–

za Facebook Ireland Ltd‚ Facebook INC i Facebook Belgium BVBA‚ S. Raes‚ P. Lefebvre i D. Van Liedekerke‚ advocaten‚

–

za Gegevensbeschermingsautoriteit‚ F. Debussere i R. Roex‚ advocaten‚

–

za belgijsku vladu‚ J.-C. Halleux‚ P. Cottin i C. Pochet‚ u svojstvu agenata‚ uz asistenciju P. Paepe‚ advocaat‚

–

za češku vladu‚ M. Smolek‚ O. Serdula i J. Vláčil‚ u svojstvu agenata‚

–

za talijansku vladu‚ G. Palmieri‚ u svojstvu agenta‚ uz asistenciju G. Natale‚ avvocato dello Stato‚

–

za poljsku vladu‚ B. Majczyna‚ u svojstvu agenta‚

–

za portugalsku vladu‚ L. Inez Fernandes‚ A. C. Guerra‚ P. Barros da Costa i L. Medeiros‚ u svojstvu agenata‚

–

za finsku vladu‚ A. Laine i M. Pere‚ u svojstvu agenata‚

–

za Europsku komisiju‚ H. Kranenborg‚ D. Nardi i P. J. O. Van Nuffel‚ u svojstvu agenata‚

1

Zahtjev za prethodnu odluku odnosi se na tumačenje članka 55. stavka 1. te članaka 56. do 58. i 60. do 66. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016.‚ L 119‚ str. 1. te ispravci SL 2018.‚ L 127‚ str. 2. i SL 2021.‚ L 74‚ str. 35.)‚ u vezi s člancima 7.‚ 8. i 47. Povelje Europske unije o temeljnim pravima (u daljnjem tekstu: Povelja).

2

Zahtjev je upućen u okviru spora između‚ s jedne strane‚ društava Facebook Ireland Ltd‚ Facebook Inc. i Facebook Belgium BVBA te‚ s druge strane‚ Gegevensbeschermingsautoriteita (Tijelo za zaštitu podataka‚ Belgija) (u daljnjem tekstu: TZP)‚ koji je naslijedio Commissie ter bescherming van de persolijke levenssfeer (Komisija za zaštitu privatnosti‚ Belgija) (u daljnjem tekstu: KZP)‚ povodom tužbe za propuštanje koju je podnio predsjednik navedene komisije i kojom se traži obustava obrade osobnih podataka korisnika interneta na belgijskom državnom području koju društvena mreža Facebook izvršava putem kolačića‚ dodataka društvenoj mreži (social plug‑ins) i piksela.

3

U uvodnim izjavama 1.‚ 4.‚ 10.‚ 11.‚ 13.‚ 22.‚ 123.‚ 141. i 145. Uredbe 2016/679 navodi se:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

4

Članak 3. navedene uredbe‚ naslovljen „Teritorijalno područje primjene”‚ u stavku 1. propisuje:

„Ova se Uredba odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji‚ neovisno o tome obavlja li se obrada u Uniji ili ne.”

5

Članak 4. navedene uredbe u točki 16. definira pojam „glavni poslovni nastan” i u točki 23. pojam „prekogranična obrada” kako slijedi:

„16. ‚glavni poslovni nastan’ znači:

[…]

23. ‚prekogranična obrada’ znači ili:

6

Članak 51. navedene uredbe‚ naslovljen „Nadzorno tijelo”‚ određuje:

„1.   Svaka država članica osigurava da je jedno ili više neovisnih tijela javne vlasti odgovorno za praćenje primjene ove Uredbe kako bi se zaštitila temeljna prava i slobode pojedinaca u pogledu obrade i olakšao slobodan protok osobnih podataka unutar Unije […]

2.   Svako nadzorno tijelo doprinosi dosljednoj primjeni ove Uredbe u cijeloj Uniji. U tu svrhu nadzorna tijela surađuju međusobno i s Komisijom u skladu s poglavljem VII.

[…]”

7

Članak 55. Uredbe 2016/679‚ naslovljen „Nadležnost”‚ koji se nalazi u njezinu poglavlju VI.‚ naslovljenom „Neovisna nadzorna tijela”‚ propisuje:

„1.   Svako nadzorno tijelo nadležno je za obavljanje zadaća koje su mu povjerene i izvršavanje ovlasti koje su mu dodijeljene u skladu s ovom Uredbom na državnom području vlastite države članice.

2.   Ako obradu obavljaju tijela javne vlasti ili privatna tijela koja postupaju na temelju članka 6. stavka 1. točke (c) ili (e)‚ nadležno je nadzorno tijelo dotične države članice. U takvim slučajevima ne primjenjuje se članak 56.”

8

Članak 56. navedene uredbe‚ naslovljen „Nadležnost vodećeg nadzornog tijela”‚ propisuje:

„1.   Ne dovodeći u pitanje članak 55.‚ nadzorno tijelo glavnog poslovnog nastana ili jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade nadležno je djelovati kao vodeće nadzorno tijelo za prekograničnu obradu koju provodi taj voditelj obrade ili izvršitelj obrade u skladu s postupkom utvrđenim u članku 60.

2.   Odstupajući od stavka 1.‚ svako nadzorno tijelo nadležno je za rješavanje pritužbe koja mu je podnesena ili mogućeg kršenja ove Uredbe‚ ako se predmet odnosi samo na poslovni nastan u njegovoj državi članici ili bitno utječe samo na ispitanike u njegovoj državi članici.

3.   U slučajevima iz stavka 2. ovog članka nadzorno tijelo bez odgode obavješćuje vodeće nadzorno tijelo o tom pitanju. U roku od tri tjedna nakon primitka obavijesti vodeće nadzorno tijelo odlučuje hoće li rješavati predmet u skladu s postupkom predviđenim u članku 60.‚ uzimajući u obzir to ima li voditelj obrade ili izvršitelj obrade poslovni nastan u državi članici čije mu je nadzorno tijelo uputilo obavijest.

4.   Ako vodeće nadzorno tijelo odluči riješiti predmet‚ primjenjuje se postupak iz članka 60. Nadzorno tijelo koje je uputilo obavijest vodećem nadzornom tijelu može vodećem nadzornom tijelu podnijeti nacrt za odluku. Vodeće nadzorno tijelo uzima u obzir što je više moguće taj nacrt prilikom izrade nacrta odluke iz članka 60. stavka 3.

5.   Ako vodeće nadzorno tijelo odluči da neće rješavati predmet‚ rješava ga nadzorno tijelo koje je uputilo obavijest vodećem nadzornom tijelu‚ u skladu s člancima 61. i 62.

6.   Vodeće nadzorno tijelo jedini je sugovornik voditelja obrade ili izvršitelja obrade u prekograničnoj obradi koju provodi taj voditelj obrade ili izvršitelj obrade.”

9

Članak 57. Uredbe br. 2016/679‚ naslovljen „Zadaće”‚ u stavku 1. određuje:

„1. Ne dovodeći u pitanje ostale zadaće utvrđene u ovoj Uredbi‚ svako nadzorno tijelo na svom području:

[…]

[…]”

10

Članak 58. te uredbe‚ naslovljen „Ovlasti”‚ u stavcima 1.‚ 4. i 5. predviđa:

„1.   Svako nadzorno tijelo ima sve sljedeće istražne ovlasti:

[…]

[…]

4.   Izvršavanje ovlasti dodijeljenih nadzornom tijelu u skladu s ovim člankom podliježe odgovarajućim zaštitnim mjerama‚ među ostalim učinkovitom sudskom pravnom lijeku i odgovarajućem postupku‚ utvrđenim u pravu Unije i pravu države članice u skladu s Poveljom.

5.   Svaka država članica zakonom propisuje da njezino nadzorno tijelo ima ovlasti obavijestiti pravosudna tijela o povredama ove Uredbe i‚ prema potrebi‚ pokrenuti [sudske] postupke ili u njima na drugi način sudjelovati kako bi se provele odredbe ove Uredbe.”

11

U poglavlju VII. Uredbe 2016/679‚ naslovljenom „Suradnja i konzistentnost”‚ odjeljak I.‚ naslovljen „Suradnja”‚ sadržava članke 60. do 62. te uredbe. Članak 60.‚ naslovljen „Suradnja vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela”‚ propisuje:

„1.   Vodeće nadzorno tijelo surađuje s drugim predmetnim nadzornim tijelima u skladu s ovim člankom kako bi se nastojao postići konsenzus. Vodeće nadzorno tijelo i predmetna nadzorna tijela međusobno razmjenjuju sve bitne informacije.

2.   Vodeće nadzorno tijelo može u bilo kojem trenutku od drugih predmetnih nadzornih tijela zatražiti pružanje uzajamne pomoći u skladu s člankom 61. te može provoditi zajedničke operacije u skladu s člankom 62.‚ posebno vođenje istraga ili praćenja provedbe mjere u vezi s voditeljem obrade ili izvršiteljem obrade s poslovnim nastanom u drugoj državi članici.

3.   Vodeće nadzorno tijelo bez odgađanja obavješćuje o bitnim informacijama u vezi s predmetom druga predmetna nadzorna tijela. Bez odgađanja podnosi nacrt odluke drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje te pridaje dužnu pozornost njihovim stajalištima.

4.   Ako neko od drugih predmetnih nadzornih tijela u roku od četiri tjedna nakon što je u skladu sa stavkom 3. ovog članka bilo obaviješteno izrazi relevantan i obrazložen prigovor na nacrt odluke‚ ako relevantan i obrazložen prigovor ne uzme u obzir ili smatra da prigovor nije relevantan ili obrazložen‚ vodeće nadzorno tijelo predmet predaje na rješavanje u sklopu mehanizma [nadzora] konzistentnosti iz članka 63.

5.   Ako vodeće nadzorno tijelo namjerava uzeti u obzir relevantan i obrazložen prigovor‚ revidirani nacrt odluke podnosi drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje. Na taj revidirani nacrt odluke primjenjuje se postupak iz stavka 4. u roku od dva tjedna.

6.   Ako ni jedno od drugih predmetnih nadzornih tijela ne uloži prigovor na nacrt odluke koju je podnijelo vodeće nadzorno tijelo u roku navedenom u stavcima 4. i 5. smatra se da se vodeće nadzorno tijelo i predmetna nadzorna tijela slažu s tim nacrtom odluke i on je za njih obvezujući.

7.   Vodeće nadzorno tijelo donosi odluku i dostavlja je u glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade‚ prema potrebi‚ te obavješćuje druga predmetna nadzorna tijela i Odbor o dotičnoj odluci prilažući i bitne činjenice i obrazloženja. Nadzorno tijelo kojem je podnesena pritužba obavješćuje podnositelja pritužbe o odluci.

8.   Odstupajući od stavka 7.‚ ako je pritužba odbačena ili odbijena‚ nadzorno tijelo kojem je podnesena pritužba donosi odluku i dostavlja je podnositelju pritužbe te o tome obavješćuje voditelja obrade.

9.   Ako su se vodeće nadzorno tijelo i predmetna nadzorna tijela složili odbaciti ili odbiti dijelove pritužbe‚ a u obzir uzeti druge dijelove te pritužbe‚ donosi se odvojena odluka za svaki dio predmeta. […]

10.   Nakon što ga vodeće nadzorno tijelo u skladu sa stavcima 7. i 9. obavijesti o odluci‚ voditelj obrade ili izvršitelj obrade poduzima potrebne mjere kako bi osigurao da se odluka poštuje u odnosu na aktivnosti obrade‚ s obzirom na sve njegove poslovne nastane u Uniji. Voditelj obrade ili izvršitelj obrade o poduzetim mjerama za poštivanje odluke obavješćuju vodeće nadzorno tijelo koje izvješćuje druga predmetna nadzorna tijela.

11.   Ako u izuzetnim okolnostima predmetno nadzorno tijelo ima razloga smatrati da postoji hitna potreba za djelovanjem kako bi se zaštitili interesi ispitanika‚ primjenjuje se hitni postupak iz članka 66.

[…]”

12

Članak 61. navedene uredbe‚ naslovljen „Uzajamna pomo攂 u stavku 1. propisuje:

„Nadzorna tijela međusobno si pružaju bitne informacije i uzajamnu pomoć kako bi konzistentno provela i primijenila ovu Uredbu i uspostavljaju mjere za djelotvornu uzajamnu suradnju. Uzajamna pomoć obuhvaća osobito zahtjeve za informacijama i mjerama nadzora‚ kao što su zahtjevi za provedbom prethodnog odobravanja i savjetovanja‚ inspekcija i istraga.”

13

Članak 62. te uredbe‚ naslovljen „Zajedničke operacije nadzornih tijela”‚ propisuje:

„1.   Nadzorna tijela prema potrebi provode zajedničke operacije‚ uključujući zajedničke istrage i zajedničke mjere provedbe u kojima sudjeluju članovi ili osoblje nadzornih tijela drugih država članica.

2.   Ako voditelj obrade ili izvršitelj obrade ima poslovne nastane u nekoliko država članica ili kad postoji vjerojatnost da će postupci obrade bitno utjecati na znatan broj ispitanika u više od jedne države članice‚ nadzorno tijelo svake od tih država članica ima pravo na sudjelovanje u zajedničkim operacijama. […]

[…]”

14

U poglavlju VII. Uredbe 2016/679 nalazi se odjeljak 2.‚ naslovljen „Konzistentnost”‚ koji sadržava članke 63. do 67. Članak 63.‚ naslovljen „Mehanizam [nadzora] konzistentnosti”‚ glasi:

„Kako bi se doprinijelo dosljednoj primjeni ove Uredbe u cijeloj Uniji‚ nadzorna tijela surađuju međusobno i prema potrebi s Komisijom u okviru mehanizma [nadzora] konzistentnosti‚ kako je utvrđeno u ovom odjeljku.”

15

U skladu s člankom 64. stavkom 2. navedene uredbe:

„Svako nadzorno tijelo‚ predsjednik [Europskog odbora za zaštitu podataka] ili Komisija mogu zatražiti da svaki predmet opće primjene ili s učincima u više od jedne države članice pregleda [Europski odbor za zaštitu podataka] kako bi on dao mišljenje‚ posebno ako nadležno nadzorno tijelo ne poštuje obveze o uzajamnoj pomoći u skladu s člankom 61. ili o zajedničkim operacijama u skladu s člankom 62.”

16

Članak 65. te uredbe‚ naslovljen „Rješavanje sporova pri Odboru”‚ u stavku 1. propisuje:

„Kako bi se osigurala ispravna i dosljedna primjena ove Uredbe u pojedinačnim slučajevima‚ [Europski odbor za zaštitu podataka] donosi obvezujuću odluku u sljedećim slučajevima:

[…]”

17

Članak 66. Uredbe 2016/679‚ naslovljen „Hitni postupak”‚ u stavcima 1. i 2. propisuje:

„1.   U izuzetnim okolnostima‚ ako predmetno nadzorno tijelo smatra da postoji hitna potreba za djelovanjem kako bi se zaštitila prava i slobode ispitanika‚ ono može‚ odstupajući od mehanizma [nadzora] konzistentnosti iz članka 63.‚ 64. i 65. ili postupka iz članka 60.‚ odmah donijeti privremene mjere kojima se proizvode pravni učinci na svom području na određeno razdoblje valjanosti koje nije duže od tri mjeseca. Nadzorno tijelo bez odgađanja obavješćuje druga predmetna nadzorna tijela‚ [Europski odbor za zaštitu podataka] i Komisiju o tim mjerama i razlozima za njihovo donošenje.

2.   Ako nadzorno tijelo poduzme mjeru u skladu sa stavkom 1. i smatra da treba hitno donijeti završne mjere‚ ono može zatražiti hitno mišljenje ili hitnu obvezujuću odluku [Europskog odbora za zaštitu podataka]‚ navodeći razloge za traženje takvog mišljenja ili odluke.”

18

Članak 77. te uredbe‚ naslovljen „Pravo na pritužbu nadzornom tijelu”‚ glasi:

„1.   Ne dovodeći u pitanje nijedan drugi upravni ili sudski pravni lijek‚ svaki ispitanik ima pravo podnijeti pritužbu nadzornom tijelu‚ osobito u državi članici u kojoj ima uobičajeno boravište‚ u kojoj je njegovo radno mjesto ili mjesto navodnog kršenja‚ ako ispitanik smatra da obrada osobnih podataka koja se odnosi na njega krši ovu Uredbu.

2.   Nadzorno tijelo kojem je podnesena pritužba obavješćuje podnositelja pritužbe o napretku i ishodu pritužbe‚ među ostalim o mogućnosti sudskog pravnog lijeka na temelju članka 78.”

19

Članak 78. te uredbe‚ naslovljen „Pravo na učinkoviti sudski pravni lijek protiv nadzornog tijela”‚ u stavcima 1. i 2. predviđa:

„1.   Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek‚ svaka fizička ili pravna osoba ima pravo na učinkoviti sudski pravni lijek protiv pravno obvezujuće odluke nekog nadzornog tijela koja se na nju odnosi.

2.   Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek‚ svaki ispitanik ima pravo na učinkoviti sudski pravni lijek ako nadzorno tijelo nadležno na temelju članaka 55. i 56. ne riješi pritužbu ili ne izvijesti ispitanika u roku od tri mjeseca o napretku ili ishodu pritužbe podnesene na temelju članka 77.

3.   Postupci protiv nadzornog tijela vode se pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan.

4.   Ako je pokrenut postupak protiv odluke nadzornog tijela kojoj je prethodilo mišljenje ili odluka [Europskog odbora za zaštitu podataka] u okviru mehanizma [nadzora] konzistentnosti‚ nadzorno tijelo prosljeđuje to mišljenje ili odluku sudu.”

20

Članak 79. te uredbe‚ naslovljen „Pravo na učinkoviti sudski pravni lijek protiv voditelja obrade ili izvršitelja obrade”‚ glasi:

„1.   Ne dovodeći u pitanje nijedan dostupan upravni ili izvansudski pravni lijek‚ uključujući pravo na podnošenje pritužbe nadzornom tijelu na temelju članka 77.‚ ispitanik ima pravo na učinkoviti sudski pravni lijek ako smatra da su mu zbog obrade njegovih osobnih podataka protivno ovoj Uredbi prekršena njegova prava iz ove Uredbe.

2.   Postupci protiv voditelja obrade ili izvršitelja obrade vode se pred sudovima države članice u kojoj voditelj obrade ili izvršitelj obrade ima poslovni nastan. Osim toga‚ takvi se postupci mogu voditi pred sudovima države članice u kojoj ispitanik ima uobičajeno boravište‚ osim ako je voditelj obrade ili izvršitelj obrade tijelo javne vlasti neke države članice koje djeluje izvršavajući svoje javne ovlasti.”

21

Wetom tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Zakon o zaštiti privatnosti u vezi s obradom osobnih podataka) od 8. prosinca 1992. (Belgisch Staatsblad‚ 18. ožujka 1993.‚ str. 5801.)‚ kako je izmijenjen Zakonom od 11. prosinca 1998. (Belgisch Staatsblad‚ 3. veljače 1999.‚ str. 3049.) (u daljnjem tekstu: Zakon od 8. prosinca 1992.)‚ u belgijsko je pravo prenesena Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (SL 1995.‚ L 281‚ str. 31.) (SL‚ posebno izdanje na hrvatskom jeziku‚ poglavlje 13.‚ svezak 7.‚ str. 88.).

22

Zakonom od 8. prosinca 1992. osnovan je KZP‚ neovisno tijelo čija je zadaća osigurati da se osobni podaci obrađuju u skladu s tim zakonom‚ tako da se očuva privatnost građana.

23

Članak 32. stavak 3. Zakona od 8. prosinca 1992. određivao je:

„Ne dovodeći u pitanje nadležnost redovnih sudova za primjenu općih načela zaštite privatnosti‚ predsjednik [KZP‑a] može prvostupanjskom sudu iznijeti bilo koji spor koji se tiče primjene ovog zakona i mjera kojima se provodi.”

24

Wet tot oprichting van de Gegevensbeschermingsautoriteit (Zakon o osnivanju tijela za zaštitu podataka) od 3. prosinca 2017. (Belgisch Staatsblad od 10. siječnja 2018.‚ str. 989.) (u daljnjem tekstu: Zakon od 3. prosinca 2017.)‚ koji je stupio na snagu 25. svibnja 2018.‚ uspostavio je TZP kao nadzorno tijelo u smislu Uredbe 2016/679.

25

Člankom 3. Zakona od 3. prosinca 2017. predviđa se:

„U Zastupničkom domu osniva se ‚Tijelo za zaštitu podataka’. Ono je sljednik [KZP‑a].”

26

U članku 6. Zakona od 3. prosinca 2017. propisano je:

„[TZP] može‚ u okviru ovog zakona i zakona koji sadržavaju odredbe o zaštiti obrade osobnih podataka‚ obavijestiti pravosudna tijela o svakoj povredi temeljnih načela zaštite osobnih podataka i‚ prema potrebi‚ pokrenuti sudski postupak kako bi se ta temeljna načela primijenila.”

27

Nijedna posebna odredba nije predviđena za sudske postupke koje je predsjednik KZP‑a već pokrenuo sa stanjem na dan 25. svibnja 2018.‚ na temelju članka 32. stavka 3. Zakona od 8. prosinca 1992. Što se tiče samo pritužbi ili zahtjeva podnesenih samom TZP‑u‚ članak 112. Zakona od 3. prosinca 2017. propisuje:

„Poglavlje VI. ne primjenjuje se na pritužbe ili zahtjeve koji su još u tijeku pri [TZP‑u] u trenutku stupanja na snagu ovog zakona. Pritužbe ili zahtjeve iz prvog podstavka razmatra [TZP] kao pravni sljednik [KZP‑a]‚ u skladu s postupkom primjenjivim prije stupanja na snagu ovog zakona.”

28

Zakon od 8. prosinca 1992. stavljen je izvan snage wetom betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Zakon o zaštiti pojedinaca u vezi s obradom osobnih podataka) od 30. srpnja 2018. (Belgisch Staatsblad od 5. rujna 2018.‚ str. 68616.) (u daljnjem tekstu: Zakon od 30. srpnja 2018.). Potonji zakon ima za cilj prenijeti u belgijsko pravo odredbe Uredbe 2016/679 kojima se državama članicama nalaže ili omogućuje donošenje detaljnijih pravila‚ dopunjujući tu uredbu.

29

Predsjednik KZP‑a podnio je protiv društava Facebook Ireland‚ Facebook Inc. i Facebook Belgium 11. rujna 2015. tužbu za propuštanje pred Nederlandstalige rechtbankom van eerste aanleg Brussel (Prvostupanjski sud na nizozemskom jeziku u Bruxellesu‚ Belgija). Budući da KZP nema pravnu osobnost‚ njegov predsjednik bio je dužan podnijeti pravne lijekove kako bi zajamčio poštovanje zakonodavstva u području zaštite osobnih podataka. Međutim‚ sam KZP zatražio je dobrovoljnu intervenciju u postupak koji je pokrenuo njegov predsjednik.

30

Cilj je te tužbe za propuštanje bio okončati ono što je KZP opisao‚ među ostalim‚ kao „ozbiljno i opsežno kršenje zakonodavstva u području zaštite privatnosti koje provodi Facebook”‚ a koje se sastoji od prikupljanja na toj online društvenoj mreži informacija o ponašanju na internetu kako imateljâ računa na Facebooku tako i osoba koje nisu korisnici Facebookovih usluga‚ putem različitih tehnologija kao što su kolačići‚ dodaci društvenoj mreži (primjerice gumbi „Sviđa mi se” ili „Podijeli”) ili‚ nadalje‚ pikseli. Ti elementi omogućuju dotičnoj društvenoj mreži dobivanje određenih podataka od korisnika interneta koji pregledava internetsku stranicu na kojoj su ti podaci sadržani‚ a radi se o adresi te stranice‚ „IP adresi” posjetitelja navedene stranice kao i datumu i vremenu predmetnog pregleda.

31

Presudom od 16. veljače 2018. Nederlandstalige rechtbank van eerste aanleg Brussel (Prvostupanjski sud na nizozemskom jeziku u Bruxellesu) proglasio se nadležnim za odlučivanje o navedenoj tužbi za propuštanje u dijelu u kojem se odnosi na Facebook Ireland‚ Facebook Inc. i Facebook Belgium te je zahtjev za dobrovoljnu intervenciju koji je podnio KZP proglasio nedopuštenim.

32

U pogledu merituma‚ taj je sud presudio da predmetna društvena mreža ne obavještava dovoljno belgijske korisnike interneta o prikupljanju predmetnih podataka i njihovoj uporabi. Osim toga‚ pristanak korisnika interneta na prikupljanje i obradu navedenih podataka ocijenjen je nevaljanim. Stoga je Facebooku Ireland‚ Facebooku Inc. i Facebooku Belgium naloženo‚ kao prvo‚ da u odnosu na sve korisnike interneta s boravištem na belgijskom državnom području obustave postavljanje kolačića za koje ti korisnici nisu dali svoj pristanak i koji dvije godine ostaju aktivni na uređajima kojima se ti korisnici koriste dok pregledavaju internetske stranice iz domene Facebook.com ili stranice treće osobe te da obustave postavljanje kolačića i prikupljanje podataka putem dodataka društvenoj mreži‚ piksela i sličnih tehnologija na internetskim stranicama trećih osoba‚ na način koji je pretjeran u odnosu na ciljeve društvene mreže Facebook‚ kao drugo‚ da prestanu pružati informacije koje opravdano mogu dovesti u zabludu predmetne osobe kad je riječ o stvarnom dosegu mehanizama koje je ta društvena mreža uspostavila za uporabu kolačića i‚ kao treće‚ da unište sve osobne podatke dobivene putem kolačića i dodataka društvenoj mreži.

33

Dana 2. ožujka 2018. Facebook Ireland‚ Facebook Inc. i Facebook Belgium protiv te presude uložili su žalbu hofu van beroep te Brussel (Žalbeni sud u Bruxellesu‚ Belgija). Pred tim sudom TZP djeluje kao pravni sljednik kako predsjednika KZP‑a koji je podnio tužbu za propuštanje tako i samog KZP‑a.

34

Sud koji je uputio zahtjev proglasio se nadležnim za odlučivanje o podnesenoj žalbi isključivo u dijelu u kojem se odnosi na Facebook Belgium. Suprotno tomu‚ proglasio se nenadležnim za odlučivanje o toj žalbi u pogledu društava Facebook Ireland i Facebook Inc.

35

Prije odlučivanja o meritumu glavnog postupka‚ sud koji je uputio zahtjev postavlja pitanje ima li TZP potrebnu aktivnu legitimaciju i pravni interes. Prema mišljenju Facebooka Belgium‚ tužba za propuštanje nedopuštena je u pogledu činjenica nastalih prije 25. svibnja 2018.‚ s obzirom na to da je‚ nakon stupanja na snagu Zakona od 3. prosinca 2017. i Uredbe 2016/679‚ članak 32. stavak 3. Zakona od 8. prosinca 1992.‚ koji čini pravnu osnovu za podnošenje takve tužbe‚ stavljen izvan snage. Što se tiče činjenica nastalih nakon 25. svibnja 2018.‚ Facebook Belgium tvrdi da TZP nije nadležan niti ima pravo podnijeti tu tužbu s obzirom na „jedinstveni mehanizam” koji je sada predviđen u skladu s odredbama Uredbe 2016/679. Naime‚ na temelju tih odredbi‚ samo Data Protection Commissioner (Povjerenik za zaštitu podataka‚ Irska) nadležan je podnijeti tužbu za propuštanje protiv društva Facebook Ireland‚ s obzirom na to da je to društvo jedini voditelj obrade osobnih podataka korisnika predmetne društvene mreže u Uniji.

36

Sud koji je uputio zahtjev presudio je da TZP nije dokazao pravni interes koji se zahtijeva za podnošenje te tužbe za propuštanje jer se ona odnosila na činjenice nastale prije 25. svibnja 2018. Što se tiče činjenica nastalih nakon tog datuma‚ sud koji je uputio zahtjev ipak dvoji o tome koji je utjecaj stupanja na snagu Uredbe 2016/679‚ osobito primjene „jedinstvenog mehanizma” predviđenog tom uredbom‚ na nadležnosti TZP‑a kao i na njegovu ovlast da podnese takvu tužbu za propuštanje.

37

Konkretno‚ prema mišljenju suda koji je uputio zahtjev‚ pitanje koje se sada postavlja jest može li u pogledu činjenica nastalih nakon 25. svibnja 2018. TZP pokrenuti postupak protiv društva Facebook Belgium‚ s obzirom na to da je kao voditelj obrade predmetnih podataka utvrđen Facebook Ireland. Čini se da je od tog datuma‚ na temelju načela „jedinstvenog mehanizma”‚ u skladu s člankom 56. Uredbe 2016/679 nadležan samo Povjerenik za zaštitu podataka‚ koji pak podliježe nadzoru isključivo irskih sudova.

38

Sud koji je uputio zahtjev podsjeća na to da je Sud u presudi od 5. lipnja 2018.‚ Wirtschaftsakademie Schleswig‑Holstein (C‑210/16‚ EU:C:2018:388) presudio da je „njemačko nadzorno tijelo” nadležno odlučivati u sporu u području zaštite osobnih podataka‚ iako je voditelj obrade predmetnih podataka imao sjedište u Irskoj‚ dok je njegovo društvo kći‚ odnosno Facebook Germany GmbH‚ imalo sjedište u Njemačkoj i bavilo se samo prodajom prostora za oglašavanje i drugim marketinškim aktivnostima na njemačkom državnom području.

39

Međutim‚ u predmetu u kojem je donesena ta presuda Sudu je podnesen zahtjev za prethodnu odluku koji se odnosio na tumačenje odredbi Direktive 95/46‚ koja je stavljena izvan snage Uredbom 2016/679. Sud koji je uputio zahtjev pita se u kojoj je mjeri tumačenje koje je Sud dao u navedenoj presudi još uvijek relevantno u pogledu primjene Uredbe 2016/679.

40

Sud koji je uputio zahtjev također spominje odluku Bundeskartellamta (Savezno tijelo za tržišno natjecanje‚ Njemačka) od 6. veljače 2019. (odluka nazvana „Facebook”)‚ u kojoj je to tijelo za tržišno natjecanje u biti smatralo da je predmetni poduzetnik zloupotrijebio svoj položaj koncentriranjem podataka iz različitih izvora‚ što bi se ubuduće moralo moći provesti samo uz izričit pristanak korisnika‚ pri čemu se korisnik koji na to ne pristane ne može isključiti iz Facebookovih usluga. Sud koji je uputio zahtjev ističe da se navedeno tijelo za tržišno natjecanje očito smatralo nadležnim‚ unatoč „jedinstvenom mehanizmu”.

41

Osim toga‚ sud koji je uputio zahtjev smatra da članak 6. Zakona od 3. prosinca 2017.‚ koji u načelu omogućuje TZP‑u da‚ u slučaju potrebe‚ pokrene sudski postupak‚ ne podrazumijeva da on u svim okolnostima može pokrenuti postupak pred belgijskim sudovima jer se čini da „jedinstveni mehanizam” nalaže pokretanje takvog postupka pred sudom mjesta u kojem se provodi obrada podataka.

42

U tim je okolnostima hof van beroep te Brussel (Žalbeni sud u Bruxellesu) odlučio prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:

43

Svojim prvim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 55. stavak 1.‚ članke 56. do 58. i članke 60. do 66. Uredbe 2016/679‚ u vezi s člancima 7.‚ 8. i 47. Povelje‚ tumačiti na način da nadzorno tijelo države članice – koje‚ na temelju nacionalnog zakonodavstva donesenog primjenom članka 58. stavka 5. te uredbe‚ ima ovlast o svakoj navodnoj povredi te uredbe obavijestiti sud te države članice i‚ u slučaju potrebe‚ pokrenuti sudski postupak – može izvršavati tu ovlast kad je riječ o prekograničnoj obradi podataka‚ iako nije „vodeće nadzorno tijelo” u smislu članka 56. stavka 1. te uredbe‚ u pogledu te obrade podataka.

44

U tom pogledu najprije valja podsjetiti na to da je‚ s jedne strane‚ za razliku od Direktive 95/46‚ koja je donesena na temelju članka 100.A UEZ‑a o usklađivanju zajedničkog tržišta‚ pravna osnova Uredbe 2016/679 članak 16. UFEU‑a‚ kojim se utvrđuje pravo svake osobe na zaštitu osobnih podataka i ovlašćuje Europski parlament i Vijeće Europske unije da utvrde pravila koja se odnose na zaštitu pojedinaca u vezi s obradom tih podataka od strane institucija‚ tijela‚ ureda i agencija Unije‚ kao i država članica‚ prilikom obavljanja njihovih aktivnosti u području primjene prava Unije‚ te na slobodno kretanje navedenih podataka. S druge strane‚ uvodna izjava 1. te uredbe navodi da je „[z]aštita pojedinaca s obzirom na obradu osobnih podataka temeljno […] pravo” i podsjeća na to da članak 8. stavak 1. Povelje i članak 16. stavak 1. UFEU‑a predviđaju pravo svake osobe na zaštitu osobnih podataka koji se na nju odnose.

45

Slijedom toga‚ kao što to proizlazi iz članka 1. stavka 2. Uredbe 2016/679‚ u vezi s njezinim uvodnim izjavama 10.‚ 11. i 13.‚ tom se uredbom institucijama‚ tijelima‚ uredima i agencijama Unije kao i nadležnim tijelima država članica nalaže da osiguraju visoku razinu zaštite prava zajamčenih člankom 16. UFEU‑a i člankom 8. Povelje.

46

Osim toga‚ kao što se navodi u uvodnoj izjavi 4. te uredbe‚ njome se poštuju sva temeljna prava te uvažavaju slobode i načela priznata Poveljom.

47

Upravo se u tom kontekstu člankom 55. stavkom 1. Uredbe 2016/679 utvrđuje načelna nadležnost svakog nadzornog tijela za izvršavanje zadaća i ovlasti koje su mu dodijeljene na državnom području države članice kojoj pripada‚ u skladu s tom uredbom (vidjeti u tom smislu presudu od 16. srpnja 2020.‚ Facebook Ireland i Schrems‚ C‑311/18‚ EU:C:2020:559‚ t. 147.).

48

Među zadaćama kojima raspolažu ta nadzorna tijela nalaze se‚ među ostalim‚ praćenje i provođenje primjene Uredbe 2016/679‚ predviđeni u njezinu članku 57. stavku 1. točki (a)‚ kao i obveza suradnje s drugim nadzornim tijelima‚ uključujući dijeljenje informacija i pružanje uzajamne pomoći s ciljem osiguranja konzistentnosti primjene i provedbe te uredbe‚ što je predviđeno u njezinu članku 57. stavku 1. točki (g). Među ovlastima koje su navedenim nadzornim tijelima dodijeljene radi obavljanja tih zadaća nalaze se različite istražne ovlasti predviđene u članku 58. stavku 1. Uredbe 2016/679‚ kao i ovlast obavještavanja pravosudnih tijela o svim povredama te uredbe i‚ ako je potrebno‚ ovlast pokretanja sudskog postupka radi provedbe odredbi navedene uredbe‚ predviđena u njezinu članku 58. stavku 5.

49

Međutim‚ izvršavanje tih zadaća i ovlasti pretpostavlja da nadzorno tijelo ima nadležnost u pogledu određene obrade podataka.

50

U tom pogledu‚ ne dovodeći u pitanje pravilo o nadležnosti iz članka 55. stavka 1. Uredbe 2016/679‚ članak 56. stavak 1. te uredbe predviđa‚ u odnosu na „prekogranične obrade” u smislu njezina članka 4. točke 23.‚ „jedinstveni mehanizam” koji se temelji na podjeli nadležnosti između „vodećeg nadzornog tijela” i drugih predmetnih nadzornih tijela. Na temelju tog mehanizma‚ nadzorno tijelo glavnog poslovnog nastana ili jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade nadležno je djelovati kao vodeće nadzorno tijelo za prekograničnu obradu koju provodi taj voditelj obrade ili izvršitelj obrade u skladu s postupkom utvrđenim u članku 60. navedene uredbe.

51

Potonjim člankom utvrđuje se postupak suradnje između vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela. U okviru tog postupka vodeće nadzorno tijelo osobito je dužno nastojati postići konsenzus. U tu svrhu‚ u skladu s člankom 60. stavkom 3. Uredbe 2016/679‚ bez odgađanja podnosi nacrt odluke drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje te pridaje dužnu pozornost njihovim stajalištima.

52

Osobito iz članaka 56. i 60. Uredbe 2016/679 proizlazi da‚ u slučaju „prekograničnih obrada” u smislu njezina članka 4. točke 23.‚ a podložno članku 56. stavku 2. te uredbe‚ različita predmetna nacionalna nadzorna tijela moraju surađivati u skladu s postupkom predviđenim tim odredbama kako bi postigla konsenzus i jedinstvenu odluku koja obvezuje sva ta tijela te čije poštovanje mora osigurati voditelj obrade u pogledu aktivnosti obrade koje se provode u okviru svih njegovih poslovnih nastana u Uniji. Osim toga‚ članak 61. stavak 1. navedene uredbe obvezuje nadzorna tijela da si‚ među ostalim‚ međusobno pružaju bitne informacije i uzajamnu pomoć‚ kako bi konzistentno provela i primijenila tu uredbu u cijeloj Uniji. Članak 63. Uredbe 2016/679 pojašnjava da je s tim ciljem predviđen mehanizam nadzora konzistentnosti‚ uspostavljen člancima 64. i 65. te uredbe (presuda od 24. rujna 2019.‚ Google (Teritorijalni doseg uklanjanja poveznica)‚ C‑507/17‚ EU:C:2019:772‚ t. 68.).

53

Stoga primjena „jedinstvenog mehanizma” zahtijeva‚ kao što to potvrđuje uvodna izjava 13. Uredbe 2016/679‚ lojalnu i djelotvornu suradnju vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela. Posljedično tomu‚ kao što je to nezavisni odvjetnik istaknuo u točki 111. svojeg mišljenja‚ vodeće nadzorno tijelo ne može zanemariti stajališta drugih predmetnih nadzornih tijela‚ a svaki relevantan i obrazložen prigovor koji jedno od tih tijela iznese rezultira‚ barem privremeno‚ blokiranjem donošenja nacrta odluke vodećeg nadzornog tijela.

54

Stoga‚ u skladu s člankom 60. stavkom 4. Uredbe 2016/679‚ ako jedno od drugih predmetnih nadzornih tijela u roku od četiri tjedna nakon obavljenog savjetovanja iznese takav relevantan i obrazložen prigovor u pogledu nacrta odluke‚ vodeće nadzorno tijelo‚ ako se ne slaže s relevantnim i obrazloženim prigovorom ili smatra da on nije relevantan ili obrazložen‚ predmet predaje na rješavanje u sklopu mehanizma nadzora konzistentnosti iz članka 63. te uredbe‚ kako bi od Europskog odbora za zaštitu podataka dobilo obvezujuću odluku‚ donesenu na temelju članka 65. stavka 1. točke (a) navedene uredbe.

55

U skladu s člankom 60. stavkom 5. Uredbe 2016/679‚ ako vodeće nadzorno tijelo namjerava uzeti u obzir relevantan i obrazložen prigovor‚ revidirani nacrt odluke podnosi drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje. Na taj revidirani nacrt odluke primjenjuje se postupak iz članka 60. stavka 4. te uredbe u roku od dva tjedna.

56

U skladu s člankom 60. stavkom 7. navedene uredbe‚ vodeće nadzorno tijelo u načelu donosi odluku u pogledu predmetne prekogranične obrade i dostavlja je u glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade‚ prema potrebi‚ te o dotičnoj odluci obavješćuje druga predmetna nadzorna tijela i Europski odbor za zaštitu podataka‚ prilažući i bitne činjenice i obrazloženja.

57

S obzirom na navedeno‚ valja naglasiti da se Uredbom 2016/679 predviđaju iznimke od načela nadležnosti za odlučivanje vodećeg nadzornog tijela u okviru „jedinstvenog mehanizma”‚ predviđenog u članku 56. stavku 1. navedene uredbe.

58

Među tim iznimkama nalazi se‚ kao prvo‚ članak 56. stavak 2. Uredbe 2016/679‚ kojim se predviđa da je nadzorno tijelo koje nije vodeće nadzorno tijelo nadležno obrađivati pritužbu koja mu je podnesena i koja se odnosi na prekograničnu obradu osobnih podataka ili moguću povredu te uredbe ako se njezin predmet odnosi samo na poslovni nastan u njegovoj državi članici ili bitno utječe na ispitanike samo u toj državi članici.

59

Kao drugo‚ člankom 66. Uredbe 2016/679 predviđa se‚ odstupanjem od mehanizama nadzora konzistentnosti iz njezina članka 60. te članaka 63. do 65.‚ hitni postupak. Taj hitni postupak omogućava da se u iznimnim okolnostima‚ kada predmetno nadzorno tijelo smatra da postoji hitna potreba za djelovanjem radi zaštite prava i sloboda ispitanikâ‚ odmah odrede privremene mjere kojima se proizvode pravni učinci na njegovu području na određeno razdoblje valjanosti koje nije duže od tri mjeseca‚ dok članak 66. stavak 2. Uredbe 2016/679 usto predviđa da‚ ako nadzorno tijelo donese mjeru u skladu sa stavkom 1. i smatra da treba hitno donijeti završne mjere‚ ono može zatražiti hitno mišljenje ili hitnu obvezujuću odluku Europskog odbora za zaštitu podataka‚ navodeći razloge za traženje takvog mišljenja ili odluke.

60

Međutim‚ ta nadležnost nadzornih tijela mora se izvršavati uz poštovanje lojalne i djelotvorne suradnje s vodećim nadzornim tijelom‚ u skladu s postupkom iz članka 56. stavaka 3. do 5. Uredbe 2016/679. Naime‚ u tom slučaju‚ na temelju članka 56. stavka 3. te uredbe‚ predmetno nadzorno tijelo mora bez odgađanja obavijestiti vodeće nadzorno tijelo‚ koje u roku od tri tjedna od trenutka kada je obaviješteno odlučuje hoće li rješavati taj predmet.

61

Na temelju članka 56. stavka 4. Uredbe 2016/679‚ ako vodeće nadzorno tijelo odluči rješavati predmet‚ primjenjuje se postupak suradnje predviđen člankom 60. te uredbe. U tom kontekstu‚ nadzorno tijelo koje je obavijestilo vodeće nadzorno tijelo može mu dostaviti nacrt odluke te potonje tijelo prilikom izrade nacrta odluke iz članka 60. stavka 3. navedene uredbe u najvećoj mjeri uzima u obzir taj nacrt.

62

Suprotno tomu‚ u skladu s člankom 56. stavkom 5. Uredbe 2016/679‚ ako vodeće nadzorno tijelo odluči da neće rješavati predmet‚ to čini nadzorno tijelo koje ga je obavijestilo‚ u skladu s člancima 61. i 62. te uredbe‚ koji od nadzornih tijela zahtijevaju poštovanje pravila o međusobnoj pomoći i suradnji u okviru zajedničkih operacija kako bi se osigurala djelotvorna suradnja između dotičnih tijela.

63

Iz prethodno navedenog proizlazi da je‚ s jedne strane‚ u području prekogranične obrade osobnih podataka nadležnost vodećeg nadzornog tijela za donošenje odluke kojom se utvrđuje da takva obrada povređuje pravila iz Uredbe 2016/679 koja se odnose na zaštitu prava pojedinaca u vezi s obradom osobnih podataka pravilo‚ dok je nadležnost drugih predmetnih nadzornih tijela za donošenje takve odluke‚ makar i privremeno‚ iznimka. S druge strane‚ iako je načelna nadležnost vodećeg nadzornog tijela potvrđena u članku 56. stavku 6. Uredbe 2016/679‚ u skladu s kojim je vodeće nadzorno tijelo „jedini sugovornik” voditelja obrade ili izvršitelja obrade za prekograničnu obradu koju provodi‚ to tijelo takvu nadležnost treba izvršavati u okviru uske suradnje s drugim predmetnim nadzornim tijelima. Konkretno‚ vodeće nadzorno tijelo prilikom izvršavanja svojih nadležnosti ne može‚ kao što je to istaknuto u točki 53. ove presude‚ zanemariti potreban dijalog te lojalnu i djelotvornu suradnju s drugim predmetnim nadzornim tijelima.

64

U tom pogledu‚ iz uvodne izjave 10. Uredbe 2016/679 proizlazi da je njezin cilj‚ među ostalim‚ osigurati dosljednu i ujednačenu primjenu pravila o zaštiti temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka u cijeloj Uniji i ukloniti prepreke protoku osobnih podataka unutar Unije.

65

Međutim‚ taj cilj‚ kao i koristan učinak „jedinstvenog mehanizma”‚ mogao bi biti ugrožen kad bi nadzorno tijelo koje‚ kad je riječ o prekograničnoj obradi podataka‚ nije vodeće nadzorno tijelo moglo izvršavati ovlast predviđenu u članku 58. stavku 5. Uredbe 2016/679 izvan slučajeva u kojima je nadležno za donošenje odluke poput one iz točke 63. ove presude. Naime‚ izvršavanje takve ovlasti ima za cilj dovesti do obvezujuće sudske odluke‚ koja može ugroziti navedeni cilj i mehanizam jednako kao i odluka koju donosi nadzorno tijelo koje nije vodeće nadzorno tijelo.

66

Suprotno onomu što tvrdi TZP‚ okolnost da nadzorno tijelo države članice koje nije vodeće nadzorno tijelo može izvršavati ovlast predviđenu u članku 58. stavku 5. Uredbe 2016/679 samo uz poštovanje pravila o podjeli nadležnosti za odlučivanje koja su propisana osobito člancima 55. i 56. te iste uredbe‚ u vezi s njezinim člankom 60.‚ u skladu je s člancima 7.‚ 8. i 47. Povelje.

67

S jedne strane‚ što se tiče argumenta koji se temelji na navodnoj povredi članaka 7. i 8. Povelje‚ valja podsjetiti na to da članak 7. svakoj osobi jamči pravo na poštovanje privatnog i obiteljskog života‚ doma i komuniciranja‚ dok se člankom 8. stavkom 1. Povelje‚ kao i člankom 16. stavkom 1. UFEU‑a‚ svakoj osobi izričito priznaje pravo na zaštitu osobnih podataka koji se na nju odnose. Iz članka 51. stavka 1. Uredbe 2016/679 osobito proizlazi da su nadzorna tijela odgovorna za praćenje primjene te uredbe kako bi se zaštitila temeljna prava pojedinaca u pogledu obrade njihovih osobnih podataka. Iz toga slijedi da‚ u skladu s onim što je izneseno u točki 45. ove presude‚ pravila o podjeli nadležnosti za odlučivanje između vodećeg nadzornog tijela i drugih nadzornih tijela‚ predviđena navedenom uredbom‚ ne dovode u pitanje odgovornost svakog od tih tijela da doprinose visokoj razini zaštite tih prava‚ uz poštovanje tih pravila kao i zahtjeva suradnje i uzajamne pomoći‚ navedenih u točki 52. ove presude.

68

To osobito znači da „jedinstveni mehanizam” ni u kojem slučaju ne može dovesti do toga da nacionalno nadzorno tijelo‚ osobito vodeće nadzorno tijelo‚ ne preuzme odgovornost koju ima na temelju Uredbe 2016/679 da pridonosi djelotvornoj zaštiti pojedinaca od povreda njihovih temeljnih prava navedenih u prethodnoj točki ove presude‚ u suprotnom bi se poticala praksa forum shoppinga‚ osobito voditelja obrade‚ s ciljem zaobilaženja tih temeljnih prava i učinkovite primjene odredbi navedene uredbe kojima se ta prava provode.

69

S druge strane‚ što se tiče argumenta koji se temelji na navodnoj povredi prava na djelotvoran pravni lijek‚ zajamčenog člankom 47. Povelje‚ on se također ne može prihvatiti. Naime‚ okvir iznesen u točkama 64. i 65. ove presude‚ u pogledu mogućnosti da nadzorno tijelo različito od vodećeg nadzornog tijela izvršava ovlast predviđenu u članku 58. stavku 5. Uredbe 2016/679 kad je riječ o prekograničnoj obradi osobnih podataka‚ ne dovodi u pitanje pravo koje se svakoj osobi priznaje člankom 78. stavcima 1. i 2. te uredbe na podnošenje djelotvornog pravnog lijeka‚ osobito protiv pravno obvezujuće odluke nadzornog tijela koja se odnosi na nju ili protiv nepostupanja nadzornog tijela koje je – na temelju članaka 55. i 56. navedene uredbe‚ u vezi s njezinim člankom 60. – nadležno za odlučivanje o pritužbi koju je ta osoba podnijela.

70

To je osobito slučaj sa situacijom iz članka 56. stavka 5. Uredbe 2016/679‚ u okviru koje‚ kao što je to istaknuto u točki 62. ove presude‚ nadzorno tijelo koje je uputilo obavijest na temelju članka 56. stavka 3. te uredbe može rješavati predmet u skladu s njezinim člancima 61. i 62. ako vodeće nadzorno tijelo odluči‚ nakon što je o tome obaviješteno‚ da taj predmet neće samo rješavati. Nadalje‚ u okviru takve obrade ne može se isključiti da predmetno nadzorno tijelo može‚ u slučaju potrebe‚ odlučiti izvršiti ovlast koja mu je dodijeljena člankom 58. stavkom 5. Uredbe 2016/679.

71

S obzirom na navedeno‚ valja naglasiti da se izvršavanje ovlasti nadzornog tijela države članice da se obrati sudovima svoje države ne može isključiti ako mu‚ nakon što je zatražilo uzajamnu pomoć vodećeg nadzornog tijela na temelju članka 61. Uredbe 2016/679‚ ono ne pruži tražene informacije. U tom slučaju‚ na temelju članka 61. stavka 8. te uredbe‚ predmetno nadzorno tijelo može donijeti privremenu mjeru na državnom području svoje države članice i‚ ako smatra da treba hitno donijeti završne mjere‚ ono može‚ u skladu s člankom 66. stavkom 2. navedene uredbe‚ zatražiti hitno mišljenje ili hitnu obvezujuću odluku Europskog odbora za zaštitu podataka. Osim toga‚ na temelju članka 64. stavka 2. te uredbe‚ nadzorno tijelo može zatražiti da svaki predmet opće primjene ili s učincima u više od jedne države članice pregleda Europski odbor za zaštitu podataka kako bi dao mišljenje‚ posebno ako nadležno nadzorno tijelo ne poštuje obveze o uzajamnoj pomoći u skladu s člankom 61. navedene uredbe. Međutim‚ nakon donošenja takvog mišljenja ili odluke i ako je Europski odbor za zaštitu podataka suglasan s time nakon što je uzeo u obzir sve relevantne okolnosti‚ predmetno nadzorno tijelo mora moći poduzeti potrebne mjere kako bi osiguralo poštovanje pravila o zaštiti prava pojedinaca u vezi s obradom osobnih podataka sadržanih u Uredbi 2016/679 i‚ na temelju toga‚ izvršavati ovlast koja mu je dodijeljena njezinim člankom 58. stavkom 5.

72

Naime‚ podjela nadležnosti i odgovornosti između nadzornih tijela nužno se temelji na pretpostavci lojalne i djelotvorne suradnje između tih tijela kao i s Komisijom‚ kako bi se osigurala pravilna i dosljedna primjena te uredbe‚ kao što to potvrđuje njezin članak 51. stavak 2.

73

U ovom je slučaju na sudu koji je uputio zahtjev da utvrdi jesu li u okviru glavnog predmeta pravilno primijenjena pravila o podjeli nadležnosti kao i relevantni postupci i mehanizmi predviđeni Uredbom 2016/679. Konkretno‚ na njemu je da provjeri je li‚ iako TZP nije vodeće nadzorno tijelo u tom predmetu‚ predmetna obrada‚ u dijelu u kojem se odnosi na Facebookova postupanja nakon 25. svibnja 2018.‚ obuhvaćena osobito situacijom iz točke 71. ove presude.

74

U tom pogledu Sud primjećuje da je Europski odbor za zaštitu podataka u svojem mišljenju 5/2019 od 12. ožujka 2019. o odnosu između Direktive „o privatnosti i elektroničkim komunikacijama” i [Opće uredbe o zaštiti podataka]‚ osobito u pogledu nadležnosti‚ zadaća i ovlasti tijela za zaštitu podataka‚ izjavio da su pristup osobnim podacima i njihova pohrana putem kolačića obuhvaćeni područjem primjene Direktive Europskog parlamenta i Vijeća 2002/58/EZ od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL 2002.‚ L 201‚ str. 37.) (SL‚ posebno izdanje na hrvatskom jeziku‚ poglavlje 13.‚ svezak 52.‚ str. 111.)‚ a ne područjem primjene „jedinstvenog mehanizma”. Suprotno tomu‚ sve prethodne operacije i naknadne aktivnosti obrade tih osobnih podataka putem drugih tehnologija doista su obuhvaćene područjem primjene Uredbe 2016/679 i‚ slijedom toga‚ „jedinstvenog mehanizma”. Budući da se njegov zahtjev za uzajamnu pomoć odnosio na te naknadne operacije obrade osobnih podataka‚ TZP je od Povjerenika za zaštitu podataka u travnju 2019. zatražio da njegov zahtjev razmotri što je prije moguće‚ ali na to nije dobio odgovor.

75

S obzirom na sva prethodna razmatranja‚ na prvo postavljeno pitanje valja odgovoriti tako da članak 55. stavak 1.‚ članke 56. do 58. i članke 60. do 66. Uredbe 2016/679‚ u vezi s člancima 7.‚ 8. i 47. Povelje‚ treba tumačiti na način da nadzorno tijelo države članice – koje‚ na temelju nacionalnog zakonodavstva donesenog primjenom članka 58. stavka 5. te uredbe‚ ima ovlast o svakoj navodnoj povredi te uredbe obavijestiti sud te države članice i‚ u slučaju potrebe‚ pokrenuti sudski postupak – može izvršavati tu ovlast kad je riječ o prekograničnoj obradi podataka‚ iako nije „vodeće nadzorno tijelo” u smislu članka 56. stavka 1. te uredbe‚ u pogledu te obrade podataka‚ pod uvjetom da se radi o jednoj od situacija u kojoj Uredba 2016/679 tom nadzornom tijelu dodjeljuje ovlast za donošenje odluke kojom se utvrđuje da se navedenom obradom krše pravila koja sadržava te uz poštovanje postupaka suradnje i nadzora konzistentnosti predviđenih navedenom uredbom.

76

Svojim drugim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 58. stavak 5. Uredbe 2016/679 tumačiti na način da‚ u slučaju prekogranične obrade podataka‚ izvršavanje ovlasti nadzornog tijela države članice koje nije vodeće nadzorno tijelo da pokrene sudski postupak u smislu te odredbe zahtijeva da voditelj prekogranične obrade osobnih podataka protiv kojeg je taj postupak pokrenut ima „glavni poslovni nastan” u smislu članka 4. točke 16. Uredbe 2016/679 na državnom području te države članice ili neki drugi poslovni nastan na tom području.

77

U tom pogledu valja podsjetiti na to da je‚ u skladu s člankom 55. stavkom 1. Uredbe 2016/679‚ svako nadzorno tijelo nadležno za obavljanje zadaća koje su mu povjerene i izvršavanje ovlasti koje su mu dodijeljene u skladu s tom uredbom na državnom području vlastite države članice.

78

Člankom 58. stavkom 5. Uredbe 2016/679 predviđa se‚ osim toga‚ ovlast svakog nadzornog tijela da o svakoj navodnoj povredi te uredbe obavijesti sud svoje države članice i‚ u slučaju potrebe‚ pokrene sudski postupak radi primjene odredaba navedene uredbe.

79

Međutim‚ valja istaknuti da je članak 58. stavak 5. Uredbe 2016/679 formuliran općenito i da zakonodavac Unije izvršavanje te ovlasti nadzornog tijela države članice nije uvjetovao time da ono mora pokrenuti postupak protiv voditelja obrade koji ima „glavni poslovni nastan” u smislu članka 4. točke 16. te uredbe ili drugi poslovni nastan na državnom području te države članice.

80

Međutim‚ nadzorno tijelo države članice može izvršavati ovlast koja mu je dodijeljena člankom 58. stavkom 5. Uredbe 2016/679 samo ako se utvrdi da ta ovlast ulazi u teritorijalno područje primjene te uredbe.

81

Članak 3. Uredbe 2016/679‚ kojim se uređuje teritorijalno područje njezine primjene‚ u tom pogledu u stavku 1. predviđa da se ta uredba primjenjuje na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji‚ neovisno o tome obavlja li se obrada u Uniji ili ne.

82

U tom pogledu uvodna izjava 22. Uredbe 2016/679 pojašnjava da takav poslovni nastan pretpostavlja djelotvorno i stvarno izvršavanje aktivnosti pomoću stabilnih aranžmana i da pravni oblik takvog aranžmana‚ bez obzira na to radi li se o podružnici ili društvu kćeri s pravnom osobnošću‚ nije odlučujući čimbenik u tom pogledu.

83

Iz toga proizlazi da se‚ u skladu s člankom 3. stavkom 1. Uredbe 2016/679‚ teritorijalno područje njezine primjene‚ osim u slučajevima iz stavaka 2. i 3. tog članka‚ uvjetuje time da voditelj ili izvršitelj prekogranične obrade ima poslovni nastan na području Unije.

84

Stoga na drugo postavljeno pitanje valja odgovoriti tako da članak 58. stavak 5. Uredbe 2016/679 treba tumačiti na način da‚ u slučaju prekogranične obrade podataka‚ izvršavanje ovlasti nadzornog tijela države članice koje nije vodeće nadzorno tijelo da pokrene sudski postupak u smislu te odredbe ne zahtijeva da voditelj ili izvršitelj prekogranične obrade osobnih podataka protiv kojeg je pokrenut taj postupak ima glavni poslovni nastan ili drugi poslovni nastan na području te države članice.

85

Svojim trećim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 58. stavak 5. Uredbe 2016/679 tumačiti na način da‚ u slučaju prekogranične obrade podataka‚ izvršavanje ovlasti nadzornog tijela države članice koje nije vodeće nadzorno tijelo da o svakoj navodnoj povredi te uredbe obavijesti sud te države i da‚ u slučaju potrebe‚ pokrene sudski postupak‚ u smislu te odredbe‚ zahtijeva da predmetno nadzorno tijelo podnese tužbu protiv glavnog poslovnog nastana voditelja obrade ili protiv poslovnog nastana koji se nalazi u njegovoj državi članici.

86

Iz odluke kojom se upućuje zahtjev za prethodnu odluku proizlazi da se to pitanje postavlja u okviru rasprave između stranaka o tome je li sud koji je uputio zahtjev nadležan za razmatranje tužbe za propuštanje u dijelu u kojem je podnesena protiv Facebooka Belgium‚ uzimajući u obzir‚ s jedne strane‚ činjenicu da je na području Unije sjedište grupe Facebook u Irskoj i da je Facebook Ireland isključivi voditelj prikupljanja i obrade osobnih podataka za cijelo područje Unije te‚ s druge strane‚ da je na temelju unutarnje podjele u toj grupi poslovni nastan u Belgiji bio uspostavljen kako bi se navedenoj grupi omogućilo održavanje veza s institucijama Unije i‚ podredno‚ kako bi se promicale aktivnosti oglašavanja i marketinga te grupe namijenjene osobama s boravištem u Belgiji.

87

Kao što je to istaknuto u točki 47. ove presude‚ člankom 55. stavkom 1. Uredbe 2016/679 utvrđena je načelna nadležnost svakog nadzornog tijela za izvršavanje zadaća i ovlasti koje su mu dodijeljene u skladu s tom uredbom na državnom području njegove države članice.

88

Kad je riječ o ovlasti nadzornog tijela države članice za pokretanje sudskog postupka u smislu članka 58. stavka 5. Uredbe 2016/679‚ važno je podsjetiti‚ kao što je to nezavisni odvjetnik istaknuo u točki 150. svojeg mišljenja‚ na to da je ta odredba formulirana načelno i da ne specificira subjekte protiv kojih nadzorna tijela trebaju ili mogu pokrenuti sudski postupak u vezi s bilo kakvom povredom te uredbe.

89

Slijedom toga‚ navedena odredba ne ograničava izvršavanje ovlasti pokretanja sudskog postupka na način da bi se on mogao pokrenuti samo protiv „glavnog poslovnog nastana” ili protiv drugog „poslovnog nastana” voditelja obrade. Naprotiv‚ na temelju iste odredbe‚ kada nadzorno tijelo države članice ima potrebnu nadležnost u tom pogledu u skladu s člancima 55. i 56. Uredbe 2016/679‚ ono može izvršavati ovlasti koje su mu tom uredbom dodijeljene na svojem državnom području‚ neovisno o tome u kojoj državi članici voditelj obrade ili izvršitelj obrade ima poslovni nastan.

90

Međutim‚ izvršavanje ovlasti dodijeljenih svakom nadzornom tijelu u članku 58. stavku 5. Uredbe 2016/679 pretpostavlja da je ta uredba primjenjiva. U tom pogledu‚ i kao što je istaknuto u točki 81. ove presude‚ članak 3. stavak 1. navedene uredbe predviđa da se ona odnosi na obradu osobnih podataka „u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji‚ neovisno o tome obavlja li se obrada u Uniji ili ne”.

91

Budući da je cilj Uredbe 2016/679 učinkovita zaštita temeljnih prava i sloboda pojedinaca‚ a posebno prava na zaštitu privatnosti i osobnih podataka‚ uvjet prema kojem se obrada osobnih podataka mora izvršavati „u okviru aktivnosti” predmetnog poslovnog nastana ne može se usko tumačiti (vidjeti analogijom presudu od 5. lipnja 2018.‚ Wirtschaftsakademie Schleswig‑Holstein‚ C‑210/16‚ EU:C:2018:388‚ t. 56. i navedenu sudsku praksu).

92

U ovom slučaju iz odluke kojom se upućuje prethodno pitanje i pisanih očitovanja društva Facebook Belgium proizlazi da je ono ponajprije zaduženo za održavanje odnosa s institucijama Unije i‚ podredno‚ za promicanje aktivnosti oglašavanja i marketinga svoje grupe namijenjenih osobama s boravištem u Belgiji.

93

Cilj obrade osobnih podataka o kojoj je riječ u glavnom postupku‚ koju na području Unije provodi isključivo Facebook Ireland i koja se sastoji od prikupljanja informacija o ponašanju na internetu kako imateljâ računa na Facebooku tako i osoba koje nisu korisnici Facebookovih usluga‚ putem različitih tehnologija‚ poput dodataka društvenoj mreži i piksela‚ upravo je omogućiti predmetnoj društvenoj mreži da ciljanim širenjem informacija svoj sustav oglašavanja učini učinkovitijim.

94

Međutim‚ valja istaknuti‚ s jedne strane‚ da društvena mreža kao što je Facebook ostvaruje znatan dio svojih prihoda zahvaljujući‚ među ostalim‚ oglasima koji se prikazuju putem te mreže i da je aktivnost koju obavlja poslovni nastan u Belgiji namijenjena tomu da se u toj državi članici osiguraju‚ makar samo podredno‚ oglašavanje i prodaja prostora za oglašavanje koji povećavaju isplativost Facebookovih usluga. S druge strane‚ aktivnost koju društvo Facebook Belgium primarno obavlja‚ odnosno činjenica da održava odnose s institucijama Unije i da im služi kao kontaktna točka‚ ima za cilj‚ među ostalim‚ oblikovati politiku obrade osobnih podataka koju vodi društvo Facebook Ireland.

95

U tim okolnostima treba smatrati da su aktivnosti poslovnog nastana grupe Facebook u Belgiji neodvojivo povezane s obradom osobnih podataka o kojoj je riječ u glavnom postupku‚ za koju je u Uniji odgovoran Facebook Ireland. Stoga takvu obradu treba smatrati izvršenom „u okviru aktivnosti poslovnog nastana voditelja obrade” u smislu članka 3. stavka 1. Uredbe 2016/679.

96

S obzirom na sva prethodna razmatranja‚ na treće postavljeno pitanje valja odgovoriti tako da članak 58. stavak 5. Uredbe 2016/679 treba tumačiti na način da se ovlast nadzornog tijela države članice koje nije vodeće nadzorno tijelo da o svakoj navodnoj povredi te uredbe obavijesti sud te države i‚ u slučaju potrebe‚ pokrene sudski postupak‚ u smislu te odredbe‚ može izvršavati kako u odnosu na glavni poslovni nastan voditelja obrade koji se nalazi u državi članici tog tijela tako i u odnosu na drugi poslovni nastan tog voditelja‚ pod uvjetom da se sudski postupak odnosi na obradu podataka izvršenu u okviru aktivnosti navedenog poslovnog nastana i da je navedeno tijelo nadležno za izvršavanje te ovlasti‚ u skladu s onim što je izneseno u odgovoru na prvo pitanje.

97

Svojim četvrtim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 58. stavak 5. Uredbe 2016/679 tumačiti na način da‚ kada je nadzorno tijelo države članice koje nije „vodeće nadzorno tijelo”‚ u smislu članka 56. stavka 1. te uredbe‚ prije 25. svibnja 2018. pokrenulo postupak u pogledu prekogranične obrade osobnih podataka‚ odnosno prije datuma na koji je navedena uredba postala primjenjiva‚ ta okolnost može utjecati na uvjete pod kojima to nadzorno tijelo države članice može izvršavati ovlast pokretanja sudskog postupka koja proizlazi iz navedenog članka 58. stavka 5.

98

Naime‚ pred tim sudom Facebook Ireland‚ Facebook Inc. i Facebook Belgium tvrde da primjena Uredbe 2016/679 počevši od 25. svibnja 2018. rezultira time da bi nastavljanje postupka pokrenutog prije tog datuma bilo nedopušteno odnosno neosnovano.

99

Najprije valja istaknuti da članak 99. stavak 1. Uredbe 2016/679 predviđa da ona stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije. Budući da je ta uredba objavljena u navedenom listu 4. svibnja 2016.‚ stupila je na snagu 25. svibnja iste godine. Nadalje‚ članak 99. stavak 2. navedene uredbe propisuje da se ona primjenjuje od 25. svibnja 2018.

100

U tom pogledu‚ valja podsjetiti na to da se novo pravno pravilo primjenjuje počevši od stupanja na snagu akta kojim se ono uspostavlja te da se ono‚ iako se ne primjenjuje na pravne situacije nastale i u cijelosti okončane na temelju starog zakona‚ primjenjuje na buduće učinke tih situacija kao i na nove pravne situacije. Drukčije vrijedi‚ uz poštovanje načela zabrane retroaktivnosti pravnih akata‚ samo u slučaju kada se uz novo pravilo donesu posebne odredbe kojima se izričito određuju uvjeti njegove vremenske primjene. Konkretnije‚ postupovna pravila općenito se primjenjuju od datuma svojeg stupanja na snagu‚ za razliku od materijalnih pravila‚ koja se obično tumače na način da se na situacije okončane prije njihova stupanja na snagu primjenjuju samo ako iz njihove formulacije‚ svrhe ili strukture jasno proizlazi da im valja priznati takav učinak (presuda od 25. veljače 2021.‚ Caisse pour l’avenir des enfants (Zaposlenost u trenutku rođenja djeteta)‚ C‑129/20‚ EU:C:2021:140‚ t. 31. i navedena sudska praksa).

101

Uredba 2016/679 ne sadržava nikakvo prijelazno pravilo ni drugo pravilo kojim bi se uređivao status sudskih postupaka pokrenutih prije njezine primjene‚ a koji su još uvijek bili u tijeku na dan kada je postala primjenjiva. Konkretnije‚ nijednom odredbom te uredbe ne predviđa se da ona dovodi do obustave svih sudskih postupaka koji su bili u tijeku na dan 25. svibnja 2018. u pogledu navodnih povreda pravila o obradi osobnih podataka predviđenih Direktivom 95/46‚ i to čak i ako radnje koje čine takve navodne povrede i dalje postoje nakon tog datuma.

102

U predmetnom slučaju članak 58. stavak 5. Uredbe 2016/679 sadržava pravila kojima se uređuje ovlast nadzornog tijela da o svim povredama te uredbe obavijesti pravosudna tijela i da‚ prema potrebi‚ pokrene sudske postupke ili u njima na drugi način sudjeluje s ciljem provedbe odredbi navedene uredbe.

103

U tim okolnostima valja razlikovati postupke koje je pokrenulo nadzorno tijelo države članice zbog povreda pravila o zaštiti osobnih podataka koje su počinili voditelji obrade ili izvršitelji obrade prije datuma na koji je Uredba 2016/679 postala primjenjiva i one koji su pokrenuti zbog povreda počinjenih nakon tog datuma.

104

U prvom slučaju‚ sa stajališta prava Unije‚ sudski postupak poput onog o kojem je riječ u glavnom postupku može se nastaviti na temelju odredaba Direktive 95/46‚ koja se i dalje primjenjuje na povrede počinjene do dana njezina stavljanja izvan snage‚ odnosno 25. svibnja 2018. U drugom slučaju takav postupak može se pokrenuti‚ na temelju članka 58. stavka 5. Uredbe 2016/679‚ samo pod uvjetom da je‚ kao što je to istaknuto u okviru odgovora na prvo postavljeno pitanje‚ taj postupak obuhvaćen situacijom u kojoj‚ iznimno‚ ta uredba dodjeljuje nadzornom tijelu države članice koje nije„vodeće nadzorno tijelo” nadležnost za donošenje odluke kojom se utvrđuje da se predmetnom obradom podataka krše pravila navedene uredbe u pogledu zaštite prava pojedinaca u vezi s obradom osobnih podataka i uz poštovanje postupaka predviđenih tom uredbom.

105

S obzirom na sva prethodna razmatranja‚ na četvrto postavljeno pitanje valja odgovoriti tako da članak 58. stavak 5. Uredbe 2016/679 treba tumačiti na način da‚ kad je nadzorno tijelo države članice koje nije „vodeće nadzorno tijelo”‚ u smislu članka 56. stavka 1. te uredbe‚ prije 25. svibnja 2018. pokrenulo sudski postupak u pogledu prekogranične obrade osobnih podataka‚ odnosno prije datuma kad je navedena uredba postala primjenjiva‚ navedeni postupak može se‚ s gledišta prava Unije‚ nastaviti na temelju odredbi Direktive 95/46‚ koja se i dalje primjenjuje u pogledu povreda u njoj predviđenih pravila počinjenih do datuma kad je ta direktiva stavljena izvan snage. Navedeni postupak‚ osim toga‚ navedeno tijelo može pokrenuti za povrede počinjene nakon tog datuma‚ na temelju članka 58. stavka 5. Uredbe 2016/679‚ pod uvjetom da se radi o jednoj od situacija u kojima ta uredba iznimno dodjeljuje nadzornom tijelu države članice koje nije „vodeće nadzorno tijelo” nadležnost za donošenje odluke kojom se utvrđuje da se predmetnom obradom povređuju pravila navedene uredbe u pogledu zaštite prava pojedinaca u vezi s obradom osobnim podataka te uz poštovanje postupaka suradnje i nadzora konzistentnosti predviđenih tom uredbom‚ što je na sudu koji je uputio zahtjev da provjeri.

106

Svojim petim pitanjem sud koji je uputio zahtjev u biti pita‚ u slučaju potvrdnog odgovora na prvo postavljeno pitanje‚ treba li članak 58. stavak 5. Uredbe 2016/679 tumačiti na način da ta odredba ima izravan učinak pa se nacionalno nadzorno tijelo može na nju pozvati kako bi pokrenulo ili nastavilo postupak protiv pojedinaca‚ čak i ako navedena odredba nije posebno provedena u zakonodavstvu predmetne države članice.

107

Na temelju članka 58. stavka 5. Uredbe 2016/679‚ svaka država članica zakonom propisuje da njezino nadzorno tijelo ima ovlasti obavijestiti pravosudna tijela o povredama te uredbe i‚ u slučaju potrebe‚ pokrenuti sudske postupke ili u njima na drugi način sudjelovati kako bi se provele odredbe navedene uredbe.

108

Najprije valja utvrditi da je‚ kao što to tvrdi belgijska vlada‚ članak 58. stavak 5. Uredbe 2016/679 proveden u belgijskom pravnom poretku člankom 6. Zakona od 3. prosinca 2017. Naime‚ u skladu s tim člankom 6.‚ koji sadržava u bitnom istu formulaciju kao što je ona koju sadržava članak 58. stavak 5. Uredbe 2016/679‚ TZP može‚ u okviru tog zakona i zakona koji sadržavaju odredbe o zaštiti obrade osobnih podataka‚ obavijestiti pravosudna tijela o svakoj povredi temeljnih načela zaštite osobnih podataka i‚ u slučaju potrebe‚ pokrenuti sudski postupak kako bi se ta temeljna načela primijenila. Slijedom toga‚ valja smatrati da se TZP može pozvati na odredbu nacionalnog prava‚ kao što je članak 6. Zakona od 3. prosinca 2017.‚ kojim se u belgijsko pravo provodi članak 58. stavak 5. Uredbe 2016/679‚ kako bi pokrenuo sudski postupak radi provedbe te uredbe.

109

Osim toga‚ radi sveobuhvatnosti valja istaknuti da je‚ na temelju članka 288. stavka 2. UFEU‑a‚ uredba u cijelosti obvezujuća i da se izravno primjenjuje u svim državama članicama‚ tako da njezine odredbe u načelu ne zahtijevaju nikakvu provedbenu mjeru država članica.

110

U tom pogledu valja podsjetiti na to da‚ prema ustaljenoj sudskoj praksi Suda‚ na temelju članka 288. UFEU‑a i zbog same prirode uredbi i njihove uloge u sustavu izvora prava Unije‚ odredbe uredbi općenito imaju izravan učinak u nacionalnim pravnim porecima a da nacionalna tijela pritom nisu dužna poduzeti provedbene mjere. Međutim‚ za primjenu nekih od tih odredaba može biti potrebno da države članice usvoje provedbene mjere (presuda od 15. ožujka 2017.‚ Al Chodor‚ C‑528/15‚ EU:C:2017:213‚ t. 27. i navedena sudska praksa).

111

Međutim‚ kao što je to nezavisni odvjetnik u biti istaknuo u točki 167. svojeg mišljenja‚ članak 58. stavak 5. Uredbe 2016/679 predviđa posebno i izravno primjenjivo pravilo na temelju kojeg nadzorna tijela moraju imati aktivnu procesnu legitimaciju pred nacionalnim sudovima i biti ovlaštena za pokretanje sudskog postupaka na temelju nacionalnog prava.

112

Iz članka 58. stavka 5. Uredbe 2016/679 ne proizlazi da bi države članice trebale izričito odrediti okolnosti u kojima nacionalna nadzorna tijela mogu pokretati sudske postupke u smislu te odredbe. Dovoljno je da nadzorno tijelo ima mogućnost‚ u skladu s nacionalnim zakonodavstvom‚ obavijestiti pravosudna tijela o povredama te uredbe i‚ u slučaju potrebe‚ pokrenuti sudski ili neki drugi postupak kako bi se osigurala primjena njezinih odredaba.

113

S obzirom na sva prethodna razmatranja‚ na peto postavljeno pitanje valja odgovoriti tako da članak 58. stavak 5. Uredbe 2016/679 treba tumačiti na način da ta odredba ima izravan učinak pa se nacionalno nadzorno tijelo može na nju pozvati kako bi pokrenulo ili nastavilo postupak protiv pojedinaca‚ čak i ako navedena odredba nije posebno provedena u zakonodavstvu predmetne države članice.

114

Svojim šestim pitanjem sud koji je uputio zahtjev u biti pita‚ u slučaju potvrdnog odgovora na prvo‚ drugo‚ treće‚ četvrto i peto postavljeno pitanje‚ može li ishod sudskog postupka koji je pokrenulo nadzorno tijelo države članice u vezi s prekograničnom obradom osobnih podataka spriječiti da vodeće nadzorno tijelo donese odluku u kojoj dolazi do suprotnog utvrđenja‚ u slučaju kada potonje tijelo provodi istragu o istim aktivnostima prekogranične obrade ili sličnim aktivnostima‚ u skladu s mehanizmom predviđenim u člancima 56. i 60. Uredbe 2016/679.

115

U tom pogledu treba podsjetiti na to da‚ prema ustaljenoj sudskoj praksi‚ pitanja koja se odnose na pravo Unije uživaju pretpostavku relevantnosti. Sud može odbiti odlučiti o zahtjevu za prethodnu odluku nacionalnog suda samo ako je očito da zatraženo tumačenje pravnog pravila Unije nema nikakve veze s činjeničnim stanjem ili predmetom spora u glavnom postupku‚ ako je problem hipotetski ili ako Sud ne raspolaže činjeničnim i pravnim elementima potrebnima kako bi mogao dati koristan odgovor na upućena pitanja (presude od 16. lipnja 2015.‚ Gauweiler i dr.‚ C‑62/14‚ EU:C:2015:400‚ t. 25. i od 7. veljače 2018.‚ American Express‚ C‑304/16‚ EU:C:2018:66‚ t. 32.).

116

Nadalje‚ u skladu s jednako ustaljenom sudskom praksom‚ smisao prethodnog postupka nije davanje savjetodavnih mišljenja o općim ili hipotetskim pitanjima‚ nego stvarna potreba za učinkovitim rješavanjem spora (presuda od 10. prosinca 2018.‚ Wightman i dr.‚ C‑621/18‚ EU:C:2018:999‚ t. 28. i navedena sudska praksa).

117

U ovom slučaju valja istaknuti da se‚ kao što to navodi belgijska vlada‚ šesto postavljeno pitanje temelji na okolnostima za koje uopće nije utvrđeno da postoje u glavnom postupku‚ odnosno na pretpostavci da u odnosu na prekograničnu obradu koja je predmet spora postoji vodeće nadzorno tijelo koje ne samo da vodi istragu o istim aktivnostima prekogranične obrade osobnih podataka kao što su one koje su predmet sudskog postupka koji je pokrenulo nadzorno tijelo predmetne države članice ili sličnim aktivnostima nego osim toga namjerava donijeti odluku u kojoj bi došlo do suprotnog utvrđenja.

118

U tim okolnostima valja istaknuti da šesto postavljeno pitanje nema nikakve veze s činjeničnim stanjem ili predmetom spora u glavnom postupku te se odnosi na hipotetski problem. Slijedom toga‚ to pitanje valja proglasiti nedopuštenim.

119

Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnog postupka pred sudom koji je uputio zahtjev‚ na tom je sudu da odluči o troškovima postupka. Troškovi podnošenja očitovanja Sudu‚ koji nisu troškovi spomenutih stranaka‚ ne nadoknađuju se.

Slijedom navedenog‚ Sud (veliko vijeće) odlučuje: