1

Pagal SESV 263 straipsnį pareikštu ieškiniu ieškovė WhatsApp Ireland Ltd (toliau – WhatsApp) prašo panaikinti privalomąjį 2021 m. liepos 28 d. Europos duomenų apsaugos valdybos (toliau – EDAV) sprendimą 1/2021 dėl susijusių priežiūros institucijų ginčo, kilusio dėl WhatsApp atžvilgiu Data Protection Commission (fizinių asmenų duomenų apsaugos priežiūros institucija, Airija, toliau – Airijos priežiūros institucija) parengto sprendimo projekto (toliau – ginčijamas sprendimas).

2

Įsigaliojus 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentui (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1) Airijos priežiūros institucija gavo „WhatsApp“ pranešimų mainų programą naudojančių ir jos nenaudojančių asmenų skundų dėl WhatsApp atliekamo asmens duomenų tvarkymo. Be to, Vokietijos federalinė priežiūros institucija paprašė Airijos priežiūros institucijos pagalbos siekiant patikrinti, ar WhatsApp laikosi asmens duomenų valdytojams tenkančios skaidrumo pareigos, kiek tai susiję su galimu tokių duomenų dalijimusi su kitais Facebook grupės (2021 m. rugsėjo mėn. pervadintos Meta) subjektais.

3

2018 m. gruodžio mėn. Airijos priežiūros institucija savo iniciatyva pradėjo bendro pobūdžio tyrimą dėl to, ar WhatsApp laikosi Reglamento 2016/679 12, 13 ir 14 straipsniuose nustatytų skaidrumo ir informavimo pareigų privačių asmenų (ne įmonių) atžvilgiu, neužkirsdama kelio tolesniems veiksmams, kurių ji galėtų imtis dėl individualių jai pateiktų prašymų. Šiuo aspektu Airijos priežiūros institucija veikė kaip „vadovaujanti priežiūros institucija“, kaip numatyta Reglamento 2016/679 56 straipsnio 1 dalyje, nes WhatsApp, kaip pranešimų mainų operacijų duomenų valdytojos Europoje, pagrindinė buveinė buvo Airijoje, o šis duomenų tvarkymas buvo tarpvalstybinio pobūdžio.

4

Kai 2019 m. rugsėjo mėn. tyrimo stadija buvo užbaigta tyrėjui pateikus galutinę ataskaitą, Airijos priežiūros institucijoje sprendimus priimantis asmuo, pasibaigus tarpinėms procedūroms, per kurias WhatsApp pateikė pastabas, 2020 m. gruodžio mėn. visoms kitoms su byla susijusioms priežiūros institucijoms, t. y. visoms kitoms valstybių narių priežiūros institucijoms, pateikė sprendimo projektą, kad jos pareikštų savo nuomonę, kaip numatyta Reglamento 2016/679 60 straipsnio 3 dalyje.

5

2021 m. sausio mėn. aštuonios priežiūros institucijos, t. y. Vokietijos Badeno-Viurtembergo federalinė priežiūros institucija, Vengrijos, Nyderlandų, Lenkijos, Prancūzijos, Italijos ir Portugalijos priežiūros institucijos, pareiškė prieštaravimus dėl tam tikrų šio sprendimo projekto aspektų. Be to, kai kurios priežiūros institucijos pateikė tik komentarų. Airijos priežiūros institucija kitoms susijusioms priežiūros institucijoms pateikė bendrą atsakymą ir pasiūlė kompromisinius sprendimus. Nors po šio atsakymo viena institucija atsiėmė vieną iš savo prieštaravimų, Airijos priežiūros institucija konstatavo, kad atitinkamos priežiūros institucijos nepasiekė konsensuso dėl jos pasiūlymų, susijusių su kitais aspektais, dėl kurių buvo pareikšta prieštaravimų, ir nusprendė atmesti visus tuos prieštaravimus, kad galėtų kreiptis į EDAV, kuri išspręstų atitinkamų priežiūros institucijų ginčą dėl šių aspektų pagal Reglamento 2016/679 60 straipsnio 4 dalies ir 65 straipsnio 1 dalies a punkto nuostatas.

6

2021 m. gegužės mėn. po to, kai Airijos priežiūros institucijai buvo išsiųsti visi dokumentai, kuriais pasikeista šia tema, ši institucija raštu gavo WhatsApp pastabas atitinkamų priežiūros institucijų diskutuotais klausimais ir pati persiuntė tas pastabas EDAV, kad valdyba su jomis susipažintų per ginčų sprendimo procedūrą, kurią pradėjo 2021 m. birželio mėnesį.

7

EDAV, kurią, remiantis Reglamento 2016/679 68 straipsnio 3 dalimi, sudaro „kiekvienos valstybės narės priežiūros institucijos vadovai ir Europos duomenų apsaugos priežiūros pareigūnas arba jų atitinkamų atstovai“, 2021 m. liepos 28 d. priėmė ginčijamą sprendimą dviejų trečdalių balsų dauguma, kaip numatyta Reglamento 2016/679 65 straipsnio 2 dalyje. Ginčijamas sprendimas yra vadovaujančiajai priežiūros institucijai ir visoms susijusioms priežiūros institucijoms skirtas sprendimas, kuris joms privalomas, kaip numatyta toje pačioje nuostatoje, ir apima visus klausimus, dėl kurių buvo pareikšta tinkamų ir pagrįstų prieštaravimų, kaip numatyta Reglamento 2016/679 65 straipsnio 1 dalies a punkte. Atitinkamai EDAV ginčijamame sprendime pirmiausia išnagrinėjo, ar visi susijusių priežiūros institucijų pareikšti prieštaravimai buvo tinkami ir pagrįsti. Savo poziciją dėl prieštaravimo ji pareiškė tik jeigu į šį preliminarų klausimą buvo atsakyta teigiamai.

8

Kai Airijos priežiūros institucija gavo ginčijamą sprendimą, o iš WhatsApp – pastabas dėl piniginių baudų, kurias ji galiausiai ketino skirti atsižvelgdama į ginčijamą sprendimą, 2021 m. rugpjūčio 20 d. šioje institucijoje sprendimą priimantis asmuo pagal Reglamento 2016/679 65 straipsnio 6 dalį priėmė WhatsApp skirtą galutinį sprendimą (toliau – galutinis sprendimas). Galutiniame sprendime konstatuota, kad WhatsApp pažeidė Reglamento 2016/679 5 straipsnio 1 dalies a punkte, 12 straipsnio 1 dalyje, 13 straipsnio 1 dalies c, d, e ir f punktuose, 13 straipsnio 2 dalies a, c ir e punktuose ir 14 straipsnyje įtvirtintus skaidrumo reikalavimus. Tačiau jame nurodyta, kad WhatsApp įvykdė Reglamento 2016/679 13 straipsnio 1 dalies a ir b punktuose bei 13 straipsnio 2 dalies b ir d punktuose nustatytus įpareigojimus. Taikydamas taisomąsias priemones, priimtas remiantis Reglamento 2016/679 58 straipsnio 2 dalies b, d ir i punktais, jis galutiniame sprendime skyrė WhatsApp įspėjimą, įpareigojo imtis tam tikrų priede išvardytų priemonių, kad per tris mėnesius būtų tenkinami pažeistų Reglamento 2016/679 nuostatų reikalavimai, ir skyrė keturias administracines baudas už nustatytus Reglamento 2016/679 15 straipsnio 1 dalies a punkto, 12, 13 ir 14 straipsnio pažeidimus, kurių bendra suma siekė 225 milijonus eurų.

9

Galutiniame sprendime Airijos priežiūros institucijoje sprendimą priimantis asmuo nurodė aspektus, dėl kurių jis ginčijamu sprendimu įpareigojamas peržiūrėti šio sprendimo 4 punkte nurodytame sprendimo projekte išdėstytą vertinimą. Kiek tai susiję su šiais aspektais, jis nusprendė pilkuose laukeliuose atkartoti motyvus taip, kaip juos EDAV buvo išdėsčiusi ginčijamame sprendime, ir jais remiantis kiekvienu atveju paprasčiausiai padaryti išvadą baigiamajame punkte. Jis nurodė, kad galutiniame sprendime, pirma, nesirėmė nei tais prieštaravimais, kuriuos EDAV pripažino netinkamais ar nepagrįstais, taigi nevertino ir jų iš esmės, nei prieštaravimais, kuriuos EDAV pripažino nereikalaujančiais kitokio vertinimo, nei nurodyta sprendimo projekte, ir, antra, dėl jų nepareiškė savo pozicijos.

10

Pagal Reglamento 2016/679 65 straipsnio 6 dalį ginčijamas sprendimas buvo pridėtas prie Airijos priežiūros institucijos galutinio sprendimo.

11

Šiuo klausimu matyti, kad ginčijamame sprendime EDAV paeiliui pateikė nuomonę tik dėl toliau nurodytų aspektų, dėl kurių, jos nuomone, buvo pateikta tinkamų ir pagrįstų prieštaravimų:

12

WhatsApp užginčijo galutinį sprendimą Airijos teisme ir kartu kreipėsi į Bendrąjį Teismą su prašymu panaikinti ginčijamą sprendimą.

13

Šioje byloje Computer & Communication Industry Association paprašė leisti įstoti į bylą palaikyti ieškovės reikalavimų, o Suomijos Respublika, Europos Komisija ir Europos duomenų apsaugos priežiūros pareigūnas paprašė leisti įstoti į bylą palaikyti EDAV reikalavimų. Atsižvelgdamos į įstojimo į bylą faktą, pagrindinės šalys paprašė tam tikroms į bylą įstojusioms šalims nepateikti dalies bylos medžiagos dėl jos konfidencialaus pobūdžio. Šiame etape sprendimo dėl šių prašymų nebuvo priimta.

14

Proceso organizavimo priemonėje, priimtoje pateikus atsiliepimą į ieškinį, siekiant paraginti pagrindines šalis dublike ir triplike pareikšti nuomonę dėl visų svarbių klausimų, susijusių su Bendrojo Teismo jurisdikcija ir ieškinio priimtinumu, šiuo atžvilgiu buvo atkreiptas dėmesys į ginčijamo sprendimo kvalifikavimą kaip Europos Sąjungos organo akto, ginčijamo sprendimo kvalifikavimą kaip akto, dėl kurio galima pareikšti ieškinį, taip pat į ieškovės teisę ir suinteresuotumą pareikšti ieškinį.

15

WhatsApp prašo panaikinti visą ginčijamą sprendimą arba, nepatenkinus šio reikalavimo, reikšmingas jo dalis ir priteisti iš EDAV bylinėjimosi išlaidas.

16

EDAV prašo atmesti ieškinį kaip nepriimtiną arba, nepatenkinus šio reikalavimo, atmesti jį kaip nepagrįstą, o nepatenkinus ir šio reikalavimo – panaikinti tik reikšmingas ginčijamo sprendimo dalis. EDAV taip pat prašo priteisti iš ieškovės bylinėjimosi išlaidas.

17

Remiantis Bendrojo Teismo procedūros reglamento 129 straipsniu, Bendrasis Teismas teisėjo pranešėjo siūlymu, išklausęs pagrindines šalis, savo iniciatyva bet kada gali motyvuota nutartimi priimti sprendimą dėl imperatyvių nepriimtinumo pagrindų.

18

Nagrinėjamu atveju Bendrasis Teismas konstatuoja, kad bylos medžiagoje yra pakankamai informacijos, todėl, vadovaudamasis šiuo straipsniu, nusprendžia priimti sprendimą dėl ieškinio priimtinumo ir netęsti proceso.

19

Bendrojo Teismo jurisdikcijos ir ieškovo teisės pareikšti ieškinį patikrinimas yra su viešosios tvarkos klausimai, pavyzdžiui, kitų su ieškinio priimtinumu susijusių aplinkybių patikrinimas, o nagrinėjamu atveju pagrindinėms šalims buvo suteikta galimybė pateikti pastabas šiuo klausimu atsakant į šio sprendimo 14 punkte nurodytą proceso organizavimo priemonę po to, kai pati EDAV atsiliepime į ieškinį iškėlė ieškinio nepriimtinumo klausimą.

20

Šiuo atveju pirmiausia reikia priminti institucinę teisę, kurios dalį sudaro ginčijamas sprendimas.

21

Reglamento 2016/679 VI skyrius vadinasi „Nepriklausomos priežiūros institucijos“. Kaip nustatyta jo 51 straipsnyje, kiekviena valstybė narė „užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos [būtų] atsakingos už šio reglamento taikymo stebėseną“, kiekviena iš tų institucijų „prisideda prie nuoseklaus šio reglamento taikymo visoje Sąjungoje“ ir tuo tikslu „priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija, vadovaudamosi VII skyriumi“.

22

55 straipsnyje numatyta, kad kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal Reglamentą 2016/679 jai pavestas užduotis ir naudotis pagal šį reglamentą jai suteiktais įgaliojimais, o 56 straipsnyje nurodyta, kad, nedarant poveikio 55 straipsniui, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas tarpvalstybiniu lygiu tvarko duomenis pagal 60 straipsnyje nustatytą procedūrą. Kaip nurodyta šio sprendimo 3 punkte, Airijos priežiūros institucija WhatsApp atžvilgiu veikė kaip vadovaujanti priežiūros institucija.

23

Reglamento 2016/679 58 straipsnio 2 dalyje nustatyta, kad kiekviena priežiūros institucija turi įgaliojimus imtis taisomųjų veiksmų prieš duomenų valdytoją arba duomenų tvarkytoją, visų pirma pagal jos b, d ir i punktus, pareikšti jiems įspėjimą, kai duomenų tvarkymo operacijomis buvo pažeistos Reglamento 2016/679 nuostatos, nurodyti jiems suderinti duomenų tvarkymo operacijas su Reglamento 2016/679 nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį, ir skirti administracinę baudą.

24

Reglamento 2016/679 VII skyrius, einantis po šio sprendimo 21–23 punktuose minėtų nuostatų, vadinasi „Bendradarbiavimas ir nuoseklumas“.

25

Šio skyriaus skirsnio „Bendradarbiavimas“ 60 straipsnyje „Vadovaujančios priežiūros institucijos ir kitų susijusių priežiūros institucijų bendradarbiavimas“, be kita ko, numatyta:

„1.   Vadovaujanti priežiūros institucija pagal šį straipsnį bendradarbiauja su kitomis susijusiomis priežiūros institucijomis, stengdamasi rasti konsensusą. Vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tarpusavyje keičiasi visa atitinkama informacija.

<…>

3.   Vadovaujanti priežiūros institucija nedelsdama perduoda atitinkamą informaciją šiuo klausimu kitoms susijusioms priežiūros institucijoms. Ji nedelsdama pateikia sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę, ir deramai atsižvelgia į jų nuomones.

4.   Jeigu bet kuri iš kitų susijusių priežiūros institucijų per keturias savaites nuo tada, kai su ja pagal šio straipsnio 3 dalį buvo konsultuotasi, pareiškia tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto, vadovaujanti priežiūros institucija, jeigu ji neatsižvelgia į susijusį ir pagrįstą prieštaravimą arba laikosi nuomonės, kad prieštaravimas nėra tinkamas ar pagrįstas, pateikia klausimą spręsti pagal 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

5.   Jeigu vadovaujanti priežiūros institucija ketina atsižvelgti į pareikštą susijusį ir pagrįstą prieštaravimą, ji pateikia kitoms susijusioms priežiūros institucijoms peržiūrėtą sprendimo projektą, kad jos pateiktų savo nuomonę. Tam peržiūrėtam sprendimo projektui per dviejų savaičių laikotarpį taikoma 4 dalyje nurodyta procedūra.

6.   Jeigu per 4 ir 5 dalyse nurodytą laikotarpį jokia kita susijusi priežiūros institucija nepareiškė prieštaravimo vadovaujančios priežiūros institucijos pateiktam sprendimo projektui, laikoma, kad vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tam sprendimo projektui pritaria ir jis joms yra privalomas.

7.   Vadovaujanti priežiūros institucija priima sprendimą ir praneša jį atitinkamai duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei ir informuoja kitas susijusias priežiūros institucijas bei Valdybą apie atitinkamą sprendimą, be kita ko, pateikdama atitinkamų faktų ir priežasčių santrauką. Priežiūros institucija, kuriai buvo pateiktas skundas, apie sprendimą informuoja skundo pateikėją.

<…>

10.   Duomenų valdytojas arba duomenų tvarkytojas, <…> gavęs pranešimą apie vadovaujančios priežiūros institucijos sprendimą, imasi būtinų priemonių, kad užtikrintų sprendimo laikymąsi vykdant duomenų tvarkymo veiklą visose Sąjungoje esančiose jo buveinėse. Duomenų valdytojas arba duomenų tvarkytojas praneša vadovaujančiai priežiūros institucijai apie priemones, kurių imtasi, kad būtų laikomasi sprendimo, o ši institucija informuoja kitas susijusias priežiūros institucijas.“

26

Reglamento 2016/679 VII skyriaus skirsnyje „Nuoseklumas“ esančiame 63 straipsnyje „Nuoseklumo užtikrinimo mechanizmas“ numatyta:

„Siekdamos padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, priežiūros institucijos bendradarbiauja tarpusavyje ir tam tikrais atvejais su Komisija pagal šiame skirsnyje nustatytą nuoseklumo užtikrinimo mechanizmą.“

27

EDAV dalyvauja taikant minėtą mechanizmą. EDAV statusas įtvirtintas Reglamento 2016/679 paskutiniame (trečiame) VII skyriaus skirsnyje „Europos duomenų apsaugos valdyba“.

28

Šiame skirsnyje esančiame 68 straipsnyje nurodyta:

„1.   Europos duomenų apsaugos valdyba (toliau – Valdyba) įsteigiama kaip Sąjungos įstaiga, turinti juridinio asmens statusą [teisinį subjektiškumą].

<…>

3.   Valdybą sudaro kiekvienos valstybės narės vienos priežiūros institucijos vadovai ir Europos duomenų apsaugos priežiūros pareigūnas arba jų atitinkami atstovai.

<…>“

29

Tame pačiame skirsnyje esančiame 70 straipsnyje „Valdybos užduotys“ numatyta:

„1.   Valdyba užtikrina, kad šis reglamentas būtų taikomas nuosekliai. Šiuo tikslu Valdyba savo iniciatyva arba tam tikrais atvejais Komisijos prašymu visų pirma:

<…>“

30

Be to, tame pačiame 70 straipsnyje išsamiai išvardytos kitos EDAV užduotys, t. y. iš esmės konsultavimas, kurį turi atlikti, teikdama nuomonę, gaires, rekomendacijas ir „geriausios praktikos“ pavyzdžius.

31

Šio sprendimo 26 punkte nurodytame skirsnyje „Nuoseklumas“ po 64 straipsnio, kuriame išvardyti atvejai, kai EDAV teikia nuomonę, eina 65 straipsnis „Europos duomenų apsaugos valdybos sprendžiami ginčai“; jame, be kita ko, nustatyta:

„1.   Siekiant užtikrinti tinkamą ir nuoseklų šio reglamento taikymą atskirais atvejais, Valdyba priima privalomą sprendimą šiais atvejais:

<…>

2.   1 dalyje nurodytas sprendimas dviejų trečdalių valdybos narių balsų dauguma <…>. 1 dalyje nurodytas sprendimas turi būti pagrįstas, skirtas vadovaujančiai priežiūros institucijai bei visoms susijusioms priežiūros institucijoms ir joms privalomas.

<…>

5.   Valdybos pirmininkas nepagrįstai nedelsdamas praneša 1 dalyje nurodytą sprendimą susijusioms priežiūros institucijoms. Apie tai jis informuoja Komisiją. Po to, kai priežiūros institucija praneša 6 dalyje nurodytą galutinį sprendimą, sprendimas nedelsiant paskelbiamas Valdybos interneto svetainėje.

6.   Vadovaujanti priežiūros institucija arba, tam tikrais atvejais, priežiūros institucija, kuriai pateiktas skundas, nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį nuo tos dienos, kai Valdyba praneša savo sprendimą, priima galutinį sprendimą remdamasi šio straipsnio 1 dalyje nurodytu sprendimu. <…> Galutiniame sprendime daroma nuoroda į šio straipsnio 1 dalyje nurodytą sprendimą ir nurodoma, kad toje dalyje nurodytas sprendimas pagal šio straipsnio 5 dalį bus paskelbtas Valdybos interneto svetainėje. Prie galutinio sprendimo pridedamas šio straipsnio 1 dalyje nurodytas sprendimas.“

32

Reglamento 2016/679 VIII skyriaus „Teisių gynimo priemonės, atsakomybė ir sankcijos“ 78 straipsnyje reglamentuojama „teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją“, o 79 straipsnyje – „teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją“. Jame nėra nuostatų, kurios numatytų galimas teisių gynimo priemones dėl privalomųjų EDAV sprendimų, priimtų remiantis 65 straipsnio 1 dalimi. Vis dėlto 78 straipsnio 4 dalyje nurodyta, kad tais atvejais, „[k]ai byla iškelta dėl priežiūros institucijos sprendimo, kuris buvo priimtas po to, kai Valdyba <…> priėmė sprendimą pagal nuoseklumo užtikrinimo mechanizmą, priežiūros institucija perduoda teismui tą nuomonę ar sprendimą“.

33

Reglamento 2016/679 143 konstatuojamojoje dalyje nurodyta:

„bet kuris fizinis arba juridinis asmuo turi teisę SESV 263 straipsnyje numatytomis sąlygomis Teisingumo Teisme pareikšti ieškinį dėl Valdybos sprendimų panaikinimo. Susijusios priežiūros institucijos, kurioms tokie sprendimai skirti ir kuriuos jos nori užginčyti, turi pareikšti ieškinį per du mėnesius nuo tada, kai joms pranešama apie tuos sprendimus, laikantis SESV 263 straipsnio. Tuo atveju, jei Valdybos sprendimai yra tiesiogiai ir konkrečiai susiję su duomenų valdytoju, duomenų tvarkytoju ar skundo pateikėju, pastarasis gali pateikti ieškinį dėl tų sprendimų panaikinimo per du mėnesius nuo jų paskelbimo Valdybos interneto svetainėje, laikantis SESV 263 straipsnio. Nedarant poveikio šiai teisei pagal SESV 263 straipsnį, kiekvienas fizinis ar juridinis asmuo turėtų turėti galimybę kompetentingame nacionaliniame teisme imtis veiksmingų teisminių teisių gynimo priemonių priežiūros institucijos sprendimo, turinčio tam asmeniui teisinių padarinių, atžvilgiu. Toks sprendimas yra susijęs visų pirma su priežiūros institucijos naudojimusi tyrimo įgaliojimais, įgaliojimais imtis taisomųjų veiksmų ir leidimų išdavimo įgaliojimais arba skundų nepriėmimu ar atmetimu. Tačiau ši teisė imtis veiksmingų teisminių teisių gynimo priemonių neapima kitų priežiūros institucijų priemonių, kurios nėra teisiškai privalomos, pavyzdžiui, priežiūros institucijos pateiktų nuomonių ar patarimų. Procesas prieš priežiūros instituciją turėtų būti pradedamas valstybės narės, kurioje priežiūros institucija yra įsisteigusi, teismuose ir turėtų vykti laikantis tos valstybės narės proceso teisės. Tie teismai turėtų turėti visapusišką jurisdikciją, kuri turėtų apimti jurisdikciją nagrinėti visus faktinius ir teisinius klausimus, susijusius su ginču, dėl kurio į juos kreiptasi.

Jeigu priežiūros institucija atmetė skundą arba jo nepriėmė, skundo pateikėjas gali iškelti bylą tos pačios valstybės narės teismuose. Taikant su šio reglamento taikymu susijusias teismines teisių gynimo priemones, nacionaliniai teismai, manantys, kad sprendimui priimti reikia nutarimo šiuo klausimu, gali arba SESV 267 straipsnyje numatytu atveju privalo prašyti Teisingumo Teismo prejudicinio sprendimo dėl Sąjungos teisės, įskaitant šį reglamentą, aiškinimo. Be to, jeigu priežiūros institucijos sprendimas, kuriuo įgyvendinamas Valdybos sprendimas, užginčijamas nacionaliniame teisme ir sprendžiamas to Valdybos sprendimo galiojimo klausimas, tas nacionalinis teismas neturi įgaliojimų paskelbti Valdybos sprendimo negaliojančiu, bet privalo pateikti klausimą dėl galiojimo Teisingumo Teismui pagal SESV 267 straipsnį, kaip išaiškino Teisingumo Teismas, kiekvienu atveju, kai teismas mano, kad sprendimas negalioja. Tačiau nacionalinis teismas negali pateikti klausimo dėl Valdybos sprendimo galiojimo fizinio arba juridinio asmens, kuris turėjo galimybę pateikti ieškinį dėl to sprendimo panaikinimo, prašymu, ypač tuo atveju, kai tas sprendimas buvo su juo tiesiogiai ir konkrečiai susijęs, bet per SESV 263 straipsnyje nustatytą laikotarpį to nepadarė.“

34

SESV 263 straipsnyje, kurio pirma, antra, ketvirta ir penkta pastraipos cituojamos toliau, nurodyta:

„Europos Sąjungos Teisingumo Teismas prižiūri teisėkūros procedūra priimtų teisės aktų, Tarybos, Komisijos ir Europos centrinio banko priimtų teisės aktų, išskyrus rekomendacijas ir nuomones, ir Europos Parlamento bei Europos Vadovų Tarybos aktų, galinčių turėti teisinių padarinių trečiosioms šalims, teisėtumą. Jis taip pat prižiūri Sąjungos įstaigų ar organų aktų, galinčių turėti teisinių padarinių trečiosioms šalims, teisėtumą.

Šiuo tikslu Teismo jurisdikcijai priklauso nagrinėti valstybės narės, Europos Parlamento, Tarybos ar Komisijos pateiktus ieškinius dėl kompetencijos trūkumo, esminio procedūrinio reikalavimo pažeidimo, Sutarčių ar kokios nors su jų taikymu susijusios teisės normos pažeidimo arba piktnaudžiavimo įgaliojimais.

<…>

Kiekvienas fizinis ar juridinis asmuo gali pirmoje ir antrojoje pastraipose numatytomis sąlygomis pateikti ieškinį dėl jam skirtų aktų arba aktų, kurie yra tiesiogiai ir konkrečiai su juo susiję, ar dėl reglamentuojančio pobūdžio teisės aktų, tiesiogiai su juo susijusių ir dėl kurių nereikia patvirtinti įgyvendinančių priemonių.

Sąjungos įstaigas ar organus steigiantys aktai gali nustatyti konkrečias sąlygas ir tvarką, reguliuojančias fizinių ar juridinių asmenų ieškinių dėl šių įstaigų ar organų aktų, galinčių jiems turėti teisinių padarinių, pateikimą.

<…>“

35

Iš SESV 263 straipsnio pirmos pastraipos matyti, kad Sąjungos teismo jurisdikcijai priklauso tikrinti Sąjungos įstaigos akto, kuriuo siekiama sukurti teisinių padarinių tretiesiems asmenims, teisėtumą. Be to, iš to paties straipsnio ketvirtos pastraipos išplaukia, kad ieškinio priimtinumo prielaida yra tai, kad juridinis asmuo iš principo turi būti tiesiogiai ir konkrečiai susijęs su Sąjungos įstaigos individualiu aktu, kuris nėra jam skirtas. Nagrinėjamu atveju, kaip nurodyta šio sprendimo 32 punkte, Reglamente 2016/679 nėra jokios nuostatos, atitinkančios SESV 263 straipsnio penktoje pastraipoje numatytą nuostatą, todėl šioje byloje WhatsApp faktiškai yra taikomos šio straipsnio ketvirtoje pastraipoje numatytos sąlygos dėl tiesioginės ir konkrečios sąsajos su ginčijamu sprendimu, norint, kad WhatsApp ieškinys dėl minėto sprendimo būtų priimtinas.

36

Pirmiausia konstatuotina, kad ginčijamas sprendimas, kurį priėmė EDAV, tikrai yra Sąjungos įstaigos aktas. Reglamente 2016/679 numatytas institucinis mechanizmas, išdėstytas šio sprendimo 21–31 punktuose, visų pirma išimtinė nacionalinių priežiūros institucijų kompetencija priimti taisomąsias priemones duomenų valdytojų ir duomenų tvarkytojų atžvilgiu ir šių institucijų bendradarbiavimo ir nuoseklumo užtikrinimo mechanizmai, taikomi ir EDAV, kuri iš esmės jungia šias institucijas, veikloje, galėtų leisti manyti, kad EDAV yra tik nacionalinių institucijų koordinavimo organas. Vis dėlto pagal Reglamento 2016/679 68 straipsnio 1 dalį EDAV įsteigta kaip Sąjungos įstaiga ir turi teisinį subjektiškumą. Turėdama tokį statusą, ji taip pat turi teisę pagal Reglamento 2016/679 64 ir 65 straipsnius priimti nuomones, o spręsdama nacionalinių priežiūros institucijų ginčus – sprendimus, kaip antai ginčijamą sprendimą, kurie yra privalomi atitinkamoms priežiūros institucijoms, taigi šios nuomonės ir sprendimai yra Sąjungos įstaigos aktai.

37

Be to, konstatuotina, kad ginčijamu sprendimu siekiama sukelti teisinių padarinių tretiesiems asmenims, nes tai yra pagal Reglamento 2016/679 65 straipsnį priimtas atitinkamoms priežiūros institucijoms „privalomas sprendimas“.

38

Vis dėlto tais atvejais, kai ieškovas nėra vienas iš vadinamųjų „privilegijuotųjų“ ieškovų, konkrečiai paminėtų SESV 263 straipsnio antroje pastraipoje, buvo ne kartą nuspręsta, kad aktu, dėl kurio toks ieškovas gali pareikšti ieškinį, laikomas aktas, kuris sukelia privalomųjų teisinių padarinių, turinčių įtakos ieškovo interesams ir iš esmės keičiančių jo teisinę padėtį (1981 m. lapkričio 11 d. Sprendimo IBM / Komisija, 60/81, EU:C:1981:264, 9 punktas; taip pat žr. 2010 m. lapkričio 18 d. Sprendimo NDSHT / Komisija, C‑322/09 P, EU:C:2010:701, 45 punktą ir jame nurodytą jurisprudenciją).

39

Teisingumo Teismas taip pat yra nusprendęs, kad tais atvejais, kai toks ieškovas nėra jo ginčijamo teisės akto adresatas, sąlyga, pagal kurią aktas turi iš esmės pakeisti ieškovo teisinę padėtį, sutampa su SESV 263 straipsnio ketvirtoje pastraipoje nustatytomis sąlygomis, t. y. kai ginčijamas aktas nėra reglamentuojamojo pobūdžio teisės aktas, dėl kurio nereikia patvirtinti įgyvendinamųjų priemonių, bet ieškovas turi būti tiesiogiai ir konkrečiai susijęs su šiuo aktu (šiuo klausimu žr. 2011 m. spalio 13 d. Sprendimo Deutsche Post ir Vokietija / Komisija, C‑463/10 P ir C‑475/10 P, EU:C:2011:656, 38 punktą).

40

Nagrinėjamu atveju pirmiausia pažymėtina, kad, atsižvelgiant į ginčijamo akto, kuris yra individualus aktas, pobūdį, ginčijamas sprendimas yra konkrečiai susijęs su WhatsApp, nes jis apima tam tikrus galutinio Airijos priežiūros tarnybos sprendimo, priimto dėl WhatsApp, projekto aspektus. Priešingai, nei triplike teigia EDAV, ginčijamame sprendime neapsiribojama tam tikrų principų suformulavimu arba tam tikrų Reglamento 2016/679 nuostatų, kurios galėtų būti aktualios bet kuriam duomenų valdytojui, aiškinimu. Ginčijamame sprendime, kaip nurodyta šio sprendimo 11 punkte, EDAV sprendžia dėl to, ar WhatsApp vykdė tam tikras pareigas pagal Reglamentą 2016/679, kvalifikuoja informaciją, gautą vykstant procedūrai „Lossy Hashing Procedure“ (o tai yra tik WhatsApp atliekamo duomenų tvarkymo forma), kaip asmens duomenis ir sprendžia dėl tam tikrų WhatsApp taisomųjų priemonių, be kita ko, dėl tam tikrų šiam subjektui skirtinų administracinių baudų nustatymo aspektų. Taigi ginčijamas sprendimas yra konkrečiai susijęs su WhatsApp, nors jame, kaip labai dažnai būna individualiuose aktuose, suformuluoti arba priminti principai ir išdėstyti bendro pobūdžio aiškinimai.

41

Toliau reikia išnagrinėti klausimą, ar ginčijamas sprendimas sukelia teisinių padarinių, iš esmės keičiančių WhatsApp teisinę padėtį, ir ar jis yra tiesiogiai su WhatsApp susijęs, kaip tai suprantama pagal SESV 263 straipsnio ketvirtą pastraipą.

42

Šiuo atžvilgiu pažymėtina, kad, kaip nagrinėjamu atveju teisingai pabrėžė EDAV, ginčijamas sprendimas pats savaime nekeičia WhatsApp teisinės padėties. Priešingai nei galutinis Airijos priežiūros institucijos sprendimas, juo negalima tiesiogiai remtis prieš WhatsApp ir jis WhatsApp atžvilgiu yra parengiamasis arba tarpinis aktas procedūroje, kuri pagal Reglamento 2016/679 58 straipsnio 2 dalį, 60, 63 ir 65 straipsnius, cituotus šio sprendimo 23–26 ir 31 punktuose, turi būti užbaigta būtent galutiniu šiai bendrovei skirtu nacionalinės priežiūros institucijos sprendimu (šiuo klausimu pagal analogiją žr. 1986 m. birželio 24 d. Sprendimo AKZO Chemie ir AKZO Chemie UK / Komisija, 53/85, EU:C:1986:256, 19 punktą).

43

Šiuo klausimu ne kartą buvo nuspręsta, kad procedūrose, per kurias keliais etapais rengiami aktai, tarpinės priemonės, kuriomis siekiama parengti galutinį sprendimą, iš principo nėra aktai, kuriuos galima ginčyti (šiuo klausimu žr. 1981 m. lapkričio 11 d. Sprendimo IBM / Komisija, 60/81, EU:C:1981:264, 10 punktą ir 2010 m. sausio 26 d. Sprendimo Internationaler Hilfsfonds / Komisija, C‑362/08 P, EU:C:2010:40, 52 punktą ir jame nurodytą jurisprudenciją).

44

Šio sprendimo 43 punkte priminto principo išimtis taikoma tuomet, kai tarpinė priemonė sukelia savarankiškų teisinių padarinių subjektui, kurio pakankama teisminė apsauga negali būti užtikrinta nagrinėjant ieškinį dėl sprendimo, kuriuo užbaigiama procedūra (šiuo klausimu žr. 1981 m. lapkričio 11 d. Sprendimo IBM / Komisija, 60/81, EU:C:1981:264, 11 ir 12 punktus ir 2011 m. spalio 13 d. Sprendimo Deutsche Post ir Vokietija / Komisija, C‑463/10 P ir C‑475/10 P, EU:C:2011:656, 53 ir 54 punktus). Tokios išimtys buvo nustatytos, pavyzdžiui, procedūroje dėl įmonėms taikomų konkurencijos taisyklių laikymosi kontrolės (šiuo klausimu žr. 1986 m. birželio 24 d. Sprendimo AKZO Chemie ir AKZO Chemie UK / Komisija, 53/85, EU:C:1986:256, 20 punktą), procedūroje dėl valstybės pagalbos taisyklių laikymosi kontrolės (šiuo klausimu žr. 2001 m. spalio 9 d. Sprendimo Italija / KomisijaC‑400/99, EU:C:2001:528, 55–63 punktus) ir papildomos ar preliminarios priemonės, priimtos iki galutinio sprendimo, atveju siekiant nušalinti nuo pareigų pareigūną, kuriam taikoma drausminė procedūra (šiuo klausimu žr. 1966 m. gegužės 5 d. Sprendimą Gutmann / Komisija, 18/65 ir 35/65, EU:C:1966:24, p. 168).

45

Šioje byloje, priešingai, WhatsApp užtikrinama veiksminga teisminė apsauga, ginčijamo sprendimo atžvilgiu numatant teisių gynimo priemonę, kuria šis subjektas gali pasinaudoti nacionaliniame teisme dėl Airijos priežiūros institucijos galutinio sprendimo ir kuri leidžia įvertinti ginčijamo sprendimo galiojimą. Kaip numatyta Reglamento 2016/679 78 straipsnio 1 dalyje, kurioje nurodyta, kad visose valstybėse narėse kiekvienam asmeniui turi būti užtikrinta teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą, WhatsApp Airijos teisme užginčijo Airijos priežiūros institucijos priimtą galutinį sprendimą ir nagrinėjant šį skundą gali remtis ginčijamame sprendime pateiktų privalomų vertinimų neteisėtumu, kurie dar kartą išdėstyti galutiniame sprendime. Šiuo klausimu primintina, kad pagal SESV 267 straipsnį leidžiama nacionaliniame teisme ginčyti Sąjungos institucijų, įstaigų ir organų priimtų aktų galiojimą, ir numatyta, kad tais atvejais, kai nacionalinis teismas mano, jog sprendimui priimti būtinas sprendimas šiuo klausimu, jis gali arba privalo pateikti Europos Sąjungos Teisingumo Teismui prejudicinį klausimą dėl galiojimo vertinimo. Jei Teisingumo Teismas, baigęs prejudicinio sprendimo priėmimo procedūrą, nustato, kad toks aktas, jeigu jis yra parengiamasis valstybės narės institucijos priimto sprendimo aktas, yra negaliojantis, nacionalinis teismas turi padaryti išvadas dėl šio suinteresuotajam asmeniui nepalankaus sprendimo teisėtumo (šiuo klausimu žr. 1975 m. spalio 30 d. Sprendimo Rey Soda ir kt. 23/75, EU:C:1975:142, 51 punktą ir 2018 m. kovo 20 d. Sprendimo Šroubárna Ždánice / Taryba, T‑442/16, nepaskelbto Rink., EU:T:2018:159, 34 punktą).

46

Be to, ginčijamas sprendimas nesukelia WhatsApp jokių savarankiškų teisinių padarinių, palyginti su Airijos priežiūros institucijos galutiniu sprendimu: visi pirmajame sprendime išdėstyti vertinimai pakartoti antrajame sprendime, o pirmasis sprendimas neturi jokio poveikio, nepriklausomo nuo antrojo sprendimo turinio, priešingai, nei buvo tais atvejais, dėl kurių priimti šio sprendimo 44 punkte minėti sprendimai, t. y. 1966 m. gegužės 5 d. Sprendimas Gutmann / Komisija (18/65 ir 35/65, EU:C:1966:24), 1986 m. birželio 24 d. Sprendimas AKZO Chemie ir AKZO Chemie UK / Komisija (53/85, EU:C:1986:256) ir 2001 m. spalio 9 d. Sprendimas Italija / Komisija (C‑400/99, EU:C:2001:528).

47

Šiuo klausimu pažymėtina, kad nors šio sprendimo 43 ir 44 punktuose priminti principai buvo suformuluoti dėl procedūrų, kurios – galutinio sprendimo požiūriu – priskiriamos Sąjungos institucijų ar kitų įstaigų kompetencijai, nėra jokio pagrindo manyti kitaip, kai, kaip nagrinėjamoje byloje, Sąjungos teisės aktuose pavedama konkrečioms nacionalinėms institucijoms per kelių etapų procedūras prižiūrėti, kaip taikomos specialiosios Sąjungos teisės aktų nuostatos, ir kai Sąjungos įstaiga priima tarpinę priemonę per tokią procedūrą, užbaigiamą nacionalinės institucijos sprendimu.

48

Tiesa, WhatsApp tvirtina, kad ginčijamas sprendimas yra galutinė EDAV pozicija, kurios galutiniame sprendime turėjo laikytis Airijos priežiūros institucija. Šis argumentas turėtų būti suprantamas taip, kad dėl šios aplinkybės ginčijamas sprendimas neišvengiamai yra aktas, kurį galima ginčyti, ir kad jis skiriasi nuo tarpinių priemonių, kuriomis išreiškiama tik preliminari nuomonė, t. y. aktų, kurių negalima ginčyti.

49

Vis dėlto, kaip priminta šio sprendimo 38 punkte, tam, kad aktą galėtų ginčyti kiti nei vadinamieji „privilegijuotieji“ ieškovai, minėti SESV 263 straipsnio antroje pastraipoje, toks aktas turi, be kita ko, iš esmės pakeisti ieškovo teisinę padėtį. Tai, kad tarpiniame akte išreikšta galutinė institucijos pozicija, kuri turi būti pakartota galutiniame sprendime, kuriuo užbaigiama aptariama procedūra, kaip šioje byloje, nes ginčijamame sprendime pateikta baigiamoji tam tikrų galutinio sprendimo aspektų analizė, nebūtinai reiškia, kad pats šis tarpinis aktas iš esmės keičia ieškovo teisinę padėtį, kaip parodyta nagrinėjamu atveju šio sprendimo 42–47 punktuose. Kadangi, kaip priminta šio sprendimo 39 punkte, ši sąlyga sutampa su SESV 263 straipsnio ketvirtoje pastraipoje įtvirtintomis sąlygomis, t. y. su reikalavimu, kad aktas būtų tiesiogiai susijęs su ieškovu, nagrinėjamu atveju galima patikrinti, ar ginčijamas sprendimas yra tiesiogiai susijęs su WhatsApp.

50

Kaip teisingai teigia EDAV, ginčijamas sprendimas nėra tiesiogiai susijęs su WhatsApp.

51

Ne kartą buvo pripažinta, jog tam, kad aktas būtų tiesiogiai susijęs su ieškovu, kuriam nėra skirtas, toks aktas turi, pirma, tiesiogiai sukelti teisinių padarinių ieškovo teisinei padėčiai ir, antra, nepalikti jokios diskrecijos jo adresatams, atsakingiems už akto įgyvendinimą, turint omenyje, kad šis įgyvendinimas yra visiškai automatinio pobūdžio ir išplaukia tik iš Sąjungos teisės normų, netaikant kitų tarpinių taisyklių (1971 m. gegužės 13 d. Sprendimo International Fruit Company ir kt. / Komisija, 41/70–44/70, EU:C:1971:53, 23–28 punktai; 1998 m. gegužės 5 d. Sprendimo Dreyfus / Komisija, C‑386/96 P, EU:C:1998:193, 43 punktas ir 2009 m. rugsėjo 17 d. Sprendimas Komisija / Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, 48 punktas).

52

Dėl pirmosios sąlygos pažymėtina, kad, kaip jau buvo nurodyta šio sprendimo 42 punkte, ginčijamu sprendimu negalima remtis prieš WhatsApp taip, kad be papildomo procedūros etapo jis galėtų tapti jos įsipareigojimų arba tinkamais atvejais – kitų asmenų teisių šaltiniu. Taigi jis skiriasi, pavyzdžiui, nuo aktų, dėl kurių buvo priimtas 1986 m. balandžio 23 d. Sprendimas Les Verts / Parlamentas (294/83, EU:C:1986:166), kurio 31 punkte siekiant pripažinti, kad aktai buvo tiesiogiai susiję su asociacija ieškove, pažymėta, kad „jie sudaro išsamų teisės normų rinkinį, kuris yra autonomiškas, jam nereikalingos jokios taikymo nuostatos“. Šiuo atveju ginčijamas sprendimas nėra galutinis visos procedūros, numatytos Reglamento 2016/679 58, 60 ir 65 straipsniuose, etapas.

53

Dėl antrosios sąlygos, susijusios su už nagrinėjamo akto įgyvendinimą atsakingos institucijos diskrecija, konstatuotina, kad net jeigu ginčijamas sprendimas Airijos priežiūros institucijai buvo privalomas, kiek tai susiję su aspektais, dėl kurių jis buvo priimtas, juo jai palikta diskrecija spręsti dėl galutinio sprendimo turinio.

54

Kaip matyti iš šio sprendimo 11 punkte pateikto ginčijamo sprendimo, kuriuo atitinkamoms priežiūros institucijoms skiriamos gairės, ir iš šio sprendimo 8 punkte išdėstyto WhatsApp skirto galutinio sprendimo turinio palyginimo, dalis ginčijamo sprendimo turinio sutampa su galutiniu sprendimu.

55

Taigi abiem sprendimams bendra tai, kad buvo konstatuotas WhatsApp padarytas Reglamento 2016/679 5 straipsnio 1 dalies a punkte nurodyto skaidrumo principo ir jo 13 straipsnio 1 dalie d punkte bei 13 straipsnio 2 dalies e punkte nustatytų pareigų pažeidimas, kad kaip asmens duomenys kvalifikuota informacija, gauta vykstant procedūrai „Lossy Hashing Procedure“, kuri taikyta duomenims, susijusiems su WhatsApp nenaudojančių asmenų „kontaktine informacija“, esančia galutinių WhatsApp naudotojų adresų knygelėje, kad konstatuotas WhatsApp padarytas Reglamento 2016/679 14 straipsnyje įtvirtintų pareigų pažeidimas, išplaukiantis iš minėto kvalifikavimo, kad WhatsApp skirtas trijų mėnesių terminas Reglamente 2016/679 nustatytiems reikalavimams atitikti, kad aptarti tam tikri taisomųjų priemonių aspektai, t. y. susiję su WhatsApp nenaudojančių asmenų asmens duomenimis ir pareiga pateikti WhatsApp naudojantiems asmenims informaciją, nurodytą Reglamento 2016/679 13 straipsnio 2 dalies e punkte, kad buvo aiškinamas WhatsApp skirtų administracinių baudų dydžio kriterijus ir kad šių baudų suma buvo padidinta, palyginti su bendru Airijos priežiūros institucijos sprendimo projekte numatytos skirti 30–50 milijonų eurų baudos dydžiu.

56

Kiek tai savo ruožtu susiję su toliau nurodytais aspektais, galutinis sprendimas išplaukia iš Airijos priežiūros institucijos vertinimo, o EDAV dėl jų ginčijame sprendime nepareiškė nuomonės: konstatavimas, kad WhatsApp pažeidė Reglamento 2016/679 12 straipsnio 1 dalyje, 13 straipsnio 1 dalies c, e ir f punktuose bei 13 straipsnio 2 dalies a ir c punktuose nustatytus įpareigojimus; konstatavimas, kad WhatsApp paisė Reglamento 2016/679 13 straipsnio 1 dalies a ir b punktuose bei 13 straipsnio 2 dalies b ir d punktuose nustatytų įpareigojimų; WhatsApp statusas tvarkant jos pranešimų mainų paslauga nesinaudojančių asmenų asmens duomenis; WhatsApp nustatytų taisomųjų priemonių turinio esmė, t. y. priemonių, kuriomis siekiama užtikrinti, kad būtų laikomasi Reglamento 2016/679 12 straipsnio 1 dalyje, 13 straipsnio 1 dalies c, d, e ir f punktuose ir 13 straipsnio 2 dalies a ir c punktuose nustatytų įpareigojimų; konkretus WhatsApp skirtų administracinių baudų dydžio nustatymas, skiriant iš viso 225 milijonų eurų baudą.

57

Visų pirma pažymėtina, kad Airijos priežiūros institucija įgyvendino savo diskreciją daryti išvadas remiantis ginčijamame sprendime išdėstytomis gairėmis, kiek tai susiję su per procedūrą „Lossy Hashing Procedure“ gautos informacijos kvalifikavimu kaip asmens duomenų ir su administracinėmis baudomis.

58

Dėl pirmojo aspekto, t. y. dėl WhatsApp nenaudojančių asmenų asmens duomenų, visų pirma dėl informacijos, gautos per procedūrą „Lossy Hashing Procedure“, tvarkymo iš galutinio sprendimo 111 punkto matyti, kad kitas analizės, kuria siekta nustatyti, ar WhatsApp šių asmenų atžvilgiu nepaisė Reglamento 2016/679 14 straipsnyje nustatytų įpareigojimų, etapas buvo išsiaiškinti, ar, kiek tai susiję su aptariamu asmens duomenų tvarkymu, WhatsApp veikė kaip duomenų valdytoja, ar tiesiog kaip duomenų tvarkytoja, veikianti jos pranešimų mainų paslaugos naudotojų, aktyvavusių funkciją „kontaktai“, vardu. Vis dėlto šis analizės etapas, grindžiamas pirmąja prielaida, išplaukia iš Airijos priežiūros institucijos vertinimo, o EDAV ginčijamame sprendime nepareiškė pozicijos šiuo klausimu.

59

Dėl administracinių baudų nustatymo pažymėtina, kad nors ginčijamame sprendime išdėstytos gairės dėl remiantis Reglamentu 2016/679 skirtų administracinių baudų dydžio kriterijų aiškinimo ir dėl bendros nagrinėjamu atveju WhatsApp skirtinų baudų sumos padidinimo, palyginti su numatytąja Airijos priežiūros institucijos sprendimo projekte, priežiūros institucija išsaugojo savo diskreciją nustatyti konkretų WhatsApp skirtinų baudų dydį. Be to, kaip nurodyta šio sprendimo 8 punkte, prieš priimdama galutinį sprendimą Airijos priežiūros institucija paprašė WhatsApp pateikti pastabas dėl naujų administracinių baudų, kurias ketino jai skirti, o tai atitinka išvadą, kad ši institucija išsaugojo diskreciją šiuo klausimu. Dėl nagrinėjamo atvejo pažymėtina, kad galutiniame sprendime galiausiai buvo pasirinkta Airijos priežiūros institucijos numatytų naujų baudų apatinė skalės riba.

60

Galutinis sprendimas yra visuma, nuo kurios negalima atsieti dalių, atitinkančių ginčijamame sprendime išdėstytas gaires, suformuojant galutinį „posprendimį“, dėl kurio priežiūros institucija neturi jokios diskrecijos. Iš tiesų Airijos priežiūros institucijos tyrimo ir galutinio sprendimo esmė buvo išsiaiškinti, kaip WhatsApp laikosi skaidrumo principo ir visų su juo susijusių konkrečių Reglamente 2016/679 nustatytų pareigų. Taigi galutiniame sprendime buvo nagrinėjama bendra WhatsApp praktika šiuo klausimu, o tas pats šios praktikos aspektas buvo nagrinėjamas atsižvelgiant į įvairias reikšmingas Reglamento 2016/679 nuostatas, pavyzdžiui, į Reglamento 2016/679 5 straipsnio 1 dalies a punktą, 12 straipsnio 1 dalį ir įvairias 13 straipsnio nuostatas, nes pačiame ginčijamame sprendime pateikta tik analizė atsižvelgiant į kai kurias šias nuostatas. Nebūtų jokios prasmės nuo galutiniame sprendime atliktos bendros analizės atsieti tam tikrų specialių aspektų, nes Airijos priežiūros institucijos, kaip vadovaujančios priežiūros institucijos, iniciatyva ir atsakomybe prieš WhatsApp pradėta procedūra buvo skirta bendrai įvertinti, kaip WhatsApp laikosi skaidrumo principo. Kiek tai susiję konkrečiai su piniginių sankcijų nustatymu, Airijos priežiūros institucija visų keturių administracinių baudų dydį nustatė atsižvelgdama į visus konstatuotus pažeidimus, t. y. Reglamento 2016/679 5 straipsnio 1 dalies a punkto, 12, 13 ir 14 straipsnių pažeidimus.

61

Taigi nė viena iš šio sprendimo 51 punkte nurodytų sąlygų, kurios, jei būtų tenkinamos, leistų manyti, kad ginčijamas sprendimas yra tiesiogiai susijęs su WhatsApp, nėra įvykdyta.

62

Iš to, kas išdėstyta, matyti, kad WhatsApp ieškinys yra nepriimtinas.

63

Šios analizės rezultatas atitinka tai, kas buvo nuspręsta dėl kitų procedūrų, per kurias privalomas su įmonėmis susijęs Sąjungos teisės aktas buvo skirtas valstybei narei.

64

Štai valstybės pagalbos kontrolės srityje buvo nuspręsta, kad tuomet, kai Komisija priima sprendimą, kuriuo jau suteiktą pagalbą pripažįsta neteisėta ir nesuderinama su vidaus rinka, ir nurodo pagalbą suteikusiai valstybei narei susigrąžinti išmokėtą pagalbą, toks sprendimas yra tiesiogiai ir konkrečiai susijęs su išmokėtos pagalbos gavėjais (šiuo klausimu žr. 2000 m. spalio 19 d. Sprendimo Italija ir Sardegna Lines / Komisija, C‑15/98 ir C‑105/99, EU:C:2000:570, 33–36 punktus). Šiuo klausimu buvo pažymėta, kad nuo tokio sprendimo priėmimo momento kyla grėsmė, kad gauta pagalba bus išieškota iš jos gavėjų, ir taip daromas poveikis jų teisinei padėčiai (2011 m. birželio 9 d. Sprendimo Comitato Venezia vuole vivere ir kt. / Komisija, C‑71/09 P, C‑73/09 P ir C‑76/09 P, EU:C:2011:368, 56 punktas). Taip yra todėl, kad tuo etapu kontrolės procedūra yra baigta ir neatliekama jokio papildomo vertinimo iš esmės, nes susigrąžintinos sumos nustatomos automatiškai atsižvelgiant į Komisijos sprendimą ir į atitinkamoms įmonėms prieš tai suteiktą pagalbą, kurios susigrąžinimą turi inicijuoti ir jį tinkamai įgyvendinti pati valstybė narė, su sąlyga, kad nėra išimtinių aplinkybių (šiuo klausimu žr. 1988 m. birželio 7 d. Sprendimą Komisija / Graikija, 63/87, EU:C:1988:285, 1990 m. rugsėjo 20 d. Sprendimo Komisija / Vokietija, C‑5/89, EU:C:1990:320, 15 ir 16 punktus ir 1997 m. kovo 20 d. Sprendimą Alcan Deutschland, C‑24/95, EU:C:1997:163), o tretieji asmenys, remdamiesi Komisijos sprendimu, gali imtis priemonių administracinėje institucijoje arba nacionaliniame teisme, siekdami, kad atitinkama pagalba būtų kompensuota, ir patys neprivalo įrodyti, kad pagalba buvo skirta neteisėtai (pagal analogiją žr. 2008 m. vasario 12 d. Sprendimo CELF ir ministre de la Culture et de la Communication, C‑199/06, EU:C:2008:79, 23 ir 39–41 punktus). Nagrinėjamu atveju ginčijamas sprendimas nebuvo pasiekęs analogiško etapo, nes kontrolės procedūra nebuvo baigta priimant tą sprendimą, o papildomus vertinimus dėl to, ar WhatsApp laikosi Reglamento 2016/679 nuostatų, ir skirtiną sankciją dar turėjo patvirtinti arba pateikti vadovaujanti priežiūros institucija, o pats ginčijamas sprendimas negalėjo būti teisinis pagrindas WhatsApp įpareigojimams nustatyti.

65

Taip pat buvo nuspręsta, kad valstybei narei skirtas Komisijos sprendimas, kuriame jai nurodoma, kad Europos finansavimas tam tikrai įmonei buvo sumažintas, palyginti su numatytuoju, dėl to, kad tam tikros šios įmonės pateiktos išlaidos buvo netinkamos finansuoti, buvo tiesiogiai ir konkrečiai susijęs su ta įmone, nes dėl nagrinėjamo sprendimo ji neteko dalies jai iš pradžių suteiktos finansinės pagalbos, o valstybė narė šiuo klausimu neturi jokios diskrecijos (1992 m. birželio 4 d. Sprendimo Infortec / Komisija, C‑157/90, EU:C:1992:243, 17 punktas). Vis dėlto šiuo atveju ginčijamas sprendimas, priešingai nei Komisijos sprendimas, dėl kurio buvo atliktas toks vertinimas, nėra, kaip konstatuota šio sprendimo 52 punkte, galutinis visos aptariamos procedūros etapas ir, kaip konstatuota šio sprendimo 56 ir 57 punktuose, juo Airijos priežiūros institucijai buvo palikta diskrecijos teisė.

66

Apskritai WhatsApp ieškinio, pareikšto Bendrajame Teisme dėl ginčijamo sprendimo, nepriimtinumas atitinka ESS ir SESV nustatytos teisminių teisių gynimo priemonių sistemos logiką.

67

Kaip nurodyta ESS 2 straipsnyje, Sąjunga, be kita ko, grindžiama teisinės valstybės principo laikymusi. ESS 6 straipsnio 1 dalyje nustatyta, kad Sąjunga pripažįsta Europos Sąjungos pagrindinių teisių chartijoje išdėstytas teises, laisves ir principus, o Chartijos 47 straipsnyje užtikrinama teisė į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą. ESS 19 straipsnyje nurodyta, kad Europos Sąjungos Teisingumo Teismas užtikrina, kad aiškinant ir taikant Sutartis būtų laikomasi teisės, ir, be to, vadovaudamasis Sutartimis, priima sprendimus dėl valstybės narės, institucijos arba fizinio ar juridinio asmens pateiktų ieškinių, valstybių narių teismų prašymu – dėl Sąjungos teisės išaiškinimo arba institucijų priimtų aktų galiojimo ir kitais Sutartyse nustatytais atvejais. Tame pačiame straipsnyje nurodyta, kad valstybės narės numato teisių gynimo priemones, būtinas užtikrinant veiksmingą teisminę apsaugą Sąjungos teisei priklausančiose srityse.

68

Konkrečiau kalbant, SESV, visų pirma jos 263 straipsnyje dėl tiesioginių ieškinių Europos Sąjungos Teisingumo Teisme ir jos 267 straipsnyje dėl atvejų, kai Teisingumo Teismas priima prejudicinį sprendimą, ypač dėl Sąjungos institucijų, įstaigų ar organų priimtų aktų galiojimo ir išaiškinimo, nustatyta išsami teisių gynimo priemonių sistema, skirta Sąjungos aktų teisėtumo kontrolei užtikrinti (šiuo klausimu žr. 2002 m. liepos 25 d. Sprendimo Unión de Pequeños Agricultores / Taryba, C‑50/00 P, EU:C:2002:462, 40 punktą). Šioje sistemoje dalyvauja ir Europos Sąjungos Teisingumo Teismas, kuris apima Bendrąjį Teismą, ir nacionaliniai teismai. Pagal šią sistemą asmenys, kurie dėl SESV 263 straipsnyje numatytų priimtinumo sąlygų negali tiesiogiai ginčyti Sąjungos aktų Europos Sąjungos Teisingumo Teisme, pateikdami neteisėtumu grindžiamą prieštaravimą, turi galimybę nacionaliniame teisme remtis tokio akto negaliojimu, pareikšdami jame ieškinį dėl nacionalinių šio akto taikymo priemonių. Tokiu atveju jeigu nacionalinis teismas mano, kad norint išspręsti šį klausimą reikia teismo sprendimo, ir turi abejonių dėl šio akto galiojimo, jis turi pateikti Europos Sąjungos Teisingumo Teismui prašymą priimti prejudicinį sprendimą (pagal analogiją šiuo klausimu žr. 2002 m. liepos 25 d. Sprendimo Unión de Pequeños Agricultores / Taryba, C‑50/00 P, EU:C:2002:462, 40 punktą).

69

Šios sistemos logikos, kuria paaiškinamas visų pirma SESV 263 straipsnyje nustatytų tiesioginių ieškinių priimtinumo sąlygų interpretavimas, primintas atliekant šio sprendimo 35–62 punktuose pateiktą analizę, esmė yra ta, kad Europos Sąjungos Teisingumo Teismo ir nacionalinių teismų teisminė veikla veiksmingai papildo viena kitą ir kad Sąjungos teismas ir nacionalinis teismas lygiagrečiai nagrinėjamose bylose neturi priimti konkuruojančių sprendimų dėl to paties Sąjungos aktų galiojimo, nesvarbu – tiesiogiai ar nacionalinio teismo atveju, kai jam kyla klausimų dėl nagrinėjamo akto galiojimo – pateikiant prejudicinį klausimą. Būtent šia logika buvo galima pateisinti sprendimą, kad ieškovas, kuris neabejotinai turėjo galimybę tiesiogiai ginčyti Sąjungos sprendimą Europos Sąjungos Teisingumo Teisme, vėliau nebegali kvestionuoti to sprendimo galiojimo, be kita ko, inicijuodamas procedūrą nacionaliniame teisme (šiuo klausimu žr. 1994 m. kovo 9 d. Sprendimo TWD Textilwerke Deggendorf, C‑188/92, EU:C:1994:90, 17punktą; šiuo klausimu taip pat žr. 2011 m. birželio 9 d. Sprendimo Comitato Venezia vuole vivere ir kt. / Komisija, C‑71/09 P, C‑73/09 P ir C‑76/09 P, EU:C:2011:368, 58 punktą ir jame nurodytą jurisprudenciją). Tačiau ne kartą buvo nuspręsta, kad Sąjungos akto, kurio negalima ginčyti ir kuriuo grindžiamas kitas aktas, neteisėtumu galima remtis pareiškiant ieškinį dėl šio antrojo akto (1981 m. lapkričio 11 d. Sprendimo IBM / Komisija, 60/81, EU:C:1981:264, 12 punktas ir a contrario nuorodos į ankstesnę jurisprudenciją).

70

Šioje byloje pripažinus WhatsApp ieškinį dėl ginčijamo sprendimo priimtinu, būtų vykdomi du lygiagretūs iš esmės sutampantys teismo procesai: vienas – Bendrajame Teisme dėl ginčijamo sprendimo, kitas – Airijos teisme dėl galutinio sprendimo, kurio dalis motyvų grindžiama ginčijamu sprendimu. Be to, siekdama, kad būtų nustatytas dubliko pateikimo Bendrajam Teismui terminas, WhatsApp rėmėsi lygiagrečiai atliekamo darbo, kurio iš jos pareikalavo Airijos teisme pradėtas procesas, krūviu. Dėl šių lygiagrečių procesų netgi galėtų susiklostyti tokia situacija, kad Teisingumo Teismas prejudicinio sprendimo priėmimo tvarka, o Bendrasis Teismas – nagrinėdamas WhatsApp tiesioginį ieškinį, vienu metu turėtų priimti sprendimą dėl ginčijamo sprendimo galiojimo, nebent vienas ar kitas teismas, į kurį kreiptasi, sustabdytų jame pradėtą bylą, o tai pareikalautų daugiau laiko, būtino norint rasti galutinį sprendimo variantą dėl galutinio sprendimo teisėtumo. Atsižvelgiant į šio sprendimo 68 ir 69 punktuose nurodytą teisių gynimo priemonių sistemą ir į Reglamento 2016/679 78 straipsnio nuostatas dėl teisės imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją, prireikus būtent Airijos teismas, kuris vienintelis turi jurisdikciją šiuo klausimu, privalo patikrinti galutinio sprendimo, kuriuo galima remtis prieš WhatsApp, teisėtumą, pateikdamas Europos Sąjungos Teisingumo Teismui prejudicinį klausimą dėl ginčijamo sprendimo galiojimo vertinimo, jeigu mano, kad tai būtina siekiant priimti sprendimą dėl WhatsApp ir Airijos priežiūros institucijos ginčo. Atsižvelgdamas į tai, Airijos teismas, į kurį kreiptasi, galėtų išspręsti jam pateiktą nagrinėti ginčą, atmesdamas neteisėtumu grindžiamą prieštaravimą, kuris galėtų būti pareikštas dėl ginčijamo sprendimo, ir nesikreipti į Teisingumo Teismą, jeigu jam nekyla abejonių dėl šio sprendimo galiojimo, arba, priešingai, kreiptis į Teisingumo Teismą, jei kiltų tokių abejonių, arba išspręsti ginčą, atsižvelgdamas į jam pateiktus pagrindus, nepriklausomai nuo ginčijamo sprendimo galiojimo klausimo. Toks sprendimo variantas atitinka gero teisingumo vykdymo interesą, atsižvelgiant į šio punkto pradžioje nurodytų lygiagrečių teismo procesų keliamą riziką.

71

Galiausiai dėl šio sprendimo 33 punkte pacituotos Reglamento 2016/679 143 konstatuojamosios dalies, pagal kurią būtų galima suponuoti, kad WhatsApp ieškinys Bendrajame Teisme priimtinas, pažymėtina, kad nors reglamento konstatuojamoji dalis gali padėti suprasti, kaip aiškinti teisės normą, ji pati nėra teisės norma, o Sąjungos akto preambulė neturi privalomosios teisinės galios (žr. 2017 m. spalio 26 d. Sprendimo Marine Harvest / Komisija, T‑704/14, EU:T:2017:753, 150 punktą ir jame nurodytą jurisprudenciją; šiuo klausimu taip pat žr. 2005 m. lapkričio 24 d. Sprendimo Deutsches Milch-Kontor, C‑136/04, EU:C:2005:716, 32 punktą ir jame nurodytą jurisprudenciją). Nagrinėjamu atveju, kaip nurodyta šio sprendimo 32 ir 35 punktuose, ši konstatuojamoji dalis nepagrindžia jokios Reglamento 2016/679 nuostatos. Be to, reglamento motyvuojamojoje dalyje pateiktas paaiškinimas negali būti viršesnis už Sutartyse įtvirtintas taikytinas pirminės teisės normas, šiuo atveju SESV 263 straipsnio pirmos ir ketvirtos pastraipų nuostatas, kurių esmė, beje, iš dalies priminta toje konstatuojamojoje dalyje, kurioje nurodyta, kad „bet kuris fizinis arba juridinis asmuo turi teisę SESV 263 straipsnyje numatytomis sąlygomis Teisingumo Teisme pareikšti ieškinį dėl Valdybos sprendimų panaikinimo“.

72

Iš viso to, kas išdėstyta pirma, išplaukia, kad ieškinį reikia atmesti kaip nepriimtiną.

73

Pagal Procedūros reglamento 142 straipsnio 2 dalį pagrindinio ginčo atžvilgiu įstojimas į bylą yra papildomas ir netenka savo dalyko, kai, be kita ko, ieškinys pripažįstamas nepriimtinu.

74

Taigi nebereikia priimti sprendimo nei dėl prašymų įstoti į bylą, nei dėl prašymų užtikrinti pateiktos bylos medžiagos konfidencialumą.

75

Pagal Procedūros reglamento 134 straipsnio 1 dalį iš pralaimėjusios šalies priteisiamos bylinėjimosi išlaidos, jei laimėjusi šalis to reikalavo. Kadangi WhatsApp pralaimėjo bylą, iš jos priteisiamos bylinėjimosi išlaidos pagal EDAV pateiktus reikalavimus, išskyrus išlaidas, nurodytas šio sprendimo 76 punkte.

76

Be to, pagal Procedūros reglamento 144 straipsnio 10 dalį, jeigu procesas pagrindinėje byloje užbaigiamas prieš priimant sprendimą dėl prašymo įstoti į bylą, prašymą įstoti į bylą pateikęs asmuo ir pagrindinės bylos šalys padengia savo bylinėjimosi išlaidas, susijusias su prašymu įstoti į bylą. Nagrinėjamu atveju WhatsApp, EDAV, Suomijos Respublika, Komisija, Europos duomenų apsaugos priežiūros pareigūnas ir Computer & Communication Industry Association padengia savo bylinėjimosi išlaidas, susijusias su prašymais įstoti į bylą.

Remdamasis šiais motyvais,

BENDRASIS TEISMAS (ketvirtoji išplėstinė kolegija)

nutaria: