Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62019CJ0645

    2021 m. birželio 15 d. Teisingumo Teismo (didžioji kolegija) sprendimas.
    Facebook Ireland Limited ir kt. prieš Gegevensbeschermingsautoriteit.
    Hof van beroep te Brussel prašymas priimti prejudicinį sprendimą.
    Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Europos Sąjungos pagrindinių teisių chartija – 7, 8 ir 47 straipsniai – Reglamentas (ES) 2016/679 – Tarpvalstybinis asmens duomenų tvarkymas – Vieno langelio mechanizmas – Lojalus ir veiksmingas priežiūros institucijų bendradarbiavimas – Kompetencija ir įgaliojimai – Įgaliojimas pradėti teismo procesą.
    Byla C-645/19.

    ECLI identifier: ECLI:EU:C:2021:483

     TEISINGUMO TEISMO (didžioji kolegija) SPRENDIMAS

    2021 m. birželio 15 d. ( *1 )

    „Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Europos Sąjungos pagrindinių teisių chartija – 7, 8 ir 47 straipsniai – Reglamentas (ES) 2016/679 – Tarpvalstybinis asmens duomenų tvarkymas – Vieno langelio mechanizmas – Lojalus ir veiksmingas priežiūros institucijų bendradarbiavimas – Kompetencija ir įgaliojimai – Įgaliojimas pradėti teismo procesą“

    Byloje C‑645/19

    dėl hof van beroep te Brussel (Briuselio apeliacinis teismas, Belgija) 2019 m. gegužės 8 d. sprendimu, kurį Teisingumo Teismas gavo 2019 m. rugpjūčio 30 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

    Facebook Ireland Ltd,

    Facebook Inc.,

    Facebook Belgium BVBA

    prieš

    Gegevensbeschermingsautoriteit

    TEISINGUMO TEISMAS (didžioji kolegija),

    kurį sudaro pirmininkas K. Lenaerts, kolegijų pirmininkai R. Silva de Lapuerta, pirmininko pavaduotoja, A. Arabadjiev, A. Prechal, M. Vilaras, M. Ilešič ir N. Wahl, teisėjai E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P. G. Xuereb ir L. S. Rossi (pranešėja),

    generalinis advokatas M. Bobek,

    posėdžio sekretorė M. Ferreira, vyriausioji administratorė,

    atsižvelgęs į rašytinę proceso dalį ir įvykus 2020 m. spalio 5 d. posėdžiui,

    išnagrinėjęs pastabas, pateiktas:

    Facebook Ireland Ltd, Facebook Inc. ir Facebook Belgium BVBA, atstovaujamų advocaten S. Raes, P. Lefebvre ir D. Van Liedekerke,

    Gegevensbeschermingsautoriteit, atstovaujamos advocaten F. Debusseré ir J. Dumortier,

    Belgijos vyriausybės, atstovaujamos J.-C. Halleux, P. Cottin ir C. Pochet, padedamų advocaat P. Paepe,

    Čekijos vyriausybės, atstovaujamos M. Smolek, O. Serdula ir J. Vláčil,

    Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocato dello Stato G. Natale,

    Lenkijos vyriausybės, atstovaujamos B. Majczyna,

    Portugalijos vyriausybės, atstovaujamos L. Inez Fernandes, A. C. Guerra, P. Barros da Costa ir L. Medeiros,

    Suomijos vyriausybės, atstovaujamos A. Laine ir M. Pere,

    Europos Komisijos, atstovaujamos H. Kranenborg, D. Nardi ir P. J. O. Van Nuffel,

    susipažinęs su 2021 m. sausio 13 d. posėdyje pateikta generalinio advokato išvada,

    priima šį

    Sprendimą

    1

    Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymai OL L 127, 2018, p. 2 ir OL L 74, 2021, p. 35) 55 straipsnio 1 dalies, 56–58 ir 60–66 straipsnių, siejamų su Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 7, 8 ir 47 straipsniais, išaiškinimo.

    2

    Šis prašymas pateiktas nagrinėjant Facebook Ireland Ltd, Facebook Inc. ir Facebook Belgium BVBA ginčą su Gegevensbeschermingschermingsautoriteit (Duomenų apsaugos institucija, Belgija; toliau – DAI), kuri perėmė Commissie ter bescherming van de persoonlijke Levenssfeer (Privataus gyvenimo apsaugos komisija, Belgija, toliau – PGAK) teises ir pareigas, dėl šios institucijos pirmininko pareikšto ieškinio dėl veiksmų nutraukimo, kuriuo siekiama, kad būtų nutrauktas internautų asmens duomenų tvarkymas Belgijos teritorijoje, kurį socialinis interneto tinklas Facebook vykdo naudodamas slapukus, socialinius papildinius (social plug-ins) ir pikselius.

    Teisinis pagrindas

    Sąjungos teisė

    3

    Reglamento 2016/679 1, 4, 10, 11, 13, 22, 123, 141 ir 145 konstatuojamosiose dalyse nurodyta:

    „(1)

    fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. [Chartijos] 8 straipsnio 1 dalyje ir [SESV] 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

    <…>

    (4)

    asmens duomenys turėtų būti tvarkomi taip, kad tai pasitarnautų žmonijai. Teisė į asmens duomenų apsaugą nėra absoliuti; ji turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu. Šiuo reglamentu paisoma visų Chartijoje pripažintų ir Sutartyse įtvirtintų pagrindinių teisių ir laisvių bei principų, visų pirma teisės į privatų ir šeimos gyvenimą, būsto neliečiamybę ir komunikacijos slaptumą, teisės į asmens duomenų apsaugą, minties, sąžinės ir religijos laisvės, saviraiškos ir informacijos laisvės, laisvės užsiimti verslu, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą ir kultūrų, religijų ir kalbų įvairovės;

    <…>

    (10)

    siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo [Europos] Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <…>

    (11)

    siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti ir išsamiai nustatyti duomenų subjektų teises ir asmens duomenis tvarkančių ir jų tvarkymą nustatančių subjektų prievoles, bet ir valstybėse narėse suteikti lygiaverčius įgaliojimus stebėti ir užtikrinti asmens duomenų apsaugos taisyklių laikymąsi ir nustatyti lygiavertes sankcijas dėl pažeidimų;

    <…>

    (13)

    siekiant užtikrinti vienodo lygio fizinių asmenų apsaugą visoje Sąjungoje ir neleisti atsirasti skirtumams, kurie kliudo laisvam asmens duomenų judėjimui vidaus rinkoje, reikia priimti reglamentą, kuriuo būtų užtikrintas teisinis tikrumas ir skaidrumas ekonominės veiklos vykdytojams, įskaitant labai mažas, mažąsias ir vidutines įmones, kuriuo fiziniams asmenims visose valstybėse narėse būtų užtikrintos vienodo lygio teisiškai įgyvendinamos teisės, o duomenų valdytojams ir duomenų tvarkytojams būtų nustatytos vienodo lygio prievolės bei atsakomybė, ir kuriuo būtų užtikrinta nuosekli asmens duomenų tvarkymo stebėsena ir lygiavertės sankcijos visose valstybėse narėse, taip pat veiksmingas skirtingų valstybių narių priežiūros institucijų bendradarbiavimas. <…>

    <…>

    (22)

    bet koks asmens duomenų tvarkymas, kai asmens duomenis Sąjungoje vykdydama savo veiklą tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė, turėtų vykti pagal šį reglamentą, neatsižvelgiant į tai, ar pati tvarkymo operacija atliekama Sąjungoje. Buveinė reiškia, kad per stabilias struktūras vykdoma veiksminga ir reali veikla. Teisinė tokių struktūrų forma, neatsižvelgiant į tai, ar tai filialas ar patronuojamoji bendrovė, turinti juridinio asmens statusą [teisinį subjektiškumą], tuo požiūriu nėra lemiamas veiksnys;

    <…>

    (123)

    priežiūros institucijos turėtų stebėti, kaip taikomos nuostatos pagal šį reglamentą, ir padėti jas nuosekliai taikyti visoje Sąjungoje, kad būtų apsaugoti fiziniai asmenys tvarkant jų asmens duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui vidaus rinkoje. Šiuo tikslu priežiūros institucijos turėtų bendradarbiauti tarpusavyje ir su [Europos] Komisija, nereikalaujant, kad valstybės narės sudarytų susitarimą dėl savitarpio pagalbos teikimo arba dėl tokio bendradarbiavimo;

    <…>

    (141)

    kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą vienai priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo įprastinė gyvenamoji vieta, ir turėti teisę į veiksmingą teisminę teisių gynimo priemonę pagal Chartijos 47 straipsnį, jeigu duomenų subjektas mano, kad jo teisės pagal šį reglamentą yra pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti. <…>

    <…>

    (145)

    ieškinio duomenų valdytojui arba duomenų tvarkytojui atveju ieškovas turėtų turėti galimybę jį pareikšti valstybės narės, kurioje duomenų valdytojas arba duomenų tvarkytojas turi buveinę arba kurioje duomenų subjektas gyvena, teismuose, nebent duomenų valdytojas yra valstybės narės valdžios institucija, vykdanti savo viešuosius įgaliojimus.“

    4

    Šio reglamento 3 straipsnio „Teritorinė taikymo sritis“ 1 dalyje numatyta:

    „Šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis <…> tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė [Sąjungoje], vykdydama savo veiklą, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje, ar ne.“

    5

    Sąvokos „pagrindinė buveinė“ ir „tarpvalstybinis duomenų tvarkymas“ atitinkamai apibrėžtos minėto reglamento 4 straipsnio 16 ir 23 punktuose:

    „16) pagrindinė buveinė –

    a)

    duomenų valdytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje ir ta buveinė turi įgaliojimus nurodyti, kad tokie sprendimai būtų įgyvendinti; tokiu atveju tokius sprendimus priėmusi buveinė laikoma pagrindine buveine;

    b)

    duomenų tvarkytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, arba jeigu duomenų tvarkytojas neturi centrinės administracijos Sąjungoje – duomenų tvarkytojo buveinė Sąjungoje, kurioje vykdoma pagrindinė duomenų tvarkymo veikla, kai duomenų tvarkytojo buveinė vykdydama savo veiklą tvarko duomenis tiek, kiek duomenų tvarkytojui taikomos konkrečios prievolės pagal šį reglamentą;

    <…>

    23) tarpvalstybinis duomenų tvarkymas –

    a)

    asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo buveinės daugiau kaip vienoje valstybėje narėje, ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje; arba

    b)

    asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo vienintelė buveinė, kuris daro arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje.“

    6

    Šio reglamento 51 straipsnyje „Priežiūros institucija“ numatyta:

    „1.   Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje <…>.

    2.   Kiekviena priežiūros institucija prisideda prie nuoseklaus šio reglamento taikymo visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija vadovaudamosi VII skyriumi.

    <…>“

    7

    Reglamento 2016/679 55 straipsnio „Kompetencija“, esančio jo VI skyriuje „Nepriklausomos priežiūros institucijos“, nustatyta:

    „1.   Kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis pagal šį reglamentą jai suteiktais įgaliojimais.

    2.   Jeigu duomenis tvarko valdžios institucijos arba privačios įstaigos, veikiančios pagal 6 straipsnio 1 dalies c arba e punktą, kompetenciją turi atitinkamos valstybės narės priežiūros institucija. Tokiais atvejais 56 straipsnis netaikomas.“

    8

    Minėto reglamento 56 straipsnyje „Vadovaujančios priežiūros institucijos kompetencija“ nurodyta:

    „1.   Nedarant poveikio 55 straipsniui, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą, vadovaujantis 60 straipsnyje nustatyta procedūra.

    2.   Nukrypstant nuo 1 dalies, kiekviena priežiūros institucija turi kompetenciją nagrinėti jai pateiktą skundą arba galimą šio reglamento pažeidimą, jeigu dalykas yra susijęs tik su buveine jos valstybėje narėje arba daro didelį poveikį duomenų subjektams tik jos valstybėje narėje.

    3.   Šio straipsnio 2 dalyje nurodytais atvejais priežiūros institucija tuo klausimu nedelsdama informuoja vadovaujančią priežiūros instituciją. Per tris savaites nuo informacijos gavimo vadovaujanti priežiūros institucija nusprendžia, ar ji nagrinės šį atvejį vadovaudamasi 60 straipsnyje numatyta procedūra, ar ne, atsižvelgdama į tai, ar ją informavusios priežiūros institucijos valstybėje narėje yra duomenų valdytojo arba duomenų tvarkytojo buveinė.

    4.   Tuo atveju, jei vadovaujanti priežiūros institucija nusprendžia atvejį nagrinėti, taikoma 60 straipsnyje numatyta procedūra. Vadovaujančią priežiūros instituciją informavusi priežiūros institucija gali vadovaujančiai priežiūros institucijai pateikti sprendimo projektą. Rengdama 60 straipsnio 3 dalyje nurodytą sprendimo projektą vadovaujanti priežiūros institucija kuo labiau atsižvelgia į pirmiau minėtą projektą.

    5.   Tuo atveju, jei vadovaujanti priežiūros institucija nusprendžia šio atvejo nenagrinėti, vadovaujančią priežiūros instituciją informavusi priežiūros institucija atvejį nagrinėja vadovaudamasi 61 ir 62 straipsniais.

    6.   Vadovaujanti priežiūros institucija yra vienintelė institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas palaiko ryšius, kai jie vykdo tarpvalstybinį duomenų tvarkymą.“

    9

    Reglamento 2016/679 57 straipsnio „Užduotys“ 1 dalyje numatyta:

    „Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:

    a)

    stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;

    <…>

    g)

    bendradarbiauja su kitomis priežiūros institucijomis, be kita ko, dalijasi informacija ir teikia joms savitarpio pagalbą siekiant užtikrinti, kad šis reglamentas būtų taikomas ir vykdomas nuosekliai;

    <…>“

    10

    Šio reglamento 58 straipsnio „Įgaliojimai“ 1, 4 ir 5 dalyse numatyta:

    „1.   Kiekviena priežiūros institucija turi visus šiuos tyrimo įgaliojamus:

    a)

    nurodyti duomenų valdytojui ir duomenų tvarkytojui ir, kai taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovui pateikti visą jos užduotims atlikti reikalingą informaciją;

    <…>

    d)

    pranešti duomenų valdytojui arba duomenų tvarkytojui apie įtariamą šio reglamento pažeidimą;

    <…>

    4.   Naudojimuisi pagal šį straipsnį priežiūros institucijai suteiktais įgaliojimais taikomos atitinkamos apsaugos priemonės, įskaitant veiksmingą apskundimą teismine tvarka ir tinkamą procesą, kaip nustatyta Sąjungos ir valstybės narės teisėje, laikantis Chartijos.

    5.   Kiekviena valstybė narė teisės aktais nustato, kad jos priežiūros institucija turi įgaliojimus atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą arba kitaip dalyvauti teismo procese siekiant užtikrinti šio reglamento nuostatų vykdymą.“

    11

    Reglamento 2016/679 VII skyriaus „Bendradarbiavimas ir nuoseklumas“ I skirsnyje „Bendradarbiavimas“ yra 60–62 straipsniai. 60 straipsnyje „Vadovaujančios priežiūros institucijos ir kitų susijusių priežiūros institucijų bendradarbiavimas“ nustatyta:

    „1.   Vadovaujanti priežiūros institucija pagal šį straipsnį bendradarbiauja su kitomis susijusiomis priežiūros institucijomis stengdamasi rasti konsensusą. Vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tarpusavyje keičiasi visa atitinkama informacija.

    2.   Vadovaujanti priežiūros institucija bet kuriuo metu gali paprašyti kitų susijusių priežiūros institucijų teikti savitarpio pagalbą pagal 61 straipsnį ir gali vykdyti bendras operacijas pagal 62 straipsnį, visų pirma atliekant tyrimus arba stebint su kitoje valstybėje narėje įsisteigusiu duomenų valdytoju ar duomenų tvarkytoju susijusios priemonės įgyvendinimą.

    3.   Vadovaujanti priežiūros institucija nedelsdama perduoda atitinkamą informaciją šiuo klausimu kitoms susijusioms priežiūros institucijoms. Ji nedelsdama pateikia sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę, ir deramai atsižvelgia į jų nuomones.

    4.   Jeigu bet kuri iš kitų susijusių priežiūros institucijų per keturias savaites nuo tada, kai su ja pagal šio straipsnio 3 dalį buvo konsultuotasi, pareiškia tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto, vadovaujanti priežiūros institucija, jeigu ji neatsižvelgia į susijusį [tinkamą] ir pagrįstą prieštaravimą arba laikosi nuomonės, kad prieštaravimas nėra tinkamas ar pagrįstas, pateikia klausimą spręsti pagal 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

    5.   Jeigu vadovaujanti priežiūros institucija ketina atsižvelgti į pareikštą susijusį [tinkamą] ir pagrįstą prieštaravimą, ji pateikia kitoms susijusioms priežiūros institucijoms peržiūrėtą sprendimo projektą, kad jos pateiktų savo nuomonę. Tam peržiūrėtam sprendimo projektui per dviejų savaičių laikotarpį taikoma 4 dalyje nurodyta procedūra.

    6.   Jeigu per 4 ir 5 dalyse nurodytą laikotarpį jokia kita susijusi priežiūros institucija nepareiškė prieštaravimo vadovaujančios priežiūros institucijos pateiktam sprendimo projektui, laikoma, kad vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tam sprendimo projektui pritaria ir jis joms yra privalomas.

    7.   Vadovaujanti priežiūros institucija priima sprendimą ir praneša jį atitinkamai duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei ir informuoja kitas susijusias priežiūros institucijas bei [Europos duomenų apsaugos valdybą] apie atitinkamą sprendimą, be kita ko, pateikdama atitinkamų faktų ir priežasčių santrauką. Priežiūros institucija, kuriai buvo pateiktas skundas, apie sprendimą informuoja skundo pateikėją.

    8.   Nukrypstant nuo 7 dalies, jeigu skundas nepriimamas arba atmetamas, priežiūros institucija, kuriai skundas buvo pateiktas, priima sprendimą, praneša jį skundo pateikėjui ir informuoja apie tai duomenų valdytoją.

    9.   Jeigu vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos sutinka, kad tam tikros skundo dalys turi būti nepriimtos arba atmestos, o dėl kitų to skundo dalių reikia imtis veiksmų, dėl kiekvienos iš tų skundo dalių priimami atskiri sprendimai. <…>

    10.   Duomenų valdytojas arba duomenų tvarkytojas, pagal 7 ir 9 dalis gavęs pranešimą apie vadovaujančios priežiūros institucijos sprendimą, imasi būtinų priemonių, kad užtikrintų sprendimo laikymąsi vykdant duomenų tvarkymo veiklą visose Sąjungoje esančiose jo buveinėse. Duomenų valdytojas arba duomenų tvarkytojas praneša vadovaujančiai priežiūros institucijai apie priemones, kurių imtasi, kad būtų laikomasi sprendimo, o ši institucija informuoja kitas susijusias priežiūros institucijas.

    11.   Tais atvejais, kai, išimtinėmis aplinkybėmis, susijusi priežiūros institucija turi priežasčių manyti, kad reikia skubiai imtis veiksmų duomenų subjektų interesams apsaugoti, taikoma 66 straipsnyje nurodyta skubos procedūra.

    <…>“

    12

    Šio reglamento 61 straipsnio „Savitarpio pagalba“ 1 dalyje nustatyta:

    „Priežiūros institucijos teikia viena kitai reikšmingą informaciją ir savitarpio pagalbą, kad šis reglamentas būtų įgyvendintas ir taikomas nuosekliai, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma yra susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais suteikti išankstinius leidimus ir vykdyti [išankstines] konsultacijas, patikrinimus ir tyrimus.“

    13

    To paties reglamento 62 straipsnyje „Priežiūros institucijų bendros operacijos“ numatyta:

    „1.   Priežiūros institucijos tam tikrais atvejais vykdo bendras operacijas, įskaitant bendrus tyrimus ir bendras vykdymo užtikrinimo priemones, kuriose dalyvauja kitų valstybių narių priežiūros institucijų nariai arba darbuotojai.

    2.   Kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba kai duomenų tvarkymo operacijomis gali būti daromas didelis poveikis daugeliui duomenų subjektų daugiau nei vienoje valstybėje narėje, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti vykdant bendras operacijas. <…>

    <…>“

    14

    Reglamento 2016/679 VII skyriaus 2 skirsnyje „Nuoseklumas“ yra 63–67 straipsniai. 63 straipsnis „Nuoseklumo užtikrinimo mechanizmas“ suformuluotas taip:

    „Siekdamos padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, priežiūros institucijos bendradarbiauja tarpusavyje ir tam tikrais atvejais su Komisija pagal šiame skirsnyje nustatytą nuoseklumo užtikrinimo mechanizmą.“

    15

    Šio reglamento 64 straipsnio 2 dalyje nustatyta:

    „Bet kuri priežiūros institucija, [Europos duomenų apsaugos valdybos] pirmininkas arba Komisija gali prašyti, kad [Europos duomenų apsaugos valdyba] išnagrinėtų bet kurį bendro pobūdžio klausimą arba klausimą, kuris daro poveikį daugiau nei vienoje valstybėje narėje, ir kad ji pateiktų nuomonę, visų pirma tais atvejais, kai kompetentinga priežiūros institucija nesilaiko su savitarpio pagalba susijusių prievolių pagal 61 straipsnį arba su bendromis operacijomis susijusių prievolių pagal 62 straipsnį.“

    16

    Minėto reglamento 65 straipsnio „Europos duomenų apsaugos valdybos sprendžiami ginčai“ 1 dalyje numatyta:

    „Siekiant užtikrinti tinkamą ir nuoseklų šio reglamento taikymą atskirais atvejais, [Europos duomenų apsaugos valdyba] priima privalomą sprendimą šiais atvejais:

    a)

    60 straipsnio 4 dalyje nurodytu atveju, susijusi priežiūros institucija yra pareiškusi tinkamą ir pagrįstą prieštaravimą vadovaujančios priežiūros institucijos sprendimo projektui ir vadovaujanti priežiūros institucija nesilaikė [nepalaikė] tokio prieštaravimo ar jį atmetė kaip netinkamą arba nepagrįstą. Privalomas sprendimas turi būti susijęs su visais klausimais, dėl kurių pateiktas tinkamas ir pagrįstas prieštaravimas, visų pirma dėl to, ar pažeidžiamas šis reglamentas;

    b)

    jeigu esama prieštaringų nuomonių dėl to, kuri iš susijusių priežiūros institucijų yra kompetentinga pagrindinės buveinės atžvilgiu;

    <…>“

    17

    Reglamento 2016/679 66 straipsnio „Skubos procedūra“ 1 ir 2 dalyse nustatyta:

    „1.   Išimtinėmis aplinkybėmis, jeigu susijusi priežiūros institucija mano, jog būtina imtis skubių veiksmų, kad būtų apsaugotos duomenų subjektų teisės ir laisvės, ji, nukrypdama nuo 63, 64 ir 65 straipsnyje nurodyto nuoseklumo užtikrinimo mechanizmo arba 60 straipsnyje nurodytos procedūros, gali nedelsdama priimti konkretų ne ilgiau kaip tris mėnesius trunkantį laikotarpį galiojančias laikinąsias priemones, galinčias turėti teisinių padarinių jos pačios valstybės narės teritorijoje. Priežiūros institucija tas priemones ir jų patvirtinimo priežastis nedelsdama pateikia kitoms susijusioms priežiūros institucijoms, [Europos duomenų apsaugos valdybai] ir Komisijai.

    2.   Jeigu priežiūros institucija ėmėsi priemonės pagal 1 dalį ir mano, kad būtina skubiai patvirtinti galutines priemones, ji gali prašyti, kad [Europos duomenų apsaugos valdyba] skubiai pateiktų nuomonę arba skubiai priimtų privalomą sprendimą, nurodydama prašymo pateikti tokią nuomonę ar priimti tokį sprendimą priežastis.“

    18

    Minėto reglamento 77 straipsnyje „Teisė pateikti skundą priežiūros institucijai“ numatyta:

    „1.   Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.

    2.   Priežiūros institucija, kuriai pateiktas skundas, informuoja skundo pateikėją apie skundo nagrinėjimo pažangą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 78 straipsnį.“

    19

    To paties reglamento 78 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją“ nurodyta:

    „1.   Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.

    2.   Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu priežiūros institucija, kuri yra kompetentinga pagal 55 straipsnį ir 56 straipsnius, skundo nenagrinėja arba per tris mėnesius nepraneša duomenų subjektui apie pagal 77 straipsnį pateikto skundo nagrinėjimo pažangą arba rezultatus.

    3.   Byla priežiūros institucijai keliama valstybės narės, kurioje priežiūros institucija yra įsisteigusi, teismuose.

    4.   Kai byla iškelta dėl priežiūros institucijos sprendimo, kuris buvo priimtas po to, kai [Europos duomenų apsaugos valdyba] pateikė nuomonę ar priėmė sprendimą pagal nuoseklumo užtikrinimo mechanizmą, priežiūros institucija perduoda teismui tą nuomonę ar sprendimą.“

    20

    Šio reglamento 79 straipsnyje „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją“ nurodyta:

    „1.   Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.

    2.   Byla duomenų valdytojui arba duomenų tvarkytojui keliama valstybės narės, kurioje yra duomenų valdytojo arba duomenų tvarkytojo buveinė, teismuose. Kitu atveju tokia byla gali būti keliama valstybės narės, kurioje yra nuolatinė duomenų subjekto gyvenamoji vieta, teismuose, išskyrus atvejus, kai duomenų valdytojas arba duomenų tvarkytojas yra valstybės narės valdžios institucija, vykdanti savo viešuosius įgaliojimus.“

    Belgijos teisė

    21

    1992 m. gruodžio 8 d.Wet van tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Įstatymas dėl privatumo apsaugos tvarkant asmens duomenis, Belgisch Staatsblad, 1993 m. kovo 18 d., p. 5801), iš dalies pakeistu 1998 m. gruodžio 11 d. įstatymu (Belgisch Staatsblad, 1999 m. vasario 3 d., p. 3049, toliau – 1992 m. gruodžio 8 d. įstatymas), į Belgijos teisę buvo perkelta 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk.., 15 t., p. 355).

    22

    1992 m. gruodžio 8 d. Įstatymu buvo įsteigta PGAK – nepriklausoma institucija, kurios užduotis – užtikrinti, kad asmens duomenys būtų tvarkomi pagal šį įstatymą saugant privatų piliečių gyvenimą.

    23

    1992 m. gruodžio 8 d. įstatymo 32 straipsnio 3 dalyje buvo nustatyta:

    „Nedarant poveikio bendrosios kompetencijos teismų kompetencijai taikyti bendruosius principus privatumo apsaugos srityje, [PGAK] pirmininkas gali kreiptis į pirmosios instancijos teismą dėl bet kokio ginčo dėl šio įstatymo ir jo įgyvendinimo priemonių taikymo.“

    24

    2017 m. gruodžio 3 d.Wet tot oprichting van de Gegevensbeschermingsautoriteit (Įstatymas dėl duomenų apsaugos institucijos įsteigimo, Belgisch Staatsblad, 2018 m. sausio 10 d., p. 989, toliau – 2017 m. gruodžio 3 d. įstatymas), įsigaliojusiu 2018 m. gegužės 25 d., buvo įsteigta DAI – priežiūros institucija, kaip tai suprantama pagal Reglamentą 2016/679.

    25

    2017 m. gruodžio 3 d. įstatymo 3 straipsnyje numatyta:

    „Prie Atstovų Rūmų įsteigiama „Duomenų apsaugos institucija“. Ji perima [PGAK] teises ir pareigas.“

    26

    2017 m. gruodžio 3 d. įstatymo 6 straipsnyje nurodyta:

    „[DAI] yra įgaliota atkreipti teisminių institucijų dėmesį dėl bet kokio asmens duomenų apsaugą reglamentuojančių pagrindinių principų pažeidimo pagal šį įstatymą ir įstatymus, kuriuose įtvirtintos nuostatos dėl asmens duomenų tvarkymo apsaugos, ir atitinkamais atvejais pradėti teismo procesą, kad šie pagrindiniai principai būtų taikomi.“

    27

    Nėra jokių specialiųjų nuostatų, kuriuos reglamentuotų PGAK pirmininko iki 2018 m. gegužės 25 d. pagal 1992 m. gruodžio 8 d. įstatymo 32 straipsnio 3 dalį pradėtas teismines procedūras. Tik dėl pačiai DAI pateiktų skundų ar prašymų 2017 m. gruodžio 3 d. įstatymo 112 straipsnyje nurodyta:

    „VI skyrius netaikomas šio įstatymo įsigaliojimo momentu [DAI] dar nagrinėjamiems skundams ar prašymams. Pirmoje pastraipoje nurodytus skundus ar prašymus [DAI] tvarko kaip [PGAK] teisių ir pareigų perėmėja pagal procedūrą, taikytą iki šio įstatymo įsigaliojimo.“

    28

    1992 m. gruodžio 8 d. įstatymas buvo panaikintas 2018 m. liepos 30 d.Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Įstatymas dėl fizinių asmenų apsaugos tvarkant asmens duomenis; Belgisch Staatsblad, 2018 m. rugsėjo 5 d., p. 68616, toliau – 2018 m. liepos 30 d. įstatymas). Šiuo įstatymu siekiama Belgijos teisėje įgyvendinti Reglamento 2016/679 nuostatas, įpareigojančias ar leidžiančias valstybėms narėms priimti išsamesnes šį reglamentą papildančias normas.

    Pagrindinė byla ir prejudiciniai klausimai

    29

    2015 m. rugsėjo 11 d. PGAK pirmininkas Nederlandstalige rechtbank van eerste aanleg Brussel (nyderlandų kalba bylas nagrinėjantis Briuselio pirmosios instancijos teismas, Belgija) pareiškė ieškinį Facebook Ireland, Facebook Inc. ir Facebook Belgium dėl veiksmų nutraukimo. Kadangi PGAK neturi teisinio subjektiškumo, jos pirmininkas turėjo pareikšti ieškinius, kad užtikrintų asmens duomenų apsaugą reglamentuojančių teisės aktų laikymąsi. Vis dėlto pati PGAK paprašė leisti jai savanoriškai įstoti į jos pirmininko inicijuotą procesą.

    30

    Šiuo ieškiniu dėl veiksmų nutraukimo siekta nutraukti tai, ką PGAK apibūdina visų pirma kaip „Facebook padarytą šiurkštų ir didelio masto privataus gyvenimo apsaugą reglamentuojančių įstatymų pažeidimą“, kuris pasireiškė tuo, kad šis socialinis interneto tinklas rinko informaciją ir apie Facebook paskyros turėtojų, ir Facebook paslaugomis nesinaudojančių asmenų naršymo elgesį, naudodamas įvairias technologijas, kaip antai slapukus, socialinius papildinius (pavyzdžiui, mygtukus „Patinka“ arba „Bendrinti“) arba pikselius. Šie elementai leidžia atitinkamam socialiniam tinklui gauti tam tikrus interneto svetainėje, kurioje jie įdiegti, besilankančio internauto duomenis, pavyzdžiui, šios svetainės adresą, jos lankytojo „IP adresą“ ir konkretaus apsilankymo datą ir valandą.

    31

    2018 m. vasario 16 d. sprendimu Nederlandstalige rechtbank van eerste aanleg Brussel (nyderlandų kalba bylas nagrinėjantis Briuselio pirmosios instancijos teismas) pripažino savo jurisdikciją nagrinėti minėtą ieškinį dėl veiksmų nutraukimo tiek, kiek jis pareikštas Facebook Ireland, Facebook Inc. ir Facebook Belgium, bet nepriimtinu laikė PGAK pateiktą prašymą savanoriškai įstoti į bylą.

    32

    Dėl bylos esmės šis teismas nusprendė, kad šis socialinis tinklas nepakankamai informuodavo Belgijos internautus apie atitinkamos informacijos rinkimą ir jos panaudojimą. Be to, internautų sutikimas dėl minėtos informacijos rinkimo ir tvarkymo buvo pripažintas negaliojančiu. Todėl jis įpareigojo Facebook Ireland, Facebook Inc. ir Facebook Belgium, pirma, visiems Belgijos teritorijoje įsikūrusiems internautams be jų sutikimo nebediegti slapukų, kurie išlieka aktyvūs dvejus metus įrenginyje, naudojamame, kai lankomasi interneto domeno Facebook.com vardą turinčioje arba trečiųjų asmenų interneto svetainėje, taip pat socialinio tinklo Facebook siekiamiems tikslams neproporcingu mastu nebediegti slapukų ir neberinkti duomenų naudojant socialinius papildinius, pikselius ar panašias technologijas trečiųjų asmenų interneto svetainėse, antra, nebeteikti informacijos, kuri pagrįstai galėtų suklaidinti duomenų subjektus dėl tikrosios mechanizmų, kuriuos šis socialinis tinklas parengė slapukų naudojimui, aprėpties, ir, trečia, sunaikinti visus asmens duomenis, gautus naudojant slapukus ir socialinius papildinius.

    33

    2018 m. kovo 2 d.Facebook Ireland, Facebook Inc. ir Facebook Belgium apskundė šį sprendimą Hof van beroep te Brussel (Briuselio apeliacinis teismas, Belgija). Tame teisme vykstančiame procese DAI dalyvauja kaip PGAK pirmininko, kuris pareiškė ieškinį dėl veiksmų nutraukimo, ir pačios CPVP teisių ir pareigų perėmėja.

    34

    Prašymą priimti prejudicinį sprendimą pateikęs teismas pripažino turįs jurisdikciją priimti sprendimą dėl apeliacinio skundo tik tiek, kiek jis susijęs su Facebook Belgium. Savo ruožtu jis pripažino neturįs jurisdikcijos nagrinėti šio apeliacinio skundo dėl Facebook Ireland ir Facebook Inc.

    35

    Prieš priimant sprendimą dėl pagrindinės bylos esmės prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar DAI turi teisę ir suinteresuotumą pareikšti ieškinį, kaip to reikalaujama. Anot Facebook Belgium, ieškinys dėl veiksmų nutraukimo yra nepriimtinas, kiek apima aplinkybes, susiklosčiusias iki 2018 m. gegužės 25 d., nes, įsigaliojus 2017 m. gruodžio 3 d. įstatymui ir Reglamentui 2016/679, buvo panaikinta 1992 m. gruodžio 8 d. įstatymo 32 straipsnio 3 dalis, kuri buvo tokio ieškinio teisinis pagrindas. Dėl faktinių aplinkybių, susiklosčiusių po 2018 m. gegužės 25 d., Facebook Belgium teigia, kad DAI neturi kompetencijos ir teisės pareikšti šį ieškinį, atsižvelgiant į „vieno langelio“ mechanizmą, kuris nuo šiol numatytas Reglamento 2016/679 nuostatose. Pagal šias nuostatas tik Data Protection Commissioner (Duomenų apsaugos komisaras, Airija) turi kompetenciją pareikšti Facebook Ireland, kuris yra vienintelis nagrinėjamo socialinio tinklo naudotojų asmens duomenų valdytojas Sąjungoje, ieškinį dėl veiksmų nutraukimo.

    36

    Prašymą priimti prejudicinį sprendimą pateikęs teismas nusprendė, kad DAI nepagrindė savo suinteresuotumo kreiptis į teismą, kurio reikalaujama norint pareikšti ieškinį dėl veiksmų nutraukimo, kiek jis apima faktines aplinkybes, susiklosčiusias iki 2018 m. gegužės 25 d. Kiek tai susiję su faktinėmis aplinkybėmis, susiklosčiusiomis po šios datos, prašymą priimti prejudicinį sprendimą pateikusiam teismui vis dėlto kyla abejonių dėl Reglamento 2016/679 įsigaliojimo poveikio, ypač šiame reglamente numatyto „vieno langelio“ mechanizmo taikymo, DAI kompetencijai ir jos įgaliojimui pareikšti tokį ieškinį dėl veiksmų nutraukimo.

    37

    Anot prašymą priimti prejudicinį sprendimą pateikusio teismo, visų pirma dabar kyla klausimas, ar, kiek tai susiję su faktinėmis aplinkybėmis, susiklosčiusiomis po 2018 m. gegužės 25 d., DAI gali pareikšti ieškinį Facebook Belgium, nors Facebook Ireland buvo pripažinta atitinkamų duomenų valdytoju. Vadovaujantis „vieno langelio“ principu, nuo šios datos pagal Reglamento 2016/679 56 straipsnį kompetenciją turi tikriausiai tik duomenų apsaugos komisaras, kuriam taikoma tik Airijos teismų kontrolė.

    38

    Prašymą priimti prejudicinį sprendimą pateikęs teismas primena, kad 2018 m. birželio 5 d. Sprendime Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388) Teisingumo Teismas nusprendė, kad „Vokietijos priežiūros institucija“ buvo kompetentinga priimti sprendimą dėl ginčo dėl asmens duomenų apsaugos, nors atitinkamo duomenų valdytojo buveinė buvo Airijoje, o jo patronuojamoji bendrovė, turinti buveinę Vokietijoje, t. y. Facebook Germany GmbH, užsiėmė tik reklamai skirtų vietų pardavimu ir kita rinkodaros veikla Vokietijos teritorijoje.

    39

    Vis dėlto byloje, kurioje priimtas tas sprendimas, Teisingumo Teismui buvo pateiktas prašymas priimti prejudicinį sprendimą dėl Direktyvos 95/46, kuri buvo panaikinta Reglamentu 2016/679, nuostatų išaiškinimo. Prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, kiek tame pačiame sprendime Teisingumo Teismo pateiktas išaiškinimas vis dar reikšmingas, kalbant apie Reglamento 2016/679 taikymą.

    40

    Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat nurodo 2019 m. vasario 6 d.Bundeskartellamt (Federalinė konkurencijos tarnyba, Vokietija) sprendimą (vadinamasis Facebook sprendimas), kuriame ji iš esmės nusprendė, kad atitinkama įmonė piktnaudžiavo savo padėtimi, sutelkdama duomenis iš įvairių šaltinių, o nuo šiol tai turėtų būti įmanoma padaryti tik gavus aiškų naudotojų sutikimą, turint omenyje tai, kad su tuo nesutinkančiam naudotojui negali būti užkirsta prieiga prie Facebook paslaugų. Kaip pažymi prašymą priimti prejudicinį sprendimą pateikęs teismas, akivaizdu, kad minėta konkurencijos tarnyba manė turinti kompetenciją, nepaisant „vieno langelio“ mechanizmo.

    41

    Be to, prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad 2017 m. gruodžio 3 d. įstatymo 6 straipsnis, pagal kurį iš principo leidžiama DAI prireikus pradėti teismo procesą, nereiškia, kad ji bet kokiomis aplinkybėmis gali pareikšti ieškinį Belgijos teismuose, nes pagal „vieno langelio“ mechanizmą tikriausiai reikalaujama, kad toks ieškinys būtų pareikštas vietos, kurioje tvarkomi duomenys, teisme.

    42

    Tokiomis aplinkybėmis Hof van beroep te Brussel (Briuselio apeliacinis teismas) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui tokius prejudicinius klausimus:

    „1.

    Ar [Reglamento 2016/679] 55 straipsnio 1 dalis, 56–58 straipsniai ir 60–66 straipsniai, kartu su [Chartijos] 7, 8 ir 47 straipsniais, turi būti aiškinami taip, kad priežiūros institucija, turinti kompetenciją pagal nacionalinės teisės aktus, priimtus siekiant įgyvendinti šio reglamento 58 straipsnio 5 dalį, pareikšti ieškinį savo valstybės narės teisme dėl šio reglamento pažeidimų, negali šia kompetencija pasinaudoti tuo atveju, kai yra vykdomas tarpvalstybinis duomenų tvarkymas, jeigu ji nėra šio tarpvalstybinio duomenų tvarkymo vadovaujanti priežiūros institucija?

    2.

    Ar turi reikšmės tai, kad duomenų valdytojas, vykdantis tarpvalstybinį duomenų tvarkymą, neturi pagrindinės buveinės toje valstybėje narėje, tačiau turi kitą buveinę?

    3.

    Ar turi reikšmės tai, ar nacionalinė priežiūros institucija pareiškia ieškinį duomenų valdytojo, vykdančio tą patį tarpvalstybinį duomenų tvarkymą, pagrindinei buveinei, o ne buveinei savo valstybėje narėje?

    4.

    Ar turi reikšmės tai, kad nacionalinė priežiūros institucija pareiškė ieškinį iki [Reglamento 2016/679] taikymo pradžios (2018 m. gegužės 25 d.)?

    5.

    Jei į pirmąjį klausimą būtų atsakyta teigiamai: ar [Reglamento 2016/679] 58 straipsnio 5 dalis veikia tiesiogiai, todėl nacionalinė priežiūros institucija gali remtis šia nuostata, kad galėtų inicijuoti arba tęsti teisminę procedūrą prieš asmenis, net jei šio Reglamento 2016/679 58 straipsnio 5 dalis konkrečiai nebuvo perkelta į nacionalinę teisę, nors toks įpareigojimas yra nustatytas?

    6.

    Jei į ankstesnius klausimus būtų atsakyta teigiamai, ar tokių procedūrų rezultatas gali prieštarauti vadovaujančios priežiūros institucijos priešingam sprendimui, jei vadovaujanti priežiūros institucija tiria tas pačias ar panašias tarpvalstybinio duomenų tvarkymo operacijas pagal mechanizmą, įtvirtintą [Reglamento 2016/679] 56 ir 60 straipsniuose?“

    Dėl prejudicinių klausimų

    Dėl pirmojo klausimo

    43

    Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Reglamento 2016/679 55 straipsnio 1 dalis, 56–58 straipsniai ir 60–66 straipsniai, siejami su Chartijos 7, 8 ir 47 straipsniais, turi būti aiškinami taip, kad valstybės narės priežiūros institucija, kuri pagal nacionalinės teisės aktus, priimtus siekiant įgyvendinti šio reglamento 58 straipsnio 5 dalį, yra įgaliota atkreipti savo valstybės narės teismo dėmesį į tariamus minėto reglamento pažeidimus, o prireikus pradėti teismo procesą, gali naudotis šiuo įgaliojimu tarpvalstybinio duomenų tvarkymo atveju, nors nėra „vadovaujanti priežiūros institucija“, kaip tai suprantama pagal šio reglamento 56 straipsnio 1 dalį, kai vykdomas toks duomenų tvarkymas.

    44

    Šiuo klausimu pirmiausia primintina, kad, skirtingai nei Direktyva 95/46, kuri buvo priimta remiantis EB sutarties 100a straipsniu, skirtu bendrajai rinkai suderinti, Reglamento 2016/679 teisinis pagrindas yra SESV 16 straipsnis, kuriame įtvirtinta kiekvieno asmens teisė į asmens duomenų apsaugą ir pagal kurį Europos Parlamentui ir Europos Sąjungos Tarybai leidžiama nustatyti fizinių asmenų apsaugos Sąjungos institucijoms, įstaigoms ir organams bei valstybėms narėms tvarkant jų asmens duomenis, kai vykdoma veikla yra susijusi su Sąjungos teisės taikymo sritimi, taisykles ir laisvo tokių duomenų judėjimo taisykles. Šio reglamento 1 konstatuojamojoje dalyje nurodyta, kad „fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė“, ir primenama, kad Chartijos 8 straipsnio 1 dalyje ir SESV 16 straipsnio 1 dalyje numatyta kiekvieno asmens teisė į savo asmens duomenų apsaugą.

    45

    Taigi, kaip matyti iš Reglamento 2016/679 1 straipsnio 2 dalies, siejamos su jo 10, 11 ir 13 konstatuojamosiomis dalimis, jame Sąjungos institucijoms, įstaigoms ir organams bei kompetentingoms valstybių narių institucijoms nustatyta užduotis užtikrinti aukštą SESV 16 straipsnyje ir Chartijos 8 straipsnyje garantuojamų teisių apsaugos lygį.

    46

    Be to, kaip nurodyta šio reglamento 4 konstatuojamojoje dalyje, jame paisoma visų pagrindinių teisių ir laikomasi Chartijoje pripažintų laisvių ir principų.

    47

    Atsižvelgiant į tai, Reglamento 2016/679 55 straipsnio 1 dalyje įtvirtinta principinė kiekvienos priežiūros institucijos kompetencija vykdyti pagal šį reglamentą pavestas užduotis ir naudotis suteiktais įgaliojimais savo valstybės narės teritorijoje (šiuo klausimu žr. 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 147 punktą).

    48

    Prie šioms institucijoms pavestų užduočių, prie kurių priskiriama, be kita ko, Reglamento 2016/679 taikymo kontrolė ir jo laikymosi priežiūra, kaip numatyta šio reglamento 57 straipsnio 1 dalies a punkte, taip pat bendradarbiavimas su kitomis priežiūros institucijomis, įskaitant keitimąsi informacija, savitarpio pagalbos teikimas siekiant užtikrinti nuoseklų minėto reglamento ir jo laikymuisi užtikrinti priimtų priemonių taikymą, kaip numatyta to paties reglamento 57 straipsnio 1 dalies g punkte. Tarp minėtoms priežiūros institucijoms suteiktų įgaliojimų vykdyti šias užduotis paminėtini įvairūs tyrimo įgaliojimai, numatyti Reglamento 2016/679 58 straipsnio 1 dalyje, taip pat jo 58 straipsnio 5 dalyje numatytas įgaliojimas atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir prireikus pradėti teismo procesą, siekiant užtikrinti šio reglamento nuostatų taikymą.

    49

    Vis dėlto šių užduočių ir įgaliojimų įgyvendinimas suponuoja, kad priežiūros institucija turi kompetenciją dėl konkretaus duomenų tvarkymo.

    50

    Šiuo klausimu, nepažeidžiant Reglamento 2016/679 55 straipsnio 1 dalyje įtvirtintos kompetencijos taisyklės, jo 56 straipsnio 1 dalyje „tarptautinio duomenų tvarkymo“, kaip tai suprantama pagal šio reglamento 4 straipsnio 23 punktą, atveju numatytas „vieno langelio“ mechanizmas, grindžiamas kompetencijos pasiskirstymu tarp „vadovaujančios priežiūros institucijos“ ir kitų susijusių priežiūros institucijų. Pagal šį mechanizmą duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės ar vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą pagal šio reglamento 60 straipsnyje nustatytą procedūrą.

    51

    Tame straipsnyje įtvirtintas vadovaujančios priežiūros institucijos ir kitų susijusių priežiūros institucijų bendradarbiavimas. Per šią procedūrą vadovaujanti priežiūros institucija, be kita ko, privalo stengtis siekti konsensuso. Tam ji pagal Reglamento 2016/679 60 straipsnio 3 dalį nedelsdama pateikia sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pareikštų savo nuomonę, ir deramai atsižvelgia į jų poziciją.

    52

    Visų pirma iš Reglamento 2016/679 56 ir 60 straipsnių matyti, kad „tarpvalstybinio duomenų tvarkymo“, kaip tai suprantama pagal jo 4 straipsnio 23 punktą, atveju ir, atsižvelgiant į 56 straipsnio 2 dalį, įvairios susijusios nacionalinės priežiūros institucijos, laikydamosi šiose nuostatose numatytos procedūros, turi bendradarbiauti tam, kad rastų konsensusą ir susitartų dėl vieno sprendimo, kuris saistytų visas šias institucijas ir kurio laikymąsi turi užtikrinti duomenų valdytojas, kiek tai susiję su duomenų tvarkymu, atliekamu visose Sąjungoje esančiose jo buveinėse. Be to, pagal minėto reglamento 61 straipsnio 1 dalį priežiūros institucijos įpareigojamos, be kita ko, teikti viena kitai reikšmingą informaciją ir pagalbą, kad šis reglamentas būtų įgyvendinamas ir taikomas nuosekliai visoje Sąjungoje. Reglamento 2016/679 63 straipsnyje patikslinta, kad būtent šiuo tikslu numatytas jo 64 ir 65 straipsniuose įtvirtintas nuoseklumo užtikrinimo mechanizmas (2019 m. rugsėjo 24 d. Sprendimo Google (Nuorodų pašalinimo teritorinė taikymo sritis), C‑507/17, EU:C:2019:772, 68 punktas).

    53

    Taigi siekiant taikyti „vieno langelio“ mechanizmą reikia, kaip patvirtinta Reglamento 2016/679 13 konstatuojamojoje dalyje, lojaliai ir veiksmingai bendradarbiauti vadovaujančiai priežiūros institucijai ir kitoms susijusioms priežiūros institucijoms. Dėl šios priežasties, kaip savo išvados 111 punkte pažymėjo generalinis advokatas, vadovaujanti priežiūros institucija negali neatsižvelgti į kitų atitinkamų priežiūros institucijų pozicijas, o dėl bet kokio tinkamo ir pagrįsto vienos iš šių institucijų pateikto prieštaravimo bent jau laikinai gali būti blokuojamas vadovaujančios priežiūros institucijos sprendimo projekto priėmimas.

    54

    Pagal Reglamento 2016/679 60 straipsnio 4 dalį, kai bet kuri iš kitų susijusių priežiūros institucijų per keturias savaites nuo tada, kai su ja pagal šio straipsnio 3 dalį buvo konsultuotasi, pareiškia tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto, vadovaujanti priežiūros institucija, jeigu neatsižvelgia į tinkamą ir pagrįstą prieštaravimą arba laikosi nuomonės, kad prieštaravimas nėra tinkamas ar pagrįstas, pateikia klausimą spręsti pagal 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą, kad Europos duomenų apsaugos komisija pagal minėto reglamento 65 straipsnio 1 dalies a punktą priimtų privalomą sprendimą.

    55

    Pagal Reglamento 2016/679 60 straipsnio 5 dalį, jeigu vadovaujanti priežiūros institucija ketina atsižvelgti į pareikštą tinkamą ir pagrįstą prieštaravimą, ji pateikia kitoms susijusioms priežiūros institucijoms peržiūrėtą sprendimo projektą, kad jos pareikštų savo nuomonę. Tam peržiūrėtam sprendimo projektui per dviejų savaičių laikotarpį taikoma 60 straipsnio 4 dalyje nurodyta procedūra.

    56

    Pagal minėto reglamento 60 straipsnio 7 dalį būtent vadovaujanti priežiūros institucija iš principo priima sprendimą dėl konkretaus tarpvalstybinio duomenų tvarkymo, prireikus praneša apie jį atitinkamai duomenų valdytojo arba duomenų tvarkytojo pagrindinei buveinei arba vienintelei buveinei ir informuoja kitas susijusias priežiūros institucijas bei Europos duomenų apsaugos valdybą apie atitinkamą sprendimą, be kita ko, pateikdama atitinkamų faktų ir priežasčių santrauką.

    57

    Atsižvelgiant į tai, pabrėžtina, kad Reglamente 2016/679 numatytos vadovaujančios priežiūros institucijos sprendimų priėmimo kompetencijos principo išimtys, kai taikomas minėto reglamento 56 straipsnio 1 dalyje numatytas „vieno langelio“ mechanizmas.

    58

    Viena iš šių išimčių įtvirtinta visų pirma Reglamento 2016/679 56 straipsnio 2 dalyje, kurioje numatyta, kad priežiūros institucija, kuri nėra vadovaujanti priežiūros institucija, turi kompetenciją nagrinėti jai pateiktą skundą dėl asmens duomenų tarpvalstybinio tvarkymo arba galimo šio reglamento pažeidimo, jeigu jo dalykas susijęs tik su buveine jos valstybėje narėje arba daro didelį poveikį duomenų subjektams tik šioje valstybėje narėje.

    59

    Antra, Reglamento 2016/679 66 straipsnyje, nukrypstant nuo šio reglamento 60 ir 63–65 straipsniuose numatytų nuoseklumo užtikrinimo mechanizmų, yra numatyta skubos procedūra. Pagal šią skubos procedūrą išimtinėmis aplinkybėmis, kai susijusi priežiūros institucija mano, kad reikia skubiai imtis veiksmų duomenų subjekto teisėms ir laisvėms apsaugoti, ji gali nedelsdama priimti nustatytą ne ilgesnį kaip trijų mėnesių laikotarpį galiojančias laikinąsias priemones, galinčias turėti teisinių padarinių jos pačios teritorijoje, o Reglamento 2016/679 66 straipsnio 2 dalyje taip pat numatyta, kad tuomet, kai priežiūros institucija ėmėsi priemonės pagal 1 dalį ir mano, kad būtina skubiai patvirtinti galutines priemones, ji gali prašyti Europos duomenų apsaugos valdybos skubiai pateikti nuomonę arba priimti privalomą sprendimą, nurodydama prašymo pateikti tokią nuomonę ar priimti tokį sprendimą priežastis.

    60

    Vis dėlto šia priežiūros institucijų kompetencija turi būti naudojamasi laikantis lojalaus ir veiksmingo bendradarbiavimo su vadovaujančia priežiūros institucija pagal Reglamento 2016/679 56 straipsnio 3–5 dalyse nustatytą procedūrą. Tokiu atveju pagal šio reglamento 56 straipsnio 3 dalį susijusi priežiūros institucija privalo nedelsdama informuoti vadovaujančią priežiūros instituciją, kuri per tris savaites nuo informacijos gavimo momento nusprendžia, ar nagrinės šį atvejį.

    61

    Pagal Reglamento 2016/679 56 straipsnio 4 dalį, jei vadovaujanti priežiūros institucija nusprendžia nagrinėti atvejį, taikoma minėto reglamento 60 straipsnyje numatyta bendradarbiavimo procedūra. Šiomis aplinkybėmis vadovaujančią priežiūros instituciją informavusi priežiūros institucija gali jai pateikti sprendimo projektą, o vadovaujanti priežiūros institucija turi į jį kuo labiau atsižvelgti, rengdama minėto reglamento 60 straipsnio 3 dalyje numatytą sprendimo projektą.

    62

    Vis dėlto pagal Reglamento 2016/679 56 straipsnio 5 dalį, jeigu vadovaujanti priežiūros institucija nusprendžia atvejo nenagrinėti, ją informavusi priežiūros institucija jį nagrinėja, vadovaudamasi šio reglamento 61 ir 62 straipsniais, reikalaujančiais, kad priežiūros institucijos laikytųsi tarpusavio pagalbos ir bendradarbiavimo taisyklių vykdamos bendras operacijas, kad būtų užtikrintas veiksmingas susijusių institucijų bendradarbiavimas.

    63

    Iš to, kas išdėstyta, matyti, kad, viena vertus, tarpvalstybinio asmens duomenų tvarkymo atveju vadovaujančios priežiūros institucijos kompetencija priimti sprendimą, kuriuo konstatuojama, kad toks tvarkymas pažeidžia Reglamente 2016/679 įtvirtintas fizinių asmenų teisių į asmens duomenų tvarkymą apsaugos normas, yra taisyklė, o kitų susijusių priežiūros institucijų kompetencija priimti tokį sprendimą, net ir laikiną, yra išimtis. Kita vertus, nors principinę vadovaujančios priežiūros institucijos kompetenciją patvirtina Reglamento 2016/679 56 straipsnio 6 dalis, pagal kurią vadovaujanti priežiūros institucija yra „vienintelė“ institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas „palaiko ryšius“, vykdydamas tarpvalstybinį duomenų tvarkymą, ši institucija turi naudotis tokia kompetencija, glaudžiai bendradarbiaudama su kitomis susijusiomis priežiūros institucijomis. Kaip buvo nurodyta šio sprendimo 53 punkte, vadovaujanti priežiūros institucija, naudodamasi kompetencija, visų pirma negali nepalaikyti būtino dialogo ir lojalaus bei veiksmingo bendradarbiavimo su kitomis atitinkamomis priežiūros institucijomis.

    64

    Šiuo klausimu iš Reglamento 2016/679 10 konstatuojamosios dalies matyti, kad juo, be kita ko, siekiama užtikrinti nuoseklų ir vienodą fizinių asmenų pagrindinių teisių ir laisvių apsaugos taisyklių taikymą tvarkant asmens duomenis visoje Sąjungoje ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis.

    65

    Šiam tikslui, kaip ir „vieno langelio“ mechanizmo veiksmingumui, galėtų būti pakenkta, jeigu priežiūros institucija, kuri tarpvalstybinio duomenų tvarkymo atveju nėra vadovaujanti priežiūros institucija, galėtų naudotis Reglamento 2016/679 58 straipsnio 5 dalyje numatytu įgaliojimu tais atvejais, kai neturi kompetencijos priimti tokį sprendimą, kaip nurodyta šio sprendimo 63 punkte. Tokio naudojimosi įgaliojimu paskirtis – pasiekti, kad būtų priimtas privalomas teismo sprendimas, kuris lygiai taip pat gali pakenkti šiam tikslui ir mechanizmui, kaip ir priežiūros institucijos, kuri nėra vadovaujanti priežiūros institucija, priimtas sprendimas.

    66

    Priešingai, nei teigia DAI, tai, kad valstybės narės priežiūros institucija, kuri nėra vadovaujanti priežiūros institucija, gali naudotis Reglamento 2016/679 58 straipsnio 5 dalyje numatytu įgaliojimu tik laikydamasi sprendimų priėmimo kompetencijos paskirstymo taisyklių, numatytų visų pirma šio reglamento 55 ir 56 straipsniuose, siejamuose su jo 60 straipsniu, yra suderinama su Chartijos 7, 8 ir 47 straipsniais.

    67

    Pirma, dėl argumento, grindžiamo tariamu Chartijos 7 ir 8 straipsnių pažeidimu, primintina, kad pagal 7 straipsnį kiekvienam asmeniui užtikrinama teisė į tai, kad būtų gerbiamas jo privatus ir šeimos gyvenimas, būsto neliečiamybė ir komunikacijos slaptumas, o 8 straipsnio 1 dalyje, kaip ir SESV 16 straipsnio 1 dalyje, aiškiai pripažįstama kiekvieno asmens teisė į jo asmens duomenų apsaugą. Ypač iš Reglamento 2016/679 51 straipsnio 1 dalies matyti, kad priežiūros institucijos yra atsakingos už šio reglamento taikymo priežiūrą, be kita ko, siekiant apsaugoti fizinių asmenų pagrindines teises tvarkant jų asmens duomenis. Vadinasi, remiantis tuo, kas išdėstyta šio sprendimo 45 punkte, šiame reglamente numatytos sprendimų priėmimo kompetencijos paskirstymo vadovaujančiajai priežiūros institucijai ir kitoms priežiūros institucijoms taisyklės nedaro poveikio kiekvienos iš šių institucijų atsakomybei prisidėti prie šių teisių aukšto lygio apsaugos, laikantis šių taisyklių ir bendradarbiavimo bei savitarpio pagalbos reikalavimų, primintų šio sprendimo 52 punkte.

    68

    Tai visų pirma reiškia, kad „vieno langelio“ mechanizmas jokiu būdu negali lemti to, kad nacionalinė priežiūros institucija, ypač vadovaujanti priežiūros institucija, neprisiims jai pagal Reglamentą 2016/679 tenkančios atsakomybės prisidėti prie veiksmingos fizinių asmenų apsaugos nuo pirmesniame šio sprendimo punkte primintų jų pagrindinių teisių, pažeidimų, antraip būtų skatinama visų pirma duomenų valdytojų forum shopping praktika, kuria siekiama, be kita ko, apeiti pagrindines teises ir veiksmingą jas įgyvendinančių šio reglamento nuostatų taikymą.

    69

    Antra, taip pat negalima pritarti argumentui, grindžiamam tariamu pagal Chartijos 47 straipsnį garantuojamos teisės į veiksmingą teisinę gynybą pažeidimu. Šio sprendimo 64 ir 65 punktuose išdėstytas priežiūros institucijos, kuri nėra vadovaujanti priežiūros institucija, galimybės naudotis Reglamento 2016/679 58 straipsnio 5 dalyje numatytu įgaliojimu, kai vykdomas tarpvalstybinis asmens duomenų tvarkymas, reglamentavimas nepažeidžia šio reglamento 78 straipsnio 1 ir 2 dalyse kiekvienam asmeniui suteiktos teisės imtis veiksmingų teisminių teisių gynimo priemonių, be kita ko, dėl teisiškai privalomo sprendimo, kurį dėl jo priėmė priežiūros institucija, arba dėl to, kad priežiūros institucija, turinti sprendimų priėmimo kompetenciją pagal minėto reglamento 55 ir 56 straipsnius, siejamus su jo 60 straipsniu, nenagrinėja to asmens pateikto skundo.

    70

    Tai ypač pasakytina apie Reglamento 2016/679 56 straipsnio 5 dalyje nurodytą situaciją, kai, kaip nurodyta šio sprendimo 62 punkte, priežiūros institucija, kuri suteikė informaciją pagal šio reglamento 56 straipsnio 3 dalį, gali nagrinėti atvejį pagal jo 61 ir 62 straipsnius, jeigu vadovaujanti priežiūros institucija, gavusi pranešimą, nusprendžia, kad pati jo nenagrinės. Tokio duomenų tvarkymo atveju neatmestina, kad susijusi priežiūros institucija prireikus gali nuspręsti pasinaudoti jai pagal Reglamento 2016/679 58 straipsnio 5 dalį suteiktu įgaliojimu.

    71

    Atsižvelgiant į tai, vis dėlto reikia pabrėžti, kad neatmestina, jog valstybės narės priežiūros institucija pasinaudos įgaliojimu kreiptis į savo valstybės teismus po to, kai, pagal Reglamento 2016/679 61 straipsnį paprašiusi vadovaujančios priežiūros institucijos savitarpio pagalbos, pastaroji nepateikia prašomos informacijos. Tokiu atveju pagal šio reglamento 61 straipsnio 8 dalį susijusi priežiūros institucija savo valstybės narės teritorijoje gali patvirtinti laikinąją priemonę ir, jeigu mano, kad galutinės priemonės turi būti patvirtintos skubiai, remdamasi minėto reglamento 66 straipsnio 2 dalimi gali paprašyti Europos duomenų apsaugos valdybos skubiai pateikti nuomonę arba priimti privalomą sprendimą. Be to, pagal šio reglamento 64 straipsnio 2 dalį bet kuri priežiūros institucija gali prašyti, kad Europos duomenų apsaugos valdyba išnagrinėtų bet kurį bendro pobūdžio klausimą arba klausimą, kuris daro poveikį daugiau nei vienoje valstybėje narėje, siekdama, kad valdyba pateiktų nuomonę visų pirma tais atvejais, kai kompetentinga priežiūros institucija nesilaiko su savitarpio pagalba susijusių pareigų, jai nustatytų pagal 61 straipsnį. Priėmus tokią nuomonę arba sprendimą susijusi priežiūros institucija tuo atveju, jeigu Europos duomenų apsaugos valdyba, atsižvelgusi į visas reikšmingas aplinkybes, tam pritarė, turi galėti imtis priemonių, būtinų siekiant užtikrinti Reglamente 2016/679 nustatytų taisyklių dėl fizinių asmenų apsaugos tvarkant asmens duomenis laikymąsi ir tuo pagrindu pasinaudoti jai pagal šio reglamento 58 straipsnio 5 dalį suteiktu įgaliojimu.

    72

    Iš tiesų kompetencijos ir atsakomybės paskirstymas tarp priežiūros institucijų neišvengiamai grindžiamas prielaida, kad šios institucijos tarpusavyje ir su Komisija lojaliai ir veiksmingai bendradarbiaus, kad būtų užtikrintas teisingas ir nuoseklus šio reglamento taikymas, kaip tai patvirtina jo 51 straipsnio 2 dalis.

    73

    Nagrinėjamu atveju prašymą priimti prejudicinį sprendimą pateikęs teismas turės nustatyti, ar kompetencijos paskirstymo taisyklės ir Reglamente 2016/679 numatytos atitinkamos procedūros ir mechanizmai pagrindinėje byloje buvo teisingai taikyti. Visų pirma jis turės patikrinti, ar, nepaisant to, kad DAI šioje byloje nėra vadovaujanti priežiūros institucija, šio sprendimo 71 punkte nurodyta situacija apima nagrinėjamą duomenų tvarkymą, kiek jis susijęs su socialinio interneto tinklo Facebook elgesiu po 2018 m. gegužės 25 d.

    74

    Šiuo klausimu Teisingumo Teismas pažymi, kad Europos duomenų apsaugos valdyba savo 2019 m. kovo 12 d. Nuomonėje 5/2019 dėl Privatumo ir elektroninių ryšių direktyvos ir [Bendrojo duomenų apsaugos reglamento] tarpusavio sąveikos, visų pirma kiek tai susiję su duomenų apsaugos institucijų kompetencija, užduotimis ir įgaliojimais, pripažino, jog asmens duomenų įrašymas ir skaitymas naudojant slapukus patenka į 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002, p. 37; 2004 m. specialusis leidimas lietuvių k., 13 sk., 29 t., p. 514; klaidų ištaisymas OL L 241, 2013, p. 9), o ne į „vieno langelio“ mechanizmo taikymo sritį. Tačiau visos ankstesnės operacijos ir vėlesnė šių asmens duomenų tvarkymo kitomis technologijomis veikla patenka į Reglamento 2016/679 taikymo sritį, taigi, ir į „vieno langelio“ mechanizmo taikymo sritį. Kadangi buvo pateikusi savitarpio pagalbos prašymą dėl vėlesnių asmens duomenų tvarkymo operacijų, DAI 2019 m. balandžio mėn. paprašė duomenų apsaugos komisaro kuo skubiau tenkinti jos prašymą, tačiau į jį nebuvo atsakyta.

    75

    Atsižvelgiant į tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti taip: Reglamento 2016/679 55 straipsnio 1 dalis, 56–58 straipsniai ir 60–66 straipsniai, siejami su Chartijos 7, 8 ir 47 straipsniais, turi būti aiškinami taip, kad valstybės narės priežiūros institucija, kuri pagal nacionalinės teisės aktus, priimtus siekiant įgyvendinti šio reglamento 58 straipsnio 5 dalį, yra įgaliota atkreipti savo valstybės narės teismo dėmesį į bet kokį tariamą minėto reglamento pažeidimą, o prireikus pradėti teismo procesą, gali pasinaudoti šiuo įgaliojimu tarpvalstybinio duomenų tvarkymo atveju, nors nėra „vadovaujanti priežiūros institucija“, kaip tai suprantama pagal šio reglamento 56 straipsnio 1 dalį, kai vykdomas toks duomenų tvarkymas, jeigu tai yra vienas iš atvejų, kai pagal Reglamentą 2016/679 šiai priežiūros institucijai suteikta kompetencija priimti sprendimą, kuriuo konstatuojama, kad minėtas duomenų tvarkymas pažeidžia šio reglamento normas, ir laikomasi tame reglamente nustatytų bendradarbiavimo ir nuoseklumo užtikrinimo procedūrų.

    Dėl antrojo klausimo

    76

    Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip, kad tarpvalstybinio duomenų tvarkymo atveju valstybės narės priežiūros institucijai, kuri nėra vadovaujanti priežiūros institucija, siekiant pasinaudoti įgaliojimu pradėti teismo procesą, kaip tai suprantama pagal šią nuostatą, reikalaujama, kad tarpvalstybinį asmens duomenų tvarkymą vykdantis duomenų valdytojas, kuriam pareiškiamas ieškinys, šios valstybės narės teritorijoje turėtų „pagrindinę buveinę“, kaip tai suprantama pagal Reglamento 2016/679 4 straipsnio 16 punktą, arba kitą buveinę.

    77

    Šiuo klausimu primintina, kad pagal Reglamento 2016/679 55 straipsnio 1 dalį kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis pagal šį reglamentą suteiktais įgaliojimais.

    78

    Be to, Reglamento 2016/679 58 straipsnio 5 dalyje numatyta, kad kiekviena priežiūros institucija turi įgaliojimus atkreipti savo valstybės teisminių institucijų dėmesį į bet kokius tariamus šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą, siekiant užtikrinti šio reglamento nuostatų taikymą.

    79

    Pažymėtina, kad Reglamento 2016/679 58 straipsnio 5 dalis suformuluota bendrai ir kad Sąjungos teisės aktų leidėjas valstybės narės priežiūros institucijos naudojimosi šiuo įgaliojimu nesieja su sąlyga, kad šios institucijos ieškiniai būtų reiškiami duomenų valdytojui, savo valstybės narės teritorijoje turinčiam „pagrindinę buveinę“, kaip tai suprantama pagal šio reglamento 4 straipsnio 16 punktą, ar kitą buveinę.

    80

    Vis dėlto valstybės narės priežiūros institucija gali įgyvendinti jai pagal Reglamento 2016/679 58 straipsnio 5 dalį suteiktą įgaliojimą tik jeigu nustatyta, kad toks įgaliojimas patenka į šio reglamento teritorinę taikymo sritį.

    81

    Reglamento 2016/679 3 straipsnio, reglamentuojančiojo teritorinę taikymo sritį, 1 dalyje šiuo klausimu numatyta, kad jis taikomas asmens duomenų tvarkymui, kai asmens duomenis tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė Sąjungoje, vykdydama savo veiklą, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje, ar ne.

    82

    Šiuo aspektu Reglamento 2016/679 22 konstatuojamojoje dalyje aiškiai nurodyta, kad buveinė reiškia, jog per stabilias struktūras vykdoma veiksminga ir reali veikla, o teisinė tokių struktūrų forma, neatsižvelgiant į tai, ar tai filialas, ar patronuojamoji bendrovė, turinti teisinį subjektiškumą, tuo požiūriu nėra lemiamas veiksnys.

    83

    Vadinasi, pagal Reglamento 2016/679 3 straipsnio 1 dalį šio reglamento teritorinei taikymo sričiai lemiamos reikšmės turi reikalavimas, išskyrus šio straipsnio 2 ir 3 dalyse nurodytus atvejus, kad duomenų valdytojas arba duomenų tvarkytojas turėtų buveinę Sąjungos teritorijoje.

    84

    Taigi į antrąjį klausimą atsakytina: Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip, kad tarpvalstybinio duomenų tvarkymo atveju valstybės narės priežiūros institucijai, kuri nėra vadovaujanti priežiūros institucija, siekiant pasinaudoti įgaliojimu pradėti teismo procesą, kaip tai suprantama pagal šią nuostatą, nereikalaujama, kad tarpvalstybinį asmens duomenų tvarkymą vykdantis duomenų valdytojas ar duomenų tvarkytojas, kuriam pareiškiamas ieškinys, šios valstybės narės teritorijoje turėtų „pagrindinę buveinę“ arba kitą buveinę.

    Dėl trečiojo klausimo

    85

    Trečiuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip, kad tarpvalstybinio duomenų tvarkymo atveju valstybės narės priežiūros institucijai, kuri nėra vadovaujanti priežiūros institucija, siekiant pasinaudoti įgaliojimu atkreipti šios valstybės teisminių institucijų dėmesį į tariamus šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą, kaip tai suprantama pagal šią nuostatą, reikalaujama, kad susijusi priežiūros institucija ieškinį pareikštų duomenų valdytojo pagrindinei buveinei ar vis dėlto jos valstybėje narėje esančiai buveinei.

    86

    Iš sprendimo dėl prašymo priimti prejudicinį sprendimą matyti, kad šis klausimas kilo šalims ginčijantis dėl to, ar prašymą priimti prejudicinį sprendimą pateikęs teismas turi jurisdikciją nagrinėti ieškinį dėl veiksmų nutraukimo tiek, kiek jis pareikštas Facebook Belgium, atsižvelgiant į tai, kad, pirma, registruota Facebook grupės buveinė Sąjungoje yra Airijoje, o Facebook Ireland yra vienintelis atsakingas už asmens duomenų rinkimą ir tvarkymą visoje Sąjungoje, ir, antra, kad pagal grupės vidaus pasidalijimą Belgijoje esanti buveinė buvo įsteigta visų pirma siekiant, kad minėta grupė galėtų palaikyti santykius su Sąjungos institucijomis, o papildomai – skatinti tos grupės reklamos ir rinkodaros veiklą, skirtą Belgijoje reziduojantiems asmenims.

    87

    Kaip pažymėta šio sprendimo 47 punkte, Reglamento 2016/679 55 straipsnio 1 dalyje įtvirtinta principinė kiekvienos priežiūros institucijos kompetencija savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis suteiktais įgaliojimais.

    88

    Kalbant apie valstybės narės priežiūros institucijos įgaliojimą pareikšti ieškinį, kaip tai suprantama pagal Reglamento 2016/679 58 straipsnio 5 dalį, primintina, kaip savo išvados 150 punkte pažymėjo generalinis advokatas, kad ši nuostata suformuluota plačiai ir joje nenurodyti subjektai, kuriems priežiūros institucijos turėtų ar galėtų pareikšti ieškinį dėl šio reglamento pažeidimų.

    89

    Taigi minėta nuostata neriboja naudojimosi įgaliojimu pradėti teismo procesą ta prasme, kad toks ieškinys gali būti pareikštas tik duomenų valdytojo „pagrindinei buveinei“ arba kitai „buveinei“. Priešingai, vadovaujantis šia nuostata, kai valstybės narės priežiūros institucija pagal Reglamento 2016/679 55 ir 56 straipsnius turi tam reikalingą kompetenciją, ji gali naudotis šiuo reglamentu jai suteiktais įgaliojimais savo nacionalinėje teritorijoje, nesvarbu, kurioje valstybėje narėje yra įsisteigęs duomenų valdytojas arba duomenų tvarkytojas.

    90

    Vis dėlto Reglamento 2016/679 58 straipsnio 5 dalyje suteiktu įgaliojimu kiekviena priežiūros institucijai gali naudotis su sąlyga, kad šis reglamentas taikomas. Kaip jau buvo pabrėžta šio sprendimo 81 punkte, minėto reglamento 3 straipsnio 1 dalyje šiuo klausimu numatyta, kad jis taikomas asmens duomenų tvarkymui, „kai asmens duomenis Sąjungoje tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė, vykdydama savo veiklą, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje, ar ne“.

    91

    Atsižvelgiant į Reglamentu 2016/679 siekiamą tikslą – užtikrinti veiksmingą fizinių asmenų pagrindinių laisvių ir teisių apsaugą, ypač teisės į privatų gyvenimą ir teisės į asmens duomenų apsaugą, reikalavimas, kad asmens duomenys turi būti tvarkomi atitinkamai buveinei „vykdant veiklą“, negali būti aiškinamas siaurai (pagal analogiją žr. 2018 m. birželio 5 d. Sprendimo Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 56 punktą ir jame nurodytą jurisprudenciją).

    92

    Nagrinėjamu atveju iš sprendimo dėl prašymo priimti prejudicinį sprendimą ir Facebook Belgium raštu pateiktų pastabų matyti, kad šiai bendrovei visų pirma pavesta palaikyti santykius su Sąjungos institucijomis, o papildomai – skatinti savo grupės reklamos ir rinkodaros veiklą, skirtą Belgijoje reziduojantiems asmenims.

    93

    Konkretus pagrindinėje byloje nagrinėjamo asmens duomenų tvarkymo, kurį Sąjungos teritorijoje vykdo tik Facebook Ireland ir kuris apima informacijos apie Facebook paskyros turėtojų ir Facebook paslaugomis nesinaudojančių asmenų naršymo elgesį rinkimą, naudojant įvairias technologijas, kaip antai slapukus, socialinius papildinius ir pikselius, tikslas – padėti šiam socialiniam tinklui gerinti savo reklamos sistemos veiksmingumą, tikslingai siunčiant pranešimus.

    94

    Viena vertus, pažymėtina, kad socialinis tinklas, kaip antai Facebook, didelę pajamų dalį gauna, be kita ko, iš jame platinamos reklamos ir kad Belgijoje esančios buveinės vykdomos veiklos paskirtis – užtikrinti šioje valstybėje narėje, nors ir siekiant tik papildomo tikslo, reklamai skirtų vietų pardavimo skatinimą ir pardavimą, kad Facebook paslaugos būtų pelningos. Kita vertus, pagrindine Facebook Belgium vykdoma veikla, t. y. santykių su Sąjungos institucijomis palaikymu ir jų tarpusavio ryšių palaikymo centro įsteigimu, siekiama, be kita ko, suformuoti Facebook Ireland vykdomo asmens duomenų tvarkymo politiką.

    95

    Šiomis aplinkybėmis Belgijoje esančios Facebook grupės buveinės veikla laikytina neatsiejamai susijusia su pagrindinėje byloje nagrinėjamu asmens duomenų tvarkymu, už kurį Sąjungos teritorijoje yra atsakinga Facebook Ireland. Taigi toks tvarkymas turi būti laikomas atliekamu „duomenų valdytojo [buveinei vykdant] savo veiklą“, kaip tai suprantama pagal Reglamento 2016/679 3 straipsnio 1 dalį.

    96

    Atsižvelgiant į visa tai, kas išdėstyta, į trečiąjį pateiktą klausimą reikia atsakyti: Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip, kad valstybės narės priežiūros institucija, kuri nėra vadovaujanti priežiūros institucija, gali pasinaudoti įgaliojimu atkreipti šios valstybės teisminių institucijų dėmesį į tariamus šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą, kaip tai suprantama pagal šią nuostatą, tiek prieš duomenų valdytojo pagrindinę buveinę, esančią šios institucijos valstybėje narėje, tiek prieš kitą šio duomenų valdytojo buveinę, jeigu ieškinys reiškiamas dėl duomenų tvarkymo, atliekamo šiai buveinei vykdant veiklą, o minėta institucija turi kompetenciją naudotis šiuo įgaliojimu taip, kaip nurodyta atsakyme į pirmąjį klausimą.

    Dėl ketvirtojo klausimo

    97

    Ketvirtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip, kad tuomet, kai valstybės narės priežiūros institucija, kuri nėra „vadovaujanti priežiūros institucija“, kaip tai suprantama pagal šio reglamento 56 straipsnio 1 dalį, pareiškė ieškinį dėl tarpvalstybinio asmens duomenų tvarkymo iki 2018 m. gegužės 25 d., t. y. prieš pradedant taikyti šį reglamentą, ši aplinkybė gali turėti įtakos sąlygoms, kuriomis ta valstybės narės priežiūros institucija gali naudotis iš 58 straipsnio 5 dalies kildinamu įgaliojimu pradėti teismo procesą.

    98

    Prašymą priimti prejudicinį sprendimą pateikusiame teisme Facebook Ireland, Facebook Inc. ir Facebook Belgium teigė, kad Reglamento 2016/679 taikymas nuo 2018 m. gegužės 25 d. lemia, kad iki šios datos pareikšto ieškinys yra nepriimtinas arba net nepagrįstas.

    99

    Pirmiausia pažymėtina, kad Reglamento 2016/679 99 straipsnio 1 dalyje numatyta, jog jis įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje. Kadangi reglamentas minėtame Oficialiajame leidinyje buvo paskelbtas 2016 m. gegužės 4 d., jis įsigaliojo tų pačių metų gegužės 25 d. Be to, minėto reglamento 99 straipsnio 2 dalyje numatyta, kad jis taikomas nuo 2018 m. gegužės 25 d.

    100

    Šiuo klausimu primintina, kad nauja teisės norma taikoma nuo akto, kuriame įtvirtinta, įsigaliojimo dienos ir, nors netaikoma galiojant ankstesniam įstatymui atsiradusioms ir galutinai susidariusioms teisinėms situacijoms, ji taikoma būsimoms jų pasekmėms ir naujoms teisinėms situacijoms. Laikantis teisės aktų negaliojimo atgaline data principo, kitaip yra tik tuo atveju, kai nauja teisės norma priimama kartu su specialiomis nuostatomis, kuriomis nustatomos konkrečios jos taikymo laiko atžvilgiu sąlygos. Konkrečiai kalbant, procesinės teisės normos paprastai laikomos taikytinomis nuo jų įsigaliojimo momento, skirtingai nei materialinės teisės normos, kurios paprastai aiškinamos kaip taikytinos iki jų įsigaliojimo susidariusioms situacijoms, tik jeigu iš šių normų formuluotės, tikslo ar struktūros aiškiai matyti, kad turi būti pripažintas toks jų poveikis (žr. 2021 m. vasario 25 d. Sprendimo Caisse pour l’avenir des enfants (Darbo santykiai vaiko gimimo momentu), C‑129/20, Rink., EU:C:2021:140, 31 punktą ir jame nurodytą jurisprudenciją).

    101

    Reglamente 2016/679 nėra nei pereinamojo laikotarpio, nei jokios kitos normos, kuri reglamentuotų teismo procesų, pradėtų iki reglamento taikymo, ir procesų, dar tebevykusių tuomet, kai reglamentas pradėtas taikyti, statusą. Konkrečiai kalbant, jokioje šio reglamento nuostatoje nenumatyta, kad dėl reglamento baigiami visi 2018 m. gegužės 25 d. vykstantys teismo procesai dėl tariamų Direktyvoje 95/46 numatytų normų, reglamentuojančių asmens duomenų tvarkymą, pažeidimų, net jeigu tokius tariamus pažeidimus sudarantys veiksmai tęsiasi po šios datos.

    102

    Nagrinėjamu atveju Reglamento 2016/679 58 straipsnio 5 dalyje yra numatytos taisyklės, reglamentuojančios priežiūros institucijų įgaliojimą atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą arba kitaip dalyvauti teismo procese, siekiant užtikrinti šio reglamento nuostatų taikymą.

    103

    Šiomis aplinkybėmis reikia skirti valstybės narės priežiūros institucijos ieškinius dėl asmens duomenų apsaugos nuostatų pažeidimų, kuriuos padarė duomenų valdytojai arba duomenų tvarkytojai prieš pradedant taikyti Reglamentą 2016/679, ir ieškinius, pareikštus dėl po šios datos padarytų pažeidimų.

    104

    Pirmuoju atveju ieškinys, kaip antai nagrinėjamas pagrindinėje byloje, Sąjungos teisės požiūriu gali būti toliau nagrinėjamas remiantis Direktyvos 95/46, kuri tebetaikoma pažeidimams, padarytiems iki jos panaikinimo, t. y. iki 2018 m. gegužės 25 d., nuostatomis. Antruoju atveju tokį ieškinį galima pareikšti pagal Reglamento 2016/679 58 straipsnio 5 dalį tik su sąlyga, kad, kaip pabrėžta atsakant į pirmąjį klausimą, ieškinys priskirtinas situacijai, kai šis reglamentas išimties tvarka suteikia valstybės narės priežiūros institucijai, kuri nėra „vadovaujanti priežiūros institucija“, kompetenciją priimti sprendimą, kuriuo konstatuojama, kad nagrinėjamas duomenų tvarkymas pažeidžia šio reglamento normas, reglamentuojančias fizinių asmenų teisių apsaugą tvarkant asmens duomenis, ir kad laikomasi pačiame reglamente numatytų procedūrų.

    105

    Atsižvelgiant į tai, kas išdėstyta, į ketvirtąjį klausimą reikia atsakyti, kad Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip: tuomet, kai valstybės narės priežiūros institucija, kuri nėra „vadovaujanti priežiūros institucija“, kaip tai suprantama pagal šio reglamento 56 straipsnio 1 dalį, pareiškė ieškinį dėl tarpvalstybinio asmens duomenų tvarkymo iki 2018 m. gegužės 25 d., t. y. prieš pradedant taikyti šį reglamentą, ieškinys Sąjungos teisės požiūriu gali būti toliau nagrinėjamas remiantis Direktyvos 95/46, kuri tebetaikoma joje įtvirtintų normų pažeidimams, padarytiems iki šios direktyvos panaikinimo, nuostatomis. Be to, tokį ieškinį minėta institucija gali pareikšti dėl pažeidimų, padarytų po šios datos, remdamasi Reglamento 2016/679 58 straipsnio 5 dalimi, jeigu yra susiklosčiusi viena iš situacijų, kai šis reglamentas išimties tvarka suteikia valstybės narės priežiūros institucijai, kuri nėra „vadovaujanti priežiūros institucija“, kompetenciją priimti sprendimą, kuriuo konstatuojama, kad nagrinėjamas duomenų tvarkymas pažeidžia šio reglamento normas, reglamentuojančias fizinių asmenų teisių apsaugą tvarkant asmens duomenis, ir laikomasi pačiame reglamente numatytų bendradarbiavimo ir nuoseklumo užtikrinimo procedūrų, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

    Dėl penktojo klausimo

    106

    Tuo atveju, jeigu į pirmąjį klausimą būtų atsakyta teigiamai, penktuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip, kad ši nuostata veikia tiesiogiai, todėl nacionalinė priežiūros institucija gali ja remtis, siekdama pareikšti ieškinį arba toliau tęsti procesą prieš asmenis, net jeigu ši norma konkrečiai nebuvo perkelta į atitinkamos valstybės narės teisę.

    107

    Vadovaujantis Reglamento 2016/679 58 straipsnio 5 dalimi, kiekviena valstybė narė teisės aktuose nustato, kad jos priežiūros institucija turi įgaliojimus atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą arba kitaip dalyvauti teismo procese, siekiant užtikrinti šio reglamento nuostatų taikymą.

    108

    Pirmiausia konstatuotina, kad, kaip teigia Belgijos vyriausybė, Reglamento 2016/679 58 straipsnio 5 dalis į Belgijos teisės sistemą buvo perkelta 2017 m. gruodžio 3 d. įstatymo 6 straipsniu. Pagal šio įstatymo 6 straipsnį, kuris iš esmės suformuluotas identiškai Reglamento 2016/679 58 straipsnio 5 daliai, DAI yra įgaliota atkreipti teisminių institucijų dėmesį dėl bet kokio asmens duomenų apsaugą reglamentuojančių pagrindinių principų pažeidimo pagal šį įstatymą ir įstatymus, kuriuose įtvirtintos nuostatos dėl asmens duomenų tvarkymo apsaugos, ir atitinkamais atvejais pradėti teismo procesą, kad šie pagrindiniai principai būtų taikomi. Todėl laikytina, kad DAI gali remtis nacionalinės teisės nuostata, kaip antai 2017 m. gruodžio 3 d. įstatymo 6 straipsniu, kuriuo į Belgijos teisę perkelta Reglamento 2016/679 58 straipsnio 5 dalis, norėdama kreiptis į teismą, kad būtų užtikrintas šio reglamento laikymasis.

    109

    Be to, dėl išsamumo pažymėtina, kad pagal SESV 288 straipsnio antrą pastraipą reglamentas yra privalomas visas ir tiesiogiai taikomas visose valstybėse narėse, todėl dėl jo nuostatų valstybėms narėms iš principo nereikia priimti jokių įgyvendinimo priemonių.

    110

    Šiuo klausimu primintina, kad, vadovaujantis Teisingumo Teismo suformuota jurisprudencija, pagal SESV 288 straipsnį ir dėl reglamentų teisinio pobūdžio ir paskirties Sąjungos teisės šaltinių sistemoje reglamentų nuostatos paprastai veikia tiesiogiai nacionalinės teisės sistemose, todėl nacionalinės valdžios institucijoms nereikia imtis įgyvendinimo priemonių. Vis dėlto kai kurioms reglamento nuostatoms įgyvendinti valstybėms narėms gali prireikti priimti nacionalines įgyvendinimo priemones (2017 m. kovo 15 d. Sprendimo Al Chodor, C‑528/15, EU:C:2017:213, 27 punktas ir jame nurodyta jurisprudencija).

    111

    Kaip savo išvados 167 punkte iš esmės pažymėjo generalinis advokatas, Reglamento 2016/679 58 straipsnio 5 dalyje numatyta konkreti ir tiesiogiai taikytina taisyklė, pagal kurią priežiūros institucijos turi turėti teisę kreiptis į nacionalinius teismus ir būti įgaliotos pagal nacionalinę teisę pradėti teismo procesą.

    112

    Iš Reglamento 2016/679 58 straipsnio 5 dalies nematyti, kad valstybės narės turi priimdamos aiškią nuostatą nustatyti, kokiomis aplinkybėmis nacionalinės priežiūros institucijos gali pradėti teismo procesą, kaip tai suprantama pagal šią nuostatą. Pakanka, kad priežiūros institucija pagal nacionalinės teisės aktus turėtų galimybę atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir prireikus pradėti teismo procesą arba kitaip dalyvauti teismo procese, kad būtų užtikrintas šio reglamento nuostatų taikymas.

    113

    Atsižvelgiant į visa tai, kas išdėstyta, į penktąjį kausimą reikia atsakyti: Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip, kad ši nuostata veikia tiesiogiai, todėl nacionalinė priežiūros institucija gali ja remtis, siekdama pareikšti ieškinį arba toliau tęsti procesą prieš asmenis, net jeigu ji konkrečiai nebuvo perkelta į atitinkamos valstybės narės teisę.

    Dėl šeštojo klausimo

    114

    Tuo atveju, jeigu į pirmąjį–penktąjį klausimus būtų atsakyta teigiamai, šeštuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar valstybės narės priežiūros institucijos pradėto teismo proceso dėl tarpvalstybinio asmens duomenų tvarkymo baigtis gali užkirsti kelią vadovaujančiai priežiūros institucijai pagal Reglamento 2016/679 56 ir 60 straipsniuose nustatytą mechanizmą priimti sprendimą su priešinga išvada, kai ši tiria tą pačią arba panašią tarpvalstybinio duomenų tvarkymo veiklą.

    115

    Primintina, kad pagal suformuotą jurisprudenciją klausimams dėl Sąjungos teisės taikoma svarbos prezumpcija. Teisingumo Teismas gali atsisakyti priimti sprendimą dėl nacionalinio teismo pateikto prejudicinio klausimo, tik jeigu akivaizdu, kad prašomas Sąjungos teisės nuostatos išaiškinimas visiškai nesusijęs su pagrindinėje byloje nagrinėjamo ginčo aplinkybėmis ar dalyku, jeigu problema hipotetinė arba Teisingumo Teismas neturi informacijos apie faktines ir teisines aplinkybes, būtinos tam, kad naudingai atsakytų į jam pateiktus klausimus (2015 m. birželio 16 d. Sprendimo Gauweiler ir kt., C‑62/14, EU:C:2015:400, 25 punktas ir 2018 m. vasario 7 d. Sprendimo American Express, C‑304/16, EU:C:2018:66, 32 punktas).

    116

    Be to, suformuotoje jurisprudencijoje taip pat nurodyta, kad prašymas priimti prejudicinį sprendimą pateikiamas ne dėl to, kad būtų suformuluotos patariamosios nuomonės bendro pobūdžio arba hipotetiniais klausimais, o dėl to, kad reikia veiksmingai išspręsti ginčą (2018 m. gruodžio 10 d. Sprendimo Wightmanir kt., C‑621/18, EU:C:2018:999, 28 punktas ir jame nurodyta jurisprudencija).

    117

    Nagrinėjamu atveju pabrėžtina, kad, kaip pažymi Belgijos vyriausybė, šeštasis klausimas grindžiamas aplinkybėmis, kurios visiškai nebuvo nustatytos pagrindinėje byloje, t. y. kad tarpvalstybinio tvarkymo, kuris yra šio ginčo dalykas, atveju veikia vadovaujanti priežiūros institucija, kuri ne tik tiria tą pačią arba panašią tarpvalstybinio asmens duomenų tvarkymo veiklą, dėl kurios vyksta atitinkamos valstybės narės priežiūros institucijos pradėtas teismo procesas, bet ir ketina priimti sprendimą, kuriame prieis prie priešingos išvados.

    118

    Atsižvelgiant į tai, pažymėtina, kad šeštasis klausimas visiškai nesusijęs su pagrindinės bylos aplinkybėmis ar dalyku ir kelia hipotetinę problemą. Todėl šį klausimą reikia pripažinti nepriimtinu.

    Dėl bylinėjimosi išlaidų

    119

    Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

     

    Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia:

     

    1.

    2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 55 straipsnio 1 dalis, 56–58 straipsniai ir 60–66 straipsniai, siejami su Europos pagrindinių teisių chartijos 7, 8 ir 47 straipsniais, turi būti aiškinami taip, kad valstybės narės priežiūros institucija, kuri pagal nacionalinės teisės aktus, priimtus siekiant įgyvendinti šio reglamento 58 straipsnio 5 dalį, yra įgaliota atkreipti savo valstybės narės teismo dėmesį į tariamus minėto reglamento pažeidimus, o prireikus pradėti teismo procesą, gali naudotis šiuo įgaliojimu tarpvalstybinio duomenų tvarkymo atveju, nors nėra „vadovaujanti priežiūros institucija“, kaip tai suprantama pagal šio reglamento 56 straipsnio 1 dalį, kai vykdomas toks duomenų tvarkymas, jeigu tai yra vienas iš atvejų, kai pagal Reglamentą 2016/679 šiai priežiūros institucijai suteikta kompetencija priimti sprendimą, kuriuo konstatuojama, kad minėtas duomenų tvarkymas pažeidžia šio reglamento taisykles, ir laikomasi tame reglamente nustatytų bendradarbiavimo ir nuoseklumo užtikrinimo procedūrų.

     

    2.

    Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip, kad tarpvalstybinio duomenų tvarkymo atveju valstybės narės priežiūros institucijai, kuri nėra vadovaujanti priežiūros institucija, siekiant pasinaudoti įgaliojimu pradėti teismo procesą, kaip tai suprantama pagal šią nuostatą, nereikalaujama, kad tarpvalstybinį asmens duomenų tvarkymą vykdantis duomenų valdytojas ar duomenų tvarkytojas, kuriam pareiškiamas ieškinys, šios valstybės narės teritorijoje turėtų „pagrindinę buveinę“ arba kitą buveinę.

     

    3.

    Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip, kad valstybės narės priežiūros institucija, kuri nėra vadovaujanti priežiūros institucija, gali pasinaudoti įgaliojimu atkreipti šios valstybės teisminių institucijų dėmesį į tariamus šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą, kaip tai suprantama pagal šią nuostatą, tiek prieš duomenų valdytojo pagrindinę buveinę, esančią šios institucijos valstybėje narėje, tiek prieš kitą šio duomenų valdytojo buveinę, jeigu ieškinys reiškiamas dėl duomenų tvarkymo, atliekamo šiai buveinei vykdant veiklą, o minėta institucija turi kompetenciją naudotis šiuo įgaliojimu taip, kaip nurodyta atsakyme į pirmąjį klausimą.

     

    4.

    Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip: tuomet, kai valstybės narės priežiūros institucija, kuri nėra „vadovaujanti priežiūros institucija“, kaip tai suprantama pagal šio reglamento 56 straipsnio 1 dalį, pareiškė ieškinį dėl tarpvalstybinio asmens duomenų tvarkymo iki 2018 m. gegužės 25 d., t. y. prieš pradedant taikyti šį reglamentą, ieškinys Sąjungos teisės požiūriu gali būti toliau nagrinėjamas remiantis 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuri tebetaikoma joje įtvirtintų normų pažeidimams, padarytiems iki šios direktyvos panaikinimo, nuostatomis. Be to, tokį ieškinį minėta institucija gali pareikšti dėl pažeidimų, padarytų po šios datos, remdamasi Reglamento 2016/679 58 straipsnio 5 dalimi, jeigu yra susiklosčiusi viena iš situacijų, kai šis reglamentas išimties tvarka suteikia valstybės narės priežiūros institucijai, kuri nėra „vadovaujanti priežiūros institucija“, kompetenciją priimti sprendimą, kuriuo konstatuojama, kad nagrinėjamas duomenų tvarkymas pažeidžia šio reglamento normas, reglamentuojančias fizinių asmenų teises tvarkant asmens duomenis, ir laikomasi pačiame reglamente numatytų bendradarbiavimo ir nuoseklumo užtikrinimo procedūrų, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

     

    5.

    Reglamento 2016/679 58 straipsnio 5 dalis turi būti aiškinama taip, kad ši nuostata veikia tiesiogiai, todėl nacionalinė priežiūros institucija gali ja remtis, siekdama pareikšti ieškinį arba toliau tęsti procesą prieš asmenis, net jeigu ji konkrečiai nebuvo perkelta į atitinkamos valstybės narės teisę.

     

    Parašai.


    ( *1 ) Proceso kalba: nyderlandų.

    Top