλίζεται η ορθή και συνεκτική εφαρμογή του παρόντος κανονισμού σε μεμονωμένες περιπτώσεις, το Συμβούλιο Προστασίας Δεδομένων εκδίδει δεσμευτική απόφαση στις ακόλουθες περιπτώσεις:

α)

όταν, στην περίπτωση που αναφέρεται στο άρθρο 60 παράγραφος 4, η ενδιαφερόμενη εποπτική αρχή έχει διατυπώσει σχετική και αιτιολογημένη ένσταση ως προς σχέδιο απόφασης της επικεφαλής αρχής και η επικεφαλής αρχή [δεν έχει δώσει συνέχεια στην] ένσταση ή έχει απορρίψει την εν λόγω ένσταση ως μη σχετική ή αιτιολογημένη. Η δεσμευτική απόφαση αφορά όλα τα θέματα που αποτελούν το αντικείμενο της σχετικής και αιτιολογημένης ένστασης, ιδίως όταν υπάρχει παράβαση του παρόντος κανονισμού,

β)

αν υπάρχουν αντικρουόμενες απόψεις σχετικά με το ποια από τις ενδιαφερόμενες εποπτικές αρχές είναι αρμόδια για την κύρια εγκατάσταση,

[…]».

17

Το άρθρο 66 του κανονισμού 2016/679, με τίτλο «Επείγουσα διαδικασία», ορίζει, στις παραγράφους 1 και 2, τα εξής:

«1.   Σε εξαιρετικές περιπτώσεις, όταν μια ενδιαφερόμενη εποπτική αρχή θεωρεί ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων, δύναται, κατά παρέκκλιση από τον μηχανισμό συνεκτικότητας των άρθρων 63, 64 και 65 ή τη διαδικασία του άρθρου 60, να θεσπίσει πάραυτα προσωρινά μέτρα που προορίζονται να παράγουν νομικά αποτελέσματα εντός της επικράτειάς της, με συγκεκριμένη διάρκεια ισχύος η οποία δεν υπερβαίνει τους τρεις μήνες. Η εποπτική αρχή ανακοινώνει αμελλητί τα εν λόγω μέτρα, καθώς και την αιτιολόγηση για τη θέσπισή τους, στις υπόλοιπες ενδιαφερόμενες εποπτικές αρχές, στο Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή.

2.   Εάν εποπτική αρχή έχει λάβει μέτρο δυνάμει της παραγράφου 1 και θεωρεί ότι απαιτούνται επειγόντως οριστικά μέτρα, μπορεί να ζητήσει την έκδοση επείγουσας γνώμης ή επείγουσας δεσμευτικής απόφασης από το Συμβούλιο Προστασίας Δεδομένων, αιτιολογώντας τη σχετική αίτηση για γνώμη ή απόφαση.»

18

Το άρθρο 77 του ως άνω κανονισμού, με τίτλο «Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή», προβλέπει τα εξής:

«1.   Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα κανονισμό.

2.   Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της καταγγελίας, καθώς και για τη δυνατότητα άσκησης δικαστικής προσφυγής σύμφωνα με το άρθρο 78.»

19

Το άρθρο 78 του εν λόγω κανονισμού, με τίτλο «Δικαίωμα πραγματικής δικαστικής προσφυγής κατά αρχής ελέγχου», ορίζει τα εξής:

«1.   Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα πραγματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά.

2.   Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής, εφόσον η εποπτική αρχή που είναι αρμόδια δυνάμει των άρθρων 55 και 56 δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας που υποβλήθηκε δυνάμει του άρθρου 77.

3.   Οι διαδικασίες κατά εποπτικής αρχής κινούνται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατεστημένη η εποπτική αρχή.

4.   Όταν κινούνται διαδικασίες κατά απόφασης εποπτικής αρχής, της οποίας προηγήθηκε γνώμη ή απόφαση του Συμβουλίου Προστασίας Δεδομένων στο πλαίσιο του μηχανισμού συνεκτικότητας, η εποπτική αρχή διαβιβάζει στο δικαστήριο τη συγκεκριμένη γνώμη ή απόφαση.»

20

Το άρθρο 79 του ίδιου κανονισμού, με τίτλο «Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία», ορίζει τα εξής:

«1.   Με την επιφύλαξη κάθε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρθρου 77, έκαστο υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του που το αφορούν κατά παράβαση του παρόντος κανονισμού.

2.   Η διαδικασία κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν εγκατάσταση. Εναλλακτικά, η εν λόγω διαδικασία μπορεί να κινηθεί ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του, εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή κράτους μέλους η οποία ενεργεί κατά την άσκηση των δημόσιων εξουσιών της.»

Το βελγικό δίκαιο

21

Ο wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (νόμος περί προστασίας της ιδιωτικής ζωής έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), της 8ης Δεκεμβρίου 1992 (Belgisch Staatsblad,18 Μαρτίου 1993, σ. 5801), όπως τροποποιήθηκε με τον νόμο της 11ης Δεκεμβρίου 1998 (Belgisch Staatsblad, 3 Φεβρουαρίου 1999, σ. 3049) (στο εξής: νόμος της 8ης Δεκεμβρίου 1992), μετέφερε στο βελγικό δίκαιο την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31).

22

Ο νόμος της 8ης Δεκεμβρίου 1992 ίδρυσε την ΕΠΙΖ, ανεξάρτητο φορέα με αποστολή να μεριμνά ώστε τα δεδομένα προσωπικού χαρακτήρα να τυγχάνουν επεξεργασίας σύμφωνα με τον νόμο αυτόν, ούτως ώστε να διαφυλάσσεται η ιδιωτική ζωή των πολιτών.

23

Το άρθρο 32, παράγραφος 3, του νόμου της 8ης Δεκεμβρίου 1992 όριζε τα εξής:

«Υπό την επιφύλαξη της δικαιοδοσίας των τακτικών δικαστηρίων για την εφαρμογή των γενικών αρχών στον τομέα της προστασίας της ιδιωτικής ζωής, ο πρόεδρος της [ΕΠΙΖ] δύναται να υποβάλει στο πρωτοβάθμιο δικαστήριο κάθε διαφορά σχετική με την εφαρμογή του παρόντος νόμου και των εκτελεστικών του μέτρων.»

24

Ο wet tot oprichting van de Gegevensbeschermingsautoriteit (νόμος για τη σύσταση της Αρχής Προστασίας Δεδομένων), της 3ης Δεκεμβρίου 2017 (Belgisch Staatsblad, 10 Ιανουαρίου 2018, σ. 989, στο εξής: νόμος της 3ης Δεκεμβρίου 2017), ο οποίος τέθηκε σε ισχύ στις 25ης Μαΐου 2018, ίδρυσε την AΠΔ ως εποπτική αρχή, κατά την έννοια του κανονισμού 2016/679.

25

Το άρθρο 3 του νόμου της 3ης Δεκεμβρίου 2017 προβλέπει τα εξής:

«Συνιστάται παρά τη Βουλή των Αντιπροσώπων “Αρχή προστασίας δεδομένων”. Διαδέχεται την [EΠIZ].»

26

Το άρθρο 6 του νόμου της 3ης Δεκεμβρίου 2017 ορίζει τα εξής:

«H [AΠΔ] εξουσιοδοτείται να γνωστοποιεί στις δικαστικές αρχές κάθε παραβίαση των θεμελιωδών αρχών της προστασίας των δεδομένων προσωπικού χαρακτήρα, στο πλαίσιο του παρόντος νόμου και των νόμων που περιέχουν διατάξεις περί προστασίας των δεδομένων προσωπικού χαρακτήρα και, κατά περίπτωση, να κινεί ένδικες διαδικασίες προκειμένου να διασφαλίσει την εφαρμογή των εν λόγω θεμελιωδών αρχών.»

27

Δεν προβλέπεται ειδική διάταξη για τις ένδικες διαδικασίες που είχε ήδη κινήσει ο πρόεδρος της EΠIZ στις 25ης Μαΐου 2018 επί τη βάσει του άρθρου 32, παράγραφος 3, του νόμου της 8ης Δεκεμβρίου 1992. Όσον αφορά αποκλειστικώς τις καταγγελίες ή τις αιτήσεις που υποβάλλονται στην ίδια την AΠΔ, το άρθρο 112 του νόμου της 3ης Δεκεμβρίου 2017 ορίζει τα εξής:

«Το κεφάλαιο VI δεν εφαρμόζεται στις καταγγελίες ή αιτήσεις που εκκρεμούν ακόμη ενώπιον της [AΠΔ] κατά τον χρόνο ενάρξεως ισχύος του παρόντος νόμου. Οι κατά το εδάφιο 1 καταγγελίες ή αιτήσεις εξετάζονται από την [AΠΔ], η οποία διαδέχθηκε, από νομική άποψη, την [ΕΠΙΖ], σύμφωνα με τη διαδικασία που ίσχυε πριν από την έναρξη ισχύος του παρόντος νόμου.»

28

Ο νόμος της 8ης Δεκεμβρίου 1992 καταργήθηκε με τον wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (νόμο περί προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), της 30ής Ιουλίου 2018 (Belgisch Staatsblad, 5 Σεπτεμβρίου 2018, σ. 68616) (στο εξής: νόμος της 30ής Ιουλίου 2018). Ο νόμος αυτός αποσκοπεί στην εφαρμογή στο βελγικό δίκαιο των διατάξεων του κανονισμού 2016/679 που επιβάλλουν ή επιτρέπουν στα κράτη μέλη να θεσπίζουν λεπτομερέστερους κανόνες, συμπληρωματικώς προς τον κανονισμό αυτόν.

Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα

29

Στις 11 Σεπτεμβρίου 2015, ο πρόεδρος της ΕΠΙΖ άσκησε αγωγή παραλείψεως κατά της Facebook Ireland, της Facebook Inc. και της Facebook Belgium ενώπιον του Nederlandstalige rechtbank van eerste aanleg Brussel (ολλανδόφωνου πρωτοδικείου Βρυξελλών, Βέλγιο). Δεδομένου ότι η ΕΠΙΖ δεν είχε νομική προσωπικότητα, απέκειτο στον πρόεδρό της να ασκήσει ένδικα βοηθήματα προκειμένου να διασφαλίσει την τήρηση της νομοθεσίας περί προστασίας των δεδομένων προσωπικού χαρακτήρα. Ωστόσο, η ίδια η ΕΠΙΖ ζήτησε να παρέμβει εκουσίως στη δίκη που κίνησε ο πρόεδρός της.

30

Η εν λόγω αγωγή παραλείψεως είχε ως σκοπό να παύσει αυτό που η ΕΠΙΖ περιγράφει, μεταξύ άλλων, ως «σοβαρή και μεγάλης κλίμακας παράβαση, εκ μέρους του Facebook, της νομοθεσίας περί προστασίας της ιδιωτικής ζωής», η οποία συνίσταται στη συλλογή από το εν λόγω ηλεκτρονικό μέσο κοινωνικής δικτύωσης πληροφοριών σχετικών με τη συμπεριφορά πλοηγήσεως τόσο των κατόχων λογαριασμού στο Facebook όσο και των μη χρηστών των υπηρεσιών του Facebook μέσω διαφόρων τεχνολογιών, όπως είναι τα «cookies», τα «social plugins» (όπως είναι, παραδείγματος χάριν, τα κουμπιά «Μου αρέσει» ή «Κοινοποίηση») ή ακόμη τα «pixels». Τα στοιχεία αυτά παρέχουν στο συγκεκριμένο μέσο κοινωνικής δικτύωσης τη δυνατότητα να αποκτήσει ορισμένα δεδομένα του χρήστη του διαδικτύου ο οποίος επισκέπτεται ιστοσελίδα η οποία τα περιέχει, όπως είναι η διεύθυνση της σελίδας αυτής, η «διεύθυνση IP» του επισκέπτη της εν λόγω σελίδας καθώς και η ημερομηνία και η ώρα της οικείας επισκέψεως.

31

Με απόφαση της 16ης Φεβρουαρίου 2018, το Nederlandstalige rechtbank van eerste aanleg Brussel (ολλανδόφωνο πρωτοδικείο Βρυξελλών) έκρινε εαυτό αρμόδιο να αποφανθεί επί της εν λόγω αγωγής παραλείψεως, κατά το μέρος που αφορούσε τη Facebook Ireland, τη Facebook Inc. και τη Facebook Belgium, και κήρυξε απαράδεκτη την αίτηση εκουσίας παρεμβάσεως της ΕΠΙΖ.

32

Επί της ουσίας, το δικαστήριο αυτό έκρινε ότι το συγκεκριμένο μέσο κοινωνικής δικτύωσης δεν ενημέρωνε επαρκώς τους Βέλγους χρήστες του διαδικτύου για τη συλλογή και τη χρήση των οικείων πληροφοριών. Εξάλλου, η συγκατάθεση που παρέχουν οι χρήστες του διαδικτύου για τη συλλογή και την επεξεργασία των εν λόγω πληροφοριών κρίθηκε μη έγκυρη. Ως εκ τούτου, η Facebook Ireland, η Facebook Inc. και η Facebook Belgium διατάχθηκαν, πρώτον, να παύσουν, έναντι κάθε εγκατεστημένου στο βελγικό έδαφος χρήστη του διαδικτύου, να τοποθετούν χωρίς τη συγκατάθεσή του «cookies» τα οποία παραμένουν ενεργά επί δύο έτη στον μηχανισμό που χρησιμοποιεί κατά την πλοήγησή του σε κάποια ιστοσελίδα στον διαδικτυακό τόπο Facebook.com ή στον διαδικτυακό τόπο τρίτου, καθώς και να παύσουν να τοποθετούν «cookies» και να συλλέγουν δεδομένα μέσω «social plugins» και «pixels» ή μέσω παρεμφερών τεχνολογιών από διαδικτυακούς τόπους τρίτων, κατά τρόπο υπέρμετρο, λαμβανομένων υπόψη των επιδιωκόμενων τοιουτοτρόπως σκοπών από το μέσο κοινωνικής δικτύωσης Facebook, δεύτερον, να παύσουν να παρέχουν πληροφορίες οι οποίες θα μπορούσαν ευλόγως να παραπλανήσουν τα υποκείμενα των δεδομένων ως προς το πραγματικό εύρος των διατιθέμενων από το συγκεκριμένο μέσο κοινωνικής δικτύωσης μηχανισμών για τη χρήση «cookies» και, τρίτον, να καταστρέψουν όλα τα δεδομένα προσωπικού χαρακτήρα τα οποία έχουν συλλέξει μέσω «cookies» και «social plugins».

33

Στις 2 Μαρτίου 2018, η Facebook Ireland, η Facebook Inc. και η Facebook Belgium άσκησαν έφεση κατά της αποφάσεως αυτής ενώπιον του hof van beroep te Brussel (εφετείου Βρυξελλών, Βέλγιο). Ενώπιον του δικαστηρίου αυτού, η AΠΔ ενεργεί ως διάδοχος, από νομικής απόψεως, τόσο του προέδρου της ΕΠΙΖ, ο οποίος άσκησε την αγωγή παραλείψεως, όσο και της ίδιας της ΕΠΙΖ.

34

Το αιτούν δικαστήριο έκρινε ότι είναι αποκλειστικώς αρμόδιο να αποφανθεί επί της εφέσεως κατά το μέρος που αφορά τη Facebook Belgium. Αντιθέτως, έκρινε εαυτό αναρμόδιο να επιληφθεί της εφέσεως όσον αφορά τη Facebook Ireland και τη Facebook Inc.

35

Πριν αποφανθεί επί της ουσίας της διαφοράς της κύριας δίκης, το αιτούν δικαστήριο διερωτάται αν η AΠΔ νομιμοποιείται ενεργητικώς και έχει το απαιτούμενο έννομο συμφέρον. Κατά τη Facebook Belgium, η ασκηθείσα αγωγή παραλείψεως είναι απαράδεκτη, όσον αφορά τα προ της 25ης Μαΐου 2018 πραγματικά περιστατικά, στο μέτρο που, κατόπιν της ενάρξεως ισχύος του νόμου της 3ης Δεκεμβρίου 2017 και του κανονισμού 2016/679, το άρθρο 32, παράγραφος 3, του νόμου της 8ης Δεκεμβρίου 1992, το οποίο αποτελεί τη νομική βάση για την άσκηση τέτοιας αγωγής, καταργήθηκε. Όσον αφορά τα μεταγενέστερα της 25ης Μαΐου 2018 πραγματικά περιστατικά, η Facebook Belgium υποστηρίζει ότι η AΠΔ στερείται αρμοδιότητας και δεν έχει δικαίωμα ασκήσεως της αγωγής αυτής, λαμβανομένου υπόψη του μηχανισμού «μίας στάσεως» που προβλέπεται πλέον κατ’ εφαρμογήν των διατάξεων του κανονισμού 2016/679. Συγκεκριμένα, βάσει των διατάξεων αυτών, μόνον ο Data Protection Commissioner (επίτροπος προστασίας δεδομένων, Ιρλανδία) είναι αρμόδιος να ασκήσει αγωγή παραλείψεως κατά της Facebook Ireland, δεδομένου ότι αυτή η τελευταία είναι η μόνη υπεύθυνη για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των χρηστών του συγκεκριμένου μέσου κοινωνικής δικτύωσης εντός της Ένωσης.

36

Το αιτούν δικαστήριο έκρινε ότι η AΠΔ δεν είχε έννομο συμφέρον προς άσκηση της αγωγής παραλείψεως, καθόσον η αγωγή αυτή αφορούσε πραγματικά περιστατικά προγενέστερα της 25ης Μαΐου 2018. Όσον αφορά τα μεταγενέστερα της ημερομηνίας αυτής πραγματικά περιστατικά, το αιτούν δικαστήριο διατηρεί εντούτοις αμφιβολίες ως προς τις συνέπειες της ενάρξεως ισχύος του κανονισμού 2016/679, ιδίως δε της εφαρμογής του μηχανισμού «μίας στάσεως» που προβλέπει ο κανονισμός αυτός, επί των αρμοδιοτήτων της AΠΔ καθώς και επί της εξουσίας της τελευταίας να ασκήσει τέτοια αγωγή παραλείψεως.

37

Ειδικότερα, κατά το αιτούν δικαστήριο, το ζήτημα που τίθεται πλέον είναι αν, για πραγματικά περιστατικά μεταγενέστερα της 25ης Μαΐου 2018, μπορεί η AΠΔ να στραφεί κατά της Facebook Belgium, εφόσον η Facebook Ireland έχει ταυτοποιηθεί ως υπεύθυνη επεξεργασίας των οικείων δεδομένων. Από την ημερομηνία αυτή και δυνάμει της αρχής της «μίας στάσεως», φαίνεται ότι, κατά το άρθρο 56 του κανονισμού 2016/679, μόνον ο επίτροπος προστασίας δεδομένων είναι αρμόδιος, υπό τον αποκλειστικό έλεγχο των ιρλανδικών δικαστηρίων.

38

Το αιτούν δικαστήριο υπενθυμίζει ότι, με την απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), το Δικαστήριο έκρινε ότι η «γερμανική αρχή ελέγχου» ήταν αρμόδια να αποφανθεί επί διαφοράς σχετικής με την προστασία των δεδομένων προσωπικού χαρακτήρα, μολονότι ο υπεύθυνος επεξεργασίας των οικείων δεδομένων είχε την έδρα του στην Ιρλανδία και η θυγατρική του που εδρεύει στη Γερμανία, ήτοι η Facebook Germany GmbH, ασχολείτο μόνο με την πώληση διαφημιστικού χώρου και με άλλες δραστηριότητες εμπορικής προωθήσεως στο γερμανικό έδαφος.

39

Εντούτοις, στην υπόθεση επί της οποίας εκδόθηκε η ως άνω απόφαση, είχε υποβληθεί στο Δικαστήριο αίτηση προδικαστικής αποφάσεως σχετικά με την ερμηνεία των διατάξεων της οδηγίας 95/46, η οποία καταργήθηκε με τον κανονισμό 2016/679. Το αιτούν δικαστήριο διερωτάται κατά πόσον η ερμηνεία που έδωσε το Δικαστήριο με την εν λόγω απόφαση εξακολουθεί να είναι λυσιτελής όσον αφορά την εφαρμογή του κανονισμού 2016/679.

40

Το αιτούν δικαστήριο μνημονεύει επίσης μια απόφαση της Bundeskartellamt (ομοσπονδιακής αρχής ανταγωνισμού, Γερμανία), της 6ης Φεβρουαρίου 2019 (γνωστή ως απόφαση Facebook), με την οποία η εν λόγω αρχή ανταγωνισμού έκρινε, κατ’ ουσίαν, ότι η οικεία επιχείρηση καταχράτο τη θέση της συγκεντρώνοντας στοιχεία προερχόμενα από διάφορες πηγές, όπερ, εφεξής, θα έπρεπε πλέον να μπορεί να γίνεται μόνον με τη ρητή συναίνεση των χρηστών, εξυπακουομένου ότι ο χρήστης που δεν συμφωνεί δεν μπορεί να αποκλείεται από τις υπηρεσίες της Facebook. Το αιτούν δικαστήριο επισημαίνει ότι η εν λόγω αρχή ανταγωνισμού έκρινε προφανώς εαυτήν αρμόδια, παρά τον μηχανισμό «μίας στάσεως».

41

Επιπλέον, το αιτούν δικαστήριο εκτιμά ότι το άρθρο 6 του νόμου της 3ης Δεκεμβρίου 2017, το οποίο επιτρέπει, κατ’ αρχήν, στην AΠΔ, να κινεί κατά περίπτωση ένδικες διαδικασίες, δεν συνεπάγεται ότι η αγωγή της μπορεί, σε κάθε περίπτωση, να ασκηθεί ενώπιον των βελγικών δικαστηρίων, δεδομένου ότι ο μηχανισμός «μίας στάσεως» φαίνεται να επιβάλλει την άσκηση παρόμοιας αγωγής ενώπιον του δικαστηρίου του τόπου όπου πραγματοποιείται η επεξεργασία των δεδομένων.

42

Υπό τις συνθήκες αυτές, το hof van beroep te Brussel (εφετείο Βρυξελλών) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1)

Έχουν τα άρθρα [55, παράγραφος 1,] 56 έως 58 και 60 έως 66 του [κανονισμού 2016/679], σε συνδυασμό με τα άρθρα 7, 8 και 47 του [Χάρτη], την έννοια ότι εποπτική αρχή, η οποία με βάση εθνικές νομοθετικές διατάξεις που εκδόθηκαν προς εφαρμογή του άρθρου [58, παράγραφος 5,] του εν λόγω κανονισμού έχει την εξουσία να ασκήσει αγωγή ενώπιον δικαστηρίου του δικού της κράτους μέλους σε περίπτωση παραβάσεων των διατάξεων του ίδιου κανονισμού, δεν μπορεί να κάνει χρήση της εξουσίας της αυτής στο πλαίσιο διασυνοριακής επεξεργασίας δεδομένων, εάν δεν αποτελεί την επικεφαλής εποπτική αρχή σε σχέση με τη συγκεκριμένη διασυνοριακή επεξεργασία;

2)

Έχει σημασία εν προκειμένω αν ο υπεύθυνος για την εν λόγω διασυνοριακή επεξεργασία δεδομένων δεν έχει την κύρια εγκατάστασή του στο κράτος μέλος αυτό, διαθέτει όμως σε αυτό άλλη εγκατάσταση;

3)

Έχει σημασία εν προκειμένω αν η εθνική εποπτική αρχή ασκεί την αγωγή κατά της κύριας εγκαταστάσεως του υπευθύνου επεξεργασίας ή κατά της εγκαταστάσεως που βρίσκεται στο κράτος μέλος της εθνικής εποπτικής αρχής;

4)

Έχει σημασία εν προκειμένω το γεγονός ότι η εθνική εποπτική αρχή άσκησε την αγωγή πριν από την ημερομηνία ενάρξεως ισχύος [του κανονισμού 2016/679] (25 Μαΐου 2018);

5)

Σε περίπτωση καταφατικής απαντήσεως επί του πρώτου ερωτήματος: παράγει το άρθρο [58, παράγραφος 5,] του κανονισμού 2016/679, άμεσο αποτέλεσμα, κατά τρόπο ώστε η εθνική εποπτική αρχή να μπορεί να επικαλεστεί τη συγκεκριμένη διάταξη για τους σκοπούς της κινήσεως ή συνεχίσεως δικαστικής διαδικασίας κατά μεμονωμένων μερών, ακόμη και στην περίπτωση που το άρθρο [58, παράγραφος 5,] του εν λόγω κανονισμού δεν έχει μεταφερθεί ειδικώς στο εσωτερικό δίκαιο, μολονότι υφίσταται η σχετική υποχρέωση;

6)

Σε περίπτωση καταφατικής απαντήσεως επί των προηγούμενων ερωτημάτων: μπορεί το αποτέλεσμα τέτοιων διαδικασιών να εμποδίσει τυχόν αντίθετη διαπίστωση της επικεφαλής εποπτικής αρχής, όταν η τελευταία διερευνά τις ίδιες ή παρόμοιες πράξεις διασυνοριακής επεξεργασίας δεδομένων βάσει του μηχανισμού που προβλέπεται στα άρθρα 56 και 60 του [κανονισμού 2016/679];»

Επί των προδικαστικών ερωτημάτων

Επί του πρώτου προδικαστικού ερωτήματος

43

Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 55, παράγραφος 1, και τα άρθρα 56 έως 58 καθώς και τα άρθρα 60 έως 66 του κανονισμού 2016/679, σε συνδυασμό με τα άρθρα 7, 8 και 47 του Χάρτη, έχουν την έννοια ότι εποπτική αρχή κράτους μέλους η οποία, δυνάμει της εθνικής νομοθεσίας που θεσπίσθηκε κατ’ εφαρμογήν του άρθρου 58, παράγραφος 5, του κανονισμού αυτού, έχει την εξουσία να γνωστοποιεί κάθε φερόμενη παράβαση του εν λόγω κανονισμού σε δικαστήριο του εν λόγω κράτους μέλους και να κινεί κατά περίπτωση ένδικες διαδικασίες δύναται να ασκήσει την εξουσία αυτή όσον αφορά διασυνοριακή επεξεργασία δεδομένων, μολονότι δεν είναι «επικεφαλής εποπτική αρχή», κατά την έννοια του άρθρου 56, παράγραφος 1, του ίδιου κανονισμού, ως προς μια τέτοια επεξεργασία δεδομένων.

44

Συναφώς, πρέπει να υπομνησθεί, προκαταρκτικώς, ότι, αφενός, σε αντίθεση με την οδηγία 95/46, η οποία εκδόθηκε επί τη βάσει του άρθρου 100 Α της Συνθήκης ΕΚ, περί εναρμονίσεως της κοινής αγοράς, η νομική βάση του κανονισμού 2016/679 είναι το άρθρο 16 ΣΛΕΕ, το οποίο κατοχυρώνει το δικαίωμα κάθε προσώπου στην προστασία των δεδομένων προσωπικού χαρακτήρα και επιτρέπει στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο της Ευρωπαϊκής Ένωσης να θεσπίζουν κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων αυτών από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, καθώς και από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης και κανόνες σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών. Αφετέρου, στην αιτιολογική σκέψη 1 του κανονισμού αυτού αναφέρεται ότι «[η] προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα αποτελεί θεμελιώδες δικαίωμα» και υπενθυμίζει ότι το άρθρο 8, παράγραφος 1, του Χάρτη, καθώς και το άρθρο 16, παράγραφος 1, ΣΛΕΕ, προβλέπουν το δικαίωμα κάθε προσώπου στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

45

Κατά συνέπεια, όπως προκύπτει από το άρθρο 1, παράγραφος 2, του κανονισμού 2016/679, σε συνδυασμό με τις αιτιολογικές σκέψεις 10, 11 και 13 του κανονισμού αυτού, ο εν λόγω κανονισμός επιβάλλει στα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, καθώς και στις αρμόδιες αρχές των κρατών μελών, την υποχρέωση να διασφαλίζουν υψηλό επίπεδο προστασίας των δικαιωμάτων που κατοχυρώνονται στο άρθρο 16 ΣΛΕΕ και στο άρθρο 8 του Χάρτη.

46

Επιπλέον, όπως αναφέρεται στην αιτιολογική σκέψη 4 του ως άνω κανονισμού, ο κανονισμός 2016/679 σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και τις αρχές που αναγνωρίζονται στον Χάρτη.

47

Σε αυτό ακριβώς το πλαίσιο, το άρθρο 55, παράγραφος 1, του κανονισμού 2016/679 κατοχυρώνει την κατ’ αρχήν αρμοδιότητα κάθε εποπτικής αρχής να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον ως άνω κανονισμό στο έδαφος του κράτους μέλους στο οποίο υπάγεται (πρβλ την απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems, C‑311/18, EU:C:2020:559, σκέψη 147).

48

Μεταξύ των καθηκόντων που έχουν ανατεθεί στις εν λόγω εποπτικές αρχές περιλαμβάνονται, μεταξύ άλλων, η παρακολούθηση και η επιβολή της εφαρμογής του 2016/679, η οποία προβλέπεται στο άρθρο του 57, παράγραφος 1, στοιχείο αʹ, καθώς και η συνεργασία με άλλες εποπτικές αρχές, συμπεριλαμβανομένης της ανταλλαγής πληροφοριών, και η παροχή αμοιβαίας συνδρομής στο πλαίσιο αυτό, προκειμένου να διασφαλίζεται η συνεπής εφαρμογή του εν λόγω κανονισμού και των μέτρων που λαμβάνονται για τη διασφάλιση της τηρήσεώς του, η οποία προβλέπεται στο άρθρο 57, παράγραφος 1, στοιχείο ζʹ, του ίδιου κανονισμού. Μεταξύ των εξουσιών που ανατίθενται στις εν λόγω εποπτικές αρχές για την άσκηση των καθηκόντων αυτών καταλέγονται διάφορες εξουσίες έρευνας, τις οποίες προβλέπει το άρθρο 58, παράγραφος 1, του κανονισμού 2016/679, καθώς και η εξουσία να γνωστοποιούν στις δικαστικές αρχές τις παραβιάσεις του ως άνω κανονισμού και να κινεί κατά περίπτωση ένδικες διαδικασίες με σκοπό την εφαρμογή των διατάξεων του εν λόγω κανονισμού, η οποία προβλέπεται στο άρθρο του 58, παράγραφος 5.

49

Εντούτοις, η άσκηση των ως άνω καθηκόντων και εξουσιών προϋποθέτει ότι η εποπτική αρχή έχει αρμοδιότητα όσον αφορά συγκεκριμένη επεξεργασία δεδομένων.

50

Συναφώς, υπό την επιφύλαξη του κανόνα αρμοδιότητας του άρθρου 55, παράγραφος 1, του κανονισμού 2016/679, το άρθρο 56 παράγραφος 1, προβλέπει, όσον αφορά τη «διασυνοριακή επεξεργασία», κατά την έννοια του άρθρου 4, σημείο 23, του κανονισμού αυτού, τον μηχανισμό «μίας στάσεως», ο οποίος βασίζεται στην κατανομή αρμοδιοτήτων μεταξύ μιας «επικεφαλής εποπτικής αρχής» και των λοιπών εμπλεκόμενων εποπτικών αρχών. Δυνάμει του μηχανισμού αυτού, η εποπτική αρχή της κύριας εγκαταστάσεως ή της μοναδικής εγκαταστάσεως του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή όσον αφορά τη διασυνοριακή επεξεργασία στην οποία προβαίνει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, σύμφωνα με τη διαδικασία του άρθρου 60 του εν λόγω κανονισμού.

51

Η τελευταία αυτή διάταξη θεσπίζει τη διαδικασία συνεργασίας μεταξύ της επικεφαλής εποπτικής αρχής και των λοιπών ενδιαφερόμενων εποπτικών αρχών. Στο πλαίσιο της διαδικασίας αυτής, η επικεφαλής εποπτική αρχή υποχρεούται, μεταξύ άλλων, να επιδιώξει την επίτευξη συναινέσεως. Προς τούτο, σύμφωνα με το άρθρο 60, παράγραφος 3, του κανονισμού 2016/679, η Επιτροπή υποβάλλει αμελλητί σχέδιο αποφάσεως στις άλλες ενδιαφερόμενες εποπτικές αρχές προς διατύπωση γνώμης και λαμβάνει δεόντως υπόψη τις απόψεις τους.

52

Ειδικότερα, από τα άρθρα 56 και 60 του κανονισμού 2016/679 προκύπτει ότι, για τη «διασυνοριακή επεξεργασία», κατά την έννοια του άρθρου 4, σημείο 23, του κανονισμού αυτού, και υπό την επιφύλαξη του άρθρου 56, παράγραφος 2, του ίδιου κανονισμού, οι διάφορες ενδιαφερόμενες εθνικές εποπτικές αρχές οφείλουν να συνεργάζονται, σύμφωνα με τη διαδικασία που προβλέπουν οι διατάξεις αυτές, προκειμένου να επιτύχουν συναίνεση και μια ενιαία απόφαση δεσμεύουσα το σύνολο των αρχών αυτών και της οποίας την τήρηση πρέπει να διασφαλίζει ο υπεύθυνος επεξεργασίας όσον αφορά τις δραστηριότητες επεξεργασίας που ασκούνται στο πλαίσιο του συνόλου των εγκαταστάσεών του εντός της Ένωσης. Εξάλλου, το άρθρο 61, παράγραφος 1, του εν λόγω κανονισμού υποχρεώνει τις αρχές ελέγχου, μεταξύ άλλων, να παρέχουν η μια στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή για την υλοποίηση και την εφαρμογή του κανονισμού 2016/679 με συνεκτικό τρόπο σε ολόκληρη την Ένωση. Το άρθρο 63 του κανονισμού 2016/679 διευκρινίζει ότι για τον σκοπό αυτό προβλέπεται ο μηχανισμός συνεκτικότητας ο οποίος εισάγεται με τα άρθρα 64 και 65 του κανονισμού αυτού [απόφαση της 24ης Σεπτεμβρίου 2019, Google (Εδαφικό πεδίο της διαγραφής συνδέσμων), C‑507/17, EU:C:2019:772, σκέψη 68].

53

Επομένως, η εφαρμογή του μηχανισμού «μίας στάσεως» απαιτεί, όπως επιβεβαιώνει η αιτιολογική σκέψη 13 του κανονισμού 2016/679, καλόπιστη και αποτελεσματική συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των λοιπών ενδιαφερόμενων εποπτικών αρχών. Ως εκ τούτου, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 111 των προτάσεών του, η επικεφαλής εποπτική αρχή δεν μπορεί να αγνοήσει τις απόψεις των λοιπών ενδιαφερόμενων αρχών ελέγχου, ενώ κάθε σχετική και αιτιολογημένη ένσταση που διατυπώνει οποιαδήποτε από τις αρχές αυτές έχει ως αποτέλεσμα να εμποδίζει, τουλάχιστον προσωρινώς, την έγκριση του σχεδίου αποφάσεως της επικεφαλής εποπτικής αρχής.

54

Ως εκ τούτου, σύμφωνα με το άρθρο 60, παράγραφος 4, του κανονισμού 2016/679, όταν οποιαδήποτε από τις άλλες ενδιαφερόμενες εποπτικές αρχές διατυπώνει, εντός προθεσμίας τεσσάρων εβδομάδων αφότου ζητήθηκε η γνώμη της, σχετική και αιτιολογημένη ένσταση όσον αφορά το σχέδιο αποφάσεως, η επικεφαλής εποπτική αρχή, αν δεν δώσει συνέχεια στη σχετική και αιτιολογημένη ένσταση ή αν είναι της γνώμης ότι η ένσταση αυτή δεν είναι σχετική ή αιτιολογημένη, υποβάλλει το ζήτημα στον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 63 του κανονισμού αυτού, προκειμένου να επιτύχει την έκδοση δεσμευτικής αποφάσεως από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων επί τη βάσει του άρθρου 65, παράγραφος 1, στοιχείο αʹ, του εν λόγω κανονισμού.

55

Αντιθέτως, δυνάμει του άρθρου 60, παράγραφος 5, του κανονισμού 2016/679, όταν η επικεφαλής εποπτική αρχή προτίθεται να δώσει συνέχεια στη σχετική και αιτιολογημένη ένσταση, υποβάλλει στις λοιπές ενδιαφερόμενες εποπτικές αρχές αναθεωρημένο σχέδιο αποφάσεως για να εκφέρουν τη γνώμη τους. Αυτό το αναθεωρημένο σχέδιο αποφάσεως υπόκειται στη διαδικασία του άρθρου 60, παράγραφος 4, του ίδιου κανονισμού εντός προθεσμίας δύο εβδομάδων.

56

Κατά το άρθρο 60, παράγραφος 7, του εν λόγω κανονισμού, εναπόκειται κατ’ αρχήν στην επικεφαλής εποπτική αρχή να εκδώσει απόφαση σχετικά με την οικεία διασυνοριακή επεξεργασία, να την κοινοποιήσει στην κύρια εγκατάσταση ή στη μόνη εγκατάσταση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, κατά περίπτωση, και να ενημερώσει τις άλλες ενδιαφερόμενες εποπτικές αρχές και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων σχετικά με την εν λόγω απόφαση, παρέχοντας, μεταξύ άλλων, σύνοψη των πραγματικών περιστατικών και των νομικών ισχυρισμών.

57

Τούτου λεχθέντος, πρέπει να υπογραμμισθεί ότι ο κανονισμός 2016/679 προβλέπει εξαιρέσεις από την αρχή της αρμοδιότητας λήψεως αποφάσεων της επικεφαλής εποπτικής αρχής στο πλαίσιο του μηχανισμού «μίας στάσεως» που προβλέπεται στο άρθρο 56, παράγραφος 1, του εν λόγω κανονισμού.

58

Μεταξύ των εξαιρέσεων αυτών περιλαμβάνεται, πρώτον, το άρθρο 56, παράγραφος 2, του κανονισμού 2016/679, το οποίο προβλέπει ότι μια εποπτική αρχή η οποία δεν είναι η επικεφαλής εποπτική αρχή είναι αρμόδια για την εξέταση καταγγελίας που υποβάλλεται σε αυτήν και η οποία αφορά διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα ή ενδεχόμενη παράβαση του κανονισμού αυτού, εφόσον το αντικείμενό της αφορά αποκλειστικά εγκατάσταση στο κράτος μέλος στο οποίο υπάγεται ή επηρεάζει ουσιαστικώς υποκείμενα των δεδομένων στο κράτος μέλος αυτό.

59

Δεύτερον, το άρθρο 66 του κανονισμού 2016/679 προβλέπει, κατά παρέκκλιση από τους μηχανισμούς συνεκτικότητας που προβλέπονται στα άρθρα 60 και 63 έως 65 του κανονισμού αυτού, μια επείγουσα διαδικασία. Η εν λόγω επείγουσα διαδικασία επιτρέπει, σε εξαιρετικές περιπτώσεις, όταν μια ενδιαφερόμενη εποπτική αρχή θεωρεί ότι υπάρχει επείγουσα ανάγκη λήψεως μέτρων για να προστατευθούν τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων, να θεσπίσει πάραυτα προσωρινά μέτρα που προορίζονται να παράγουν νομικά αποτελέσματα εντός της επικράτειάς της, με συγκεκριμένη διάρκεια ισχύος η οποία δεν υπερβαίνει τους τρεις μήνες, ενώ το άρθρο 66, παράγραφος 2, του κανονισμού 2016/679 προβλέπει επιπλέον ότι, εάν εποπτική αρχή έχει λάβει μέτρο δυνάμει της παραγράφου 1 και θεωρεί ότι απαιτούνται επειγόντως οριστικά μέτρα, μπορεί να ζητήσει την έκδοση επείγουσας γνώμης ή επείγουσας δεσμευτικής αποφάσεως από το Συμβούλιο Προστασίας Δεδομένων, αιτιολογώντας τη σχετική αίτηση για γνώμη ή απόφαση.

60

Εντούτοις, η αρμοδιότητα αυτή των εποπτικών αρχών πρέπει να ασκείται τηρουμένης της καλόπιστης και αποτελεσματικής συνεργασίας με την επικεφαλής εποπτική αρχή, σύμφωνα με τη διαδικασία του άρθρου 56, παράγραφοι 3 έως 5, του κανονισμού 2016/679. Πράγματι, στην περίπτωση αυτή, κατ’ εφαρμογήν του άρθρου 56, παράγραφος 3, του κανονισμού αυτού, η ενδιαφερόμενη εποπτική αρχή οφείλει να ενημερώσει χωρίς καθυστέρηση την επικεφαλής εποπτική αρχή, η οποία, εντός τριών εβδομάδων από την ενημέρωσή της, αποφασίζει εάν θα επιληφθεί της υποθέσεως.

61

Δυνάμει του άρθρου 56, παράγραφος 4, του κανονισμού 2016/679, αν η επικεφαλής εποπτική αρχή αποφασίσει να επιληφθεί της υποθέσεως, εφαρμόζεται η διαδικασία συνεργασίας που προβλέπεται στο άρθρο 60. Στο πλαίσιο αυτό, η εποπτική αρχή που ενημέρωσε την επικεφαλής εποπτική αρχή δύναται να της υποβάλει σχέδιο αποφάσεως και η αρχή αυτή οφείλει να λαμβάνει ιδιαιτέρως υπόψη το σχέδιο αυτό κατά την προετοιμασία του σχεδίου αποφάσεως που αναφέρεται στο άρθρο 60, παράγραφος 3, του εν λόγω κανονισμού.

62

Αντιθέτως, κατ’ εφαρμογήν του άρθρου 56, παράγραφος 5, του κανονισμού 2016/679, αν η επικεφαλής εποπτική αρχή αποφασίσει να μην επιληφθεί της υποθέσεως, η εποπτική αρχή που την ενημέρωσε επιλαμβάνεται της υποθέσεως σύμφωνα με τα άρθρα 61 και 62 του κανονισμού αυτού, τα οποία απαιτούν από τις εποπτικές αρχές την τήρηση των κανόνων αμοιβαίας συνδρομής και συνεργασίας στο πλαίσιο κοινών επιχειρήσεων, προκειμένου να διασφαλίζεται η αποτελεσματική συνεργασία μεταξύ των ενδιαφερόμενων αρχών.

63

Από τα ανωτέρω προκύπτει ότι, αφενός, στον τομέα της διασυνοριακής επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η αρμοδιότητα της επικεφαλής εποπτικής αρχής να εκδίδει απόφαση διαπιστώνουσα ότι μια τέτοια επεξεργασία παραβιάζει τους κανόνες περί προστασίας των δικαιωμάτων των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που περιέχονται στον κανονισμό 2016/679 αποτελεί τον κανόνα, ενώ η αρμοδιότητα των άλλων ενδιαφερόμενων εποπτικών αρχών να εκδίδουν μια τέτοια απόφαση, έστω και προσωρινώς, συνιστά την εξαίρεση. Αφετέρου, μολονότι η κατ’ αρχήν αρμοδιότητα της επικεφαλής εποπτικής αρχής επιβεβαιώνεται στο άρθρο 56, παράγραφος 6, του κανονισμού 2016/679, κατά το οποίο η επικεφαλής εποπτική αρχή είναι ο «μόνος συνομιλητής» του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για τη διασυνοριακή επεξεργασία στην οποία προβαίνει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, η εν λόγω αρχή οφείλει να ασκεί την αρμοδιότητα αυτή σε πλαίσιο στενής συνεργασίας με τις λοιπές ενδιαφερόμενες εποπτικές αρχές. Ειδικότερα, όπως επισημάνθηκε στη σκέψη 53 της παρούσας αποφάσεως, η επικεφαλής εποπτική αρχή δεν μπορεί, κατά την άσκηση των αρμοδιοτήτων της, να μην προβεί στον αναγκαίο διάλογο καθώς και σε καλόπιστη και αποτελεσματική συνεργασία με τις άλλες ενδιαφερόμενες εποπτικές αρχές.

64

Συναφώς, από την αιτιολογική σκέψη 10 του κανονισμού 2016/679 προκύπτει ότι ο κανονισμός αυτός αποσκοπεί, μεταξύ άλλων, στη διασφάλιση συνεκτικής και ομοιόμορφης εφαρμογής των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση και στην άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης.

65

Εντούτοις, ο σκοπός αυτός και η πρακτική αποτελεσματικότητα του μηχανισμού «μίας στάσεως» θα μπορούσε να διακυβευθεί αν μια εποπτική αρχή, μη ούσα η επικεφαλής εποπτική αρχή όσον αφορά διασυνοριακή επεξεργασία δεδομένων, μπορούσε να ασκήσει την εξουσία που προβλέπεται στο άρθρο 58, παράγραφος 5, του κανονισμού 2016/679, πέραν των περιπτώσεων στις οποίες είναι αρμόδια να εκδώσει απόφαση, όπως είναι αυτή περί της οποίας γίνεται λόγος στη σκέψη 63 της παρούσας αποφάσεως. Πράγματι, η άσκηση της εξουσίας αυτής αποσκοπεί στην έκδοση δεσμευτικής δικαστικής αποφάσεως, η οποία μπορεί να θίξει εξίσου τον εν λόγω σκοπό και τον εν λόγω μηχανισμό όπως και μια απόφαση λαμβανόμενη από εποπτική αρχή η οποία δεν είναι η επικεφαλής εποπτική αρχή.

66

Αντιθέτως προς όσα υποστηρίζει η AΠΔ, το να μπορεί μια εποπτική αρχή κράτους μέλους η οποία δεν είναι επικεφαλής εποπτική αρχή, να ασκήσει την εξουσία που προβλέπεται στο άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 μόνον εντός των ορίων των κανόνων κατανομής των αρμοδιοτήτων λήψεως αποφάσεων που προβλέπονται, ειδικότερα, στα άρθρα 55 και 56 του ίδιου κανονισμού, σε συνδυασμό με το άρθρο 60 αυτού, είναι σύμφωνο προς τα άρθρα 7, 8 και 47 του Χάρτη.

67

Αφενός, όσον αφορά την επιχειρηματολογία περί της φερόμενης παραβάσεως των άρθρων 7 και 8 του Χάρτη, υπενθυμίζεται ότι το άρθρο 7 διασφαλίζει σε κάθε πρόσωπο το δικαίωμα στον σεβασμό της ιδιωτικής και οικογενειακής ζωής του, της κατοικίας του και των επικοινωνιών του, ενώ το άρθρο 8, όπως και το άρθρο 16, παράγραφος 1, ΣΛΕΕ, αναγνωρίζει ρητώς σε κάθε πρόσωπο το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Όπως, όμως, προκύπτει ειδικότερα από το άρθρο 51, παράγραφος 1, του κανονισμού 2016/679, οι εποπτικές αρχές είναι επιφορτισμένες με τον έλεγχο της εφαρμογής του κανονισμού αυτού, μεταξύ άλλων, για την προστασία των θεμελιωδών δικαιωμάτων των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα. Επομένως, σύμφωνα με τα εκτεθέντα στη σκέψη 45 της παρούσας αποφάσεως, οι κανόνες κατανομής των αρμοδιοτήτων λήψεως αποφάσεων μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων εποπτικών αρχών, τους οποίους προβλέπει ο εν λόγω κανονισμός, δεν θίγουν την ευθύνη την οποία υπέχει εκάστη των ως άνω αρχών να συμβάλλει στην υψηλού επιπέδου προστασία των δικαιωμάτων αυτών, τηρουμένων των κανόνων αυτών καθώς και των απαιτήσεων συνεργασίας και αμοιβαίας συνδρομής που υπομνήσθηκαν στη σκέψη 52 της παρούσας αποφάσεως.

68

Τούτο σημαίνει ειδικότερα ότι ο μηχανισμός «μίας στάσεως» δεν μπορεί σε καμία περίπτωση να έχει ως αποτέλεσμα να μην αναλαμβάνει μια εθνική εποπτική αρχή, και ειδικότερα η επικεφαλής εποπτική αρχή, την ευθύνη την οποία υπέχει δυνάμει του κανονισμού 2016/679 να συμβάλλει στην αποτελεσματική προστασία των φυσικών προσώπων έναντι προσβολών των θεμελιωδών δικαιωμάτων τους τα οποία υπομνήσθηκαν στην προηγούμενη σκέψη, διότι άλλως θα ενθαρρυνόταν η πρακτική του forum shopping, ιδίως εκ μέρους των υπευθύνων επεξεργασίας, με σκοπό την καταστρατήγηση των ως άνω θεμελιωδών δικαιωμάτων και την υπονόμευση της αποτελεσματικής εφαρμογής των εκτελεστικών διατάξεων του εν λόγω κανονισμού.

69

Αφετέρου, δεν μπορεί να γίνει δεκτή ούτε η επιχειρηματολογία περί της φερόμενης προσβολής του δικαιώματος πραγματικής προσφυγής, το οποίο κατοχυρώνεται στο άρθρο 47 του Χάρτη. Πράγματι, όπως εκτίθεται στις σκέψεις 64 και 65 της παρούσας αποφάσεως, η οριοθέτηση της δυνατότητας μιας εποπτικής αρχής διαφορετικής από την επικεφαλής εποπτική αρχή να ασκεί την εξουσία που προβλέπει το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679, όταν πρόκειται για διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα, δεν θίγει το δικαίωμα το οποίο αναγνωρίζεται σε κάθε πρόσωπο, βάσει του άρθρου 78, παράγραφοι 1 και 2, του ίδιου κανονισμού, να ασκεί αποτελεσματική ένδικη προσφυγή, μεταξύ άλλων, κατά νομικώς δεσμευτικής αποφάσεως της εποπτικής αρχής η οποία το αφορά ή κατά της μη εξετάσεως καταγγελίας την οποία υπέβαλε από την εποπτική αρχή η οποία διαθέτει αρμοδιότητα λήψεως αποφάσεων δυνάμει των άρθρων 55 και 56 του εν λόγω κανονισμού σε συνδυασμό με το άρθρο του 60.

70

Τούτο ισχύει ιδίως όσον αφορά την περίπτωση του άρθρου 56, παράγραφος 5, του κανονισμού 2016/679, κατά την οποία, όπως επισημάνθηκε στη σκέψη 62 της παρούσας αποφάσεως, η εποπτική αρχή η οποία παρέσχε τις πληροφορίες επί τη βάσει του άρθρου 56, παράγραφος 3, του ως άνω κανονισμού δύναται να επιληφθεί της υποθέσεως σύμφωνα με τα άρθρα 61 και 62, αν η επικεφαλής εποπτική αρχή αποφασίσει, αφού ενημερωθεί σχετικώς, ότι δεν θα επιληφθεί η ίδια. Εξάλλου, στο πλαίσιο της επεξεργασίας αυτής, δεν μπορεί να αποκλεισθεί το ενδεχόμενο η ενδιαφερόμενη εποπτική αρχή να αποφασίσει, κατά περίπτωση, να ασκήσει την εξουσία που της παρέχει το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679.

71

Κατόπιν της διευκρινίσεως αυτής, πρέπει να υπογραμμισθεί ότι η άσκηση της εξουσίας της εποπτικής αρχής κράτους μέλους να απευθύνεται στα δικαστήρια του κράτους της δεν μπορεί να αποκλείεται οσάκις η αρχή αυτή, αφού ζητήσει την αμοιβαία συνδρομή της επικεφαλής εποπτικής αρχής, δυνάμει του άρθρου 61 του κανονισμού 2016/679, δεν λάβει από την επικεφαλής εποπτική αρχή τις ζητούμενες πληροφορίες. Στην περίπτωση αυτή, δυνάμει του άρθρου 61, παράγραφος 8, του κανονισμού αυτού, η ενδιαφερόμενη εποπτική αρχή μπορεί να λάβει προσωρινό μέτρο στο έδαφος του κράτους μέλους στο οποίο υπάγεται και, εφόσον κρίνει ότι πρέπει να ληφθούν επειγόντως οριστικά μέτρα, η αρχή αυτή μπορεί, σύμφωνα με το άρθρο 66, παράγραφος 2, του εν λόγω κανονισμού, να ζητήσει την έκδοση επείγουσας γνώμης ή επείγουσας δεσμευτικής αποφάσεως από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Επιπλέον, δυνάμει του άρθρου 64, παράγραφος 2, του ίδιου κανονισμού, η εποπτική αρχή μπορεί να ζητήσει την εξέταση οποιουδήποτε ζητήματος γενικής εφαρμογής ή ζητήματος που παράγει αποτελέσματα σε περισσότερα από ένα κράτη μέλη από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, με σκοπό την έκδοση γνωμοδοτήσεως, ιδίως όταν η αρμόδια εποπτική αρχή δεν συμμορφώνεται προς τις υποχρεώσεις περί αμοιβαίας συνδρομής τις οποίες της επιβάλλει το άρθρο 61 του εν λόγω κανονισμού. Πάντως, κατόπιν της εκδόσεως μιας τέτοιας γνωμοδοτήσεως ή μιας τέτοιας αποφάσεως, και εφόσον το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων συμφωνεί, αφού λάβει υπόψη το σύνολο των κρίσιμων περιστάσεων, η ενδιαφερόμενη εποπτική αρχή πρέπει να έχει τη δυνατότητα να λάβει τα αναγκαία μέτρα προκειμένου να διασφαλίσει την τήρηση των κανόνων σχετικά με την προστασία των δικαιωμάτων των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που περιέχονται στον κανονισμό 2016/679 και, προς τούτο, να ασκήσει την εξουσία που της παρέχει το άρθρο 58, παράγραφος 5, του ίδιου κανονισμού.

72

Πράγματι, η κατανομή αρμοδιοτήτων και ευθυνών μεταξύ των εποπτικών αρχών στηρίζεται κατ’ ανάγκην στην αρχή της καλόπιστης και αποτελεσματικής συνεργασίας μεταξύ των αρχών αυτών, καθώς και με την Επιτροπή, προκειμένου να διασφαλισθεί η ορθή και συνεκτική εφαρμογή του κανονισμού αυτού, όπως τούτο επιβεβαιώνεται από το άρθρο του 51, παράγραφος 2.

73

Εν προκειμένω, εναπόκειται στο αιτούν δικαστήριο να κρίνει αν οι κανόνες κατανομής των αρμοδιοτήτων καθώς και οι συναφείς διαδικασίες και μηχανισμοί που προβλέπει ο κανονισμός 2016/679 εφαρμόσθηκαν ορθώς στο πλαίσιο της υποθέσεως της κύριας δίκης. Ειδικότερα, σε αυτό εναπόκειται να εξακριβώσει αν, μολονότι η AΠΔ δεν είναι η επικεφαλής εποπτική αρχή στην εν λόγω υπόθεση, εντούτοις η επίμαχη επεξεργασία, στο μέτρο που αφορά συμπεριφορές του ηλεκτρονικού μέσου κοινωνικής δικτύωσης Facebook μεταγενέστερες της 25ης Μαΐου 2018, εμπίπτει, μεταξύ άλλων, στην περίπτωση που περιγράφεται στη σκέψη 71 της παρούσας αποφάσεως.

74

Συναφώς, το Δικαστήριο παρατηρεί ότι, στη γνωμοδότησή του 5/2019 της 12ης Μαρτίου 2019, περί της αλληλεπιδράσεως μεταξύ της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες και του [γενικού κανονισμού για την προστασία δεδομένων], ιδίως όσον αφορά την αρμοδιότητα, τα καθήκοντα και τις εξουσίες των αρχών προστασίας δεδομένων, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δήλωσε ότι η καταχώριση και η ανάγνωση των δεδομένων προσωπικού χαρακτήρα μέσω cookies εμπίπτουν στο πεδίο εφαρμογής της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ 2002, L 201, σ. 37), και όχι στον μηχανισμό «μίας στάσεως». Αντιθέτως, όλες οι προγενέστερες πράξεις και οι μεταγενέστερες δραστηριότητες επεξεργασίας των δεδομένων αυτών προσωπικού χαρακτήρα με τη χρήση άλλων τεχνολογιών εμπίπτουν πράγματι στο πεδίο εφαρμογής του κανονισμού 2016/679 και, κατά συνέπεια, στον μηχανισμό «μίας στάσεως». Δεδομένου ότι η αίτησή της περί αμοιβαίας συνδρομής αφορούσε αυτές τις μεταγενέστερες πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η AΠΔ ζήτησε, τον Απρίλιο του 2019, από τον επίτροπο προστασίας δεδομένων να δώσει συνέχεια στην αίτησή της το ταχύτερο δυνατόν, αίτημα ως προς το οποίο δεν υπήρξε ανταπόκριση.

75

Λαμβανομένου υπόψη του συνόλου των ανωτέρω σκέψεων, στο πρώτο υποβληθέν προδικαστικό ερώτημα προσήκει η απάντηση ότι το άρθρο 55, παράγραφος 1, τα άρθρα 56 έως 58 καθώς και τα άρθρα 60 έως 66 του κανονισμού 2016/679, σε συνδυασμό με τα άρθρα 7, 8 και 47 του Χάρτη, έχουν την έννοια ότι εποπτική αρχή κράτους μέλους η οποία, δυνάμει της εθνικής νομοθεσίας που θεσπίσθηκε εις εκτέλεση του άρθρου 58, παράγραφος 5, του ως άνω κανονισμού, έχει την εξουσία να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του εν λόγω κανονισμού σε δικαστήριο του εν λόγω κράτους μέλους και να κινεί, κατά περίπτωση, ένδικες διαδικασίες μπορεί να κάνει χρήση της εξουσίας αυτής στο πλαίσιο διασυνοριακής επεξεργασίας δεδομένων, μολονότι δεν είναι η «επικεφαλής εποπτική αρχή», κατά την έννοια του άρθρου 56, παράγραφος 1, του ίδιου κανονισμού, όσον αφορά αυτή την επεξεργασία δεδομένων, εφόσον πρόκειται για περίπτωση κατά την οποία ο κανονισμός 2016/679 παρέχει στη συγκεκριμένη εποπτική αρχή αρμοδιότητα προς έκδοση αποφάσεως διαπιστώνουσας ότι η εν λόγω επεξεργασία αντιβαίνει στους προβλεπόμενους σε αυτόν κανόνες και εφόσον τηρούνται οι διαδικασίες συνεργασίας και εφαρμόζεται ο μηχανισμός συνεκτικότητας που προβλέπει ο εν λόγω κανονισμός.

Επί του δεύτερου προδικαστικού ερωτήματος

76

Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι, σε περίπτωση διασυνοριακής επεξεργασίας δεδομένων, εποπτική αρχή κράτους μέλους διαφορετική από την επικεφαλής εποπτική αρχή μπορεί να κινεί ένδικες διαδικασίες, κατά την έννοια της διατάξεως αυτής, μόνον εφόσον ο υπεύθυνος της διασυνοριακής επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά του οποίου στρέφεται η ένδικη διαδικασία διαθέτει «κύρια εγκατάσταση», κατά την έννοια του άρθρου 4, σημείο 16, του κανονισμού 2016/679, στο έδαφος του εν λόγω κράτος μέλος ή κάποια άλλη εγκατάσταση σε αυτό.

77

Συναφώς, πρέπει να υπομνησθεί ότι, κατά το άρθρο 55, παράγραφος 1, του κανονισμού 2016/679, κάθε εποπτική αρχή είναι αρμόδια να ασκεί τα καθήκοντα και τις εξουσίες που της ανατίθενται σύμφωνα με τον εν λόγω κανονισμό στο έδαφος του κράτους μέλους της.

78

Το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 προβλέπει, επιπλέον, την εξουσία κάθε εποπτικής αρχής να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του εν λόγω κανονισμού και, κατά περίπτωση, να κινεί ή να μετέχει σε νομικές διαδικασίες ώστε να επιβάλει τις διατάξεις του.

79

Ωστόσο, επισημαίνεται ότι το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 είναι διατυπωμένο κατά τρόπο ευρύ και ότι ο νομοθέτης της Ένωσης δεν εξάρτησε την εκ μέρους εποπτικής αρχής κράτους μέλους άσκηση της εξουσίας αυτής από την προϋπόθεση να στρέφεται η ένδικη διαδικασία κατά υπευθύνου επεξεργασίας ο οποίος διαθέτει «κύρια εγκατάσταση», κατά την έννοια του άρθρου 4, σημείο 16, του κανονισμού αυτού, ή άλλη εγκατάσταση στο έδαφος του εν λόγω κράτους μέλους.

80

Εντούτοις, εποπτική αρχή κράτους μέλους μπορεί να ασκήσει την εξουσία που της απονέμει το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 μόνον εφόσον αποδεικνύεται ότι η εξουσία αυτή εμπίπτει στο εδαφικό πεδίο εφαρμογής του ως άνω κανονισμού.

81

Το άρθρο 3 του κανονισμού 2016/679, το οποίο ρυθμίζει το εδαφικό πεδίο εφαρμογής του κανονισμού, προβλέπει συναφώς, στην παράγραφο 1, ότι ο κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξαρτήτως του κατά πόσον η επεξεργασία πραγματοποιείται εντός της Ένωσης.

82

Συναφώς, η αιτιολογική σκέψη 22 του κανονισμού 2016/679 διευκρινίζει ότι μια τέτοια εγκατάσταση προϋποθέτει την ουσιαστική και πραγματική άσκηση δραστηριότητας μέσω σταθερών ρυθμίσεων και ότι ο νομικός τύπος των ρυθμίσεων αυτών, είτε πρόκειται για παράρτημα είτε για θυγατρική με νομική προσωπικότητα, δεν είναι καθοριστικής σημασίας ως προς το ζήτημα αυτό.

83

Επομένως, κατά το άρθρο 3, παράγραφος 1, του κανονισμού 2016/679, το εδαφικό πεδίο εφαρμογής του κανονισμού αυτού καθορίζεται, υπό την επιφύλαξη των περιπτώσεων των παραγράφων 2 και 3 του άρθρου αυτού, από την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για τη διασυνοριακή επεξεργασία διαθέτει εγκατάσταση στο έδαφος της Ένωσης.

84

Επομένως, στο δεύτερο προδικαστικό ερώτημα προσήκει η απάντηση ότι το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι, σε περίπτωση διασυνοριακής επεξεργασίας δεδομένων, εποπτική αρχή κράτους μέλους διαφορετική από την επικεφαλής εποπτική αρχή μπορεί να κινεί ένδικες διαδικασίες, κατά την έννοια της διατάξεως αυτής, χωρίς να απαιτείται ο υπεύθυνος επεξεργασίας ή ο εκτελών τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά του οποίου στρέφεται η ένδικη διαδικασία να διαθέτει κύρια εγκατάσταση ή άλλη εγκατάσταση στο έδαφος του κράτους μέλους αυτού.

Επί του τρίτου προδικαστικού ερωτήματος

85

Με το τρίτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι, σε περίπτωση διασυνοριακής επεξεργασίας δεδομένων, εποπτική αρχή κράτους μέλους διαφορετική από την επικεφαλής εποπτική αρχή μπορεί να ασκήσει την εξουσία της να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του εν λόγω κανονισμού σε δικαστήριο του εν λόγω κράτους μέλους και να κινεί, κατά περίπτωση, ένδικες διαδικασίες, κατά την έννοια της διατάξεως αυτής, μόνον υπό την προϋπόθεση ότι η ένδικη διαδικασία στρέφεται κατά της κύριας εγκαταστάσεως του υπευθύνου επεξεργασίας ή κατά της εγκαταστάσεως η οποία κείται στο κράτος μέλος στο οποίο η ίδια υπάγεται.

86

Από την απόφαση περί παραπομπής προκύπτει ότι το ερώτημα αυτό ανέκυψε στο πλαίσιο διαφωνίας μεταξύ των διαδίκων σχετικά με το αν το αιτούν δικαστήριο είναι αρμόδιο να επιληφθεί της αγωγής παραλείψεως κατά το μέρος που στρέφεται κατά της Facebook Belgium, λαμβανομένου υπόψη, αφενός, ότι, εντός της Ένωσης, η έδρα του ομίλου Facebook είναι στην Ιρλανδία και ότι η Facebook Ireland είναι ο αποκλειστικός υπεύθυνος για τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα για το σύνολο του εδάφους της Ένωσης και, αφετέρου, ότι δυνάμει ενός εσωτερικού καταμερισμού εντός του ομίλου, η κείμενη στο Βέλγιο εγκατάσταση δημιουργήθηκε, πρωτίστως για να παράσχει στον εν λόγω όμιλο τη δυνατότητα διατηρήσεως σχέσεων με τα θεσμικά όργανα της Ένωσης και, δευτερευόντως, χάριν της προωθήσεως των διαφημιστικών και εμπορικών δραστηριοτήτων του ιδίου ομίλου οι οποίες απευθύνονται σε πρόσωπα που κατοικούν στο Βέλγιο.

87

Όπως επισημάνθηκε στη σκέψη 47 της παρούσας αποφάσεως, το άρθρο 55, παράγραφος 1, του κανονισμού 2016/679 καθιερώνει την κατ’ αρχήν αρμοδιότητα κάθε εποπτικής αρχής για την άσκηση των καθηκόντων και των εξουσιών που της έχουν ανατεθεί, σύμφωνα με τον εν λόγω κανονισμό, στο έδαφος του κράτους μέλους στο οποίο αυτή υπάγεται.

88

Όσον αφορά την εξουσία εποπτικής αρχής κράτους μέλους να προσφεύγει στη δικαιοσύνη, κατά την έννοια του άρθρου 58, παράγραφος 5, του κανονισμού 2016/679, πρέπει να υπομνησθεί, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 150 των προτάσεών του, ότι η διάταξη αυτή είναι διατυπωμένη κατά τρόπο ευρύ και δεν προσδιορίζει τις οντότητες κατά των οποίων θα έπρεπε ή θα μπορούσαν να στραφούν οι εποπτικές αρχές για κάθε παράβαση του κανονισμού αυτού.

89

Κατά συνέπεια, η εν λόγω διάταξη δεν περιορίζει την άσκηση της εξουσίας κινήσεως ένδικων διαδικασιών υπό την έννοια ότι μια τέτοια ένδικη διαδικασία μπορεί να στρέφεται μόνον κατά «κύριας εγκαταστάσεως» ή κατά άλλης «εγκαταστάσεως» του υπευθύνου επεξεργασίας. Αντιθέτως, δυνάμει της ίδιας διατάξεως, όταν η εποπτική αρχή κράτους μέλους διαθέτει την αναγκαία προς τούτο αρμοδιότητα, κατ’ εφαρμογήν των άρθρων 55 και 56 του κανονισμού 2016/679, μπορεί να ασκεί τις εξουσίες που της αναθέτει ο κανονισμός αυτός στο έδαφός της, ανεξαρτήτως του κράτους μέλους στο οποίο είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.

90

Εντούτοις, η άσκηση της εξουσίας που αναθέτει σε κάθε εποπτική αρχή το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 προϋποθέτει ότι ο κανονισμός αυτός τυγχάνει εφαρμογής. Συναφώς, όπως υπογραμμίσθηκε στη σκέψη 81 της παρούσας αποφάσεως, το άρθρο 3, παράγραφος 1, του εν λόγω κανονισμού προβλέπει ότι ο εν λόγω κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης».

91

Λαμβανομένου υπόψη του σκοπού που επιδιώκει ο κανονισμός 2016/679, ο οποίος συνίσταται στη διασφάλιση της αποτελεσματικής προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, ιδίως του δικαιώματός τους στην προστασία της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα, η προϋπόθεση κατά την οποία η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να πραγματοποιείται «στο πλαίσιο των δραστηριοτήτων» της οικείας εγκαταστάσεως δεν μπορεί να ερμηνεύεται στενά (βλ., κατ’ αναλογίαν, απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, σκέψη 56 και εκεί μνημονευόμενη νομολογία).

92

Εν προκειμένω, από την απόφαση περί παραπομπής και από τις γραπτές παρατηρήσεις που κατέθεσε η Facebook Belgium προκύπτει ότι αυτή είναι επιφορτισμένη, πρωτίστως, με τη διατήρηση σχέσεων με τα θεσμικά όργανα της Ένωσης και, δευτερευόντως, με την προώθηση των διαφημιστικών και εμπορικών δραστηριοτήτων του ομίλου της οι οποίες απευθύνονται σε πρόσωπα που κατοικούν στο Βέλγιο.

93

Η επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία πραγματοποιείται στο έδαφος της Ένωσης αποκλειστικώς από τη Facebook Ireland και συνίσταται στη συλλογή πληροφοριών σχετικά με τη συμπεριφορά πλοηγήσεως τόσο των κατόχων λογαριασμού στη Facebook όσο και των μη χρηστών των υπηρεσιών της Facebook μέσω διαφόρων τεχνολογιών, όπως είναι, μεταξύ άλλων, τα «social plugins» και τα «pixels», έχει ακριβώς ως σκοπό να παράσχει στο συγκεκριμένο μέσο κοινωνικής δικτύωσης τη δυνατότητα να βελτιώσει την αποτελεσματικότητα του διαφημιστικού του συστήματος με τη στοχευμένη μετάδοση μηνυμάτων.

94

Επισημαίνεται, ωστόσο, ότι, αφενός, ένα μέσο κοινωνικής δικτύωσης όπως το Facebook πραγματοποιεί σημαντικό μέρος των εσόδων του χάρη, μεταξύ άλλων, στις διαφημίσεις οι οποίες μεταδίδονται μέσω αυτού και ότι η δραστηριότητα που ασκεί η κείμενη στο Βέλγιο εγκατάσταση προορίζεται να διασφαλίσει, στο εν λόγω κράτος μέλος, έστω και δευτερευόντως, την προώθηση και την πώληση διαφημιστικού χώρου που εξυπηρετούν την κερδοφορία των υπηρεσιών του Facebook. Αφετέρου, η κύρια δραστηριότητα που ασκεί η Facebook Belgium, η οποία συνίσταται στη διατήρηση σχέσεων με τα θεσμικά όργανα της Ένωσης και στη δημιουργία ενός σημείου επαφής με τα εν λόγω όργανα, αποσκοπεί, μεταξύ άλλων, στη χάραξη της πολιτικής στον τομέα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα από τη Facebook Ireland.

95

Υπό τις συνθήκες αυτές, οι δραστηριότητες της κείμενης στο Βέλγιο εγκαταστάσεως του ομίλου Facebook πρέπει να θεωρηθούν άρρηκτα συνδεδεμένες με την επίμαχη στην κύρια δίκη επεξεργασία δεδομένων προσωπικού χαρακτήρα, για την οποία υπεύθυνη είναι η Facebook Ireland όσον αφορά το έδαφος της Ένωσης. Ως εκ τούτου, η επεξεργασία αυτή πρέπει να θεωρηθεί ότι πραγματοποιείται «στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας», κατά την έννοια του άρθρου 3, παράγραφος 1, του κανονισμού 2016/679.

96

Λαμβανομένου υπόψη του συνόλου των ανωτέρω σκέψεων, στο τρίτο υποβληθέν προδικαστικό ερώτημα προσήκει η απάντηση ότι το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι εποπτική αρχή κράτους μέλους διαφορετική από την επικεφαλής εποπτική αρχή μπορεί να ασκεί την εξουσία να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του εν λόγω κανονισμού σε δικαστήριο του εν λόγω κράτους μέλους και να κινεί, κατά περίπτωση, ένδικες διαδικασίες, κατά την έννοια της διατάξεως αυτής, στρεφόμενη τόσο κατά της κύριας εγκαταστάσεως του υπευθύνου επεξεργασίας η οποία ευρίσκεται στο κράτος μέλος στο οποίο υπάγεται η εν λόγω αρχή όσο και κατά άλλης εγκαταστάσεως του εν λόγω υπευθύνου, εφόσον η ένδικη διαδικασία αφορά επεξεργασία δεδομένων η οποία πραγματοποιείται στο πλαίσιο των δραστηριοτήτων της εγκαταστάσεως αυτής και εφόσον η εν λόγω αρχή έχει αρμοδιότητα ασκήσεως της εξουσίας αυτής, σύμφωνα με τα όσα εκτέθηκαν στην απάντηση επί του πρώτου ερωτήματος.

Επί του τέταρτου προδικαστικού ερωτήματος

97

Με το τέταρτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι, όταν μια εποπτική αρχή κράτους μέλους η οποία δεν είναι η «επικεφαλής εποπτική αρχή», κατά την έννοια του άρθρου 56, παράγραφος 1, του ως άνω κανονισμού, έχει κινήσει, πριν από τις 25 Μαΐου 2018, ένδικη διαδικασία με αντικείμενο τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα, ήτοι πριν από την ημερομηνία κατά την οποία ο εν λόγω κανονισμός κατέστη εφαρμοστέος, η περίσταση αυτή δύναται να επηρεάσει τις προϋποθέσεις υπό τις οποίες η εν λόγω εποπτική αρχή ενός κράτους μέλους μπορεί να ασκήσει την εξουσία να κινεί ένδικες διαδικασίες την οποία αντλεί από το άρθρο 58, παράγραφος 5.

98

Συγκεκριμένα, ενώπιον του αιτούντος δικαστηρίου, η Facebook Ireland, η Facebook Inc. και η Facebook Belgium υποστηρίζουν ότι η εφαρμογή του κανονισμού 2016/679, από τις 25 Μαΐου 2018, θα είχε ως συνέπεια η διατήρηση της εκκρεμοδικίας αγωγής ασκηθείσας πριν από την ημερομηνία αυτή να δημιουργεί ζήτημα απαραδέκτου, αν όχι αβασίμου.

99

Επισημαίνεται, κατ’ αρχάς, ότι το άρθρο 99, παράγραφος 1, του κανονισμού 2016/679 προβλέπει ότι ο κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. Δεδομένου ότι ο κανονισμός αυτός δημοσιεύθηκε στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης στις 4 Μαΐου 2016, άρχισε να ισχύει στις 25 Μαΐου του ίδιου έτους. Επιπλέον, το άρθρο 99, παράγραφος 2, του εν λόγω κανονισμού προβλέπει ότι αυτός εφαρμόζεται από τις 25 Μαΐου 2018.

100

Υπενθυμίζεται συναφώς ότι ένας νέος κανόνας δικαίου έχει εφαρμογή από της ενάρξεως ισχύος της πράξεως με την οποία θεσπίζεται και, μολονότι δεν εφαρμόζεται επί των εννόμων καταστάσεων οι οποίες γεννήθηκαν και διαμορφώθηκαν οριστικώς υπό το κράτος του προγενέστερου νόμου, εφαρμόζεται εντούτοις στα μελλοντικά τους αποτελέσματα, καθώς και στις νέες έννομες καταστάσεις. Το αντίθετο ισχύει, υπό την επιφύλαξη της αρχής της μη αναδρομικότητας των νομικών πράξεων, μόνο σε περίπτωση που ο νέος κανόνας συνοδεύεται από ειδικές διατάξεις οι οποίες καθορίζουν συγκεκριμένα τις προϋποθέσεις διαχρονικής του εφαρμογής. Ειδικότερα, οι διαδικαστικοί κανόνες εφαρμόζονται γενικώς κατά την ημερομηνία ενάρξεως της ισχύος τους, πράγμα που δεν συμβαίνει με τους κανόνες ουσιαστικού δικαίου, οι οποίοι συνήθως ερμηνεύονται υπό την έννοια ότι δεν αφορούν τις καταστάσεις που δημιουργήθηκαν πριν από την έναρξη της ισχύος τους παρά μόνο στον βαθμό που προκύπτει σαφώς από το γράμμα τους, τον σκοπό τους ή την όλη οικονομία τους ότι πρέπει να παράγουν τέτοια αποτελέσματα [απόφαση της 25ης Φεβρουαρίου 2021, Caisse pour l’avenir des enfants (Εργασία κατά τη γέννηση), C‑129/20, EU:C:2021:140, σκέψη 31 και εκεί μνημονευόμενη νομολογία].

101

Ο κανονισμός 2016/679 δεν περιέχει κανέναν μεταβατικό ή άλλον κανόνα που να διέπει το καθεστώς των δικαστικών διαδικασιών οι οποίες κινήθηκαν πριν τεθεί σε εφαρμογή και βρίσκονταν ακόμη σε εξέλιξη κατά την ημερομηνία κατά την οποία κατέστη εφαρμοστέος. Ειδικότερα, καμία διάταξη του κανονισμού αυτού δεν προβλέπει ότι αυτός έχει ως αποτέλεσμα την κατάργηση όλων των εκκρεμών στις 25 Μαΐου 2018 ένδικων διαδικασιών που αφορούν προβαλλόμενες παραβάσεις των κανόνων της οδηγίας 95/46 οι οποίοι διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τούτο δε ακόμη και αν οι συμπεριφορές που φέρεται να στοιχειοθετούν τέτοιες παραβάσεις εξακολουθούν να υφίστανται και μετά την ημερομηνία αυτή.

102

Εν προκειμένω, το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 προβλέπει κανόνες οι οποίοι διέπουν την εξουσία μιας εποπτικής αρχής να γνωστοποιεί κάθε παράβαση του κανονισμού αυτού στις δικαστικές αρχές και, κατά περίπτωση, να κινεί ή να μετέχει κατ’ άλλον τρόπο σε ένδικες διαδικασίες, ώστε να επιβάλει τις διατάξεις του εν λόγω κανονισμού.

103

Υπό τις συνθήκες αυτές, πρέπει να γίνει διάκριση μεταξύ των ένδικων διαδικασιών που έχουν κινηθεί από εποπτική αρχή κράτους μέλους και αφορούν παραβάσεις των κανόνων προστασίας των δεδομένων προσωπικού χαρακτήρα διαπραχθείσες από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία πριν από την ημερομηνία κατά την οποία άρχισε να εφαρμόζεται ο κανονισμός 2016/679 και εκείνων που αφορούν παραβάσεις διαπραχθείσες μετά την ημερομηνία αυτή.

104

Στην πρώτη περίπτωση, από την άποψη του δικαίου της Ένωσης, η εκκρεμοδικία αγωγής όπως η κρινόμενη στην υπόθεση της κύριας δίκης μπορεί να διατηρηθεί βάσει των διατάξεων της οδηγίας 95/46, η οποία εξακολουθεί να εφαρμόζεται όσον αφορά τις παραβάσεις οι οποίες διαπράχθηκαν έως την ημερομηνία καταργήσεώς της, ήτοι έως τις 25 Μαΐου 2018. Στη δεύτερη περίπτωση, μια τέτοια αγωγή μπορεί να ασκηθεί, δυνάμει του άρθρου 58, παράγραφος 5, του κανονισμού 2016/679, μόνον υπό την προϋπόθεση ότι, όπως υπογραμμίστηκε στο πλαίσιο της απαντήσεως στο πρώτο προδικαστικό ερώτημα, η αγωγή αυτή εμπίπτει σε περίπτωση κατά την οποία ο κανονισμός κατ’ εξαίρεση απονέμει σε εποπτική αρχή κράτους μέλους η οποία δεν είναι η «επικεφαλής εποπτική αρχή» αρμοδιότητα εκδόσεως αποφάσεως διαπιστώνουσας ότι η επίμαχη επεξεργασία δεδομένων αντιβαίνει στους κανόνες του εν λόγω κανονισμού όσον αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, και υπό την προϋπόθεση ότι τηρούνται οι προβλεπόμενες στον ίδιο κανονισμό διαδικασίες.

105

Λαμβανομένου υπόψη του συνόλου των ανωτέρω σκέψεων, στο τέταρτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι, όταν μια εποπτική αρχή κράτους μέλους η οποία δεν είναι η «επικεφαλής εποπτική αρχή», κατά την έννοια του άρθρου 56, παράγραφος 1, του κανονισμού αυτού, έχει κινήσει ένδικη διαδικασία με αντικείμενο διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα πριν από τις 25 Μαΐου 2018, ήτοι πριν από την ημερομηνία κατά την οποία ο εν λόγω κανονισμός κατέστη εφαρμοστέος, η εκκρεμοδικία στο πλαίσιο της εν λόγω ένδικης διαδικασίας μπορεί, από απόψεως δικαίου της Ένωσης, να διατηρηθεί επί τη βάσει των διατάξεων της οδηγίας 95/46, η οποία εξακολουθεί να εφαρμόζεται όσον αφορά τις παραβάσεις οι οποίες διαπράχθηκαν έως την ημερομηνία καταργήσεώς της. Εξάλλου, η εν λόγω αρχή μπορεί να κινήσει ένδικη διαδικασία για παραβάσεις που διαπράχθηκαν μετά την ημερομηνία αυτή, επί τη βάσει του άρθρου 58, παράγραφος 5, του κανονισμού 2016/679, εφόσον πρόκειται για περίπτωση κατά την οποία ο εν λόγω κανονισμός κατ’ εξαίρεση απονέμει σε εποπτική αρχή κράτους μέλους η οποία δεν είναι η «επικεφαλής εποπτική αρχή» αρμοδιότητα προς έκδοση αποφάσεως διαπιστώνουσας ότι η οικεία επεξεργασία δεδομένων αντιβαίνει στους προβλεπόμενους στον εν λόγω κανονισμό κανόνες όσον αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και εφόσον τηρούνται οι διαδικασίες συνεργασίας και εφαρμόζεται ο μηχανισμός συνεκτικότητας που προβλέπει ο ίδιος κανονισμός, όπερ εναπόκειται στο αιτούν δικαστήριο να εξακριβώσει.

Επί του πέμπτου προδικαστικού ερωτήματος

106

Με το πέμπτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ερωτά, κατ’ ουσίαν, σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα, αν το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι η διάταξη αυτή έχει άμεσο αποτέλεσμα, οπότε εθνική εποπτική αρχή μπορεί να επικαλεσθεί την εν λόγω διάταξη προκειμένου να κινήσει ή να συνεχίσει ένδικη διαδικασία κατά ιδιωτών, ακόμη και αν η εν λόγω διάταξη δεν έχει τεθεί σε εφαρμογή στη νομοθεσία του οικείου κράτους μέλους.

107

Κατά το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679, κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική αρχή του έχει την εξουσία να γνωστοποιεί κάθε παράβαση του κανονισμού αυτού στις δικαστικές αρχές και, κατά περίπτωση, να κινεί ή να μετέχει κατ’ άλλο τρόπο σε νομικές διαδικασίες, ώστε να επιβάλει τις διατάξεις του εν λόγω κανονισμού.

108

Προκαταρκτικώς, επιβάλλεται η διαπίστωση ότι, όπως υποστηρίζει η Βελγική Κυβέρνηση, το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 τέθηκε σε εφαρμογή στη βελγική έννομη τάξη με το άρθρο 6 του νόμου της 3ης Δεκεμβρίου 2017. Συγκεκριμένα, κατά το εν λόγω άρθρο 6, το οποίο έχει διατύπωση κατ’ ουσίαν πανομοιότυπη με εκείνη του άρθρου 58, παράγραφος 5, του κανονισμού 2016/679, η AΠΔ έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές κάθε παράβαση των θεμελιωδών αρχών της προστασίας των δεδομένων προσωπικού χαρακτήρα, στο πλαίσιο του παρόντος νόμου και των νόμων που περιέχουν διατάξεις σχετικά με την προστασία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, και να κινεί, κατά περίπτωση, ένδικες διαδικασίες προκειμένου να εφαρμοσθούν οι θεμελιώδεις αυτές αρχές. Κατά συνέπεια, πρέπει να γίνει δεκτό ότι η AΠΔ μπορεί να στηριχθεί σε διάταξη του εθνικού δικαίου, όπως το άρθρο 6 του νόμου της 3ης Δεκεμβρίου 2017, με το οποίο τίθεται σε εφαρμογή στο βελγικό δίκαιο το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679, προκειμένου να κινεί ένδικες διαδικασίες προς διασφάλιση της τηρήσεως του κανονισμού αυτού.

109

Εξάλλου, χάριν πληρότητας, επισημαίνεται ότι, δυνάμει του άρθρου 288, δεύτερο εδάφιο, ΣΛΕΕ, ένας κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος, οπότε οι διατάξεις του δεν απαιτούν, κατ’ αρχήν, κανένα μέτρο εφαρμογής των κρατών μελών.

110

Συναφώς, υπενθυμίζεται ότι, κατά πάγια νομολογία του Δικαστηρίου, δυνάμει του άρθρου 288 ΣΛΕΕ και λόγω της φύσεως των κανονισμών και της λειτουργίας τους στο σύστημα των πηγών του δικαίου της Ένωσης, οι διατάξεις των κανονισμών έχουν, εν γένει, άμεσο αποτέλεσμα στις εθνικές έννομες τάξεις, χωρίς να απαιτείται από τις εθνικές αρχές να λαμβάνουν μέτρα εφαρμογής. Εντούτοις, για την εφαρμογή ορισμένων από τις διατάξεις αυτές ενδέχεται να απαιτείται η λήψη μέτρων εφαρμογής από τα κράτη μέλη (απόφαση της 15ης Μαρτίου 2017, Al Chodor, C‑528/15, EU:C:2017:213, σκέψη 27 και εκεί μνημονευόμενη νομολογία).

111

Όπως, όμως, επισήμανε κατ’ ουσίαν ο γενικός εισαγγελέας στο σημείο 167 των προτάσεών του, το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 προβλέπει ειδικό και απευθείας εφαρμοστέο κανόνα, δυνάμει του οποίου οι εποπτικές αρχές πρέπει να έχουν ενεργητική νομιμοποίηση ενώπιον των εθνικών δικαστηρίων και να έχουν την ικανότητα να κινούν ένδικες διαδικασίες δυνάμει του εθνικού δικαίου.

112

Από το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 δεν προκύπτει ότι τα κράτη μέλη οφείλουν να καθορίζουν με ρητή διάταξη ποιες είναι οι περιστάσεις υπό τις οποίες οι εθνικές αρχές ελέγχου μπορούν να κινούν ένδικες διαδικασίες, κατά την έννοια της διατάξεως αυτής. Αρκεί η εποπτική αρχή να έχει τη δυνατότητα, σύμφωνα με την εθνική νομοθεσία, να γνωστοποιεί στις δικαστικές αρχές παραβάσεις του κανονισμού αυτού και, κατά περίπτωση, να κινεί ένδικες διαδικασίες για την εφαρμογή των διατάξεων του εν λόγω κανονισμού.

113

Κατόπιν όλων των ανωτέρω σκέψεων, στο πέμπτο προδικαστικό ερώτημα προσήκει η απάντηση ότι το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι η διάταξη αυτή έχει άμεσο αποτέλεσμα, οπότε εθνική εποπτική αρχή μπορεί να την επικαλεσθεί προκειμένου να κινήσει ή να συνεχίσει ένδικη διαδικασία κατά ιδιωτών, ακόμη και αν η εν λόγω διάταξη δεν έχει τεθεί ειδικώς σε εφαρμογή στη νομοθεσία του οικείου κράτους μέλους.

Επί του έκτου προδικαστικού ερωτήματος

114

Με το έκτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ερωτά, κατ’ ουσίαν, αν, σε περίπτωση καταφατικής απαντήσεως στα πέντε πρώτα ερωτήματα, η έκβαση ένδικης διαδικασίας κινηθείσας από εποπτική αρχή κράτους μέλους σχετικά με διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να εμποδίσει την επικεφαλής εποπτική αρχή να εκδώσει απόφαση με την οποία να καταλήγει σε αντίθετη διαπίστωση, στην περίπτωση κατά την οποία διερευνά τις ίδιες ή παρόμοιες πράξεις διασυνοριακής επεξεργασίας, σύμφωνα με τον μηχανισμό που προβλέπουν τα άρθρα 56 και 60 του κανονισμού 2016/679.

115

Συναφώς, υπενθυμίζεται ότι, κατά πάγια νομολογία, για τα ερωτήματα που αφορούν το δίκαιο της Ένωσης ισχύει τεκμήριο λυσιτέλειας. Το Δικαστήριο μπορεί να αρνηθεί να αποφανθεί επί προδικαστικού ερωτήματος υποβληθέντος από εθνικό δικαστήριο μόνον όταν προδήλως προκύπτει ότι η ζητούμενη ερμηνεία κανόνα της Ένωσης ουδεμία σχέση έχει με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης, όταν το πρόβλημα είναι υποθετικής φύσεως ή ακόμη όταν το Δικαστήριο δεν διαθέτει τα πραγματικά και νομικά στοιχεία που είναι αναγκαία προκειμένου να δώσει χρήσιμη απάντηση στα ερωτήματα που του έχουν υποβληθεί (αποφάσεις της 16ης Ιουνίου 2015, Gauweiler κ.λπ., C‑62/14, EU:C:2015:400, σκέψη 25, και της 7ης Φεβρουαρίου 2018, American, C‑304/16, EU:C:2018:66, σκέψη 32).

116

Επιπλέον, κατά πάγια επίσης νομολογία, ο δικαιολογητικός λόγος της προδικαστικής παραπομπής δεν έγκειται στη διατύπωση συμβουλευτικής γνώμης επί γενικών ή υποθετικών ζητημάτων, αλλά στην ανάγκη αποτελεσματικής επιλύσεως μιας ένδικης διαφοράς (απόφαση της 10ης Δεκεμβρίου 2018, Wightman κ.λπ., C‑621/18, EU:C:2018:999, σκέψη 28 και εκεί μνημονευόμενη νομολογία).

117

Εν προκειμένω, πρέπει να υπογραμμιστεί ότι, όπως παρατηρεί η Βελγική Κυβέρνηση, το έκτο προδικαστικό ερώτημα στηρίζεται σε περιστάσεις οι οποίες ουδόλως αποδείχθηκαν ότι εμφανίζονται στη διαφορά της κύριας δίκης, ήτοι ότι, για τη διασυνοριακή επεξεργασία που αποτελεί το αντικείμενο της διαφοράς αυτής υπάρχει επικεφαλής εποπτική αρχή η οποία όχι μόνον διερευνά τις ίδιες ή παρόμοιες πράξεις διασυνοριακής επεξεργασίας δεδομένων προσωπικού χαρακτήρα με εκείνες που αποτελούν αντικείμενο της δικαστικής διαδικασίας που κινήθηκε από την εποπτική αρχή του οικείου κράτους μέλους, αλλά και προτίθεται να εκδώσει απόφαση με την οποία καταλήγει σε αντίθετη διαπίστωση.

118

Υπό τις συνθήκες αυτές, πρέπει να γίνει δεκτό ότι το έκτο προδικαστικό ερώτημα δεν έχει καμία σχέση με το υποστατό ή το αντικείμενο της διαφοράς της κύριας δίκης και αφορά υποθετικό πρόβλημα. Κατά συνέπεια, το ερώτημα αυτό πρέπει να κριθεί απαράδεκτο.

Επί των δικαστικών εξόδων

119

Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

 

Για τους λόγους αυτούς, το Δικαστήριο (τμήμα μείζονος συνθέσεως) αποφαίνεται:

 

1)

Το άρθρο 55, παράγραφος 1, τα άρθρα 56 έως 58 και τα άρθρα 60 έως 66 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), σε συνδυασμό με τα άρθρα 7, 8 και 47 του Χάρτη, έχουν την έννοια ότι εποπτική αρχή κράτους μέλους η οποία, δυνάμει της εθνικής νομοθεσίας που θεσπίσθηκε εις εκτέλεση του άρθρου 58, παράγραφος 5, του ως άνω κανονισμού, έχει την εξουσία να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του εν λόγω κανονισμού σε δικαστήριο του εν λόγω κράτους μέλους και να κινεί, κατά περίπτωση, ένδικες διαδικασίες μπορεί να κάνει χρήση της εξουσίας αυτής στο πλαίσιο διασυνοριακής επεξεργασίας δεδομένων, μολονότι δεν είναι η «επικεφαλής εποπτική αρχή», κατά την έννοια του άρθρου 56, παράγραφος 1, του ίδιου κανονισμού, όσον αφορά αυτή την επεξεργασία δεδομένων, εφόσον πρόκειται για περίπτωση κατά την οποία ο κανονισμός 2016/679 παρέχει στη συγκεκριμένη εποπτική αρχή αρμοδιότητα προς έκδοση αποφάσεως διαπιστώνουσας ότι η εν λόγω επεξεργασία αντιβαίνει στους προβλεπόμενους σε αυτόν κανόνες και εφόσον τηρούνται οι διαδικασίες συνεργασίας και εφαρμόζεται ο μηχανισμός συνεκτικότητας που προβλέπει ο εν λόγω κανονισμός.

 

2)

Το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι, σε περίπτωση διασυνοριακής επεξεργασίας δεδομένων, εποπτική αρχή κράτους μέλους διαφορετική από την επικεφαλής εποπτική αρχή μπορεί να κινεί ένδικες διαδικασίες, κατά την έννοια της διατάξεως αυτής, χωρίς να απαιτείται ο υπεύθυνος επεξεργασίας ή ο εκτελών τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά του οποίου στρέφεται η ένδικη διαδικασία να διαθέτει κύρια εγκατάσταση ή άλλη εγκατάσταση στο έδαφος του κράτους μέλους αυτού.

 

3)

Το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι εποπτική αρχή κράτους μέλους διαφορετική από την επικεφαλής εποπτική αρχή μπορεί να ασκεί την εξουσία να γνωστοποιεί οποιαδήποτε προβαλλόμενη παράβαση του εν λόγω κανονισμού σε δικαστήριο του εν λόγω κράτους μέλους και να κινεί, κατά περίπτωση, ένδικες διαδικασίες, κατά την έννοια της διατάξεως αυτής, στρεφόμενη τόσο κατά της κύριας εγκαταστάσεως του υπευθύνου επεξεργασίας η οποία ευρίσκεται στο κράτος μέλος στο οποίο υπάγεται η εν λόγω αρχή όσο και κατά άλλης εγκαταστάσεως του εν λόγω υπευθύνου, εφόσον η ένδικη διαδικασία αφορά επεξεργασία δεδομένων η οποία πραγματοποιείται στο πλαίσιο των δραστηριοτήτων της εγκαταστάσεως αυτής και εφόσον η εν λόγω αρχή έχει αρμοδιότητα ασκήσεως της εξουσίας αυτής, σύμφωνα με τα όσα εκτέθηκαν στην απάντηση επί του πρώτου ερωτήματος.

 

4)

Το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι, όταν μια εποπτική αρχή κράτους μέλους η οποία δεν είναι η «επικεφαλής εποπτική αρχή», κατά την έννοια του άρθρου 56, παράγραφος 1, του κανονισμού αυτού, έχει κινήσει ένδικη διαδικασία με αντικείμενο διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα πριν από τις 25 Μαΐου 2018, ήτοι πριν από την ημερομηνία κατά την οποία ο εν λόγω κανονισμός κατέστη εφαρμοστέος, η εκκρεμοδικία στο πλαίσιο της εν λόγω ένδικης διαδικασίας μπορεί, από απόψεως δικαίου της Ένωσης, να διατηρηθεί επί τη βάσει των διατάξεων της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, η οποία εξακολουθεί να εφαρμόζεται όσον αφορά τις παραβάσεις οι οποίες διαπράχθηκαν έως την ημερομηνία καταργήσεώς της. Εξάλλου, η εν λόγω αρχή μπορεί να κινήσει ένδικη διαδικασία για παραβάσεις που διαπράχθηκαν μετά την ημερομηνία αυτή, επί τη βάσει του άρθρου 58, παράγραφος 5, του κανονισμού 2016/679, εφόσον πρόκειται για περίπτωση κατά την οποία ο εν λόγω κανονισμός κατ’ εξαίρεση απονέμει σε εποπτική αρχή κράτους μέλους η οποία δεν είναι η «επικεφαλής εποπτική αρχή» αρμοδιότητα προς έκδοση αποφάσεως διαπιστώνουσας ότι η οικεία επεξεργασία δεδομένων αντιβαίνει στους προβλεπόμενους στον εν λόγω κανονισμό κανόνες όσον αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και εφόσον τηρούνται οι διαδικασίες συνεργασίας και εφαρμόζεται ο μηχανισμός συνεκτικότητας που προβλέπει ο ίδιος κανονισμός, όπερ εναπόκειται στο αιτούν δικαστήριο να εξακριβώσει.

 

5)

Το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι η διάταξη αυτή έχει άμεσο αποτέλεσμα, οπότε εθνική εποπτική αρχή μπορεί να την επικαλεσθεί προκειμένου να κινήσει ή να συνεχίσει ένδικη διαδικασία κατά ιδιωτών, ακόμη και αν η εν λόγω διάταξη δεν έχει τεθεί ειδικώς σε εφαρμογή στη νομοθεσία του οικείου κράτους μέλους.

 

(υπογραφές)


( *1 ) Γλώσσα διαδικασίας: η ολλανδική.