Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62019CJ0645

    Euroopa Kohtu otsus (suurkoda), 15.6.2021.
    Facebook Ireland Limited jt versus Gegevensbeschermingsautoriteit.
    Eelotsusetaotlus, mille on esitanud Hof van beroep te Brussel.
    Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 47 – Määrus (EL) 2016/679 – Isikuandmete piiriülene töötlemine – Ühtse kontaktpunkti mehhanism – Järelevalveasutuste lojaalne ja tõhus koostöö – Pädevus ja volitused – Õigus osaleda kohtumenetluses.
    Kohtuasi C-645/19.

    ECLI identifier: ECLI:EU:C:2021:483

     EUROOPA KOHTU OTSUS (suurkoda)

    15. juuni 2021 ( *1 )

    Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 47 – Määrus (EL) 2016/679 – Isikuandmete piiriülene töötlemine – Ühtse kontaktpunkti mehhanism – Järelevalveasutuste lojaalne ja tõhus koostöö – Pädevus ja volitused – Õigus osaleda kohtumenetluses

    Kohtuasjas C‑645/19,

    mille ese on ELTL artikli 267 alusel hof van beroep te Brusseli (Brüsseli apellatsioonikohus, Belgia) 8. mai 2019. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 30. augustil 2019, menetluses

    Facebook Ireland Ltd,

    Facebook Inc.,

    Facebook Belgium BVBA,

    versus

    Gegevensbeschermingsautoriteit,

    EUROOPA KOHUS (suurkoda),

    koosseisus: president K. Lenaerts, asepresident R. Silva de Lapuerta, kodade presidendid A. Arabadjiev, A. Prechal, M. Vilaras, M. Ilešič ja N. Wahl, kohtunikud E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P. G. Xuereb ja L. S. Rossi (ettekandja),

    kohtujurist: M. Bobek,

    kohtusekretär: vanemametnik M. Ferreira,

    arvestades kirjalikku menetlust ja 5. oktoobri 2020. aasta kohtuistungil esitatut,

    arvestades seisukohti, mille esitasid:

    Facebook Ireland Ltd, Facebook Inc. ja Facebook Belgium BVBA, esindajad: advocaten S. Raes, P. Lefebvre ja D. Van Liedekerke,

    Gegevensbeschermingsautoriteit, esindajad: advocaten F. Debusseré ja R. Roex,

    Belgia valitsus, esindajad: J.‑C. Halleux, P. Cottin ja C. Pochet, keda abistas advocaat P. Paepe,

    Tšehhi valitsus, esindajad: M. Smolek, O. Serdula ja J. Vláčil,

    Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato G. Natale,

    Poola valitsus, esindaja: B. Majczyna,

    Portugali valitsus, esindajad: L. Inez Fernandes, A. C. Guerra, P. Barros da Costa ja L. Medeiros,

    Soome valitsus, esindajad: A. Laine ja M. Pere,

    Euroopa Komisjon, esindajad: H. Kranenborg, D. Nardi ja P. J. O. Van Nuffel,

    olles 13. jaanuari 2021. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

    on teinud järgmise

    otsuse

    1

    Eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1, ning parandused ELT 2016, L 314, lk 72 ja ELT 2018, L 127, lk 3) artikli 55 lõiget 1, artikleid 56–58 ja 60–66 lähtuvalt Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artiklitest 7, 8 ja 47.

    2

    Taotlus on esitatud kohtuvaidluses, mille pooled on ühelt poolt Facebook Ireland Ltd, Facebook Inc. ja Facebook Belgium BVBA ning teiselt poolt Commissie ter bescherming van de persoonlijke levenssfeeri (eraelu puutumatuse kaitse komisjon, Belgia) (edaspidi „CPVP“) õigusjärglane Gegevensbeschermingsautoriteit (Belgia andmekaitseamet) (edaspidi „APD“), ja mille ese on CPVP esimehe algatatud rikkumise lõpetamise menetlus, milles nõutakse, et veebipõhine suhtlusvõrgustik Facebook lõpetaks internetikasutajate isikuandmete küpsiste, sotsiaalmeedia pluginate (social plug-ins) ja pikslite abil töötlemise Belgia territooriumil.

    Õiguslik raamistik

    Liidu õigus

    3

    Määruse 2016/679 põhjendustes 1, 4, 10, 11, 13, 22, 123, 141 ja 145 on märgitud:

    „(1)

    Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. [Harta] artikli 8 lõikes 1 ja [ELTL] artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

    […]

    (4)

    Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, eelkõige õigusest era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, isikuandmete kaitsest, mõtte-, südametunnistuse- ja usuvabadusest, sõna- ja teabevabadusest, ettevõtlusvabadusest, õigusest tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuurilisele, usulisele ja keelelisele mitmekesisusele.

    […]

    (10)

    Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel [Euroopa L]iidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]

    (11)

    Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides.

    […]

    (13)

    Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö. […]

    […]

    (22)

    Liidus paikneva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames tuleks töödelda isikuandmeid vastavalt käesolevale määrusele, sõltumata sellest, kas töödeldakse liidus või mitte. Tegevuskoht eeldab tegelikku ja tulemuslikku tegutsemist ning püsivat korda. Sellise korra õiguslik vorm (kas filiaali või juriidilisest isikust tütarettevõtja kaudu) ei ole selles osas määrav.

    […]

    (123)

    Järelevalveasutused peaksid jälgima käesoleva määruse sätete kohaldamist ja aitama kaasa selle ühtsele kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel ning soodustada isikuandmete vaba liikumist siseturul. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja [Euroopa K]omisjoniga, ilma et liikmesriikide vahel oleks vaja sõlmida vastastikuse abi andmise või koostöö tegemise lepingut.

    […]

    (141)

    Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva määruse kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. […]

    […]

    (145)

    Vastutava töötleja või volitatud töötleja vastase hagi korral peaks hagejal olema võimalik esitada hagi kohtule liikmesriigis, kus on vastutava töötleja või volitatud töötleja tegevuskoht, või andmesubjekti elukohariigis, välja arvatud juhul, kui vastutav töötleja on liikmesriigi avaliku sektori asutus, kes teostab oma avalikku võimu.“

    4

    Määruse artikli 3 „Territoriaalne kohaldamisala“ lõikes 1 on ette nähtud:

    „Käesolevat määrust kohaldatakse liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töödeldakse liidus või väljaspool liitu.“

    5

    Määruse artikli 4 punktis 16 on mõiste „peamine tegevuskoht“ ja punktis 23 on mõiste „isikuandmete piiriülene töötlemine“ määratletud järgmiselt:

    „16) „peamine tegevuskoht“ –

    a)

    kui vastutaval töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja liidus asuvas muus tegevuskohas ning sellel tegevuskohal on volitused neid otsuseid rakendada – sellisel juhul loetakse peamiseks tegevuskohaks tegevuskohta, kus sellised otsused vastu võetakse;

    b)

    kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus või kui volitatud töötlejal ei ole juhatust liidus, siis volitatud töötleja tegevuskoht liidus, kus toimub peamine töötlemistegevus seoses volitatud töötleja tegevusega sellises ulatuses, et volitatud töötleja suhtes kehtivad käesoleva määruse kohased konkreetsed kohustused;

    […]

    23) „isikuandmete piiriülene töötlemine“ –

    a)

    isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või

    b)

    isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis“.

    6

    Määruse artiklis 51 „Järelevalveasutus“ on ette nähtud:

    „1.   Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus […].

    2.   Järelevalveasutus annab panuse käesoleva määruse ühtse kohaldamise tagamiseks kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja komisjoniga koostööd kooskõlas VII peatükiga.

    […]“.

    7

    Määruse 2016/679 VI peatükki „Sõltumatud järelevalveasutused“ kuuluva artikli 55 „Pädevus“ on sätestatud:

    „1.   Järelevalveasutus on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud.

    2.   Kui töötlejad on avaliku sektori või eraõiguslikud asutused, kes tegutsevad artikli 6 lõike 1 punktide c või e alusel, on pädevaks asutuseks asjaomase liikmesriigi järelevalveasutus. Sel juhul artiklit 56 ei kohaldata.“

    8

    Määruse artiklis 56 „Juhtiva järelevalveasutuse pädevus“ on sätestatud:

    „1.   Ilma et see piiraks artikli 55 kohaldamist, on vastutava töötleja või volitatud töötleja peamise või ainsa tegevuskoha järelevalveasutus pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piiriülese isikuandmete töötlemise toimingu suhtes kooskõlas artiklis 60 sätestatud menetlusega.

    2.   Erandina lõikest 1 on järelevalveasutus pädev menetlema talle esitatud kaebust või käesoleva määruse võimalikku rikkumist, kui küsimus on seotud ainult tema liikmesriigis asuva tegevuskohaga või mõjutab oluliselt ainult tema liikmesriigis asuvaid andmesubjekte.

    3.   Käesoleva artikli lõikes 2 osutatud juhtudel teavitab järelevalveasutus sellest küsimusest viivitamatult juhtivat järelevalveasutust. Kolme nädala jooksul pärast teavitamist otsustab juhtiv järelevalveasutus, kas ta asub juhtumit kooskõlas artiklis 60 sätestatuga menetlema, võttes arvesse seda, kas vastutava töötleja või volitatud töötleja tegevuskoht on teda teavitanud järelevalveasutuse liikmesriigis.

    4.   Kui juhtiv järelevalveasutus otsustab juhtumit käsitleda, kohaldatakse artiklis 60 sätestatud menetlust. Juhtivat järelevalveasutust teavitanud järelevalveasutus võib juhtivale järelevalveasutusele esitada otsuse eelnõu. Juhtiv järelevalveasutus võtab seda eelnõu täiel määral arvesse artikli 60 lõikes 3 osutatud otsuse eelnõu ettevalmistamisel.

    5.   Kui juhtiv järelevalveasutus otsustab juhtumit mitte käsitleda, käsitleb seda juhtumit kooskõlas artiklitega 61 ja 62 see järelevalveasutus, kes juhtivat järelevalveasutust teavitas.

    6.   Piiriülese isikuandmete töötlemise toimingu puhul on vastutava töötleja või volitatud töötleja ainus partner juhtiv järelevalveasutus.“

    9

    Määruse 2016/679 artikli 57 „Ülesanded“ lõikes 1 on sätestatud:

    „1. Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, teeb järelevalveasutus oma territooriumil järgmist:

    a)

    jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise;

    […]

    g)

    teeb koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet ja osutades abi, et tagada käesoleva määruse ühetaoline kohaldamine ja täitmise tagamine;

    […]“.

    10

    Määruse artikli 58 „Volitused“ lõigetes 1, 4 ja 5 on ette nähtud:

    „1.   Järelevalveasutusel on järgmised uurimisvolitused:

    a)

    anda korraldus, et vastutav töötleja või volitatud töötleja või vajaduse korral vastutava töötleja või volitatud töötleja esindaja annab teavet, mis on vajalik tema ülesannete täitmiseks;

    […]

    d)

    teavitada vastutavat töötlejat või volitatud töötlejat käesoleva määruse väidetavast rikkumisest;

    […]

    4.   Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.

    5.   Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlust või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.“

    11

    Määruse 2016/679 VII peatüki „Koostöö ja järjepidevus“ 1. jagu „Koostöö“ sisaldab määruse artikleid 60–62. Artiklis 60 „Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö“ on sätestatud:

    „1.   Juhtiv järelevalveasutus teeb käesoleva artikli kohaselt koostööd teiste asjaomaste järelevalveasutustega, püüdes saavutada konsensust. Juhtiv järelevalveasutus ja asjaomased järelevalveasutused vahetavad üksteisega kogu asjaomast teavet.

    2.   Juhtiv järelevalveasutus võib teistelt asjaomastelt järelevalveasutustelt igal ajal nõuda artikli 61 kohase vastastikuse abi osutamist ning läbi viia artikli 62 kohaseid ühisoperatsioone, eelkõige uurimiste läbiviimiseks või teises liikmesriigis asuva vastutava töötleja või volitatud töötleja suhtes võetud meetme rakendamise järelevalveks.

    3.   Juhtiv järelevalveasutus edastab küsimusega seotud asjaomase teabe viivitamata teistele asjaomastele järelevalveasutustele. Ta esitab otsuse eelnõu viivitamata teistele asjaomastele järelevalveasutustele arvamuse saamiseks ja võtab asjakohaselt arvesse nende seisukohti.

    4.   Kui mõni teine asjaomane järelevalveasutus esitab nelja nädala jooksul pärast seda, kui temaga on käesoleva artikli lõike 3 kohaselt otsuse eelnõu osas konsulteeritud, asjakohase ja põhjendatud vastuväite otsuse eelnõu kohta, esitab juhtiv järelevalveasutus juhul, kui ta ei võta asjakohast ja põhjendatud vastuväidet arvesse või on seisukohal, et vastuväide ei ole asjakohane ega põhjendatud, küsimuse käsitlemiseks artiklis 63 osutatud järjepidevuse mehhanismi raames.

    5.   Kui juhtiv järelevalveasutus kavatseb asjakohase ja põhjendatud vastuväite arvesse võtta, esitab ta teistele asjaomastele järelevalveasutustele muudetud otsuse eelnõu arvamuse saamiseks. Kõnealuse muudetud otsuse eelnõu suhtes kohaldatakse lõikes 4 osutatud menetlust kahe nädala jooksul.

    6.   Juhul kui ükski teine asjaomane järelevalveasutus ei ole juhtiva järelevalveasutuse esitatud otsuse eelnõule lõigetes 4 ja 5 osutatud tähtaja jooksul vastuväidet esitanud, loetakse, et juhtiv järelevalveasutus ja asjaomased järelevalveasutused on otsuse eelnõus kokkuleppele jõudnud ja see on nende jaoks siduv.

    7.   Juhtiv järelevalveasutus võtab otsuse vastu ja teeb selle teatavaks vastutava töötleja või volitatud töötleja peamisele või, olenevalt asjaoludest, ainsale tegevuskohale ning teavitab teisi asjaomaseid järelevalveasutusi ja [Euroopa A]ndmekaitsenõukogu kõnealusest otsusest, lisades sellele kokkuvõtte asjaomastest asjaoludest ja põhjustest. Järelevalveasutus, kellele kaebus esitati, teavitab sellest otsusest kaebuse esitajat.

    8.   Erandina lõikest 7, juhul kui kaebus jäetakse rahuldamata või lükatakse tagasi, võtab järelevalveasutus, kellele kaebus esitati, otsuse vastu ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat.

    9.   Kui juhtiv järelevalveasutus ja asjaomased järelevalveasutused nõustuvad, et osa kaebusest jäetakse rahuldamata või lükatakse tagasi ja asjaomase kaebuse teine osa võetakse menetlusse, siis võetakse vastu otsus kaebuse menetletava osa kohta. […]

    10.   Pärast seda, kui juhtiva järelevalveasutuse otsus on lõigete 7 ja 9 kohaselt vastutavale töötlejale või volitatud töötlejale teatavaks tehtud, võtab vastutav töötleja või volitatud töötleja vajalikud meetmed isikuandmete töötlemise toimingute osas tehtud otsuse täitmise tagamiseks kõigis liidus asuvates tegevuskohtades. Vastutav töötleja või volitatud töötleja teavitab otsuse täitmiseks võetud meetmetest juhtivat järelevalveasutust, kes teavitab teisi asjaomaseid järelevalveasutusi.

    11.   Kui asjaomasel järelevalveasutusel on erandlike asjaolude korral põhjust arvata, et andmesubjektide huvide kaitsmiseks tuleb tegutseda kiiresti, kohaldatakse artiklis 66 osutatud kiirmenetlust.

    […]“.

    12

    Määruse artikli 61 „Vastastikune abi“ lõikes 1 on sätestatud:

    „Järelevalveasutused annavad üksteisele asjakohast teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi eelneva loa menetluste ja konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.“

    13

    Määruse artiklis 62 „Järelevalveasutuste ühisoperatsioonid“ on ette nähtud:

    „1.   Järelevalveasutused viivad asjakohasel juhul läbi ühisoperatsioone, sealhulgas ühiseid uurimisi ja ühiseid täitmise tagamise meetmeid, milles osalevad teiste liikmesriikide järelevalveasutuste liikmed või töötajad.

    2.   Juhul kui vastutaval töötlejal või volitatud töötlejal on tegevuskoht mitmes liikmesriigis või kui isikuandmete töötlemise toimingud tõenäoliselt võivad oluliselt mõjutada märkimisväärset arvu andmesubjekte rohkem kui ühes liikmesriigis, on kõnealuse liikmesriigi järelevalveasutusel õigus ühisoperatsioonides osaleda. […]

    […]“.

    14

    Määruse 2016/679 VII peatüki 2. jagu „Järjepidevus“ sisaldab määruse artikleid 63–67. Artikkel 63 „Järjepidevuse mehhanism“ on sõnastatud järgmiselt:

    „Selleks et aidata käesolevat määrust kogu liidus järjepidevalt kohaldada, teevad järelevalveasutused koostööd üksteisega ja asjakohasel juhul komisjoniga käesolevas jaos sätestatud järjepidevuse mehhanismi kaudu.“

    15

    Määruse artikli 64 lõikes 2 on kirjas:

    „Pädev järelevalveasutus, [Euroopa A]ndmekaitsenõukogu eesistuja või komisjon võib taotleda mis tahes üldkohaldatava või rohkem kui ühes liikmesriigis mõju avaldava küsimuse puhul, et seda käsitleks arvamuse esitamiseks [Euroopa A]ndmekaitsenõukogu, eelkõige juhul, kui pädev järelevalveasutus ei täida vastastikuse abi kohustust vastavalt artiklile 61 või ühisoperatsioonide kohustust vastavalt artiklile 62.“

    16

    Määruse artikli 65 „Vaidluste lahendamine andmekaitsenõukogu poolt“ lõikes 1 on ette nähtud:

    „Selleks et tagada käesoleva määruse nõuetekohane ja järjepidev kohaldamine üksikjuhtudel, võtab [Euroopa A]ndmekaitsenõukogu vastu siduva otsuse järgmistel juhtudel:

    a)

    kui asjaomane järelevalveasutus on artikli 60 lõikes 4 osutatud juhul tõstatanud asjakohase ja põhjendatud vastuväite juhtiva järelevalveasutuse otsuse eelnõu kohta ning kui juhtiv järelevalveasutus ei ole vastuväidet järginud või on sellise vastuväite kui mitteasjakohase ja/või põhjendamatu tagasi lükanud. Siduv otsus puudutab kõiki asjakohases ja põhjendatud vastuväites käsitletud küsimusi, eelkõige küsimust, kas on toimunud käesoleva määruse rikkumine;

    b)

    kui esineb lahkarvamusi selles osas, milline on peamise tegevuskoha jaoks pädev asjaomane järelevalveasutus, ning

    […]“.

    17

    Määruse 2016/679 artikli 66 „Kiirmenetlus“ lõigetes 1 ja 2 on sätestatud:

    „1.   Erandlike asjaolude korral, kui asjaomane järelevalveasutus leiab, et andmesubjektide õiguste ja vabaduste kaitsmiseks tuleb kiiresti tegutseda, võib ta erandina artiklites 63, 64 ja 65 osutatud järjepidevuse mehhanismist või artiklis 60 osutatud menetlusest võtta viivitamata ajutisi meetmeid, mille eesmärk on tekitada tema liikmesriigi territooriumil õiguslikke tagajärgi konkreetse kehtivusajaga, mis ei või olla pikem kui kolm kuud. Järelevalveasutus edastab kõnealused meetmed ja nende vastuvõtmise põhjendused viivitamata teistele asjaomastele järelevalveasutustele, [Euroopa A]ndmekaitsenõukogule ja komisjonile.

    2.   Kui järelevalveasutus on võtnud lõike 1 kohase meetme ja leiab, et lõplikud meetmed tuleb kiiresti vastu võtta, võib ta [Euroopa A]ndmekaitsenõukogult taotleda kiireloomulise arvamuse või kiireloomulise siduva otsuse esitamist, põhjendades sellise arvamuse või otsuse taotlemist.“

    18

    Selle määruse artiklis 77 „Õigus esitada järelevalveasutusele kaebus“ on ette nähtud:

    „1.   Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.

    2.   Järelevalveasutus, kellele kaebus esitatakse, teavitab kaebuse esitajat kaebuse menetlemise käigust ja tulemusest, sealhulgas artikli 78 kohasest õiguskaitsevahendi kasutamise võimalusest.“

    19

    Määruse artiklis 78 „Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu“ on sätestatud:

    „1.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.

    2.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui artiklite 55 ja 56 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 77 kohaselt esitatud kaebuse menetlemise käigust või tulemustest.

    3.   Järelevalveasutuse vastu algatatakse menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub.

    4.   Kui menetlus algatatakse järelevalveasutuse otsuse vastu, millele eelnes järjepidevuse mehhanismi kohane [Euroopa A]ndmekaitsenõukogu arvamus või otsus, edastab järelevalveasutus selle arvamuse või otsuse kohtule.“

    20

    Määruse artiklis 79 „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“ on sätestatud:

    „1.   Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.

    2.   Vastutava töötleja või volitatud töötleja vastu algatatakse menetlus selle liikmesriigi kohtus, kus vastutav töötleja või volitatud töötleja asub. Menetluse võib algatada ka selle liikmesriigi kohtus, kus asub andmesubjekti alaline elukoht, välja arvatud juhul, kui vastutav töötleja või volitatud töötleja on liikmesriigi avalikku võimu teostav avaliku sektori asutus.“

    Belgia õigus

    21

    8. detsembri 1992. aasta seaduse, mis reguleerib eraelu puutumatuse kaitset isikuandmete töötlemisel (wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens; Belgisch Staatsblad, 18.3.1993, lk 5801), 11. detsembri 1998. aasta seadusega (Belgisch Staatsblad, 3.2.1999, lk 3049) muudetud redaktsiooniga (edaspidi „8. detsembri 1992. aasta seadus“) võeti Belgia õigusesse üle Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355).

    22

    8. detsembri 1992. aasta seadusega loodi sõltumatu organ CPVP, mille ülesanne on tagada, et isikuandmeid töödeldakse kooskõlas selle seadusega, et kaitsta kodanike eraelu.

    23

    8. detsembri 1992. aasta seaduse artikli 32 lõikes 3 oli sätestatud:

    „Ilma et see piiraks üldkohtute pädevust eraelu puutumatuse kaitse üldpõhimõtete kohaldamise suhtes, võib [CPVP] esimees esitada esimese astme kohtule arutamiseks selle seaduse kohaldamist ja selle rakendusmeetmeid puudutavad vaidlused.“

    24

    3. detsembri 2017. aasta andmekaitseameti asutamise seadusega (wet tot oprichting van de Gegevensbeschermingsautoriteit) (Belgisch Staatsblad, 10.1.2018, lk 989; edaspidi „3. detsembri 2017. aasta seadus“), mis jõustus 25. mail 2018, loodi APD kui järelevalveasutus määruse 2016/679 tähenduses.

    25

    3. detsembri 2017. aasta seaduse artiklis 3 on sätestatud:

    „Esindajatekoja juures luuakse andmekaitseasutus. See on [CPVP] õigusjärglane.“

    26

    3. detsembri 2017. aasta seaduse artiklis 6 on ette nähtud:

    „[APD] on volitatud juhtima õigusasutuste tähelepanu isikuandmete kaitse aluspõhimõtete mis tahes rikkumisele käesoleva seaduse ning isikuandmete töötlemise alast kaitset käsitlevaid sätteid sisaldavate seaduste alusel ning vajaduse korral osalema kohtumenetluses nende aluspõhimõtete järgimise saavutamiseks.“

    27

    Kohtumenetluste kohta, mille CPVP esimees oli 8. detsembri 1992. aasta seaduse artikli 32 lõike 3 alusel 25. maiks 2018 juba algatanud, ei ole ette nähtud ühtegi erisätet. Üksnes APD‑le endale esitatud kaebuste ja taotluste kohta on 3. detsembri 2017. aasta seaduse artiklis 112 sätestatud:

    „VI peatükki ei kohaldata kaebuste või taotluste suhtes, mille menetlus on [APD‑l] käesoleva seaduse jõustumise ajal pooleli. Esimeses lõigus nimetatud kaebusi või taotlusi menetleb [APD] kui [CPVP] õigusjärglane vastavalt menetlusele, mis kehtis enne käesoleva seaduse jõustumist.“

    28

    8. detsembri 1992. aasta seadus tunnistati kehtetuks 30. juuli 2018. aasta seadusega füüsiliste isikute kaitse kohta isikuandmete töötlemisel (wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens; Belgisch Staatsblad, 5.9.2018, lk 68616; edaspidi „30. juuli 2018. aasta seadus“). Viimati nimetatud seaduse eesmärk on rakendada Belgia õiguses määruse 2016/679 sätted, mis kohustavad liikmesriike võtma selle määruse täiendamiseks vastu üksikasjalikumaid eeskirju või võimaldavad neil seda teha.

    Põhikohtuasi ja eelotsuse küsimused

    29

    CPVP esimees algatas 11. septembril 2015 Facebook Irelandi, Facebook Inc‑i ja Facebook Belgiumi vastu Nederlandstalige rechtbank van eerste aanleg Brusselis (Brüsseli hollandikeelne esimese astme kohus, Belgia) rikkumise lõpetamise menetluse. Kuna CPVP‑l ei ole õigusvõimet, pidi hagid isikuandmete kaitse õigusnormide järgimise tagamiseks esitama tema esimees. CPVP ise aga taotles luba astuda tema esimehe algatatud menetlusse.

    30

    Rikkumise lõpetamise menetluse eesmärk oli lõpetada tegevus, mida CPVP kirjeldas kui „eraelu kaitse õigusnormide raske ja laiaulatuslik rikkumine Facebooki poolt“ ja mis seisneb selles, et see interneti suhtlusvõrgustik kogub teavet nii Facebooki kontot omavate kui ka Facebooki teenuseid mittekasutavate internetikasutajate veebikäitumise kohta selliste erinevate tehnoloogiate abil nagu küpsised, sotsiaalmeedia pluginad (nt nupud „Meeldib“ või „Jagan“) või pikslid. Need elemendid võimaldavad suhtlusvõrgustikul saada internetikasutaja kohta, kes külastab neid elemente sisaldavat veebisaidi lehekülge, teatavaid andmeid, näiteks selle lehekülje aadress, lehekülje külastaja IP-aadress ning külastuse kuupäev ja kellaaeg.

    31

    Nederlandstalige rechtbank van eerste aanleg Brussel (Brüsseli hollandikeelne esimese astme kohus) tunnistas 16. veebruari 2018. aasta otsuses ennast pädevaks selle rikkumise lõpetamise menetluse osas, milles see puudutas Facebook Irelandi, Facebook Inc‑i ja Facebook Belgiumi, ning tunnistas CPVP esitatud menetlusse astumise avalduse vastuvõetamatuks.

    32

    Sisulistes küsimustes leidis see kohus, et kõnealune suhtlusvõrgustik ei teavita Belgia internetikasutajaid piisavalt asjaomase teabe kogumisest ja selle kasutamisest. Lisaks leidis see kohus, et internetikasutajate nõusolek selle teabe kogumiseks ja töötlemiseks oli kehtetu. Seetõttu kohustas ta Facebook Irelandi, Facebook Inc‑i ja Facebook Belgiumi esiteks lõpetama Belgia territooriumil asuvate internetikasutajate puhul selliste kaheks aastaks aktiivseks jäävate küpsiste kasutamise, mis paigaldatakse ilma kasutaja nõusolekuta seadmesse, mida ta kasutab domeeninime Facebook.com kandval veebilehel liikumiseks või kolmandale isikule kuuluvale veebisaidile jõudmiseks, ning samuti lõpetama küpsiste paigaldamise kolmandate isikute veebisaitidele ja nendel sotsiaalmeedia pluginate, pikslite või muude sarnaste tehnoloogiliste vahendite abil andmete kogumise, mis toimub suhtlusvõrgustiku Facebook taotletavaid eesmärke arvestades liigsel määral, teiseks lõpetama sellise teabe esitamise, mis võib tõenäoliselt viia andmesubjektid eksitusse küsimuses, kui ulatuslikud on tegelikult selle suhtlusvõrgustiku käsutuses olevad küpsiste kasutamise mehhanismid, ning kolmandaks hävitama kõik küpsiste ja sotsiaalmeedia pluginate abil saadud isikuandmed.

    33

    Facebook Ireland, Facebook Inc. ja Facebook Belgium esitasid 2. märtsil 2018 selle kohtuotsuse peale apellatsioonkaebuse hof van beroep te Brusselile (Brüsseli apellatsioonikohus, Belgia). APD osaleb selles kohtumenetluses nii rikkumise lõpetamise menetluse algatanud CPVP esimehe kui ka CPVP enda õigusjärglasena.

    34

    Eelotsusetaotluse esitanud kohus leiab, et ta on pädev lahendama apellatsioonkaebust üksnes osas, milles see puudutab Facebook Belgiumi. Samas leiab ta, et ei ole pädev seda apellatsioonkaebust menetlema Facebook Irelandi ja Facebook Inc-i puudutavas osas.

    35

    Enne põhikohtuasja vaidluse sisulist lahendamist peab eelotsusetaotluse esitanud kohus lahendama küsimuse, kas APD‑l on nõutav kaebeõigus ja põhjendatud huvi. Facebook Belgiumi sõnul on rikkumise lõpetamise hagi vastuvõetamatu 25. maist 2018 varasemate asjaolude osas, kuna 3. detsembri 2017. aasta seaduse ja määruse 2016/679 jõustumise tagajärjel tühistati 8. detsembri 1992. aasta seaduse artikli 32 lõige 3, mis oli sellise menetluse algatamise õiguslikuks aluseks. Facebook Belgium väidab 25. maist 2018 hilisemate asjaolude kohta, et APD‑l puudub pädevus ja tal ei ole õigust seda menetlust algatada, arvestades nüüdsest määruse 2016/679 sätetega kehtestatud ühtse kontaktpunkti mehhanismi. Nimelt on nende sätete alusel ainult Data Protection Commissioneril (andmekaitsevolinik, Iirimaa) pädevus algatada Facebook Irelandi vastu rikkumise lõpetamise menetlus, kuna viimane on ainsana vastutav liidus asjaomase suhtlusvõrgustiku kasutajate isikuandmete töötlemise eest.

    36

    Eelotsusetaotluse esitanud kohus otsustas, et APD‑l ei ole põhjendatud huvi algatada rikkumise lõpetamise menetlust seoses 25. maist 2018 varasemate faktiliste asjaoludega. Sellest kuupäevast hilisemate asjaolude puhul ei ole eelotsusetaotluse esitanud kohus siiski kindel, kuidas mõjutab määruse 2016/679 jõustumine ja eelkõige selles määruses ette nähtud ühtse kontaktpunkti mehhanismi kohaldamine APD pädevust ning viimase volitust selline rikkumise lõpetamise menetlus algatada.

    37

    Eelotsusetaotluse esitanud kohtu sõnul tekib nüüd eelkõige küsimus, kas APD võib seoses 25. maist 2018 hilisemate asjaoludega algatada menetluse Facebook Belgiumi vastu, kui Facebook Ireland on tuvastatud kui asjaomaste andmete töötlemise eest vastutav töötleja. Sellest kuupäevast alates ja ühtse kontaktpunkti põhimõtte kohaselt näib, et määruse 2016/679 artikli 56 kohaselt on pädev ainult andmekaitsevolinik, kes allub üksnes Iiri kohtute kontrollile.

    38

    Eelotsusetaotluse esitanud kohus märgib, et Euroopa Kohus otsustas 5. juuni 2018. aasta kohtuotsuses Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), et isikuandmete kaitse vaidlust oli pädev lahendama Saksamaa järelevalveasutus, olgugi et asjaomaste andmete töötlemise eest vastutava isiku asukoht oli Iirimaal ja tema Saksamaal asuv tütarettevõtja, nimelt Facebook Germany GmbH, tegeles Saksamaa territooriumil üksnes reklaamipinna müügi ja muu turundustegevusega.

    39

    Samas puudutas Euroopa Kohtule esitatud eelotsusetaotlus kohtuasjas, milles see kohtuotsus tehti, direktiivi 95/46 sätete tõlgendamist, kuid see direktiiv tunnistati määrusega 2016/679 kehtetuks. Eelotsusetaotluse esitanud kohtul on tekkinud küsimus, mil määral on tõlgendus, mille Euroopa Kohus samas kohtuotsuses andis, veel asjakohane määruse 2016/679 kohaldamise seisukohast.

    40

    Eelotsusetaotluse esitanud kohus mainib ka Bundeskartellamti (Saksamaa föderaalne konkurentsiamet) 6. veebruari 2019. aasta otsust (nn „Facebooki otsus“), milles see konkurentsiasutus leidis sisuliselt, et asjaomane ettevõtja kuritarvitas oma positsiooni, koondades erinevatest allikatest pärit andmeid, mida nüüdsest peaks saama teha üksnes kasutajate sõnaselgel nõusolekul, kusjuures kasutajat, kes sellega nõus ei ole, ei tohi Facebooki teenustest ilma jätta. Eelotsusetaotluse esitanud kohus märgib, et ilmselgelt pidas see konkurentsiasutus ennast pädevaks, vaatamata ühtse kontaktpunkti mehhanismile.

    41

    Lisaks leiab eelotsusetaotluse esitanud kohus, et 3. detsembri 2017. aasta seaduse artikkel 6, mis põhimõtteliselt võimaldab APD‑l vajaduse korral kohtumenetluses osaleda, ei tähenda, et APD saab menetluse igal juhul algatada Belgia kohtus, kuna ühtse kontaktpunkti mehhanism näib ette nägevat, et selline menetlus tuleb algatada selle paiga kohtus, kus andmeid töödeldakse.

    42

    Neil asjaoludel otsustas hof van beroep te Brussel (Brüsseli apellatsioonikohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

    „1.

    Kas [määruse 2016/679] artikli 55 lõiget 1, artikleid 56–58 ja artikleid 60–66 tuleb lähtuvalt [harta] artiklitest 7, 8 ja 47 tõlgendada nii, et järelevalveasutus, kellele on selle määruse artikli 58 lõike 5 kohaselt vastu võetud riigisiseste õigusaktidega antud pädevus osaleda sama määruse rikkumise suhtes toimuvas menetluses oma liikmesriigi kohtus, ei saa seda pädevust piiriülese andmete töötlemise juhtumi korral kasutada, kui ta ei ole kõnealuse piiriülese töötlemistoimingu osas juhtiv järelevalveasutus?

    2.

    Kas vastus esimesele küsimusele on teistsugune, kui kõnealuse piiriülese andmete töötlemise eest vastutava töötleja peamine tegevuskoht ei ole asjaomases liikmesriigis, küll aga on selles liikmesriigis vastutava töötleja muu tegevuskoht?

    3.

    Kas vastus esimesele küsimusele on teistsugune, kui liikmesriigi järelevalveasutus algatab kohtumenetluse kõnealuse piiriülese andmete töötlemise eest vastutava töötleja peamise tegevuskoha vastu, mitte tema enda riigis asuva tegevuskoha vastu?

    4.

    Kas vastus esimesele küsimusele on teistsugune, kui liikmesriigi järelevalveasutus algatas kohtumenetluse juba enne [määruse 2016/679] jõustumise kuupäeva (25. mai 2018)?

    5.

    Kui esimesele küsimusele vastatakse jaatavalt, siis kas määruse 2016/679 artikli 58 lõikel 5 on vahetu õigusmõju, millest tulenevalt saab liikmesriigi järelevalveasutus tugineda sellele sättele, et algatada eraõiguslike isikute suhtes kohtumenetlus või seda jätkata, isegi kui määruse 2016/679 artikli 58 lõiget 5 ei ole hoolimata vastava kohustuse olemasolust riigisisesesse õigusesse konkreetselt üle võetud?

    6.

    Kui esimesele kuni viiendale küsimusele vastatakse jaatavalt, siis kas selliste menetluste tulemus võib välistada juhtiva järelevalveasutuse vastupidised järeldused, kui kõnealune juhtiv järelevalveasutus uurib samu või sarnaseid andmete piiriülese töötlemise toiminguid, lähtudes määruse 2016/679 artiklites 56 ja 60 ette nähtud korrast?“

    Eelotsuse küsimuste analüüs

    Esimene küsimus

    43

    Esimese küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas määruse 2016/679 artikli 55 lõiget 1, artikleid 56–58 ja artikleid 60–66 tuleb lähtuvalt harta artiklitest 7, 8 ja 47 tõlgendada nii, et liikmesriigi järelevalveasutus, kellele on selle määruse artikli 58 lõike 5 rakendamiseks vastu võetud riigisiseste õigusaktidega antud volitus juhtida selle liikmesriigi kohtu tähelepanu nimetatud määruse väidetavale rikkumisele ja olenevalt asjaoludest osaleda kohtumenetluses, saab seda volitust kasutada piiriülese andmetöötluse korral ka juhul, kui ta ei ole selle andmetöötluse osas juhtiv järelevalveasutus selle määruse artikli 56 lõike 1 tähenduses.

    44

    Sellega seoses tuleb kõigepealt meenutada, et erinevalt direktiivist 95/46, mis võeti vastu EÜ asutamislepingu artikli 100a alusel, mis käsitles ühisturu ühtlustamist, on esiteks määruse 2016/679 õiguslik alus ELTL artikkel 16, mis tagab igaühele õiguse oma isikuandmete kaitsele ning lubab Euroopa Parlamendil ja Euroopa Liidu Nõukogul kehtestada eeskirjad füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega liidu institutsioonides, organites ja asutustes ning liikmesriikides liidu õiguse reguleerimisalasse kuuluva tegevuse puhul, samuti selliste andmete vaba liikumise eeskirjad. Teiseks on selle määruse põhjenduses 1 kinnitatud, et „[f]üüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus“, ning meenutatud, et harta artikli 8 lõige 1 ja ELTL artikli 16 lõige 1 näevad ette igaühe õiguse tema isikuandmete kaitsele.

    45

    Järelikult, nagu tuleneb määruse 2016/679 artikli 1 lõikest 2 koostoimes selle määruse põhjendustega 10, 11 ja 13, kohustab määrus liidu institutsioone, organeid ja asutusi ning liikmesriikide pädevaid asutusi hoolitsema ELTL artikliga 16 ja harta artikliga 8 tagatud õiguste kõrgetasemelise kaitse eest.

    46

    Lisaks, nagu on märgitud selle määruse põhjenduses 4, austab see määrus kõiki põhiõigusi ning järgib hartaga tunnustatud vabadusi ja põhimõtteid.

    47

    Sellel taustal ongi määruse 2016/679 artikli 55 lõikes 1 sätestatud, et põhimõtteliselt on iga järelevalveasutuse ülesanne täita talle selle määruse kohaselt antud ülesandeid ja kasutada volitusi oma liikmesriigi territooriumil (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 147).

    48

    Neile järelevalveasutustele pandud ülesannete hulka kuuluvad muu hulgas määruse 2016/679 kohaldamise jälgimine ja määruse kohaldamise tagamine, nagu on ette nähtud selle määruse artikli 57 lõike 1 punktis a, ning teiste järelevalveasutustega koostöö tegemine, sealhulgas teabe jagamise teel, ning selle raames vastastikuse abi osutamine, et tagada määruse ja määruse täitmiseks võetud meetmete ühetaoline kohaldamine, nagu on ette nähtud määruse artikli 57 lõike 1 punktis g. Järelevalveasutustele nende ülesannete täitmiseks antud volituste hulka kuuluvad määruse 2016/679 artikli 58 lõikes 1 ette nähtud erinevad uurimisvolitused ning määruse artikli 58 lõikes 5 ette nähtud volitus juhtida õigusasutuste tähelepanu selle määruse rikkumistele ning osaleda vajaduse korral kohtumenetluses, et tagada määruse sätete täitmine.

    49

    Nende ülesannete täitmine ja volituste kasutamine eeldab siiski, et järelevalveasutusel on konkreetse andmetöötluse osas pädevus.

    50

    Ilma et see piiraks määruse 2016/679 artikli 55 lõikes 1 sätestatud kohtualluvuse reegli kohaldamist, näeb määruse artikli 56 lõige 1 juhul, kui tegemist on piiriülese töötlemisega määruse artikli 4 punkti 23 tähenduses, ette ühtse kontaktpunkti mehhanismi, mis põhineb pädevuse jaotusel juhtiva järelevalveasutuse ja teiste asjasse puutuvate järelevalveasutuste vahel. Selle mehhanismi kohaselt on vastutava töötleja või volitatud töötleja peamise või ainsa tegevuskoha järelevalveasutus pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piiriülese isikuandmete töötlemise toimingu suhtes kooskõlas selle määruse artiklis 60 sätestatud menetlusega.

    51

    Viimati nimetatud artikkel kehtestab juhtiva järelevalveasutuse ja teiste asjasse puutuvate järelevalveasutuste koostöömenetluse. Selles menetluses peab juhtiv järelevalveasutus eelkõige püüdma saavutada konsensust. Selleks esitab ta määruse 2016/679 artikli 60 lõike 3 kohaselt otsuse eelnõu viivitamata teistele asjaomastele järelevalveasutustele arvamuse saamiseks ning võtab asjakohaselt arvesse nende seisukohti.

    52

    Määruse 2016/679 artiklitest 56 ja 60 ilmneb, et kui artikli 56 lõikest 2 ei tulene vastupidist, peavad erinevad asjasse puutuvad riigisisesed järelevalveasutused selle määruse artikli 4 punktis 23 määratletud piiriülese töötlemise korral nendes sätetes ette nähtud menetluse kohaselt koostööd tegema, et saavutada konsensus ja ühtne otsus, mis on siduv kõigile neile asutustele ja mille järgimise peab vastutav töötleja tagama töötlemistoimingute puhul, mis toimuvad tema kõikides tegevuskohtades liidus. Lisaks kohustab määruse artikli 61 lõige 1 järelevalveasutusi andma üksteisele asjakohast teavet ja osutama vastastikust abi, et seda määrust kohaldataks kogu liidus järjepidevalt. Määruse 2016/679 artiklis 63 on täpsustatud, et just sel eesmärgil on määruse artiklites 64 ja 65 ette nähtud järjepidevuse mehhanism (24. septembri 2019. aasta kohtuotsus Google (linkide eemaldamise territoriaalne ulatus), C‑507/17, EU:C:2019:772, punkt 68).

    53

    Ühtse kontaktpunkti mehhanismi kohaldamine nõuab seega – nagu kinnitab määruse 2016/679 põhjendus 13 – juhtiva järelevalveasutuse ja teiste asjasse puutuvate järelevalveasutuste lojaalset ja tõhusat koostööd. Seetõttu, nagu märkis kohtujurist oma ettepaneku punktis 111, ei saa juhtiv järelevalveasutus eirata teiste asjaomaste järelevalveasutuste seisukohti ning asjakohase järelevalveasutuse esitatud iga ametliku vastuväite tagajärjel peatub vähemalt ajutiselt ka juhtiva järelevalveasutuse kavandatud otsuse eelnõu vastuvõtmine.

    54

    Nõnda on määruse 2016/679 artikli 60 lõikes 4 sätestatud, et kui mõni teine asjaomane järelevalveasutus esitab nelja nädala jooksul pärast seda, kui temaga on konsulteeritud, asjakohase ja põhjendatud vastuväite otsuse eelnõu kohta, esitab juhtiv järelevalveasutus juhul, kui ta ei võta asjakohast ja põhjendatud vastuväidet arvesse või on seisukohal, et vastuväide ei ole asjakohane ega põhjendatud, küsimuse käsitlemiseks selle määruse artiklis 63 osutatud järjepidevuse mehhanismi raames, et saada Euroopa Andmekaitsenõukogult siduv otsus vastavalt selle määruse artikli 65 lõike 1 punktile a.

    55

    Määruse 2016/679 artikli 60 lõikest 5 tuleneb aga, et kui juhtiv järelevalveasutus kavatseb asjakohase ja põhjendatud vastuväite arvesse võtta, esitab ta teistele asjaomastele järelevalveasutustele muudetud otsuse eelnõu nendelt arvamuse saamiseks. Kõnealuse muudetud otsuse eelnõu suhtes kohaldatakse kahenädalase tähtaja jooksul sama määruse artikli 60 lõikes 4 osutatud menetlust.

    56

    Vastavalt selle määruse artikli 60 lõikele 7 on juhtiv järelevalveasutus see, kes põhimõtteliselt peab tegema otsuse kõnealuse piiriülese töötlemise kohta, tegema selle teatavaks vastutava töötleja või volitatud töötleja peamisele või, olenevalt asjaoludest, ainsale tegevuskohale ning teavitama teisi asjaomaseid järelevalveasutusi ja Euroopa Andmekaitsenõukogu kõnealusest otsusest, lisades sellele kokkuvõtte asjaomastest asjaoludest ja põhjendustest.

    57

    Seda arvestades tuleb rõhutada, et määruses 2016/679 on ette nähtud erandid põhimõttest, et selle määruse artikli 56 lõikes 1 ette nähtud ühtse kontaktpunkti mehhanismi raames on otsustuspädevus juhtival järelevalveasutusel.

    58

    Nende erandite hulgas on esiteks määruse 2016/679 artikli 56 lõige 2, mis näeb ette, et järelevalveasutus, mis ei ole juhtiv järelevalveasutus, on pädev menetlema talle esitatud kaebust, mis puudutab isikuandmete piiriülest töötlemist või selle määruse võimalikku rikkumist, kui küsimus on seotud ainult tema liikmesriigis asuva tegevuskohaga või mõjutab oluliselt ainult tema liikmesriigis asuvaid andmesubjekte.

    59

    Teiseks on määruse 2016/679 artiklis 66 erandina määruse artiklites 60 ja 63–65 osutatud järjepidevuse mehhanismidest ette nähtud kiirmenetlus. Selline kiirmenetlus võimaldab erandlike asjaolude korral, kui asjaomane järelevalveasutus leiab, et andmesubjektide õiguste ja vabaduste kaitsmiseks tuleb kiiresti tegutseda, võtta viivitamata ajutisi meetmeid, mille eesmärk on tekitada tema liikmesriigi territooriumil õiguslikke tagajärgi konkreetse kehtivusajaga, mis ei või olla pikem kui kolm kuud, kusjuures määruse 2016/679 artikli 66 lõikes 2 on lisaks ette nähtud, et kui järelevalveasutus on võtnud lõike 1 kohase meetme ja leiab, et lõplikud meetmed tuleb kiiresti vastu võtta, võib ta taotleda Euroopa Andmekaitsenõukogult kiireloomulise arvamuse või kiireloomulise siduva otsuse esitamist, põhjendades sellise arvamuse või otsuse taotlemist.

    60

    Selle järelevalveasutuste pädevuse teostamisel tuleb siiski teha juhtiva järelevalveasutusega lojaalset ja tõhusat koostööd vastavalt määruse 2016/679 artikli 56 lõigetes 3–5 ette nähtud menetlusele. Nimelt peab asjaomane järelevalveasutus sellisel juhul määruse artikli 56 lõike 3 kohaselt viivitamata teavitama juhtivat järelevalveasutust, kes kolme nädala jooksul pärast teate saamist otsustab, kas ta asub juhtumit käsitlema.

    61

    Määruse 2016/679 artikli 56 lõikes 4 on aga ette nähtud, et kui juhtiv järelevalveasutus otsustab juhtumit käsitleda, kohaldatakse määruse artiklis 60 ette nähtud koostöömenetlust. Selles kontekstis võib juhtivat järelevalveasutust teavitanud järelevalveasutus esitada juhtivale järelevalveasutusele otsuse eelnõu ning viimane peab seda eelnõu määruse artikli 60 lõikes 3 nimetatud otsuse eelnõu koostamisel täiel määral arvesse võtma.

    62

    Määruse 2016/679 artikli 56 lõikes 5 on seevastu sätestatud, et kui juhtiv järelevalveasutus otsustab juhtumit mitte käsitleda, käsitleb seda juhtumit teda teavitanud järelevalveasutus kooskõlas määruse artiklitega 61 ja 62, mis nõuavad järelevalveasutustelt ühisoperatsioonides vastastikuse abi ja koostöö eeskirjade järgimist, et tagada nendevaheline tõhus koostöö.

    63

    Eeltoodust tuleneb esiteks, et juhtiva järelevalveasutuse pädevus võtta vastu otsus, milles tuvastatakse, et selline töötlemine rikub määruses 2016/679 sisalduvaid norme, mis kaitsevad füüsiliste isikute õigusi isikuandmete töötlemisel, on isikuandmete piiriülese töötlemise puhul reegel, samas kui teiste asjaomaste järelevalveasutuste isegi ajutine pädevus sellise otsuse vastuvõtmiseks kujutab endast erandit. Teiseks, kuigi juhtiva järelevalveasutuse põhimõtteline pädevus leiab kinnitust määruse 2016/679 artikli 56 lõikes 6, mille kohaselt on piiriülese isikuandmete töötlemise toimingu puhul vastutava töötleja või volitatud töötleja „ainus partner“ juhtiv järelevalveasutus, peab see asutus seda pädevust teostades tegema tihedat koostööd teiste asjaomaste järelevalveasutustega. Eelkõige ei saa juhtiv järelevalveasutus oma pädevuse teostamisel loobuda vältimatust dialoogist ning lojaalsest ja tõhusast koostööst teiste asjaomaste järelevalveasutustega, nagu on märgitud käesoleva kohtuotsuse punktis 53.

    64

    Sellega seoses nähtub määruse 2016/679 põhjendusest 10, et muu hulgas on määruse eesmärk tagada kogu liidus füüsiliste isikute põhiõiguste ja ‑vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine isikuandmete töötlemisel ning kõrvaldada takistused isikuandmete liidusisesel liikumisel.

    65

    Seda eesmärki ja ka ühtse kontaktpunkti mehhanismi soovitavat toimet võiks aga kahjustada see, kui muu järelevalveasutus kui vaidlusaluse piiriülese andmetöötluse suhtes juhtiv järelevalveasutus saaks kasutada määruse 2016/679 artikli 58 lõikes 5 ette nähtud volitust, välja arvatud juhtudel, kui ta on pädev vastu võtma sellise otsuse, nagu on osutatud käesoleva kohtuotsuse punktis 63. Sellise volituse kasutamine on nimelt suunatud niisuguse siduva kohtuotsuseni jõudmisele, mis võib seda eesmärki ja mehhanismi kahjustada täpselt samamoodi nagu otsus, mille teeb muu järelevalveasutus kui juhtiv järelevalveasutus.

    66

    Vastupidi sellele, mida väidab APD, on harta artiklitega 7, 8 ja 47 kooskõlas asjaolu, et liikmesriigi järelevalveasutus, mis ei ole juhtiv järelevalveasutus, saab määruse 2016/679 artikli 58 lõikes 5 ette nähtud volitust kasutada üksnes kooskõlas otsuste tegemise pädevuse jaotuse eeskirjadega, mis on ette nähtud eelkõige selle määruse artiklites 55 ja 56, tõlgendatuna koostoimes määruse artikliga 60.

    67

    Esiteks, seoses harta artiklite 7 ja 8 väidetaval rikkumisel põhineva argumendiga tuleb meenutada, et artikkel 7 tagab igaühele õiguse sellele, et austataks tema era- ja perekonnaelu, kodu ja edastatavate sõnumite saladust, samas kui harta artikli 8 lõige 1 tunnustab samamoodi nagu ELTL artikli 16 lõige 1 sõnaselgelt igaühe õigust oma isikuandmete kaitsele. Määruse 2016/679 artikli 51 lõikest 1 tuleneb aga eelkõige, et järelevalveasutused vastutavad määruse kohaldamise järelevalve eest eelkõige selleks, et kaitsta füüsiliste isikute põhiõigusi seoses nende isikuandmete töötlemisega. Sellest järeldub, et vastavalt käesoleva kohtuotsuse punktis 45 märgitule ei piira selles määruses ette nähtud juhtiva järelevalveasutuse ja teiste järelevalveasutuste otsuste tegemise pädevuse jaotamise eeskirjad iga sellise asutuse vastutust aidata kaasa nende õiguste kõrgetasemelisele kaitsele, järgides neid eeskirju ning käesoleva kohtuotsuse punktis 52 meenutatud koostöö ja vastastikuse abistamise nõudeid.

    68

    Täpsemalt tähendab see, et ühtse kontaktpunkti mehhanism ei tohiks mingil juhul viia selleni, et liikmesriigi järelevalveasutus ja eeskätt juhtiv järelevalveasutus ei võta talle määrusest 2016/679 tulenevat vastutust aidata tõhusalt kaasa füüsiliste isikute kaitsmisele käesoleva kohtuotsuse eelmises punktis meenutatud põhiõiguste rikkumise eest, sest vastasel juhul julgustataks eelkõige vastutavate töötlejate forum shopping’ut, mille eesmärk on nendest samadest põhiõigustest ja neid rakendavate määruse sätete tõhusast kohaldamisest kõrvale hoida.

    69

    Teiseks ei saa nõustuda ka argumendiga, et väidetavalt on rikutud harta artikliga 47 tagatud õigust tõhusale õiguskaitsevahendile. Nimelt ei mõjuta käesoleva kohtuotsuse punktides 64 ja 65 kirjeldatud raamid, mille piires võib muu järelevalveasutus kui juhtiv järelevalveasutus kasutada määruse 2016/679 artikli 58 lõikes 5 ette nähtud volitust seoses isikuandmete piiriülese töötlemisega, igale isikule selle määruse artikli 78 lõigetes 1 ja 2 antud õigust kasutada tõhusat õiguskaitsevahendit muu hulgas järelevalveasutuse õiguslikult siduva otsuse suhtes, mis teda puudutab, või tema kaebuse käsitlemata jätmise peale, juhul kui selle määruse artiklite 55 ja 56 – koostoimes artikliga 60 – kohaselt otsustamispädevust omav järelevalveasutus jätab kaebuse käsitlemata.

    70

    Nii on see eelkõige määruse 2016/679 artikli 56 lõikes 5 osutatud olukorra puhul, mille kohaselt – nagu on märgitud käesoleva kohtuotsuse punktis 62 – võib järelevalveasutus, kes andis määruse artikli 56 lõike 3 alusel teavet, käsitleda juhtumit vastavalt määruse artiklitele 61 ja 62, kui juhtiv järelevalveasutus pärast sellest teadasaamist otsustab, et ta ise seda ei käsitle. Sellise käsitlemise raames ei ole aga välistatud, et asjaomane järelevalveasutus võib vajaduse korral otsustada kasutada talle määruse 2016/679 artikli 58 lõikega 5 antud volitust.

    71

    Selle täpsustuse puhul tuleb rõhutada, et see, et liikmesriigi järelevalveasutus kasutab oma volitust pöörduda oma liikmesriigi kohtusse, ei ole välistatud juhul, kui see asutus on taotlenud määruse 2016/679 artikli 61 alusel juhtivalt järelevalveasutuselt vastastikust abi, kuid viimane ei ole talle taotletud teavet esitanud. Sellisel juhul võib asjaomane järelevalveasutus võtta nimetatud määruse artikli 61 lõike 8 alusel ajutise meetme oma liikmesriigi territooriumil, ja juhul kui ta leiab, et lõplikud meetmed tuleb võtta kiiresti, võib ta vastavalt määruse artikli 66 lõikele 2 taotleda Euroopa Andmekaitsenõukogult kiireloomulist arvamust või siduvat kiireloomulist otsust. Lisaks võib järelevalveasutus sama määruse artikli 64 lõike 2 alusel taotleda, et Euroopa Andmekaitsenõukogu vaataks arvamuse kujundamiseks läbi kõik üldkohaldatavad või mitmes liikmesriigis mõju avaldavad küsimused, eelkõige juhul, kui pädev järelevalveasutus ei täida talle kõnealuse määruse artikliga 61 pandud kohustust osutada vastastikust abi. Ent pärast sellise arvamuse või otsuse vastuvõtmist ja tingimusel, et Euroopa Andmekaitsenõukogu on kõigi oluliste asjaolude arvessevõtmise järel sellega nõus, peab asjaomane järelevalveasutus saama võtta meetmed, mida on vaja, et tagada määruses 2016/679 sätestatud füüsiliste isikute õigusi nende isikuandmete töötlemisel kaitsvate eeskirjade järgimine, ja kasutada selleks volitust, mis talle selle määruse artikli 58 lõikega 5 on antud.

    72

    Pädevuse ja vastutuse jaotus järelevalveasutuste vahel põhineb nimelt tingimata eeldusel, et need asutused ja komisjon teevad omavahel lojaalset ja tõhusat koostööd, et tagada selle määruse nõuetekohane ja järjepidev kohaldamine, nagu kinnitab ka määruse artikli 51 lõige 2.

    73

    Käesoleval juhul tuleb eelotsusetaotluse esitanud kohtul kindlaks teha, kas määruses 2016/679 ette nähtud pädevuse jaotuse reegleid ning asjakohaseid menetlusi ja mehhanisme on põhikohtuasjas õigesti kohaldatud. Eelkõige peab ta kontrollima, kas vaatamata sellele, et APD ei ole selles kohtuasjas juhtiv järelevalveasutus, on kõnealuse töötlemise puhul osas, mis puudutab interneti suhtlusvõrgustiku Facebook 25. maist 2018 hilisemat tegevust, tegemist olukorraga, mida on käsitletud käesoleva kohtuotsuse punktis 71.

    74

    Sellega seoses märgib Euroopa Kohus, et 12. märtsi 2019. aasta arvamuses 5/2019, milles käsitletakse eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi ja [isikuandmete kaitse üldmääruse] koostoimet, eelkõige seoses andmekaitseasutuste pädevuse, ülesannete ja volitustega, leidis Euroopa Andmekaitsenõukogu, et isikuandmete salvestamine ja lugemine küpsiste abil kuulub Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514)) kohaldamisalasse, mitte ühtse kontaktpunkti mehhanismi kohaldamisalasse. Seevastu kõik varasemad toimingud ja nende isikuandmete hilisema töötlemise toimingud muude tehnoloogiate abil kuuluvad tõepoolest määruse 2016/679 ja järelikult ka ühtse kontaktpunkti mehhanismi kohaldamisalasse. Kuna APD vastastikuse abi taotlus puudutas neid hilisemaid isikuandmete töötlemise toiminguid, palus ta 2019. aasta aprillis andmekaitsevolinikul rahuldada tema taotlus võimalikult kiiresti, kuid sellele taotlusele ei vastatud.

    75

    Kõiki eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et määruse 2016/679 artikli 55 lõiget 1 ning artikleid 56–58 ja 60–66 tuleb lähtuvalt harta artiklitest 7, 8 ja 47 tõlgendada nii, et liikmesriigi järelevalveasutus, kellele on selle määruse artikli 58 lõike 5 rakendamiseks vastu võetud riigisiseste õigusaktidega antud volitus juhtida selle liikmesriigi kohtu tähelepanu nimetatud määruse väidetavale rikkumisele ja olenevalt asjaoludest osaleda kohtumenetluses, saab seda volitust kasutada piiriülese andmetöötluse korral ka juhul, kui ta ei ole selle andmetöötluse osas juhtiv järelevalveasutus selle määruse artikli 56 lõike 1 tähenduses, kui tegemist on olukorraga, kus määrus 2016/679 annab sellele järelevalveasutusele pädevuse võtta vastu otsus, millega tuvastatakse, et kõnealune töötlemine rikub selles määruses sisalduvaid norme, ja tingimusel, et järgitakse selles määruses ette nähtud koostöö ja järjepidevuse menetlusi.

    Teine küsimus

    76

    Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et piiriülese andmetöötluse korral eeldab liikmesriigi järelevalveasutuse – kes ei ole juhtiv järelevalveasutus – volitus osaleda selle sätte tähenduses kohtumenetluses seda, et isikuandmete piiriülese töötlemise eest vastutaval töötlejal, kelle vastu menetlus algatatakse, on määruse 2016/679 artikli 4 punkti 16 tähenduses peamine tegevuskoht või mõni muu tegevuskoht selle liikmesriigi territooriumil.

    77

    Sellega seoses tuleb meenutada, et määruse 2016/679 artikli 55 lõike 1 kohaselt on iga järelevalveasutus oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas selle määrusega antud.

    78

    Määruse 2016/679 artikli 58 lõikes 5 on lisaks ette nähtud iga järelevalveasutuse volitus juhtida selle liikmesriigi kohtu tähelepanu nimetatud määruse väidetavale rikkumisele ja olenevalt asjaoludest osaleda kohtumenetluses, et tagada määruse sätete täitmine.

    79

    Tuleb aga märkida, et määruse 2016/679 artikli 58 lõige 5 on sõnastatud üldiselt ning liidu seadusandja ei ole seadnud liikmesriigi järelevalveasutuse poolt selle volituse kasutamist sõltuvusse tingimusest, et järelevalveasutuse algatatud menetlus peab olema suunatud sellise vastutava töötleja vastu, kellel on määruse artikli 4 punkti 16 tähenduses peamine tegevuskoht või muu tegevuskoht selle liikmesriigi territooriumil.

    80

    Liikmesriigi järelevalveasutus võib talle määruse 2016/679 artikli 58 lõikega 5 antud volitust siiski kasutada üksnes juhul, kui on kindlaks tehtud, et see volitus kuulub selle määruse territoriaalsesse kohaldamisalasse.

    81

    Määruse 2016/679 territoriaalset kohaldamisala reguleeriva artikli 3 lõikes 1 on sellega seoses ette nähtud, et määrust kohaldatakse isikuandmete töötlemise suhtes, mis toimub liidu territooriumil asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames, sõltumata sellest, kas töötlemine toimub liidus või väljaspool liitu.

    82

    Määruse 2016/679 põhjenduses 22 on selle kohta täpsustatud, et selline tegevuskoht eeldab tegelikku ja tulemuslikku tegutsemist ning püsivat korda ning sellise korra õiguslik vorm (kas filiaali või õigusvõimelise tütarettevõtja kaudu) ei ole selles osas määrav.

    83

    Sellest järeldub, et määruse 2016/679 artikli 3 lõike 1 kohaselt määratakse selle määruse territoriaalne kohaldamisala – välja arvatud lõigetes 2 ja 3 nimetatud juhtudel – kindlaks tingimusega, et vastutaval töötlejal või volitatud töötlejal on liidu territooriumil tegevuskoht.

    84

    Seega tuleb teisele küsimusele vastata, et määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et piiriülese andmetöötluse korral ei ole liikmesriigi järelevalveasutuse – kes ei ole juhtiv järelevalveasutus – volituse algatada selle sätte tähenduses kohtumenetlus kasutamiseks nõutav, et isikuandmete piiriülese töötlemise eest vastutaval töötlejal või volitatud töötlejal, kelle vastu menetlus algatatakse, oleks peamine tegevuskoht või mõni muu tegevuskoht selle liikmesriigi territooriumil.

    Kolmas küsimus

    85

    Kolmanda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et piiriülese andmetöötluse korral eeldab liikmesriigi järelevalveasutuse – kes ei ole juhtiv järelevalveasutus – volitus juhtida selle liikmesriigi kohtu tähelepanu nimetatud määruse väidetavale rikkumisele ja olenevalt asjaoludest osaleda kohtumenetluses viidatud sätte tähenduses seda, et asjasse puutuv järelevalveasutus algatab kohtumenetluse isikuandmete piiriülese töötlemise eest vastutava töötleja peamise tegevuskoha vastu, või võib ta selle algatada mõne muu tegevuskoha vastu, mis asub tema enda liikmesriigi territooriumil.

    86

    Eelotsusetaotlusest nähtub, et see küsimus on tõstatatud pooltevahelises vaidluses selle üle, kas eelotsusetaotluse esitanud kohus on pädev läbi vaatama rikkumise lõpetamise hagi osas, milles see on esitatud Facebook Belgiumi vastu, võttes arvesse esiteks asjaolu, et liidus on Facebooki kontserni registrijärgne asukoht Iirimaal ja Facebook Ireland on ainuvastutav isikuandmete kogumise ja töötlemise eest kogu liidu territooriumil, ja teiseks asjaolu, et selle kontserni sisemise ülesannete jaotuse kohaselt loodi Belgias asuv tegevuskoht peamiselt selleks, et hõlbustada kontserni suhtekorraldust liidu institutsioonidega, ja täiendavalt veel selleks, et edendada seda osa kontserni reklaami- ja turundustegevusest, mis on suunatud Belgia elanikele.

    87

    Nagu on märgitud käesoleva kohtuotsuse punktis 47, on määruse 2016/679 artikli 55 lõikes 1 sätestatud iga järelevalveasutuse põhimõtteline pädevus täita oma liikmesriigi territooriumil ülesandeid ja kasutada volitusi, mis on talle kooskõlas selle määrusega antud.

    88

    Mis puudutab liikmesriigi järelevalveasutuse volitust algatada kohtumenetlus määruse 2016/679 artikli 58 lõike 5 tähenduses, siis tuleb meenutada, et nagu märkis ka kohtujurist oma ettepaneku punktis 150, on see säte sõnastatud üldiselt ning selles ei ole täpsustatud, milliste üksuste vastu järelevalveasutused peavad või saavad määruse rikkumise tõttu kohtumenetluse algatada.

    89

    Järelikult ei piira see säte kohtumenetluses osalemise volituse teostamist nii, et sellise menetluse saab algatada ainult vastutava töötleja peamise tegevuskoha või hoopis mõne muu tegevuskoha vastu. Vastupidi, sama sätte kohaselt võib liikmesriigi järelevalveasutus, kui tal on määruse 2016/679 artiklite 55 ja 56 kohaselt selleks vajalik pädevus, kasutada talle selle määrusega antud volitusi oma riigi territooriumil, olenemata sellest, millises liikmesriigis asub vastutav töötleja või tema volitatud töötleja.

    90

    Määruse 2016/679 artikli 58 lõikega 5 igale järelevalveasutusele antud volituse kasutamiseks on siiski vaja, et see määrus oleks kohaldatav. Sellega seoses, nagu on rõhutatud käesoleva kohtuotsuse punktis 81, näeb määruse artikli 3 lõige 1 ette, et määrust kohaldatakse isikuandmete töötlemise suhtes, mis toimub „liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis […] sõltumata sellest, kas töödeldakse liidus või väljaspool liitu“.

    91

    Arvestades määrusega 2016/679 taotletavat eesmärki, milleks on tõhusalt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele ja õigust isikuandmete kaitsele, ei tohi tingimust, et isikuandmete töötlemine peab toimuma asjaomase tegevuskoha „tegevuse kontekstis“, tõlgendada kitsalt (vt analoogia alusel 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 56 ja seal viidatud kohtupraktika).

    92

    Käesoleval juhul nähtub eelotsusetaotlusest ja Facebook Belgiumi esitatud kirjalikest seisukohtadest, et viimase peamine ülesanne on korraldada suhteid liidu institutsioonidega ja tema täiendav ülesanne on edendada seda osa kontserni reklaami- ja turundustegevusest, mis on suunatud Belgia elanikele.

    93

    Põhikohtuasjas kõne all oleva isikuandmete töötlemise – mida viib liidu territooriumil läbi üksnes Facebook Ireland ja mis seisneb teabe kogumises nii Facebooki kontot omavate kui ka Facebooki teenuseid mittekasutavate internetikasutajate veebikäitumise kohta selliste erinevate tehnoloogiate abil nagu sotsiaalmeedia pluginad või pikslid – eesmärk on just nimelt võimaldada suhtlusvõrgustikul muuta oma reklaamisüsteem tõhusamaks, levitades teavitusi sihipäraselt.

    94

    Tuleb aga märkida, et esiteks saab selline suhtlusvõrgustik nagu Facebook olulise osa oma tulust eelkõige tänu seal levitatavale reklaamile ning Belgias asuva tegevuskoha tegevuse eesmärk on – isegi kui see on üksnes kõrvaltegevus – pakkuda ja müüa selles liikmesriigis reklaampinda, et tagada Facebooki teenuste kasumlikkus. Teiseks on Facebook Belgiumi põhitegevus, mis seisneb suhete korraldamises liidu institutsioonidega ja viimastele ühenduslüliks olemises, suunatud eelkõige sellele, et töötada välja põhimõtted, mille kohaselt Facebook Ireland isikuandmeid töötleb.

    95

    Neil asjaoludel tuleb Facebooki kontserni Belgias asuva tegevuskoha tegevust pidada lahutamatult seotuks põhikohtuasjas kõne all oleva isikuandmete töötlemisega, mille eest liidu territooriumi osas vastutab Facebook Ireland. Järelikult tuleb sellist töötlemist pidada toimunuks „vastutava töötleja […] tegevuskoha tegevuse kontekstis“ määruse 2016/679 artikli 3 lõike 1 tähenduses.

    96

    Kõiki eeltoodud kaalutlusi arvestades tuleb kolmandale küsimusele vastata, et määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et piiriülese andmetöötluse korral saab liikmesriigi järelevalveasutuse – kes ei ole juhtiv järelevalveasutus – volitust juhtida selle liikmesriigi kohtu tähelepanu nimetatud määruse väidetavale rikkumisele ja olenevalt asjaoludest osaleda kohtumenetluses viidatud sätte tähenduses kasutada nii isikuandmete piiriülese töötlemise eest vastutava töötleja peamise tegevuskoha vastu, mis asub selle järelevalveasutuse liikmesriigis, kui ka vastutava töötleja muu tegevuskoha vastu, tingimusel et kohtuasja ese on selle tegevuskoha tegevuse kontekstis toimunud andmetöötlus ja nimetatud järelevalveasutus on pädev seda volitust kasutama kooskõlas sellega, mida on märgitud vastuses esimesele küsimusele.

    Neljas küsimus

    97

    Neljanda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et kui liikmesriigi järelevalveasutus, kes ei ole juhtiv järelevalveasutus selle määruse artikli 56 lõike 1 tähenduses, on algatanud kohtumenetluse seoses isikuandmete piiriülese töötlemisega enne 25. maid 2018, st enne kuupäeva, mil see määrus kohaldatavaks muutus, siis mõjutab see asjaolu tingimusi, mis peavad olema täidetud, et liikmesriigi järelevalveasutus saaks kasutada talle nimetatud artikli 58 lõikega 5 antud volitust osaleda kohtumenetluses.

    98

    Facebook Ireland, Facebook Inc. ja Facebook Belgium väidavad selles kohtus nimelt, et määruse 2016/679 kohaldamine alates 25. maist 2018 tähendab, et enne seda kuupäeva esitatud hagi on kas vastuvõetamatu või põhjendamatu.

    99

    Sissejuhatuseks tuleb märkida, et määruse 2016/679 artikli 99 lõikes 1 on ette nähtud, et määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas. Kuna määrus avaldati Euroopa Liidu Teatajas 4. mail 2016, jõustus see sama aasta 25. mail. Lisaks on selle määruse artikli 99 lõikes 2 ette nähtud, et määrust kohaldatakse alates 25. maist 2018.

    100

    Seoses sellega olgu meenutatud, et uus õigusnorm on kohaldatav alates selle õigusakti jõustumisest, milles norm sisaldub, ja seda ei kohaldata varasema õigusakti kehtivusajal tekkinud ja lõplikult väljakujunenud õiguslikele olukordadele; õigusnormi kohaldatakse nende olukordade tulevikus tekkivate tagajärgede suhtes ja ka uute õiguslike olukordade suhtes. Teisiti on üksnes siis, kui uue õigusnormiga kaasnevad erisätted, mis määravad konkreetselt kindlaks selle ajalise kohaldamise tingimused, kui õigusaktide tagasiulatuva jõu puudumise põhimõttest ei tulene teisiti. Eeskätt kohaldatakse menetlusõiguse norme üldiselt alates päevast, mil need jõustuvad, erinevalt materiaalõiguse normidest, mida tõlgendatakse tavaliselt nii, et need on enne nende jõustumist tekkinud olukordade suhtes kohaldatavad üksnes siis, kui selline võimalus nähtub selgelt nende sõnastusest, eesmärgist või ülesehitusest (25. veebruari 2021. aasta kohtuotsus Caisse pour l’avenir des enfants (töökoha olemasolu lapse sündimise ajal), C‑129/20, EU:C:2021:140, punkt 31 ning seal viidatud kohtupraktika).

    101

    Määruses 2016/679 ei ole ühtegi üleminekusätet ega muud normi, mis reguleeriks nende kohtumenetluste staatust, mis algatati enne selle kohaldatavaks muutumist ja mis olid selle kohaldatavaks muutumise kuupäeval pooleli. Eelkõige ei ole üheski selle määruse sättes ette nähtud, et selle tagajärjel lõpetatakse kõik 25. mai 2018. aasta seisuga pooleli olevad kohtumenetlused, mille ese on direktiivis 95/46 ette nähtud isikuandmete töötlemist reguleerivate normide väidetavad rikkumised, ja seda isegi siis, kui väidetava rikkumisena käsitatav tegevus jätkub ka pärast seda kuupäeva.

    102

    Määruse 2016/679 artikli 58 lõikes 5 on ette nähtud reeglid, mis reguleerivad järelevalveasutuse volitust juhtida õigusasutuste tähelepanu määruse rikkumistele ning olenevalt asjaoludest osaleda kohtumenetluses ühel või teisel viisil, et tagada määruse sätete täitmine.

    103

    Neil asjaoludel tuleb eristada menetlusi, mille liikmesriigi järelevalveasutus on algatanud isikuandmete kaitse normide rikkumise tõttu, mille on toime pannud vastutavad töötlejad või volitatud töötlejad enne kuupäeva, mil määrus 2016/679 kohaldatavaks muutus, ja menetlusi, mis on algatatud seoses pärast seda kuupäeva toime pandud rikkumistega.

    104

    Esimesel juhul võib selline kohtumenetlus, nagu on kõne all põhikohtuasjas, liidu õiguse seisukohast jätkuda direktiivi 95/46 sätete alusel, mis on jätkuvalt kohaldatavad rikkumiste suhtes, mis on toime pandud kuni selle direktiivi kehtetuks tunnistamiseni, st 25. maini 2018. Teisel juhul saab sellise menetluse algatada määruse 2016/679 artikli 58 lõike 5 alusel, kuid üksnes tingimusel, et – nagu rõhutati esimesele küsimusele antud vastuses – see menetlus puudutab olukorda, kus see määrus erandina annab liikmesriigi järelevalveasutusele, kes ei ole juhtiv järelevalveasutus, pädevuse võtta vastu otsus, milles tuvastatakse, et vaidlusaluse isikuandmete töötlemise puhul on rikutud selle määruse norme, mis kaitsevad füüsiliste isikute õigusi nende isikuandmete töötlemise korral, tingimusel, et selle otsuse tegemisel järgitakse selles määruses ette nähtud menetlusi.

    105

    Kõiki eeltoodud kaalutlusi arvestades tuleb neljandale küsimusele vastata, et määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et kui liikmesriigi järelevalveasutus, kes ei ole juhtiv järelevalveasutus selle määruse artikli 56 lõike 1 tähenduses, on algatanud kohtumenetluse seoses isikuandmete piiriülese töötlemisega enne 25. maid 2018, st enne kuupäeva, mil see määrus kohaldatavaks muutus, siis võib see menetlus liidu õiguse seisukohast jätkuda direktiivi 95/46 sätete alusel, kuna see direktiiv on jätkuvalt kohaldatav selles sätestatud normide rikkumise suhtes, mis on toime pandud kuni selle direktiivi kehtetuks tunnistamiseni. Lisaks võib nimetatud asutus pärast seda kuupäeva toime pandud rikkumiste suhtes algatada sellise menetluse määruse 2016/679 artikli 58 lõike 5 alusel, kui tegemist on olukorraga, kus selle määrusega antakse liikmesriigi järelevalveasutusele, kes ei ole juhtiv järelevalveasutus, erandina pädevus võtta vastu otsus, milles tuvastatakse, et vaidlusaluse isikuandmete töötlemise puhul on rikutud selles määruses sisalduvaid norme, mis kaitsevad füüsiliste isikute õigusi nende isikuandmete töötlemise korral, tingimusel, et selle otsuse tegemisel järgitakse määruses ette nähtud koostöö ja järjepidevuse menetlusi – seda peab kontrollima eelotsusetaotluse esitanud kohus.

    Viies küsimus

    106

    Viienda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas juhul, kui vastus esimesele küsimusele on jaatav, tuleb määruse 2016/679 artikli 58 lõiget 5 tõlgendada nii, et sellel sättel on vahetu õigusmõju, mistõttu liikmesriigi järelevalveasutus saab sellele sättele tugineda, et algatada menetlus eraõiguslike isikute vastu või seda menetlust jätkata, isegi kui seda sätet ei ole asjaomase liikmesriigi õiguses konkreetselt rakendatud.

    107

    Määruse 2016/679 artikli 58 lõike 5 sõnastuse kohaselt peab iga liikmesriik seadusega ette nägema, et tema järelevalveasutusel on volitus juhtida õigusasutuste tähelepanu selle määruse rikkumistele ning olenevalt asjaoludest osaleda kohtumenetluses ühel või teisel viisil, et tagada määruse sätete täitmine.

    108

    Kõigepealt tuleb märkida, et nagu väidab Belgia valitsus, rakendatakse määruse 2016/679 artikli 58 lõiget 5 Belgia õiguskorras 3. detsembri 2017. aasta seaduse artikliga 6. Vastavalt sellele artiklile 6, mille sõnastus on sisuliselt kattuv määruse 2016/679 artikli 58 lõike 5 sõnastusega, on APD volitatud juhtima õigusasutuste tähelepanu isikuandmete kaitse aluspõhimõtete mis tahes rikkumisele selle seaduse ning isikuandmete töötlemise alast kaitset käsitlevaid sätteid sisaldavate seaduste raames ning olenevalt asjaoludest osaleda kohtumenetluses nende aluspõhimõtete järgimise saavutamiseks. Järelikult tuleb asuda seisukohale, et APD võib määruse 2016/679 täitmise tagamiseks kohtumenetluses osalemisel tugineda niisugusele riigisisesele õigusnormile nagu 3. detsembri 2017. aasta seaduse artikkel 6, millega Belgia õiguses rakendatakse määruse 2016/679 artikli 58 lõiget 5.

    109

    Täielikkuse huvides tuleb lisaks märkida, et ELTL artikli 288 teise lõigu kohaselt on määrused tervikuna siduvad ja vahetult kohaldatavad kõikides liikmesriikides, mistõttu ei vaja nende sätted üldjuhul mingeid liikmesriikide rakendusmeetmeid.

    110

    Seoses sellega olgu meenutatud, et Euroopa Kohtu väljakujunenud praktika kohaselt on ELTL artikli 288 alusel ning määruste olemuse ja ülesande tõttu liidu õiguse allikate süsteemis määruse sätetel liikmesriikide õiguskordades tavaliselt vahetu mõju, ilma et liikmesriikide võimudel oleks vaja võtta rakendusmeetmeid. Siiski võib teatavate määruse sätete puhul olla nende rakendamiseks vajalik, et liikmesriigid võtaksid rakendusmeetmed (15. märtsi 2017. aasta kohtuotsus Al Chodor, C‑528/15, EU:C:2017:213, punkt 27 ja seal viidatud kohtupraktika).

    111

    Nagu aga kohtujurist oma ettepaneku punktis 167 sisuliselt märkis, on määruse 2016/679 artikli 58 lõikes 5 ette nähtud erinorm, mis on vahetult kohaldatav ja mille kohaselt peab järelevalveasutustel olema õigus pöörduda liikmesriigi kohtusse ja neile peab olema antud liikmesriigi õigusnormidega õigus osaleda kohtumenetluses.

    112

    Määruse 2016/679 artikli 58 lõikest 5 ei nähtu, et liikmesriigid peaksid sõnaselge sättega ette nägema asjaolud, mille korral võivad liikmesriigi järelevalveasutused osaleda kohtumenetluses selle sätte tähenduses. Piisab sellest, et järelevalveasutusel oleks riigisisese õiguse kohaselt võimalus juhtida õigusasutuste tähelepanu määruse rikkumistele ja olenevalt asjaoludest osaleda kohtumenetluses või algatada vajaduse korral muul viisil menetlus selle määruse sätete kohaldamise tagamiseks.

    113

    Kõiki eeltoodud kaalutlusi arvestades tuleb viiendale küsimusele vastata, et määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et sellel sättel on vahetu õigusmõju, mistõttu liikmesriigi järelevalveasutus saab sellele sättele tugineda, et algatada menetlus eraõiguslike isikute vastu või seda menetlust jätkata, isegi kui seda sätet ei ole asjaomase liikmesriigi õiguses konkreetselt rakendatud.

    Kuues küsimus

    114

    Kuuenda küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas juhul, kui vastus esimesele kuni viiendale küsimusele on jaatav, võib liikmesriigi järelevalveasutuse poolt seoses isikuandmete piiriülese töötlemisega algatatud kohtumenetluse tulemus olla takistuseks sellele, et juhtiv järelevalveasutus teeb otsuse, milles ta jõuab vastupidisele järeldusele, juhul kui ta uurib samu piiriüleseid töötlemistoiminguid või samalaadseid toiminguid vastavalt määruse 2016/679 artiklites 56 ja 60 ette nähtud mehhanismile.

    115

    Seoses sellega tuleb märkida, et vastavalt väljakujunenud kohtupraktikale eeldatakse, et liidu õiguse tõlgendamise küsimused on asjakohased. Euroopa Kohus võib keelduda liikmesriigi kohtu esitatud eelotsuse küsimusele vastamast vaid siis, kui on ilmne, et taotletaval liidu õigusnormi tõlgendusel puudub igasugune seos põhikohtuasja faktiliste asjaolude või esemega, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada vajalikke faktilisi või õiguslikke asjaolusid, et anda tarvilik vastus talle esitatud küsimustele (16. juuni 2015. aasta kohtuotsus Gauweiler jt, C‑62/14, EU:C:2015:400, punkt 25, ning 7. veebruari 2018. aasta kohtuotsus American Express, C‑304/16, EU:C:2018:66, punkt 32).

    116

    Vastavalt samuti väljakujunenud kohtupraktikale ei ole eelotsusetaotluse eesmärk mitte nõuandvate arvamuste andmine üldiste või hüpoteetiliste küsimuste kohta, vaid vaidluse tõhusa lahendamisega lahutamatult seotud vajadus (10. detsembri 2018. aasta kohtuotsus Wightman jt, C‑621/18, EU:C:2018:999, punkt 28 ja seal viidatud kohtupraktika).

    117

    Käesoleval juhul tuleb rõhutada, et nagu märkis Belgia valitsus, põhineb kuues küsimus asjaoludel, mille kohta ei ole tõendatud, et need on põhikohtuasjas kõne all, st asjaoludel, et selle vaidluse esemeks oleva piiriülese töötlemise puhul juhtiv järelevalveasutus mitte ainult ei uuri samu või samalaadseid isikuandmete piiriülese töötlemise toiminguid kui need, mida käsitletakse liikmesriigi järelevalveasutuse algatatud kohtumenetluses, vaid kavatseb ka vastu võtta vastupidisele järeldusele jõudva otsuse.

    118

    Seda arvestades tuleb märkida, et kuues eelotsuse küsimus ei ole mingil viisil seotud põhikohtuasja faktiliste asjaolude või esemega, vaid puudutab hüpoteetilist probleemi. Järelikult tuleb see küsimus tunnistada vastuvõetamatuks.

    Kohtukulud

    119

    Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

     

    Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:

     

    1.

    Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 55 lõiget 1 ning artikleid 56–58 ja 60–66 tuleb lähtuvalt Euroopa Liidu põhiõiguste harta artiklitest 7, 8 ja 47 tõlgendada nii, et liikmesriigi järelevalveasutus, kellele on selle määruse artikli 58 lõike 5 rakendamiseks vastu võetud riigisiseste õigusaktidega antud volitus juhtida selle liikmesriigi kohtu tähelepanu nimetatud määruse väidetavale rikkumisele ja olenevalt asjaoludest osaleda kohtumenetluses, saab seda volitust kasutada piiriülese andmetöötluse korral ka juhul, kui ta ei ole selle andmetöötluse osas juhtiv järelevalveasutus selle määruse artikli 56 lõike 1 tähenduses, kui tegemist on olukorraga, kus määrus 2016/679 annab sellele järelevalveasutusele pädevuse võtta vastu otsus, millega tuvastatakse, et kõnealune töötlemine rikub selles määruses sisalduvaid norme, ja tingimusel, et järgitakse selles määruses ette nähtud koostöö ja järjepidevuse menetlusi.

     

    2.

    Määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et piiriülese andmetöötluse korral ei ole liikmesriigi järelevalveasutuse – kes ei ole juhtiv järelevalveasutus – volituse algatada selle sätte tähenduses kohtumenetlus kasutamiseks nõutav, et isikuandmete piiriülese töötlemise eest vastutaval töötlejal või volitatud töötlejal, kelle vastu menetlus algatatakse, oleks peamine tegevuskoht või mõni muu tegevuskoht selle liikmesriigi territooriumil.

     

    3.

    Määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et piiriülese andmetöötluse korral saab liikmesriigi järelevalveasutuse – kes ei ole juhtiv järelevalveasutus – volitust juhtida selle liikmesriigi kohtu tähelepanu nimetatud määruse väidetavale rikkumisele ja olenevalt asjaoludest osaleda kohtumenetluses viidatud sätte tähenduses kasutada nii isikuandmete piiriülese töötlemise eest vastutava töötleja peamise tegevuskoha vastu, mis asub selle järelevalveasutuse liikmesriigis, kui ka vastutava töötleja muu tegevuskoha vastu, tingimusel et kohtuasja ese on selle tegevuskoha tegevuse kontekstis toimunud andmetöötlus ja nimetatud järelevalveasutus on pädev seda volitust kasutama kooskõlas sellega, mida on märgitud vastuses esimesele eelotsuse küsimusele.

     

    4.

    Määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et kui liikmesriigi järelevalveasutus, kes ei ole juhtiv järelevalveasutus selle määruse artikli 56 lõike 1 tähenduses, on algatanud kohtumenetluse seoses isikuandmete piiriülese töötlemisega enne 25. maid 2018, st enne kuupäeva, mil see määrus kohaldatavaks muutus, siis võib see menetlus liidu õiguse seisukohast jätkuda Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta sätete alusel, kuna see direktiiv on jätkuvalt kohaldatav selles sätestatud normide rikkumise suhtes, mis on toime pandud kuni selle direktiivi kehtetuks tunnistamiseni. Lisaks võib nimetatud asutus pärast seda kuupäeva toime pandud rikkumiste suhtes algatada sellise menetluse määruse 2016/679 artikli 58 lõike 5 alusel, kui tegemist on olukorraga, kus selle määrusega antakse liikmesriigi järelevalveasutusele, kes ei ole juhtiv järelevalveasutus, erandina pädevus võtta vastu otsus, milles tuvastatakse, et vaidlusaluse isikuandmete töötlemise puhul on rikutud selles määruses sisalduvaid norme, mis kaitsevad füüsiliste isikute õigusi nende isikuandmete töötlemise korral, tingimusel, et selle otsuse tegemisel järgitakse määruses ette nähtud koostöö ja järjepidevuse menetlusi – seda peab kontrollima eelotsusetaotluse esitanud kohus.

     

    5.

    Määruse 2016/679 artikli 58 lõiget 5 tuleb tõlgendada nii, et sellel sättel on vahetu õigusmõju, mistõttu liikmesriigi järelevalveasutus saab sellele sättele tugineda, et algatada menetlus eraõiguslike isikute vastu või seda menetlust jätkata, isegi kui seda sätet ei ole asjaomase liikmesriigi õiguses konkreetselt rakendatud.

     

    Allkirjad


    ( *1 ) Kohtumenetluse keel: hollandi.

    Top