1.

Dopušta li Opća uredba o zaštiti podataka ( 2 ) (u daljnjem tekstu: GDPR) nadzornom tijelu države članice da pred sudom te države pokrene postupak zbog navodne povrede te uredbe u kontekstu prekogranične obrade podataka ako to tijelo nije vodeće nadzorno tijelo za tu obradu?

2.

Ili pak novi „jedinstveni” mehanizam, koji se smatra jednom od najvećih inovacija uvedenih GDPR‑om, sprječava da se dogodi upravo takva situacija? Ako se voditelj obrade mora braniti od tužbe koja se odnosi na prekograničnu obradu podataka, a koju je nadzorno tijelo podnijelo sudu koji se nalazi izvan mjesta glavnog poslovnog nastana voditelja obrade, je li riječ o „nedovoljnom jedinstvu” te protivi li se to stoga novom mehanizmu iz GDPR‑a?

3.

U preambuli GDPR‑a među ostalim se navodi da: „[c]iljevi i načela Direktive 95/46/EZ i dalje su utemeljeni, no njome nisu spriječeni rascjepkanost provedbe zaštite podataka u Uniji [i] pravna nesigurnost” (uvodna izjava 9.); u čitavoj Uniji trebalo bi osigurati postojanu i homogenu primjenu pravila o zaštiti podataka (uvodna izjava 10.); nadzorna tijela trebaju pratiti primjenu pravila i doprinositi njihovoj dosljednoj primjeni kako bi se zaštitile fizičke osobe i olakšao slobodan protok osobnih podataka na unutarnjem tržištu (uvodna izjava 123.); u slučajevima prekogranične obrade „nadzorno tijelo za glavni poslovni nastan voditelja obrade ili izvršitelja obrade ili za jedini poslovni nastan voditelja obrade ili izvršitelja obrade trebalo bi djelovati kao vodeće tijelo” te to tijelo mora „surađivati s drugim predmetnim tijelima” (uvodna izjava 124.).

4.

U skladu s člankom 51. stavkom 1. GDPR‑a, „[s]vaka država članica osigurava da je jedno ili više neovisnih tijela javne vlasti odgovorno za praćenje primjene ove Uredbe kako bi se zaštitila temeljna prava i slobode pojedinaca u pogledu obrade i olakšao slobodan protok osobnih podataka unutar Unije (‚nadzorno tijelo’)”.

5.

U skladu s člankom 55. stavkom 1. GDPR‑a, „[s]vako nadzorno tijelo nadležno je za obavljanje zadaća koje su mu povjerene i izvršavanje ovlasti koje su mu dodijeljene u skladu s ovom Uredbom na državnom području vlastite države članice”.

6.

Članak 56. GDPR‑a odnosi se na nadležnost vodećeg nadzornog tijela. Stavak 1. te odredbe propisuje:

„Ne dovodeći u pitanje članak 55. nadzorno tijelo glavnog poslovnog nastana ili jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade nadležno je djelovati kao vodeće nadzorno tijelo za prekograničnu obradu koju provodi taj voditelj obrade ili izvršitelj obrade u skladu s postupkom utvrđenim u članku 60.”

7.

Stavci 2. do 5. članka 56. propisuju, odstupajući od stavka 1., da je „svako nadzorno tijelo nadležno […] za rješavanje pritužbe koja mu je podnesena ili mogućeg kršenja ove Uredbe, ako se predmet odnosi samo na poslovni nastan u njegovoj državi članici ili bitno utječe samo na ispitanike u njegovoj državi članici”. Te predmete mogu riješiti vodeća nadzorna tijela, djelujući u skladu s postupkom iz članka 60. GDPR‑a, ili, „ako vodeće nadzorno tijelo odluči da neće rješavati predmet”, lokalna nadzorna tijela, djelujući u skladu s člancima 61. i 62. GDPR‑a.

8.

Članak 56. stavak 6. predviđa da je „[v]odeće nadzorno tijelo jedini […] sugovornik voditelja obrade ili izvršitelja obrade u prekograničnoj obradi koju provodi taj voditelj obrade ili izvršitelj obrade”.

9.

Članak 58. stavak 5. GDPR‑a, koji se odnosi na ovlasti nadzornih tijela, propisuje:

„Svaka država članica zakonom propisuje da njezino nadzorno tijelo ima ovlasti obavijestiti pravosudna tijela o povredama ove Uredbe i, prema potrebi, pokrenuti pravne postupke ili u njima na drugi način sudjelovati kako bi se provele odredbe ove Uredbe.”

10.

Poglavlje VII. GDPR‑a, naslovljeno „Suradnja i konzistentnost”, sadržava članke 60. do 76. U članku 60., naslovljenom „Suradnja vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela”, utvrđen je detaljan postupak koji vodeća nadzorna tijela trebaju slijediti u kontekstu prekogranične obrade podataka.

11.

Članak 61. stavak 2. GDPR‑a, koji se odnosi na uzajamnu pomoć, zahtijeva da svako nadzorno tijelo „[p]oduzima sve prikladne mjere potrebne da odgovori na zahtjev drugog nadzornog tijela bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana nakon što je zaprimilo zahtjev”. U skladu s člankom 61. stavkom 8. GDPR‑a, ako nadzorno tijelo ne pruži zatražene informacije, u kojem slučaju se smatra da postoji hitna potreba za djelovanjem u skladu s člankom 66. stavkom 1., nadzorno tijelo koje je podnijelo zahtjev može donijeti privremenu mjeru na državnom području svoje države članice.

12.

Stavak 1. točka (a) članka 65. GDPR‑a, naslovljenog „Rješavanje sporova pri Odboru”, predviđa da Europski odbor za zaštitu podataka (u daljnjem tekstu: Odbor), kako bi se osigurala ispravna i dosljedna primjena uredbe u pojedinačnim slučajevima, donosi obvezujuću odluku u, među ostalim, slučajevima u kojima je predmetno nadzorno tijelo podnijelo relevantan i obrazložen prigovor na nacrt odluke vodećeg tijela ili je vodeće tijelo odbilo takav prigovor kao nerelevantan ili neobrazložen.

13.

U skladu s člankom 66. stavkom 1., koji se odnosi na hitni postupak, predmetno nadzorno tijelo u izuzetnim okolnostima, ako smatra da postoji hitna potreba za djelovanjem kako bi se zaštitila prava i slobode ispitanika, može, odstupajući od mehanizma konzistentnosti, „odmah donijeti privremene mjere kojima se proizvode pravni učinci na svom području na određeno razdoblje valjanosti koje nije duže od tri mjeseca”.

14.

Poglavlje VIII. GDPR‑a, naslovljeno „Pravna sredstva, odgovornost i sankcije”, sadržava članke 77. do 84. Članak 77. stavak 1. svakom ispitaniku daje pravo podnijeti pritužbu nadzornom tijelu u pogledu mogućih kršenja uredbe u kontekstu obrade podataka koji se na njega odnose, „osobito u državi članici u kojoj ima uobičajeno boravište, u kojoj je njegovo radno mjesto ili mjesto navodnog kršenja”. Stavci 1. i 2. članka 78. GDPR‑a pak svakoj fizičkoj ili pravnoj osobi dodjeljuju pravo na učinkovit pravni lijek protiv, među ostalim, pravno obvezujuće odluke nekog nadzornog tijela koja se na nju odnosi i nadzornog tijela koje ne riješi pritužbu.

15.

Wetom van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Zakon od 8. prosinca 1992. o zaštiti privatnosti u vezi s obradom osobnih podataka; u daljnjem tekstu: WVP), kako je izmijenjen, u belgijsko je pravo prenesena Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka ( 3 ). Tim je zakonom, među ostalim, uspostavljeno belgijsko Povjerenstvo za zaštitu privatnog života. U skladu s člankom 32. stavkom 3. tog zakona, „ne dovodeći u pitanje nadležnost redovnih sudova za primjenu općih načela zaštite privatnosti, predsjednik [Povjerenstva za zaštitu privatnog života] može prvostupanjskom sudu iznijeti bilo koji spor koji se tiče primjene ovog Zakona i mjera kojima se provodi”.

16.

U skladu s člankom 3. Weta van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (Zakon od 3. prosinca 2017. o osnivanju Agencije za zaštitu podataka; u daljnjem tekstu: Zakon o AZP‑u), koji je na snagu stupio 25. svibnja 2018., Agencija za zaštitu podataka (u daljnjem tekstu: AZP) uspostavljena je kao pravni sljednik Povjerenstva za zaštitu privatnog života. U skladu s člankom 6. tog zakona, AZP „može, u okviru ovog Zakona i zakona koji sadržavaju odredbe o zaštiti obrade osobnih podataka, pravosudnim tijelima skrenuti pozornost na svaku povredu temeljnih načela zaštite osobnih podataka i, prema potrebi, uložiti pravni lijek kako bi se ta temeljna načela primijenila”.

17.

Zakon o AZP‑u nije sadržavao nijednu posebnu odredbu u pogledu sudskih postupaka pokrenutih na temelju članka 32. stavka 3. WVP‑a koji su 25. svibnja 2018. još bili u tijeku.

18.

WVP je izvan snage stavljen Wetom van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Zakon od 30. srpnja 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka). Tim su zakonom provedene odredbe GDPR‑a koje nalažu ili dopuštaju državama članicama da osim općih usvoje i detaljnija pravila.

19.

Predsjednik belgijskog Povjerenstva za zaštitu privatnog života, koje je kasnije postalo AZP, pokrenuo je 11. rujna 2015. postupak protiv društava Facebook Inc., Facebook Ireland Ltd i Facebook Belgium BVBA (u daljnjem tekstu zajedno: Facebook) pred Nederlandstalige rechtbank van eerste aanleg Brussel (Prvostupanjski sud na nizozemskom jeziku u Bruxellesu, Belgija). Taj se postupak odnosio na povrede zakonâ o zaštiti podataka koje Facebook navodno čini, a koje se među ostalim sastoje od nezakonitog prikupljanja i upotrebe, putem tehnologija kao što su „kolačići”, „dodaci za društvenu mrežu” i „pikseli”, privatnih podataka o načinu na koji se pojedinci u Belgiji ponašaju na internetu.

20.

AZP u bitnome navodi da Facebook koristi razne tehnologije kako bi promatrao i pratio pojedince dok pregledavaju internetske stranice te zatim prikupljene podatke upotrebljava da izradi profil o njihovu ponašanju na internetu, na temelju čega im prikazuje ciljane reklame a da ih o tome nije pravilno obavijestio ni pribavio njihovu valjanu privolu. AZP ističe da Facebook te prakse primjenjuje i na pojedince koji su članovi Facebookove društvene mreže i na one koji to nisu.

21.

AZP je zatražio da se Facebooku naloži da prestane, u odnosu na sve korisnike interneta na belgijskom državnom području, bez njihove privole postavljati kolačiće koji su dvije godine aktivni na uređajima koje ti korisnici koriste dok pregledavaju internetske stranice domene Facebook.com i trećih osoba te u pretjeranoj mjeri prikupljati podatke putem dodataka društvenoj mreži i piksela na internetskim stranicama trećih osoba. Osim toga, zatražio je uništenje svih osobnih podataka o svim korisnicima interneta na belgijskom državnom području koji su prikupljeni putem kolačića i dodataka društvenoj mreži.

22.

Predsjednik Nederlandstalige rechtbank van eerste aanleg Brussel (Prvostupanjski sud na nizozemskom jeziku u Bruxellesu, Belgija) privremenim je rješenjem od 9. studenoga 2015. utvrdio da je nadležan odlučiti u predmetu te da je tužba dopuštena u pogledu svih triju tuženika. Taj je sud usto privremeno naložio tuženicima da obustave određene aktivnosti u odnosu na korisnike interneta na belgijskom državnom području.

23.

Facebook je 2. ožujka 2016. protiv tog rješenja uložio žalbu Hofu van beroep te Brussel (Žalbeni sud u Bruxellesu, Belgija). Taj je sud presudom od 29. lipnja 2016. izmijenio prvostupanjsko rješenje. Osobito, utvrdio je da nije nadležan za zahtjeve protiv društava Facebook Inc. i Facebook Ireland Ltd, ali da je nadležan za zahtjeve protiv društva Facebook Belgium. Glavni postupak tako je ograničen na zahtjeve protiv društva Facebook Belgium. Taj je sud usto utvrdio da nema potrebe za hitnim donošenjem odluke.

24.

Prema mojem shvaćanju, predmet koji je u tijeku pred Hofom van beroep te Brussel (Žalbeni sud u Bruxellesu) trenutačno se odnosi na žalbu protiv naknadne meritorne odluke prvostupanjskog suda. Društvo Facebook Belgium u žalbenom postupku među ostalim navodi da je AZP početkom primjene novog „jedinstvenog” mehanizma uvedenog GDPR‑om izgubio procesnu legitimaciju u glavnom postupku jer nije vodeće nadzorno tijelo. Vodeće nadzorno tijelo bi u pogledu prekogranične obrade o kojoj je riječ bilo Irish Data Protection Commission (Irsko povjerenstvo za zaštitu podataka). Glavni poslovni nastan voditelja obrade u Europskoj uniji je Irska (društvo Facebook Ireland Ltd).

25.

U tom kontekstu, Hof van beroep te Brussel (Žalbeni sud u Bruxellesu) odlučio je prekinuti postupak i Sudu uputiti sljedeća prethodna pitanja:

26.

Pisana očitovanja podnijeli su Facebook, AZP, belgijska, češka, talijanska, poljska, portugalska i finska vlada kao i Europska komisija. Facebook, AZP i Komisija usto su iznijeli usmena očitovanja na raspravi održanoj 5. listopada 2020.

27.

Ukratko, ključno pitanje koje se postavlja u glavnom postupku jest ima li AZP i dalje procesnu legitimaciju u postupku protiv društva Facebook Belgium, koji se odnosi na prekograničnu obradu osobnih podataka provedenu nakon početka primjene GDPR‑a, s obzirom na to da je društvo Facebook Ireland Ltd izvršitelj te obrade.

28.

Kako bi se odgovorilo na to pitanje, potrebno je odrediti opseg i djelovanje onoga što se u samom GDPR‑u, u njegovoj uvodnoj izjavi 127., naziva „jedinstvenim” mehanizmom. Taj se mehanizam sastoji od skupa pravila koja uspostavljaju, u slučaju prekogranične obrade podataka, središnju provedbenu točku u obliku vodećeg nadzornog tijela (u daljnjem tekstu: VNT), koje zajedno s predmetnim nadzornim tijelima (u daljnjem tekstu: PNT) čini dio sustava postupaka suradnje i konzistentnosti, kojemu je cilj osigurati sudjelovanje svih zainteresiranih nadzornih tijela.

29.

U skladu s člankom 56. stavkom 1. GDPR‑a, nadzorno tijelo djeluje kao VNT u pogledu prekogranične obrade koju provode voditelji obrade ili izvršitelji obrade koji na njegovu državnom području imaju glavni ili jedini poslovni nastan. U skladu s člankom 4. točkom 22. GDPR‑a, nadzorno tijelo djeluje kao PNT ako je ispunjen jedan od sljedećih alternativnih uvjeta: „(a) voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području države članice tog nadzornog tijela; (b) obrada bitno utječe ili je izgledno da će bitno utjecati na ispitanike koji borave u državi članici tog nadzornog tijela; ili (c) podnesena je pritužba tom nadzornom tijelu”.

30.

Prije razmatranja merituma prethodnih pitanja potrebno je iznijeti neke uvodne napomene (A). Potom ću analizirati pravna pitanja koja je istaknuo sud koji je uputio zahtjev. Osobito ću se usredotočiti na prvo prethodno pitanje jer ono čini bit spora pred sudom koji je uputio zahtjev (B). Nakon toga ću se baviti ostalim prethodnim pitanjima, ali samo kratko jer odgovor na njih neće biti potreban ili će biti poprilično očit ako se na prvo pitanje odgovori na način koji predlažem u ovom mišljenju (C).

31.

Za početak ističem da mi određeni elementi glavnog postupka nisu sasvim jasni.

32.

Kao prvo, moram priznati da mi relevantnost pitanja postavljenih u glavnom postupku nije sasvim očita s obzirom na to da je, kako se čini, od stranaka protiv kojih je AZP podnio tužbu još samo društvo Facebook Belgium tuženik u glavnom postupku ( 4 ). Na temelju spisa podnesenog Sudu se čini da to društvo nije ni „glavni poslovni nastan” voditelja obrade za potrebe članka 4. točke 16. niti potencijalno nije ni – s obzirom na to da se čini da ipak jest jedan od poslovnih nastana istog poduzetnika – „zajednički voditelj obrade” u smislu članka 26. GDPR‑a ( 5 ).

33.

Međutim, prethodna pitanja uživaju presumpciju relevantnosti. Sud stoga na njih odbija odgovoriti samo u malobrojnim okolnostima, među ostalim kada zahtjevi iz članka 94. Poslovnika Suda nisu ispunjeni, kada je očito da zatraženo tumačenje prava Unije nema nikakve veze s činjeničnim stanjem spora u glavnom postupku ili kada su pitanja (u cijelosti) hipotetska ( 6 ). Smatram da u ovom predmetu takve okolnosti ne postoje. „Tko je tko” i „koga se može za što tužiti” su ne samo činjenična pitanja na koja u konačnici mora odgovoriti nacionalni sud nego su na neki način i jedan od aspekata prethodnih pitanja upućenih Sudu.

34.

Kao drugo, ni vremenski aspekt glavnog postupka nije sasvim lako razumjeti. Postupak je pokrenut dok je Direktiva 95/46 bila na snazi. Nastavljen je i nakon što je GDPR stupio na snagu. Međutim, čini se da se sada odnosi samo na radnje iz razdoblja prije početka primjene tog novog pravnog okvira. Postavlja se pitanje je li nastavak AZP‑ove procesne legitimacije sukladan odredbama GDPR‑a, što je element istaknut u okviru četvrtog prethodnog pitanja. Međutim, ta bi pitanja u glavnom postupku bila relevantna samo da nacionalno tijelo o kojem je riječ želi postupak u tijeku dovršiti u pogledu navodnih povreda počinjenih prije početka primjene novog pravnog okvira. Ako se postupak u tijeku trenutačno pak odnosi samo na navodne nezakonitosti počinjene nakon što se GDPR počeo primjenjivati, potencijalno u vezi sa zahtjevom za izricanje sudske zabrane takvih praksi (koja je nužno usmjerena na budućnost), teško je razumjeti zašto AZP, ako smatra da ima procesnu legitimaciju, nije obustavio postojeći postupak i podnio tužbu u skladu s odredbama GDPR‑a.

35.

Kao treće, AZP je na raspravi spomenuo svoje dopisivanje s irskim nadzornim tijelom i Odborom u pogledu jedne od tehnologija koje Facebook koristi za prikupljanje podataka (kolačići). Navedeno je da se AZP i irsko nadzorno tijelo nisu slagali oko toga je li ta tehnologija obuhvaćena materijalnim područjem primjene GDPR‑a.

36.

U vezi s tim, a za potrebe predmetnog slučaja, može biti korisno podsjetiti na to da određeni postupci obrade podataka mogu biti obuhvaćeni materijalnim područjem primjene više od jednog zakonodavnog akta Unije, u kojem slučaju su svi ti akti, osim ako nije drukčije predviđeno, istodobno primjenjivi ( 7 ). Međutim, u drugim slučajevima, primjerice kada se postupci obrade ne odnose na osobne podatke u smislu članka 4. stavka 1. GDPR‑a, očito je da se GDPR ne primjenjuje.

37.

Prema tome, ako navodna nezakonitost neke vrste obrade podataka proizlazi iz drugih odredbi (Unijina ili nacionalnog) prava, postupci i mehanizmi iz GDPR‑a se ne aktiviraju. GDPR se ne može koristiti kao sredstvo za to da se „jedinstvenim” mehanizmom obuhvate oblici ponašanja koji, iako uključuju određen protok ili čak obradu podataka, ne povrjeđuju niti jednu obvezu predviđenu tom uredbom.

38.

Kako bi odredio je li neki slučaj obuhvaćen materijalnim područjem primjene GDPR‑a, nacionalni sud, uključujući možebitno sud koji je uputio zahtjev, treba proučiti koji je točan izvor pravne obveze gospodarskog subjekta koju je potonji navodno povrijedio. Ako izvor te obveze nije GDPR, logično je da ni postupci predviđeni tim aktom, koji su vezani za njegovo materijalno područje primjene, nisu primjenjivi.

39.

Sud koji je uputio zahtjev svojim prvim pitanjem u biti pita dopuštaju li odredbe GDPR‑a, u vezi s člancima 7., 8. i 47. Povelje Europske unije o temeljnim pravima (u daljnjem tekstu: Povelja), nadležnom tijelu države članice da pred sudom te države pokrene postupak zbog navodne povrede GDPR‑a u kontekstu prekogranične obrade podataka čak i ako to tijelo nije „vodeće nadzorno tijelo”.

40.

U tom pogledu AZP, belgijska, talijanska, poljska i portugalska vlada predlažu Sudu da na to pitanje odgovori potvrdno, dok Facebook, češka i finska vlada te Komisija zauzimaju suprotno stajalište.

41.

U nastavku ću u prvom odjeljku objasniti zašto tumačenje GDPR‑a koje predlažu AZP te belgijska, talijanska, poljska i portugalska vlada ne smatram uvjerljivim: doslovno i sustavno (1) te teleološko i povijesno (2) tumačenje GDPR‑a jasno nalažu suprotan pristup. Osim toga, ni tumačenje GDPR‑a s obzirom na Povelju (3) ni navodne opasnosti od moguće nedovoljne provedbe te uredbe (4) ne dovode u pitanje, barem ne u kontekstu predmetnog slučaja, tumačenje te uredbe koje je prema mojem mišljenju pravilno.

42.

Ipak, smatram da implikacije tog konkretnog tumačenja nisu toliko ekstremne koliko Facebook, češka i finska vlada te Komisija smatraju. U tom smislu, objasnit ću zašto odgovor koji treba dati sudu koji je uputio zahtjev treba biti između dvaju stajališta iznesenih u ovom postupku: nadzorno tijelo države članice može pred sudom te države pokrenuti postupak zbog navodne povrede GDPR‑a u kontekstu prekogranične obrade podataka čak i ako nije VNT, pod uvjetom da to učini u situacijama i prema postupcima utvrđenima u GDPR‑u (5).

43.

Kao prvo, čini mi se da tekst relevantnih odredbi, osobito ako ih se promatra u kontekstu u kojem su smještene, ide u prilog tumačenju GDPR‑a prema kojem VNT ima opću nadležnost u pogledu prekogranične obrade, dok PNT‑ovi posljedično imaju ograničenu nadležnost u tom pogledu.

44.

Članak 56. stavak 1. GDPR‑a propisuje da je „nadzorno tijelo glavnog poslovnog nastana ili jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade nadležno […] djelovati kao vodeće nadzorno tijelo za prekograničnu obradu koju provodi taj voditelj obrade ili izvršitelj obrade u skladu s postupkom utvrđenim u članku 60. ( 8 )” U skladu s člankom 56. stavkom 6. GDPR‑a, „[v]odeće nadzorno tijelo jedini je sugovornik voditelja obrade ili izvršitelja obrade u prekograničnoj obradi koju provodi taj voditelj obrade ili izvršitelj obrade” ( 9 ). Uvodna izjava 124. odražava te odredbe, u bitnome navodeći da bi, u kontekstu prekogranične obrade, „nadzorno tijelo za glavni poslovni nastan voditelja obrade ili izvršitelja obrade ili za jedini poslovni nastan voditelja obrade ili izvršitelja obrade trebalo […] djelovati kao vodeće tijelo” ( 10 ).

45.

Opću nadležnost VNT‑a u pogledu prekogranične obrade podataka dodatno potvrđuje činjenica da su situacije u kojima nadležnost u tom pogledu imaju druga nadzorna tijela opisane kao iznimke od općeg pravila. Osobito, članak 55. stavak 2. GDPR‑a isključuje nadležnost VNT‑a u pogledu određenih obrada podataka „koj[e] obavljaju tijela javne vlasti”. Osim toga, članak 56. stavak 2. GDPR‑a propisuje, odstupajući od načela da nadležnost pripada VNT‑u, da je „svako nadzorno tijelo nadležno […] za rješavanje pritužbe koja mu je podnesena ili mogućeg kršenja ove Uredbe, ako se predmet odnosi samo na poslovni nastan u njegovoj državi članici ili bitno utječe samo na ispitanike u njegovoj državi članici”.

46.

Nadalje, članak 66. GDPR‑a, koji se odnosi na „hitni postupak”, ovlašćuje svaki PNT „u izuzetnim okolnostima”, ako postoji hitna potreba za djelovanjem kako bi se zaštitila prava i slobode ispitanika, da, „odstupajući” od mehanizama suradnje i konzistentnosti iz članaka 60., 63., 64. i 65. GDPR‑a, odmah donese privremene mjere kojima se proizvode pravni učinci na njegovu državnom području na određeno razdoblje valjanosti koje nije duže od tri mjeseca.

47.

Iz teksta GDPR‑a stoga mi se čini poprilično jasnim da je, u pogledu prekogranične obrade, nadležnost VNT‑a pravilo, a nadležnost drugih nadzornih tijela iznimka ( 11 ).

48.

Međutim, AZP i određene vlade osporavaju to tumačenje GDPR‑a. Prema njihovu mišljenju, tekst relevantnih odredbi upućuje na to da svako nadzorno tijelo ima (gotovo neograničeno) pravo pokrenuti sudski postupak protiv mogućih povreda koje se odnose na njihovo državno područje, neovisno o tome je li obrada prekogranična po svojoj naravi. Uglavnom se oslanjaju na dva argumenta.

49.

Kao prvo, tvrde da izraz „ne dovodeći u pitanje članak 55.”, kojim započinje članak 56. stavak 1., znači da nadležnost koju VNT‑u dodjeljuje potonja odredba ne može ometati ili ograničavati ovlasti koje prvonavedena odredba daje svakom nadzornom tijelu, uključujući ovlast pokretanja sudskog postupka.

50.

Taj mi argument nije uvjerljiv.

51.

U članku 55. stavku 1. utvrđeno je načelo da je svako nadzorno tijelo „nadležno […] za obavljanje zadaća koje su mu povjerene i izvršavanje ovlasti koje su mu dodijeljene u skladu s ovom Uredbom na državnom području vlastite države članice”. Te zadaće su navedene u članku 57. GDPR‑a. Ovlasti su navedene u članku 58. Među povjerenim zadaćama posebno treba istaknuti praćenje i provođenje GDPR‑a (članak 57. stavak 1. točka (a)). Člankom 58. nadzornim tijelima se dodjeljuju različite istražne (stavak 1.) i korektivne ovlasti (stavak 2.) te ovlasti u vezi s odobravanjem i savjetodavne ovlasti (stavak 3.) kao i ovlast pokretanja sudskog postupka (stavak 5.).

52.

U biti, te odredbe – na koje članak 55. prešutno upućuje – obuhvaćaju sve zadaće i ovlasti koje se nadzornim tijelima trebaju dodijeliti na temelju GDPR‑a. Ako bismo prihvatili tumačenje koje zagovaraju AZP i određene vlade, praktički ništa ne bi ostalo u općoj nadležnosti VNT‑a, čime bi članak 56. izgubio svaki smisao. VNT ne bi bio ni „jedini” sugovornik niti bi na bilo koji način „vodio” druga nadzorna tijela. Vjerojatno bi bio sveden na „informacijsku točku” bez jasno određene misije.

53.

Važnost uloge koja je dodijeljena VNT‑u te stoga i jedinstvenog mehanizma postaje još očitija kada se sve te odredbe promatraju zajedno i kontekstualno.

54.

Prvi pokazatelj toga je važnost koja je članku 56. dodijeljena u okviru sustava GDPR‑a. Članak 56. druga je po redu odredba relevantnog dijela GDPR‑a (poglavlje VI. („Neovisna nadzorna tijela”), odjeljak 2. („Nadležnost, zadaće i ovlasti”)), koja neposredno slijedi opću odredbu o „nadležnosti”, a prethodi drugim općim odredbama o „zadaćama” i „ovlastima”. Dakle, zakonodavac Unije je središnju važnost nadležnosti VNT‑a odlučio naglasiti prije nego što je nabrojao konkretne zadaće i ovlasti svih nadzornih tijela.

55.

Još bitnije, važnost uloge VNT‑a potvrđuju odredbe poglavlja VII. GDPR‑a (naslovljenog „Suradnja i konzistentnost”), u kojem su predviđeni razni postupci i mehanizmi koje nadzorna tijela moraju slijediti kako bi osigurala dosljednu primjenu GDPR‑a. Osobito, članak 60., koji je prvi u poglavlju te na koji se upućuje u članku 56. stavku 1., predviđa postupak „suradnje vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela”.

56.

Očito je da je taj postupak zamišljen kao glavni postupak koji treba primijeniti kada je potrebno reagirati na povrede počinjene u kontekstu prekogranične obrade. Taj postupak, kao ni drugi postupci predviđeni u poglavlju VII. GDPR‑a, nije fakultativan. Preskriptivne formulacije koje se koriste, osobito u članku 51. stavku 2. i članku 63. GDPR‑a, nedvosmisleno upućuju na to da nadzorna tijela moraju surađivati te da to moraju činiti kroz (obveznu) uporabu postupaka i mehanizama koji su u tu svrhu uspostavljeni.

57.

Stoga, izraz „ne dovodeći u pitanje članak 55.” iz članka 56. stavka 1. nema značenje koje AZP navodi. Prema mojem mišljenju, on u kontekstu u kojem je smješten jednostavno znači da čak i u pojedinačnom slučaju prekogranične obrade u kojem je VNT taj koji je nadležan na temelju članka 56. GDPR‑a, sva nadzorna tijela zadržavaju opće ovlasti koje imaju na temelju članka 55. (i članka 58.) GDPR‑a.

58.

U skladu s člankom 55. stavkom 1. GDPR‑a, države članice moraju nadzornom tijelu omogućiti izvršavanje zadaća i ovlasti predviđenih u toj uredbi. Dakle, ta odredba svakom nadzornom tijelu daje opću ovlast (ili nadležnost) da djeluje na svojem državnom području te to vrijedi neovisno („ne dovodeći u pitanje”) o tome je li obrada prekogranična po svojoj naravi ili nije, a ako jest, tijelo o kojem je riječ djeluje kao VNT ili PNT ( 12 ). Međutim, članak 55. GDPR‑a ne određuje kada i kako točno se ta ovlast djelovanja treba izvršavati u konkretnom slučaju. Naime, ti su aspekti uređeni drugim odredbama GDPR‑a, osobito onima iz poglavlja VII. te uredbe. Prema tim odredbama, mogućnost nadzornog tijela da izvršava opću ovlast djelovanja i način na koji će to činiti ovisi, među ostalim, o tome je li to tijelo u odnosu na danog voditelja ili izvršitelja obrade VNT ili PNT ( 13 ).

59.

Stoga, u tom pogledu te u smislu ishoda, dijelim stajalište Odbora koji je u nedavnom mišljenju istaknuo članak 56. stavak 1. GDPR‑a kao „prevladavajuće pravilo” i „lex specialis”: ta odredba „ima prioritet [pred općim pravilom iz članka 55. GDPR‑a] kad god se pojavi bilo kakva situacija obrade koja ispunjava uvjete navedene u nj[oj]” ( 14 ).

60.

Prema tome, smatram da AZP i određene vlade pogrešno tumače članak 55. i članak 56. stavak 1. GDPR‑a. Ti intervenijenti prvi dio rečenice članka 56. stavka 1. izvlače iz konteksta kako bi odnos između pravila i iznimke okrenuli naglavce. Time se oslabljuje preskriptivan sadržaj nekoliko odredbi GDPR‑a te se ometa ostvarenje cilja da se osigura konzistentna i homogena primjena pravila o zaštiti podataka, koji je među ostalim istaknut u uvodnoj izjavi 10. te uredbe. Na taj bismo se način praktički vratili sustavu iz Direktive 95/46.

61.

Kao drugo, AZP i neke vlade navode da iz samog teksta članka 58. stavka 5. GDPR‑a proizlazi da sva nadzorna tijela moraju imati pravo pokrenuti sudski postupak protiv bilo koje moguće povrede pravila o zaštiti podataka koja zahvaća njihova državna područja, neovisno o (lokalnoj ili prekograničnoj) prirodi obrade. Stoga, prema njihovu mišljenju, čak i ako bi se jedinstveni mehanizam tumačio na način da ograničava ovlasti drugih nadzornih tijela u pogledu prekogranične obrade, ta se ograničenja odnose samo na upravne postupke, ne i sudske.

62.

Smatram da ni taj drugi argument nije održiv. Upada u isti „grijeh” kao i prethodni argument: odredbu GDPR‑a tumači „klinički izolirano” od ostatka te uredbe, a istodobno previše u nju učitava.

63.

Članak 58. stavak 5. glasi: „Svaka država članica zakonom propisuje da njezino nadzorno tijelo ima ovlasti obavijestiti pravosudna tijela o povredama ove Uredbe i, prema potrebi, pokrenuti pravne postupke ili u njima na drugi način sudjelovati kako bi se provele odredbe ove Uredbe”.

64.

Ta odredba državama članicama nalaže da nadzornim tijelima, s jedne strane, dopuste da održavaju uske veze s pravosudnim tijelima (uključujući možebitno kaznena tijela) i, s druge strane, priznaju (ne samo pasivnu nego i aktivnu) procesnu legitimaciju za pokretanje postupaka pred svojim nacionalnim sudovima. Drugim riječima, nadzorna tijela načelno trebaju moći komunicirati s pravosudnim tijelima i, prema potrebi, pokrenuti sudski postupak. Koliko shvaćam, zakonodavac Unije je takvu izričitu odredbu smatrao potrebnom jer su, unatoč tekstu članka 28. stavka 3. Direktive 95/46 ( 15 ), u pogledu tog pitanja postojale značajne razlike između propisa država članica, koje su stvarale probleme u smislu nedovoljne provedbe ( 16 ). Ovaj predmet, koji je pokrenut dok je ta direktiva još bila na snazi, pruža primjer toga: njime su u kontekstu nacionalnog prava otvorena pitanja procesne legitimacije Povjerenstva za zaštitu privatnog života i prikladnosti pravne osnove tužbe koju je podnio predsjednik tog povjerenstva.

65.

Međutim, slično onomu što je već navedeno ( 17 ), članak 58. stavak 5. GDPR‑a predviđa ovlasti koje se bez razlike trebaju priznati svim nadzornim tijelima, u toj fazi, neovisno o utvrđenju (ili prije nego što se utvrdi) je li odnosno tijelo u danom predmetu nadležni VNT, PNT ili pak možda uopće nije nadležno. Članak 58. stavak 5. GDPR‑a ne određuje kada i kako se ovlast pokretanja postupaka treba izvršavati. To je vjerojatno i razlog zbog kojeg ta odredba sadržava izraz „prema potrebi”. Ta je problematika predmet drugih odredbi GDPR‑a.

66.

Osim toga, ni tekst ni struktura članka 58. GDPR‑a ne sugeriraju da je – kako AZP navodi – moguće praviti razliku između upravnih ovlasti tijelâ (koje bi podlijegale ograničenjima koja proizlaze iz jedinstvenog mehanizma) i ovlasti pokretanja sudskog postupka (koja ne bi podlijegala tim ograničenjima). Ta odredba predviđa, u stavku za stavkom, razne ovlasti koje se moraju priznati nadzornim tijelima, pri čemu ih grupira prema svrsi (istražne, korektivne, savjetodavne itd.). Ti su stavci uvelike slično formulirani, u bitnome se svodeći na to da propisuju da svako nadzorno tijelo ima ovlasti navedene u danom stavku.

67.

Stoga ne vidim osnove za to da se stavak 5. članka 58. tumači išta drukčije od stavaka 1. do 3. tog članka. Ili svako nadzorno tijelo uživa sve te ovlasti nesputano jedinstvenim mehanizmom ili se sve te ovlasti moraju izvršavati prema postupcima i unutar granica predviđenih u toj uredbi.

68.

Zbog razloga iznesenih u točkama 51. i 52. ovog mišljenja, prvonavedenu tvrdnju se ne može podržati. Zapravo, kada se članak 58. GDPR‑a tumači s obzirom na njegov kontekst, postaje jasno da vrijedi suprotno od onoga što navode AZP i neke od vlada.

69.

Naime, svako nadzorno tijelo mora doprinositi pravilnoj i dosljednoj primjeni uredbe. S tim ciljem, svako nadzorno tijelo – neovisno o tome ima li u danom predmetu ulogu VNT‑a ili PNT‑a – mora, primjerice, ispitati pritužbe koje su mu podnesene, i to sa svom dužnom pažnjom ( 18 ). U biti, čak i ako se navodne povrede odnose na prekograničnu obradu te nadzorno tijelo nije VNT, druga nadzorna tijela trebaju moći ispitati predmet kako bi mogla dati smislen doprinos kada se to od njih zatraži u okviru mehanizama suradnje i konzistentnosti ( 19 ) ili donijeti hitne mjere. Međutim, tada je na VNT‑u da, načelno, donese obvezujuće odluke radi provedbe GDPR‑a u odnosu na izvršitelja obrade ili voditelja obrade ( 20 ). Osobito, kako proizlazi iz nedavne presude Facebook Ireland i Schrems, „nadležno nacionalno nadzorno tijelo […] mora biti u mogućnosti […], prema potrebi, pokrenuti postupak pred nacionalnim sudovima” ( 21 ). Stoga, tvrdnja da nadzorna tijela mogu zanemariti mehanizme konzistentnosti i suradnje kada žele pokrenuti postupak nije u skladu s tekstom GDPR‑a i sudskom praksom Suda.

70.

Nadalje, iz praktičnije perspektive, bilo bi nelogično onemogućiti tijelu da pokrene upravni postupak na kojem bi se sa zainteresiranim subjektima raspravljalo o navodnoj povredi pravila o zaštiti podataka, a dopustiti mu da odmah pokrene postupak pred sudom u pogledu istog pitanja. Sudski spor često se koristi samo kao krajnja mjera, u smislu da će ga tijelo pokrenuti kada se problem ne može djelotvorno riješiti (formalnim ili neformalnim) raspravama i odlukama na upravnoj razini.

71.

Razlikovanje koje AZP predlaže, koje bi nadzornom tijelu onemogućavalo da (upravno) istraži, pripremi, razmotri i odluči predmet, ali bi mu umjesto toga omogućavalo da odmah pokrene postupak pred sudom, upravna bi tijela praktički pretvorilo u poprilično sumnjive likove iz vesterna, koji prvo pucaju, a tek kasnije (eventualno) razgovaraju („kada moraš pucati, pucaj; nemoj govoriti ( 22 )”). Smatram da ne bilo ni razumno ni primjereno da se upravna tijela na taj način bave navodnim povredama pravila o zaštiti podataka.

72.

Nadalje i važnije, ako bi se nadzornim tijelima dopustilo da slobodno pokreću postupke pred nacionalnim sudovima, a istodobno im se onemogućilo da svoje upravne ovlasti koriste bez uporabe mehanizama suradnje i konzistentnosti predviđenih uredbom, ti bi se mehanizmi mogli lako zaobići. Osobito, u slučaju nesuglasica u pogledu nacrta odluke, i VNT i (svaki) PNT mogao bi „situaciju preuzeti u svoje ruke” i pokrenuti postupak pred nacionalnim sudovima, time zaobilazeći postupak predviđen člankom 60. stavkom 4. i člankom 65. GDPR‑a.

73.

To bi pak oduzelo smisao jednoj od glavnih funkcija Odbora – tijela uspostavljenog GDPR‑om, koje čine voditelji jednog nadzornog tijela iz svake države članice i Europski nadzornik za zaštitu podataka ( 23 ). Jedna od zadaća Odbora upravo je praćenje i osiguravanje pravilne primjene GDPR‑a u slučaju nesuglasica između različitih nadzornih tijela ( 24 ). Odbor u tom slučaju djeluje kao forum za rješavanje spora i tijelo koje donosi odluku. Ako bi se prihvatilo tumačenje koje zagovaraju AZP i neke vlade, mehanizam iz članka 65. GDPR‑a mogao bi se u potpunosti zaobići: svako bi tijelo moglo ići svojim putem, zaobilazeći pritom Odbor.

74.

Ishod bi bio suprotan onomu što je zakonodavac Unije htio postići novim sustavom, kako će se objasniti u sljedećem odjeljku.

75.

Kako proizlazi iz uvodne izjave 9. GDPR‑a, zakonodavac Unije je smatrao da iako su „[c]iljevi i načela Direktive 95/46/EZ i dalje [bili] utemeljeni”, tim aktom „nisu spriječeni rascjepkanost provedbe zaštite podataka u Uniji, pravna nesigurnost ili rasprostranjeno javno mišljenje da […] postoje znatni rizici povezani sa zaštitom pojedinaca”.

76.

Potreba za osiguravanjem konzistentnosti tako je postala fokus pravnog akta kojim se Direktiva 95/46 trebala zamijeniti. Taj se cilj smatrao važnim zbog dvaju razloga: s jedne strane, radi osiguravanja homogene i snažne zaštite pojedinaca i, s druge strane, radi uklanjanja prepreka protoku osobnih podataka unutar Unije, uz osiguravanje pravne sigurnosti i transparentnosti za gospodarske subjekte ( 25 ).

77.

Potonji aspekt treba naglasiti. U skladu s Direktivom 95/46, gospodarski subjekti aktivni diljem Europske unije morali su poštovati razne skupove nacionalnih pravila kojima se ta direktiva provodila te istodobno interaktirati sa svim nacionalnim tijelima nadležnima za zaštitu podataka. To je bilo ne samo skupo, naporno i vremenski zahtjevno za gospodarske subjekte nego je tim subjektima i njihovim klijentima usto bilo izvor nesigurnosti i sukoba ( 26 ).

78.

Ograničenja sustava uspostavljenog Direktivom 95/46 postala su razvidna i u nekoliko presuda Suda. Sud je u presudi Weltimmo utvrdio da su ovlasti tijela nadležnih za zaštitu podataka bile strogo ograničene načelom teritorijalnosti: ta su tijela mogla reagirati samo na povrede nastale na njihovu državnom području, a u svim drugim slučajevima morala su od tijela drugih država članica tražiti da interveniraju ( 27 ). U presudi Wirtschaftsakademie Schleswig‑Holstein Sud je zaključio da je u slučaju prekogranične obrade svako tijelo nadležno za zaštitu podataka moglo izvršavati svoje ovlasti u odnosu na subjekt s poslovnim nastanom na njegovu državnom području, neovisno o stajalištima i radnjama tijela nadležnog za zaštitu podataka iz države članice u kojoj je subjekt odgovaran za tu obradu imao sjedište ( 28 ).

79.

Međutim, u virtualnom svijetu obrade podataka teritorijalno razdvajanje nadležnosti pojedinih tijela često je problematično ( 29 ). Osim toga, nepostojanje jasnih mehanizama koordinacije između nacionalnih tijela bilo je izvor nedosljednosti i nesigurnosti.

80.

Uvođenje jedinstvenog mehanizma, u okviru kojeg je značajna uloga dana VNT‑u i mehanizmima suradnje uspostavljenima kako bi se uključila druga nadzorna tijela, bilo je namijenjeno savladavanju upravo tih problema ( 30 ). Sud je u presudi Google (Teritorijalni doseg prava na uklanjanje poveznica) naglasio važnost mehanizama suradnje i konzistentnosti za pravilnu i skladnu primjenu GDPR‑a te njihovu obvezujuću prirodu ( 31 ). Od novijih primjera nezavisni odvjetnik H. Saugmandsgaard Øe je u predmetu Facebook Ireland i Schrems usto naglasio da mehanizmi suradnje i konzistentnosti predviđeni u poglavlju VII. GDPR‑a služe izbjegavanju opasnosti od toga da pojedina nadzorna tijela koriste različite pristupe u pogledu prekogranične obrade ( 32 ).

81.

Točno je da su – kako AZP ističe – i Vijeće i Parlament tijekom zakonodavnog postupka nastojali ograničiti nadležnost koju je Komisija prvotno zamislila za VNT. Međutim, izmjene koje su naposljetku unesene u konačni tekst GDPR‑a ne dovode u pitanje gore opisano tumačenje te uredbe, nego ga potvrđuju.

82.

Prema Komisijinu izvornom prijedlogu, jedinstveni mehanizam je implicirao da je, u pogledu prekogranične obrade, jedno nadzorno tijelo (VNT) moralo biti odgovorno za praćenje aktivnosti voditelja obrade ili izvršitelja obrade u čitavoj Europskoj uniji te za donošenje povezanih odluka ( 33 ). Međutim, taj je prijedlog izazvao rasprave unutar Vijeća i Parlamenta.

83.

Vijeće je u konačnici pristalo na tekst utemeljen na prijedlogu svojeg predsjedništva ( 34 ). Taj prijedlog nipošto nije dovodio u pitanje jedinstveni mehanizam kao takav, koji je Vijeće nazvalo „jednim od središnjih stupova” novog pravnog okvira ( 35 ). Prijedlog predsjedništva u konačnici je doveo do dvaju skupova poprilično specifičnih izmjena.

84.

Kao prvo, Vijeće je htjelo uvesti određene iznimke od opće nadležnosti VNT‑a: u pogledu obrade koju provode tijela javne vlasti te u pogledu lokalnih situacija. Vijeće je tako predložilo uvođenje dviju odredbi kojih nije bilo u Komisijinu prijedlogu ( 36 ) te koje su naposljetku postale članak 55. stavak 2. i članak 56. stavak 2. GDPR‑a ( 37 ).

85.

Kao drugo, Vijeće je htjelo omekšati ulogu i nadležnost VNT‑a, nastojeći uključiti više subjekata u postupak. Za tekst Komisijina prijedloga smatralo se da je pomalo dvosmislen u pogledu tog pitanja te da možebitno daje VNT‑u isključivu nadležnost u odnosu na prekograničnu obradu podataka. U tekstu je stoga izvršen niz korekcija kako bi se ispitanici i nadzorna tijela „približili” ( 38 ). Među ostalim, znatno je povećano sudjelovanje drugih nadzornih tijela u postupku odlučivanja.

86.

Europski je parlament također podupirao stvaranje jedinstvenog mehanizma, s većom ulogom VNT‑a, ali je predlagao da se osnaži sustav suradnje između nadzornih tijela. I Izjava s objašnjenjima priložena Nacrtu izvješća Parlamenta ( 39 ) i zakonodavna rezolucija Europskog parlamenta od 12. ožujka 2014. ( 40 ) poprilično su jasne u tom pogledu.

87.

U biti, jedinstveni mehanizam, koji je prethodno snažno naginjao VNT‑u, intervencijama Vijeća i Parlamenta pretvoren je u uravnoteženi mehanizam s dvama stupovima: VNT je zadržao glavnu ulogu u pogledu prekogranične obrade, ali sada ostala nadzorna tijela imaju veću ulogu, u smislu da putem mehanizama suradnje i konzistentnosti aktivno sudjeluju u postupku, dok je Odboru dana uloga da u slučaju nesuglasica djeluje kao arbitar i vodič.

88.

Dakle, teleološko i povijesno tumačenje GDPR‑a potvrđuju važnost jedinstvenog mehanizma i, posljedično, opće nadležnosti VNT‑a u pogledu prekogranične obrade podataka. Tumačenje odredbi GDPR‑a koje zagovaraju AZP i određene vlade nije u skladu s namjerom zakonodavca Unije, kako proizlazi iz preambule i odredbi uredbe kao i iz pripremnih akata.

89.

Stoga zaključujem da tekstualan, kontekstualan, teleološki i povijesni pristup tumačenju relevantnih odredbi GDPR‑a potvrđuju da nadzorna tijela moraju poštovati pravila o nadležnosti te mehanizmima i postupcima suradnje i konzistentnosti koja su predviđena u toj uredbi. Kada su suočena s prekograničnom obradom, ta tijela moraju djelovati unutar okvira uspostavljenog GDPR‑om.

90.

Međutim, AZP i određene vlade iznose još dva skupa argumenata koji, prema njihovu mišljenju, idu u prilog osnaživanju ovlasti svih nadzornih tijela da jednostrano djeluju, čak i u pogledu prekogranične obrade. U sljedećim ću odjeljcima objasniti zašto ti argumenti ne bi trebali dovesti u pitanje tumačenje GDPR‑a koje sam predložio, barem ne za sada.

91.

AZP navodi da je neograničena ovlast nadzornih tijela da pokreću postupke protiv izvršiteljâ obrade i voditeljâ obrade, uključujući kada je obrada prekogranična po svojoj naravi, nužna da bi se osiguralo poštovanje članaka 7., 8. i 47. Povelje. Čini se da postoje dva glavna razloga na kojima AZP temelji taj argument, mada niti jedan od njih nije sasvim objašnjen u njegovim očitovanjima ( 41 ).

92.

Prvi razlog se odnosi, kako se čini, na smanjenje broja tijela koja mogu reagirati u odnosu na dano ponašanje. Čini se da u toj tvrdnji postoji prešutna pretpostavka da visoka razina zaštite zahtijeva velik broj tijela koja mogu osigurati poštovanje GDPR‑a, čak i tako da djeluju usporedno. Jednostavno rečeno, što je više umiješanih tijela, to je razina zaštite viša.

93.

To ne smatram nužno točnim, barem kada je riječ o razini zaštite.

94.

Točno je da, kako je Sud naveo, Unijini propisi o zaštiti podataka, tumačeni u vezi s člancima 7. i 8. Povelje, nastoje osigurati visoku razinu zaštite, među ostalim, temeljnog prava na poštovanje privatnosti u vezi s obradom osobnih podataka ( 42 ).

95.

Unatoč tomu, zakonodavac Unije zauzeo je stajalište da je za osiguravanje „visoke razine zaštite pojedinaca” potreban „čvrst i usklađeniji okvir za zaštitu podataka” ( 43 ). S tim ciljem, okvir uspostavljen GDPR‑om namijenjen je osiguravanju dosljednosti na svim razinama: za pojedince, za gospodarske subjekte, za voditelje obrade i izvršitelje obrade te za nadzorna tijela ( 44 ). Što se tiče potonjih, GDPR nastoji, kako potvrđuje njegova uvodna izjava 116., potaknuti „blisku suradnju” između njih ( 45 ).

96.

Posljedično, protivno AZP‑ovim tvrdnjama, ostvarenje visoke razine zaštite prava i sloboda ispitanika je – u očima zakonodavca Unije – potpuno u skladu s gore opisanim djelovanjem jedinstvenog mehanizma. Mehanizmi suradnje i konzistentnosti utvrđeni u GDPR‑u trebali bi, omogućavanjem skladnijeg, djelotvornijeg i transparentnijeg pristupa predmetnoj problematici, doprinijeti jačem naglašavanju promicanja i zaštite prava zajamčenih u, među ostalim, člancima 7. i 8. Povelje.

97.

Drugim riječima, skladna i ujednačena razina zaštite nipošto ne onemogućava da ta zaštita ujedno bude visoke razine. Samo je pitanje kolika ta ujednačenost treba biti. Uostalom, upitno je bi li supostojanje nekoliko nepovezanih, i možebitno proturječnih, radnji nadzornih tijela doista doprinijelo osiguravanju visoke razine zaštite prava pojedinaca. Može se tvrditi da sklad i jasnoća, koji se osiguravaju koordiniranim djelovanjem nadzornih tijela, bolje doprinose ostvarenju tog cilja.

98.

Drugi razlog koji je AZP istaknuo otvara pitanja blizine između pojedinaca koji podnose pritužbe i tijela koja će u konačnici djelovati povodom tih pritužbi. U bitnome se postavlja pitanje mogu li pojedinci djelotvorno pokrenuti postupak protiv činjenja ili nečinjenja nadzornih tijela povodom njihovih pritužbi.

99.

Naime, članak 78. GDPR‑a potvrđuje pravo fizičkih i pravnih osoba na učinkovit pravni lijek pred sudom protiv nadzornog tijela. Osim toga, da bi bili sukladni članku 47. Povelje, pravni lijekovi predviđeni u GDPR‑u ne mogu zahtijevati od ispitanika da poštuju detaljna pravila koja, s obzirom na to da su ispitanici fizičke osobe, mogu neproporcionalno utjecati na njihovo pravo na pravno sredstvo (primjerice tako da povećavaju troškove ili odgađaju djelovanje) ( 46 ).

100.

Međutim, niti jedan od (prilično neodređenih) argumenata koje su pojedine stranke o ovom pitanju iznijele ne objašnjava jasno zašto bi se tumačenje GDPR‑a koje zagovaraju Facebook, češka i finska vlada te Komisija protivilo članku 47. Povelje.

101.

Za početak, GDPR izričito daje ispitanicima pravo da pokrenu postupak kako protiv voditeljâ obrade i izvršiteljâ obrade tako i protiv nadzornih tijela. Stoga, iz strukturne perspektive nije vidljivo zašto GDPR ne bi bio sukladan članku 47. Povelje.

102.

Što se tiče prava ispitanika da pokreću postupke protiv voditeljâ obrade i izvršiteljâ obrade, oni mogu birati hoće li postupak pokrenuti pred sudovima države članice u kojoj borave ili pred sudovima države članice u kojoj voditelj obrade ili izvršitelj obrade ima poslovni nastan ( 47 ). To se pravilo čini poprilično povoljnim, ili barem neproblematičnim, za ispitanike ( 48 ).

103.

Što se tiče prava ispitanika da pokreću postupke protiv nadzornih tijela, tu je situacija složenija. Za početak, ispitanici mogu pobijati i činjenja i nečinjenja nadzornih tijela. Osobito, mogu djelovati protiv bilo kojeg nadzornog tijela koje „ne postupi po pritužbi, djelomično ili u potpunosti odbaci ili odbije pritužbu ili ne djeluje kada je takvo djelovanje nužno radi zaštite prava ispitanika” ( 49 ).

104.

Međutim, tužbe protiv nadzornih tijela moraju se, za razliku od tužbe protiv voditeljâ obrade i izvršiteljâ obrade, podnijeti sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan ( 50 ). Iako se to pravilo može činiti manje povoljnim za pojedince, mora se imati na umu da, u skladu s člankom 60. stavcima 8. i 9. GDPR‑a, ako je pritužba ispitanika u cijelosti ili djelomično odbijena ili odbačena, nadzorno tijelo kojem je podnesena pritužba donosi odgovarajuću odluku i dostavlja je ispitaniku. To vrijedi neovisno o tome je li to tijelo VNT ili nije, što ispitaniku omogućuje da (prema potrebi) pokrene postupak u vlastitoj državi članici.

105.

Čini se da su ti mehanizmi prebacivanja nadležnosti za donošenje odluka i, prema potrebi, možebitno donošenje usporednih odluka (VNT u odnosu na voditelja obrade ili izvršitelja obrade i lokalno tijelo u odnosu na podnositelja pritužbe) izričito namijenjeni tomu da se ispitanicima omogući da ne moraju „obilaziti” sudnice Europske unije kako bi pokrenuli postupak protiv neaktivnih nadzornih tijela.

106.

Unatoč tomu, uvažavam da takvo rješenje može otvoriti određena praktična pitanja. Koji će točno biti sadržaj svake od tih odluka? Hoće li taj sadržaj biti identičan ( 51 ) ili različit? Hoće li ispitanik moći iznijeti sva pitanja koja smatra relevantnima za svoj slučaj, čak i ona koja su stvarno dio odluke VNT‑a? Ili će odluka nadzornog tijela kojemu je ispitanik podnio pritužbu biti uvelike prazna ljuštura, kojom je pojedinačna pritužba tek formalno riješena, dok se sav stvaran sadržaj nalazi u odluci VNT‑a? U tom slučaju, hoće li ispitanik, kako bi imao pristup doista „učinkovitom/djelotvornom pravnom lijeku” u smislu članka 78. GDPR‑a i članka 47. Povelje, postupak svejedno morati pokrenuti pred sudovima države članice u kojoj VNT ima poslovni nastan? Kako će pravila o pristupu djelotvornom pravnom lijeku pred sudom djelovati kada je riječ o preispitivanju odluka protiv kojih su podnesene pritužbe, bilo na horizontalnoj razini (između nadzornih tijela koja usporedno djeluju) ili na vertikalnoj razini (u pogledu preispitivanja mišljenja ili odluke Odbora u okviru mehanizma konzistentnosti koja je prethodila te će stvarno vjerojatno odrediti konačnu odluku nadzornog tijela) ( 52 )?

107.

Mnoštvo je potencijalno trnovitih pitanja. Praktična iskustva mogla bi jednog dana otkriti istinske probleme s jednakošću ili čak razinom pravne zaštite koju novi sustav pruža. Međutim, takvi problemi trenutačno su samo nagađanje. Za sada, a definitivno u predmetnom postupku, Sudu nisu dostavljeni nikakvi elementi koji upućuju na takve probleme.

108.

AZP u bitnome tvrdi da se provedba GDPR‑a u kontekstu prekogranične obrade ne može prepustiti isključivo VNT‑u i ispitanicima koji su možebitno zahvaćeni obradom. Svako nadzorno tijelo ima izričitu ulogu djelovati kako bi zaštitilo prava pojedinaca koji su možebitno zahvaćeni obradom podataka. Osobito, nadzorno tijelo ne može adekvatno ispuniti svoju misiju svaki put kada se donošenje odluke o tome treba li reagirati na moguću povredu, te o načinu na koji to treba učiniti, prepusti diskrecijskoj ovlasti drugog tijela.

109.

Prema mojem mišljenju, tim se argumentom u biti izravno osporava novi mehanizam suradnje uveden GDPR‑om. Moj odgovor na njega ima dvije razine: s jedne strane, što se tiče razine važećeg prava, može se smatrati da GDPR sadržava mehanizme namijenjene izbjegavanju takvih scenarija. S druge strane, što se tiče stvarnog djelovanja i učinaka novih sustava, takvi su strahovi u ovom trenutku preuranjeni i hipotetski.

110.

Kao prvo, za početak treba pojasniti da činjenica da dano nadzorno tijelo nije VNT u odnosu na danog voditelja obrade ili izvršitelja obrade nipošto ne znači – protivno AZP‑ovu navodu – da nije moguće adekvatno progoniti povrede GDPR‑a koje čine kaznena djela. Očito je da ovlast „obavijestiti pravosudna tijela o povredama ove Uredbe”, predviđena člankom 58. stavkom 5., uključuje ovlast interaktirati s kaznenim tijelima kao što je državno odvjetništvo. Ta je ovlast sukladna zadaći nadzornih tijela da prate i provode primjenu GDPR‑a na svojem državnom području te ne narušava učinkovito djelovanje mehanizama suradnje i konzistentnosti utvrđenih u poglavlju VII. GDPR‑a. U vezi s tim, gotovo je suvišno isticati da se ti mehanizmi, iako su obvezni za nadzorna tijela, ne primjenjuju na ostala tijela država članica, osobito ne na ona zadužena za progon kaznenih djela.

111.

Kao drugo i važnije, kada se sustav uspostavljen GDPR‑om promatra kao cjelina, poprilično je jasno da VNT nije jedini provoditelj GDPR‑a u prekograničnim situacijama. VNT je više primus inter pares. Načelno, VNT će moći djelovati (upravno ili sudski) samo uz suglasnost PNT‑ova. VNT u okviru postupka predviđenog člankom 60. GDPR‑a mora nastojati postići konsenzus ( 53 ). On ne može ignorirati stajališta PNT‑ova. Ne samo da VNT mora „pridati dužnu pozornost” tim stajalištima nego i svaki formalni prigovor PNT‑a privremeno blokira donošenje nacrta odluke VNT‑a. U konačnici, svako ustrajno razilaženje između stajališta pojedinih tijela rješava posebno tijelo (Odbor) sastavljeno od predstavnika svih nadzornih tijela Unije. Dakle, položaj VNT‑a u tom pogledu nije ništa snažniji od položaja bilo kojeg drugog tijela ( 54 ).

112.

Kako je nekadašnji europski nadzornik za zaštitu podataka P. Hustinx naveo, ulogu VNT‑a unutar sustava GDPR‑a „ne treba promatrati kao isključivu nadležnost, nego kao strukturirani način suradnje s drugim lokalno nadležnim nadzornim tijelima” ( 55 ). GDPR uspostavlja zajedničku odgovornost za praćenje primjene GDPR‑a i osiguravanje njegove dosljedne primjene. S tim ciljem, nadzornim tijelima su povjerene zadaće i dodijeljene određene ovlasti; priznata su im neka prava, ali i nametnute neke dužnosti. Od tih dužnosti posebno treba istaknuti obvezu korištenja određenih postupaka i mehanizama namijenjenih osiguravanju dosljednosti. Želja tijela da upotrijebi pristup „uradi sam” ( 56 ) kada je riječ o (sudskoj) provedbi GDPR‑a, odbijajući suradnju s drugim tijelima, nije u skladu ni sa slovom ni s duhom te uredbe.

113.

Kako je navedeno u točkama 76. i 77. ovog mišljenja, GDPR je izgrađen na osjetljivoj ravnoteži između potrebe da se osigura visoka razina zaštite pojedinaca i potrebe da se uklone prepreke slobodnom protoku osobnih podataka unutar Unije. Ta su dva cilja, kako među ostalima svjedoče uvodna izjava 10. i članak 1. stavak 1. GDPR‑a, neraskidivo povezana. Nacionalna nadzorna tijela stoga moraju osigurati pravednu ravnotežu između njih, kako je Sud više puta naglasio od svojih prvih presuda iz područja zaštite podataka ( 57 ). Članak 51. stavak 1. GDPR‑a, određujući misiju nadzornih tijela, odražava taj pristup ( 58 ).

114.

Kao treće, ne samo da GDPR predviđa mehanizme za rješavanje nesuglasica u pogledu načina provedbe, to jest za usuglašavanje pozitivnih sukoba stajališta i mišljenja među nadzornim tijelima. On usto uključuje mehanizme za savladavanje situacija upravne inertnosti. Među njima osobito treba istaknuti situacije u kojima VNT – zbog nedostatka stručnosti i/ili osoblja ili zbog bilo kojeg drugog razloga – jednostavno ne poduzima nikakve smislene radnje kako bi istražio moguće povrede GDPR‑a i, prema potrebi, proveo njegova pravila.

115.

Načelno, GDPR od VNT‑a zahtijeva da žurno djeluje u slučajevima prekogranične obrade. Osobito, u skladu s člankom 60. stavkom 3. GDPR‑a, VNT mora „bez odgađanja obav[ijestiti] o bitnim informacijama u vezi s predmetom druga predmetna nadzorna tijela [i] [b]ez odgađanja podn[ijet]i nacrt odluke drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje te prida[ti] dužnu pozornost njihovim stajalištima” ( 59 ).

116.

Za slučaj da VNT ne ispuni tu obvezu ili, općenitije, ne djeluje kada je to potrebno, postavlja se pitanje mogu li PNT‑ovi koji žele da se istraga provede i da se možebitno izvrše provedbene radnje išta poduzeti ( 60 )? Mislim da ta tijela imaju barem dvije mogućnosti, koje nisu međusobno isključive.

117.

S jedne strane, u skladu s člankom 61. stavcima 1. i 2. GDPR‑a, nadzorno tijelo može od drugog nadzornog tijela zatražiti „informacije i uzajamnu pomoć kako bi […] primijenil[o] [GDPR]” ( 61 ). Taj zahtjev može imati oblik zahtjeva za informacije, uključujući informacije „o vođenju istrage”, ili drugih mjera pomoći (kao što je provedba inspekcija ili istraga, ili uspostava mjera za djelotvornu suradnju). Tijelo kojemu je zahtjev podnesen mora na njega odgovoriti „bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana nakon što je zaprimilo zahtjev”.

118.

U skladu s člankom 61. stavcima 5. i 8. GDPR‑a, ako se na zahtjev ne odgovori u propisanom roku ili se odbije po njemu postupiti, tijelo koje ga je podnijelo može „donijeti privremenu mjeru na državnom području svoje države članice u skladu s člankom 55. stavkom 1.”. U takvim slučajevima „smatra se da postoji hitna potreba za djelovanjem u skladu s člankom 66. stavkom 1. i zahtijeva se hitna obvezujuća odluka Odbora u skladu s člankom 66. stavkom 2.” ( 62 ).

119.

Čini mi se da PNT može taj mehanizam koristiti u odnosu na VNT (te da je to vjerojatno tako i zamišljeno ( 63 )). Stoga, ako VNT u konkretnom slučaju prekogranične obrade ništa ne poduzme unatoč zahtjevu PNT‑a, potonji može donijeti hitne mjere koje smatra potrebnima da bi zaštitio interese ispitanikâ. Naime, postojanje izuzetnih okolnosti koje opravdaju hitnu potrebu za djelovanjem pretpostavlja se i ne mora se dokazati.

120.

S druge strane, članak 64. stavak 2. GDPR‑a svakom nadzornom tijelu (ili predsjedniku Odbora ili Komisiji) daje mogućnost „zatražiti da svaki predmet opće primjene ili s učincima u više od jedne države članice pregleda Odbor kako bi on dao mišljenje, posebno ako nadležno nadzorno tijelo ne poštuje obveze o uzajamnoj pomoći u skladu s člankom 61. […]” ( 64 ).

121.

Nije sasvim jasno je li odluka Odbora pravno obvezujuća za odnosni VNT ( 65 ). Međutim, u skladu s člankom 65. stavkom 1. točkom (c) GDPR‑a, ako nadležno nadzorno tijelo ne uzme u obzir mišljenje Odbora dano u skladu s člankom 64., svaki PNT (ili Komisija) može o predmetu obavijestiti Odbor i tako pokrenuti postupak rješavanja sporova koji je u tu svrhu predviđen. Taj postupak u konačnici dovodi do obvezujuće odluke ( 66 ).

122.

Ipak, mora se priznati da su dva gore opisana mehanizma (članci 61. i 66. GDPR‑a, s jedne strane, i članci 64. i 65. GDPR‑a, s druge) pomalo nespretna. Njihovo stvarno djelovanje nije uvijek potpuno jasno. Stoga, iako se spomenute odredbe na papiru čine prikladnima za izbjegavanje tih problema, samo će njihova buduća primjena pokazati jesu li one „tigrovi od papira”.

123.

To me vraća drugoj razini argumenta iznesenog u vezi s nedovoljnom provedbom GDPR‑a i do njegove, barem trenutačno, poprilično hipotetske i nepotkrijepljene prirode. Moram priznati da bi, barem prema mojem mišljenju, čitav sustav GDPR‑a bio zreo za veliku reviziju ako bi se obistinile opasnosti u pogledu nedovoljne provedbe te uredbe koje AZP i neki intervenijenti opisuju ili, bolje rečeno, insinuiraju.

124.

Sa strukturalnog gledišta, to bi se doista moglo dogoditi ako bi nova struktura dovela do regulatornih „sigurnih utočišta” za određene subjekte koji, nakon što bi praktički izabrali svojeg nacionalnog regulatora uspostavom svojeg glavnog poslovnog nastana u odgovarajućoj državi članici Unije, ne bi potpali pod kontrolu danog VNT‑a, nego bi se njime praktički zaštitili od drugih regulatora. Teško je ne složiti se da bi regulatorno natjecanje u obliku utrke do dna između država članica bilo jednako nezdravo i opasno kao regulatorni nesklad, to jest nedostatak koordinacije i dosljednosti kakav je bio svojstven prijašnjem režimu. Mrežni regulatorni režimi možda mogu spriječiti nesklad i razilaženja poticanjem konsenzusa i suradnje. Međutim, cijena konsenzusa često je blokada onih aktivnih tijela, osobito u sustavu u kojem je za donošenje bilo koje odluke potrebna pojačana suradnja. U takvim sustavima, kolektivna odgovornost može dovesti do kolektivne neodgovornosti i posljedično inertnosti.

125.

Međutim, kada je riječ o takvim opasnostima, valja imati na umu da je pravni okvir koji je uspostavljen GDPR‑om još uvijek u svojem začetku. Nije lako predvidjeti – posebice sudu, u kontekstu jednog ili pak specifičnog postupka – kako će mehanizmi uvedeni tom uredbom djelovati u praksi i koliko će biti djelotvorni. Unutar takvog okvira, slično možebitnim pitanjima u vezi sa zaštitom temeljnih prava i tumačenjem u skladu s Poveljom ( 67 ), potreban je oprez.

126.

Prema mojem mišljenju, ne bi bilo dobro da Sud taj okvir – koji je (osjetljiv i pažljivo osmišljen) proizvod dugotrajnog i intenzivnog zakonodavnog postupka – značajno izmijeni tumačenjem pojedinačnih rečenica izvan njihova konteksta te na temelju, za sada, pretpostavki i nagađanja. To još više vrijedi ako se tumačenje koje određene stranke predlažu svodi jednostavno na izuzimanje iz uredbe nekih ključnih dijelova te time na povratak starom sustavu Direktive 95/46, koji je zakonodavac Unije izričito i jasno odbacio u njegovoj institucionalnoj dimenziji.

127.

Taj potpuno jasan zakonodavni ustroj, koji, kako je opisano u prethodnim odjeljcima ovog mišljenja, proizlazi kako iz teksta i strukture GDPR‑a tako i iz zabilježene zakonodavne namjere, pruža odgovor i na druge možebitne strukturne dvojbe, poput onih koje se tiču odgovarajuće ravnoteže između javne i privatne provedbe pravila o zaštiti podataka i GDPR‑a. Ima li smisla javnu provedbu, do koje će doći tek nakon dugotrajnog i složenog upravnog postupka, ograničiti na samo jedno tijelo te stoga na samo jednu državu članicu, dok će se privatna provedba istih pravila u praksi vjerojatno brže dogoditi, pred (građanskim) sudovima svih država članica? Trebaju li nacionalna nadzorna tijela imati slabiji pristup sudovima od pojedinačnih potrošača? Neće li većina predmeta koji se odnose na zaštitu podataka završiti pred nacionalnim sudovima (te možebitno pred Sudom u okviru prethodnog postupka) na temelju izravnih tužbi pojedinaca koji će potpuno zaobići nacionalne regulatore uspostavljene u tu svrhu jer će oni još surađivati i usklađivati svoja stajališta? Ne postoji li u takvom režimu opasnost da privatna provedba potpuno zamijeni javnu?

128.

Kako god bilo, zakonodavac Unije izabrao je jasan institucionalan i strukturan put te je, prema mojem mišljenju, nedvojbeno što je namjeravao postići. S obzirom na to, metaforički rečeno, treba djetetu dati šansu, barem za sada. Međutim, ako bi dijete ispalo loše, što treba dokazati činjenicama i čvrstim argumentima, smatram da Sud neće zažmiriti na rupe koje se eventualno pojave u zaštiti temeljnih prava zajamčenih Poveljom i djelotvornoj provedbi tih prava nadležnih regulatora. Hoće li to i tada biti stvar tumačenja odredbi sekundarnog prava u skladu s Poveljom ili stvar valjanosti relevantnih odredbi, ili čak čitavih dijelova akata sekundarnog prava, pitanje je za neki drugi predmet.

129.

Svi izneseni elementi tumačenja upućuju na isti zaključak: VNT ima opću nadležnost za prekograničnu obradu. Sva nadzorna tijela (neovisno o tome jesu li VNT ili PNT) moraju djelovati, osobito u slučaju prekogranične obrade, u skladu s postupcima i mehanizmima utvrđenima u GDPR‑u.

130.

Međutim, znači li to da nadzorno tijelo koje nije VNT nikada ne može djelovati protiv voditelja obrade ili izvršitelja obrade pred nacionalnim sudovima kada je obrada prekogranična po svojoj naravi?

131.

Ne znači.

132.

Kao prvo, nadzorna tijela mogu, naravno, pokrenuti postupak pred nacionalnim sudom kada djeluju izvan materijalnog područja primjene GDPR‑a, pod uvjetom da nacionalno pravo to dopušta te da se to ne protivi pravu Unije, primjerice zato što se obrada ne odnosi na osobne podatke ili zato što se obrada osobnih podataka odvija u kontekstu aktivnosti navedenih u članku 2. stavku 2. GDPR‑a ( 68 ).

133.

Kao drugo, unatoč prekograničnoj prirodi obrade, u situacijama navedenima u članku 55. stavku 2. GDPR‑a (obrada koju obavljaju tijela javne vlasti, ali i svaka koja se obavlja u javnom interesu ili u okviru izvršavanja službene ovlasti) regulatorna nadležnost, koja prema potrebi obuhvaća i, naravno, mogućnost pokretanja postupaka pred sudom, ostaje u rukama lokalnih nadzornih tijela.

134.

Kao treće, postoje slučajevi u kojima, unatoč tomu što se odnose na prekograničnu obradu osobnih podataka koja je obuhvaćena područjem primjene GDPR‑a, niti jedno nadzorno tijelo ne djeluje kao VNT. Budući da se mehanizam suradnje i konzistentnosti utvrđen u GDPR‑u primjenjuje samo na voditelje obrade koji imaju jedan ili više poslovnih nastana u Europskoj uniji, u odnosu na voditelje obrade koji nemaju poslovni nastan u Europskoj uniji ne postoji VNT. To znači da se voditelji obrade koji nemaju poslovni nastan u Uniji moraju nositi s lokalnim nadzornim tijelima u svakoj državi članici u kojoj su aktivni ( 69 ).

135.

Kao četvrto, svako nadzorno tijelo može prema potrebi donijeti hitne mjere ako su ispunjeni odgovarajući uvjeti. Nadalje, postoje slučajevi u kojima se pretpostavlja da su hitne mjere potrebne. Primjer toga su slučajevi u kojima je PNT možebitno suočen s ustrajnom inertnošću nadležnog VNT‑a. Budući da članak 66. stavak 1. GDPR‑a omogućuje potpuno zaobilaženje mehanizma konzistentnosti, valja pretpostaviti da se u takvoj izuzetnoj situaciji čitav raspon ovlasti nadzornog tijela (koje se u redovnim okolnostima ne mogu izvršavati jer to blokiraju posebna pravila o nadležnosti VNT‑a za prekograničnu obradu) oživljava te se može privremeno izvršavati. Naravno, to uključuje ovlast pokretanja sudskog postupka na temelju članka 58. stavka 5. GDPR‑a.

136.

Kao peto i posljednje, valja dodati, čisto radi cjelovitosti, da jednako tako postoji mogućnost, u skladu s člankom 56. stavkom 5. GDPR‑a, da i nadzorno tijelo koje je obavijestilo VNT stekne (odnosno zadrži) ovlast obraćanja sudu ako VNT odluči da neće rješavati predmet. Iz teksta te odredbe proizlazi da se nadzorna tijela mogu međusobno dogovoriti koje je od njih u boljem položaju da rješava predmet.

137.

Ukratko, odredbe GDPR‑a ne sadržavaju nikakvu opću zabranu drugim nadzornim tijelima, osobito PNT‑ovima, da pokrenu postupke protiv mogućih povreda pravila o zaštiti podataka. Naprotiv, postoje razne situacije u kojima ih GDPR za to izričito, ili prešutno, ovlašćuje ( 70 ).

138.

Međutim, načelno, od izrazite je važnosti da i VNT i PNT‑ovi propisno slijede postupke i mehanizme iz GDPR‑a (osobito one predviđene u poglavljima VI. i VII. te uredbe) kada su primjenjivi. Odredbe GDPR‑a veoma su jasne u smislu da niti jedno od tih tijela ne smije djelovati izvan tog pravnog okvira ili ga zanemariti.

139.

Međutim, na sudu koji je uputio zahtjev jest da provjeri je li AZP slijedio te postupke i mehanizme u predmetnom slučaju, što je bilo predmet diskusije na raspravi, ali i dalje ostaje pomalo nejasno s obzirom na specifičnu postupovnu pozadinu predmetnog slučaja ( 71 ).

140.

Prema tome, na prvo pitanje treba odgovoriti na način da odredbe GDPR‑a dopuštaju nadzornom tijelu države članice da, iako nije VNT, pokrene postupak pred sudom te države zbog navodne povrede GDPR‑a u kontekstu prekogranične obrade podataka, pod uvjetom da to učini u situacijama i prema postupcima utvrđenima u GDPR‑u.

141.

Sud koji je uputio zahtjev svojim drugim pitanjem pita treba li na prvo pitanje drukčije odgovoriti ako voditelj te prekogranične obrade u toj državi članici, iako u njoj nema svoj glavni poslovni nastan, ipak ima drugi poslovni nastan.

142.

S obzirom na odgovor koji je predložen na prvo pitanje, poprilično je jasno kako treba odgovoriti na drugo pitanje: načelno, ne, pod uvjetom da se „glavni poslovni nastan” u smislu članka 4. točke 16. GDPR‑a doista nalazi u drugoj državi članici.

143.

Činjenica da voditelj obrade u državi članici ima sekundaran poslovni nastan načelno ne utječe na mogućnost lokalnog nadzornog tijela da u pogledu određene prekogranične obrade pokrene sudski postupak, u skladu s člankom 58. stavkom 5. GDPR‑a. Drugim riječima, u slučaju prekogranične obrade podataka, opseg ovlasti koje nadzorna tijela imaju i način na koji te ovlasti trebaju izvršavati načelno ne ovisi o tome ima li voditelj obrade ili izvršitelj obrade, kojemu je glavni poslovni nastan u drugoj državi članici, poslovni nastan i u državi članici tog tijela.

144.

Međutim, slično onomu što je već navedeno ( 72 ), uz taj zaključak treba napomenuti da nacionalni sud prvo mora utvrditi koji je poslovni nastan doista glavni za potrebe danog postupka obrade. Članak 4. točka 16. podtočka (a) GDPR‑a u tom pogledu prihvaća dinamično shvaćanje ( 73 ) onoga što se smatra glavni poslovnim nastanom, koji se ne mora nužno podudarati sa statičnom poslovnom strukturom poduzeća.

145.

Nadalje, činjenica da voditelj obrade ili izvršitelj obrade ima (sekundaran) poslovni nastan na državnom području nadzornog tijela znači da je to tijelo PNT u smislu članka 4. točke 22. GDPR‑a. PNT‑ovi imaju značajne ovlasti u okviru postupaka predviđenih u poglavlju VII. GDPR‑a ( 74 ).

146.

Usto, članak 56. stavak 2. GDPR‑a predviđa iznimku od opće nadležnosti VNT‑a u pogledu prekogranične obrade: „svako nadzorno tijelo nadležno je za rješavanje pritužbe koja mu je podnesena ili mogućeg kršenja ove Uredbe, ako se predmet odnosi samo na poslovni nastan u njegovoj državi članici ili bitno utječe samo na ispitanike u njegovoj državi članici”. Ta se nadležnost pak mora izvršavati u skladu s postupkom predviđenim u stavcima 3. do 5. navedenog članka ( 75 ).

147.

Sud koji je uputio zahtjev svojim trećim pitanjem pita bi li odgovor na prvo pitanje bio drugačiji ovisno o tome pokreće li nacionalno nadzorno tijelo sudski postupak protiv glavnog poslovnog nastana voditelja obrade ili protiv poslovnog nastana voditelja obrade u vlastitoj državi članici.

148.

S obzirom na odgovor koji je predložen na prvo pitanje te u dijelu u kojemu se treće pitanje ne preklapa s drugim, na treće pitanje također treba odgovoriti niječno.

149.

Podsjećam, ako iz činjeničnog stanja predmeta proizlazi da se glavni poslovni nastan u odnosu na dani postupak obrade u smislu članka 4. točke 16. GDPR‑a stvarno nalazi u drugoj državi članici, nacionalno nadzorno tijelo države članice u kojoj se nalazi drugi poslovni nastan voditelja obrade nije VNT, ali može biti PNT. Međutim, u okviru te ocjene, nadležnost nadzornog tijela da djeluje ne ovisi o tome pokreće li se sudski postupak protiv glavnog poslovnog nastana voditelja obrade ili protiv njegova poslovnog nastana u državi članici tog nadzornog tijela ( 76 ).

150.

Radi cjelovitosti bi se moglo dodati da je članak 58. stavak 5. GDPR‑a načelno formuliran te ne specificira subjekte protiv kojih nadzorna tijela trebaju ili mogu djelovati. To je u očitovanjima nekih stranaka dovelo do zanimljive rasprave o pitanju koje nije nevažno, ali kojim se Sud, prema mojem mišljenju, ne mora baviti u ovom predmetu. To je pitanje sljedeće: mogu li nadzorna tijela, pod uvjetom da su za to uopće nadležna na temelju pravila GDPR‑a, djelovati samo protiv poslovnog nastana odnosno poslovnih nastana voditelja obrade ili izvršitelja obrade koji se nalaze na njihovu državnom području ili mogu djelovati i protiv poslovnih nastana koji se nalaze u inozemstvu?

151.

S jedne strane, belgijska, talijanska i poljska vlada naglašavaju da članak 55. stavak 1. GDPR‑a ograničava teritorijalnu nadležnost svakog nadzornog tijela na njegovo državno područje. Iz toga zaključuju da nadzorna tijela mogu djelovati samo protiv lokalnih poslovnih nastana.

152.

Međutim, smatram da tekst nije tako jasan: u njemu se govori o izvršavanju ovlasti koje dodjeljuje ta uredba „na državnom području vlastite države članice”. Tu odredbu ne tumačim na način da joj se nužno protivi podnošenje tužbe protiv poslovnog nastana koji se nalazi u drugoj državi članici. Element teritorijalnosti koji je prisutan u članku 55. stavku 1. GDPR‑a, a o kojem ovisi nadležnost nadzornog tijela u danom predmetu, odnosi se, ako ga promatramo u vezi s općim područjem primjene GDPR‑a utvrđenim u članku 1. stavku 1. i članku 3. te uredbe, na učinke obrade podataka na državnom području države članice. Taj element ne ograničava podnošenje tužbi protiv voditelja obrade ili izvršitelja obrade koji imaju sjedište izvan državnih granica.

153.

S druge strane, AZP navodi da je svako tijelo ovlašteno djelovati protiv svih povreda GDPR‑a počinjenih na njegovu državnom području, neovisno o tome ima li voditelj obrade ili izvršitelj obrade poslovni nastan na njegovu državnom području. To znači da bi tijelo trebalo moći postupke pokretati i protiv poslovnih nastana koji se nalaze u inozemstvu. AZP u vezi s tim upućuje na presudu Suda u predmetu Wirtschaftsakademie Schleswig‑Holstein ( 77 ). Sud je u toj presudi utvrdio da su članci 4. i 28. Direktive 95/46 dopuštali nadzornom tijelu države članice da pokrene sudski postupak protiv poslovnog nastana poduzetnika smještenog na državnom području te države članice. To je vrijedilo čak i ako je taj poslovni nastan bio odgovoran samo za prodaju oglasnog prostora i druge marketinške aktivnosti na državnom području te države članice, dok je za prikupljanje i obradu osobnih podataka isključivo bio odgovoran, na čitavom području Unije, poslovni nastan smješten u drugoj državi članici.

154.

AZP pravilno tvrdi da načela koja je Sud utvrdio u presudi Wirtschaftsakademie Schleswig‑Holstein trebaju, s obzirom na to da GDPR u tom pogledu sadržava odredbe slične onima iz Direktive 95/46 ( 78 ), mutatis mutandis vrijediti i za GDPR. Međutim, tom je presudom objašnjeno samo kada tijelo može tužiti lokalni poslovni nastan unatoč tomu što je obradu (to jest njezin glavni dio) proveo poslovni nastan koji se nalazi u drugoj državi članici. Tom presudom nije, barem ne izričito, ni potvrđena ni isključena mogućnost da nadzorno tijelo djeluje protiv potonjeg poslovnog nastana.

155.

Unatoč tomu, čini mi se da novi jedinstveni mehanizam, time što stvara središnju provedbenu točku, nužno podrazumijeva da nadzorno tijelo može djelovati i protiv poslovnih nastana koji se nalaze u inozemstvu. Nisam siguran bi li novi sustav mogao pravilno funkcionirati ako bi tijelima, a osobito VNT‑u, onemogućavao djelovanje protiv poslovnih nastana koji se nalaze u drugoj državi članici ( 79 ).

156.

Sud koji je uputio zahtjev svojim četvrtim pitanjem pita bi li odgovor na prvo pitanje bio drukčiji ako je nacionalno nadzorno tijelo već podnijelo tužbu prije stupanja GDPR‑a na snagu.

157.

Za početak se mora istaknuti da u GDPR‑u nema prijelaznih ili drugih pravila koja uređuju status sudskih postupaka koji su u tijeku u trenutku stupanja novog okvira na snagu.

158.

S obzirom na to, odgovor na pitanje treba prema mojem mišljenju glasiti: „ovisi”.

159.

S jedne strane, kada je riječ o povredama pravila o zaštiti podataka koje su voditelji obrade ili izvršitelji obrade počinili prije početka primjene GDPR‑a, smatram da se ti postupci mogu nastaviti. Ne vidim nijedan dobar razlog za to da se tijela prisili da obustave postupke koji se odnose na radnje iz prošlosti koje su (navodno) bile nezakonite kada su izvršene te protiv kojih su (tada) bili nadležni djelovati. Drukčiji zaključak rezultirao bi nekom vrstom amnestije za određene povrede propisa o zaštiti podataka.

160.

S druge strane, situacija je drukčija s postupcima pokrenutima protiv povreda koje se još nisu dogodile, s obzirom na to da se one događaju nakon početka primjene GDPR‑a ( 80 ). U tom pogledu, kao i u bilo kojoj drugoj situaciji u kojoj su nova pravila primjenjiva na situacije nastale u okviru novog pravnog režima, nova materijalna pravila primjenjiva su samo na činjenice nastale nakon početka primjene novog akta ( 81 ).

161.

Na sudu koji je uputio zahtjev jest da utvrdi koji od navedenih dvaju scenarija doista odražava trenutačno stanje glavnog postupka ( 82 ). Ako je to prvi scenarij, smatram da se postupak koji je u tijeku može nastaviti, barem iz perspektive prava Unije, pod uvjetom da se ograniči na možebitno utvrđenje prijašnjih povreda. Ako je to drugi scenarij, nacionalni postupak treba obustaviti. Naime, novim okvirom uspostavljen je drukčiji sustav nadležnosti i ovlasti, zbog čega PNT ne može djelovati protiv povreda koje proizlaze iz prekogranične obrade, osim u specifičnim situacijama i prema postupcima i mehanizmima koji su u tu svrhu predviđeni.

162.

Drukčiji zaključak podrazumijevao bi de facto nastavak sustava uspostavljenog Direktivom 95/46, iako su ga i pravo Unije i nacionalno pravo izričito stavili izvan snage i zamijenili novim. Uostalom, ne bi li eventualna sudska zabrana koju bi AZP ishodio protiv Facebooka da u budućnosti (pritom se postavlja pitanje trajanje te zabrane) koristi prakse o kojima je riječ u glavnom postupku zadirala u nadležnost za (isto) ponašanje koje GDPR daje, od 25. svibnja 2018., VNT‑u i PNT‑ovima te ne bi li se u različitim državama članicama možebitno donijele međusobno proturječne odluke (ili sudski nalozi)?

163.

Sud koji je uputio zahtjev svojim petim pitanjem – koje postavlja za slučaj da se na prvo pitanje odgovori potvrdno – želi da se pojasni ima li članak 58. stavak 5. GDPR‑a izravan učinak, u smislu da se nacionalno tijelo može na njega pozvati kako bi pokrenulo ili nastavilo sudski postupak protiv privatnih stranaka, čak i ako ta odredba nije izričito prenesena u nacionalno pravo.

164.

Podsjećam, članak 58. stavak 5. glasi: „Svaka država članica zakonom propisuje da njezino nadzorno tijelo ima ovlasti obavijestiti pravosudna tijela o povredama ove Uredbe i, prema potrebi, pokrenuti pravne postupke ili u njima na drugi način sudjelovati kako bi se provele odredbe ove Uredbe.”

165.

Facebook te češka i portugalska vlada ističu da ta odredba jasno zahtijeva od država članica da nešto učine: uvedu odredbe koje će omogućavati tijelima da pokreću postupke. Da bi bila potpuno djelotvorna, ovlast pokretanja postupaka usto može zahtijevati postojanje nacionalnih pravila kojima će biti predviđeni, među ostalim, nadležni sudovi, uvjeti za podnošenje tužbe i postupci koje treba slijediti.

166.

S obzirom na odgovor koji predlažem za prvo pitanje, na peto pitanje nije potrebno odgovoriti. Međutim, radi cjelovitosti ističem da je, prema mojem mišljenju, moguće složiti se s AZP‑om da je preskriptivan sadržaj te konkretne odredbe prava Unije poprilično nedvosmislen i samoizvršavajući. U tom se pogledu mora imati na umu da, načelno, odredba prava Unije ima izravan učinak kada je god, sadržajno gledajući, dovoljno jasna, precizna i bezuvjetna da je na nju moguće pozvati se protiv sporne nacionalne mjere ili kada definira prava koja pojedinci mogu ostvarivati u odnosu na državu ( 83 ).

167.

Neovisno o tome što se ta odredba (članak 58. stavak 5. GDPR‑a) nalazi u uredbi (aktu koji je, u skladu s člankom 288. UFEU‑a, „obvezujući u cijelosti i neposredno se primjenjuje u svim državama članicama” ( 84 )), čini mi se da ona doista sadržava izričito i neposredno primjenjivo pravilo. To je pravilo vrlo jednostavno: nadzorna tijela moraju imati procesnu legitimaciju pred nacionalnim sudovima te im se u nacionalnom pravu mora dati ovlast pokretanja sudskih postupaka. Tužba podnesena nacionalnom sudu ne može se proglasiti nedopuštenom zbog nepostojanja pravne osobnosti.

168.

Iako se slažem s Facebookom te češkom i portugalskom vladom da države članice mogu odrediti konkretnija pravila, uvjete ili nadležnosti za tužbe nadzornih tijela, takva pravila nipošto nisu nužna za primjenu izravno učinkovitog pravila iz članka 58. stavka 5. GDPR‑a. Logično, u nedostatku ad hoc pravila nacionalnog zakonodavstva, na eventualne tužbe nadzornih tijela primjenjivat će se opća pravila iz odgovarajućih nacionalnih postupovnih propisa (bilo propisa o upravnom postupku ili čak općih propisa o građanskom postupku). U tom smislu, primjerice, ako nema posebnih provedbenih pravila o nadležnosti, sa sigurnošću se može pretpostaviti da svaki propis o (građanskom) postupku vjerojatno sadržava opće pravilo prema kojem je, ako nije drukčije predviđeno, nadležan sud koji se nalazi u mjestu u kojem tuženik ima poslovni nastan.

169.

Sud koji je uputio zahtjev svojim šestim i posljednjim pitanjem pita, ako je nacionalno nadzorno tijelo ovlašteno pokrenuti sudski postupak, može li ishod takvog postupka onemogućiti vodeće nadzorno tijelo da donese suprotno utvrđenje kada to tijelo istražuje iste ili slične postupke prekogranične obrade u skladu s mehanizmom predviđenim člancima 56. i 60. GDPR‑a.

170.

S obzirom na odgovor koji sam predložio na prvo pitanje, na ovo pitanje nije potrebno odgovoriti.

171.

Međutim, problem koji ovo pitanje otvara potvrđuje zašto na prvo pitanje treba odgovoriti na način koji sam predložio. Ako bi se mehanizmima konzistentnosti i suradnje predviđenima GDPR‑om oduzela njihova obvezna narav, čime bi jedinstveni mehanizam postao „fakultativan”, ili zapravo nepostojeći, ozbiljno bi se narušio sklad čitavog sustava. Pravila o nadležnosti koja se trenutačno nalaze u GDPR‑u u biti bi se zamijenila usporednom „utrkom do prve presude” svih nadzornih tijela. U konačnici, tko god bi „prvi stigao do cilja” (pravomoćne presude) u svojem pravosudnom sustavu u praksi bi postao VNT za ostatak Europske unije, kako šesto pitanje implicira.

172.

Predlažem Sudu da na sljedeći način odgovori na pitanja koja je uputio Hof van beroep te Brussel (Žalbeni sud u Bruxellesu, Belgija):