Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62019CJ0645

    Tiesas spriedums (virspalāta), 2021. gada 15. jūnijs.
    Facebook Ireland Limited u.c. pret Gegevensbeschermingsautoriteit.
    Hof van beroep te Brussel lūgums sniegt prejudiciālu nolēmumu.
    Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Eiropas Savienības Pamattiesību harta – 7., 8. un 47. pants – Regula (ES) 2016/679 – Personas datu pārrobežu apstrāde – “Vienas pieturas aģentūras” mehānisms – Lojāla un efektīva sadarbība starp uzraudzības iestādēm – Kompetences un pilnvaras – Procesuālā rīcībspēja.
    Lieta C-645/19.

    ECLI identifier: ECLI:EU:C:2021:483

     TIESAS SPRIEDUMS (virspalāta)

    2021. gada 15. jūnijā ( *1 )

    Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Eiropas Savienības Pamattiesību harta – 7., 8. un 47. pants – Regula (ES) 2016/679 – Personas datu pārrobežu apstrāde – “Vienas pieturas aģentūras” mehānisms – Lojāla un efektīva sadarbība starp uzraudzības iestādēm – Kompetences un pilnvaras – Procesuālā rīcībspēja

    Lietā C‑645/19

    par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko hof van beroep te Brussel (Briseles apelācijas tiesa, Beļģija) iesniedza ar lēmumu, kas pieņemts 2019. gada 8. maijā un kas Tiesā reģistrēts 2019. gada 30. augustā, tiesvedībā

    Facebook Ireland Ltd,

    Facebook Inc.,

    Facebook Belgium BVBA

    pret

    Gegevensbeschermingsautoriteit,

    TIESA (virspalāta)

    šādā sastāvā: priekšsēdētājs K. Lēnartss [KLenaerts], priekšsēdētāja vietniece R. Silva de Lapuerta [RSilva de Lapuerta], palātu priekšsēdētāji A. Arabadžijevs [AArabadjiev], A. Prehala [APrechal], M. Vilars [MVilaras], M. Ilešičs [MIlešič] un N. Vāls [NWahl], tiesneši E. Juhāss [EJuhász], D. Švābi [DŠváby], S. Rodins [SRodin], F. Biltšens [FBiltgen], K. Jirimēe [KJürimäe], K. Likurgs [CLycourgos], P. Dž. Švīrebs [P. G. Xuereb] un L. S. Rosi [L. S. Rossi] (referente),

    ģenerāladvokāts: M. Bobeks [M. Bobek],

    sekretāre: M. Ferreira [M. Ferreira], galvenā administratore,

    ņemot vērā rakstveida procesu un 2020. gada 5. oktobra tiesas sēdi,

    ņemot vērā apsvērumus, ko sniedza:

    Facebook Ireland Ltd, Facebook Inc. un Facebook Belgium BVBA vārdā – SRaes, PLefebvre un DVan Liedekerke, advocaten,

    Gegevensbeschermingsautoriteit vārdā – FDebusseré un RRoex, advocaten,

    Beļģijas valdības vārdā – J.‑C. Halleux un PCottin, kā arī CPochet, pārstāvji, kuriem palīdz PPaepe, advocaat,

    Čehijas valdības vārdā – MSmolek, OSerdula un JVláčil, pārstāvji,

    Itālijas valdības vārdā – GPalmieri, pārstāve, kurai palīdz GNatale, avvocato dello Stato,

    Polijas valdības vārdā – BMajczyna, pārstāvis,

    Portugāles valdības vārdā – LInez Fernandes, kā arī A. C. Guerra, PBarros da Costa un LMedeiros, pārstāvji,

    Somijas valdības vārdā – ALaine un MPere, pārstāves,

    Eiropas Komisijas vārdā – HKranenborg, DNardi un PJ. O. Van Nuffel, pārstāvji,

    noklausījusies ģenerāladvokāta secinājumus 2021. gada 13. janvāra tiesas sēdē,

    pasludina šo spriedumu.

    Spriedums

    1

    Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.), 55. panta 1. punktu, 56.–58. un 60.–66. pantu, lasot tos kopsakarā ar Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 7., 8. un 47. pantu.

    2

    Šis lūgums ir iesniegts tiesvedībā starp Facebook Ireland Ltd, Facebook Inc. un Facebook Belgium BVBA, no vienas puses, un Gegevensbeschermingsautoriteit (Datu aizsardzības iestāde, Beļģija; turpmāk tekstā – “DAI”), kas aizstāja Commissie ter bescherming van de persoonlijke levenssfeer (Privātās dzīves aizsardzības komisija, Beļģija; turpmāk tekstā – “PDzAK”), no otras puses, par PDzAK priekšsēdētāja celtu prasību atturēties no noteiktu darbību veikšanas, kas bija vērsta uz to, lai sociālais tīkls Facebook izbeigtu tiešsaistē Beļģijas teritorijā apstrādāt interneta lietotāju personas datus, izmantojot sīkdatnes, sociālos spraudņus (social plug‑ins) un pikseļus.

    Atbilstošās tiesību normas

    Savienības tiesības

    3

    Regulas 2016/679 1., 4., 10., 11., 13., 22., 123., 141. un 145. apsvērumā ir paredzēts:

    “(1)

    Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir pamattiesības. [Hartas] 8. panta 1. punkts un [LESD] 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību.

    [..]

    (4)

    Personas datu apstrāde būtu jāveido tā, lai tā kalpotu cilvēkam. Tiesības uz personas datu aizsardzību nav absolūta prerogatīva; tās ir jāņem vērā saistībā ar to funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām saskaņā ar proporcionalitātes principu. Šajā regulā ir ievērotas visas pamattiesības, brīvības un principi, kas atzīti hartā un ietverti Līgumos, jo īpaši privātās un ģimenes dzīves, mājokļa un saziņas neaizskaramība, personas datu aizsardzība, domu, pārliecības un ticības brīvība, vārda un informācijas brīvība, darījumdarbības brīvība, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu un kultūru, reliģiju un valodu daudzveidība.

    [..]

    (10)

    Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei [Eiropas] Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana. [..]

    (11)

    Lai personas datu aizsardzība visā Savienībā būtu efektīva, nepieciešams stiprināt un sīki noteikt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus un nosaka to apstrādi, kā arī nepieciešams piešķirt arī atbilstošas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu un noteikt atbilstošas sankcijas par pārkāpumiem dalībvalstīs.

    [..]

    (13)

    Lai nodrošinātu fizisku personu konsekventu aizsardzību visā Savienībā un novērstu atšķirības, kas traucē personas datu brīvu apriti iekšējā tirgū, ir nepieciešama regula, lai nodrošinātu juridisko noteiktību un pārredzamību ekonomikas dalībniekiem, tostarp mikrouzņēmumiem, maziem un vidējiem uzņēmumiem, un nodrošinātu fiziskām personām visās dalībvalstīs vienādas juridiski īstenojamas tiesības un pienākumus un pārziņu un apstrādātāju atbildību, nodrošinātu konsekventu personas datu apstrādes uzraudzību un atbilstošas sankcijas visās dalībvalstīs, kā arī efektīvu sadarbību starp uzraudzības iestādēm dažādās dalībvalstīs. [..]

    [..]

    (22)

    Personas datu apstrādei, kas notiek saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbībā Savienībā, būtu jānotiek saskaņā ar šo regulu neatkarīgi no tā, vai pati apstrāde notiek Savienībā. Uzņēmējdarbības veikšana nozīmē efektīvu un faktisku darbību, ko veic pastāvīga vienība. Šādas vienības juridiskā forma neatkarīgi no tā, vai tā ir filiāle vai meitasuzņēmums ar juridiskas personas statusu, minētajā sakarā nav noteicošais faktors.

    [..]

    (123)

    Uzraudzības iestādēm būtu jāuzrauga šīs regulas noteikumu piemērošana un jāveicina tās saskanīga piemērošana visā Savienībā, lai aizsargātu fiziskas personas attiecībā uz viņu personas datu apstrādi un atvieglotu personas datu brīvu apriti iekšējā tirgū. Šajā nolūkā uzraudzības iestādēm būtu jāsadarbojas citai ar citu un ar [Eiropas] Komisiju, neparedzot nepieciešamību pēc nolīgumiem starp dalībvalstīm par savstarpējās palīdzības sniegšanu vai par šādu sadarbību.

    [..]

    (141)

    Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību vienai uzraudzības iestādei, jo īpaši viņa pastāvīgās dzīvesvietas dalībvalstī, un tiesībām uz efektīvu tiesību aizsardzību tiesā saskaņā ar hartas 47. pantu, ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, vai ja uzraudzības iestāde nereaģē uz sūdzību, daļēji vai pilnībā noraida sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības. [..]

    [..]

    (145)

    Tiesvedībā pret pārzini vai apstrādātāju, prasītājam vajadzētu būt izvēles tiesībām vērsties tās dalībvalsts tiesā, kurā atrodas pārziņa vai apstrādātāja uzņēmējdarbības vieta vai kurā atrodas datu subjekta dzīvesvieta, izņemot, ja pārzinis ir dalībvalsts publiska iestāde, kas rīkojas, pildot savas publiskās pilnvaras.”

    4

    Šīs pašas regulas 3. panta “Teritoriālā darbības joma” 1. punktā ir paredzēts:

    “Šo regulu piemēro personas datu apstrādei saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbības vietā Savienībā, neatkarīgi no tā, vai apstrāde notiek vai nenotiek Savienībā.”

    5

    Minētās regulas 4. panta 16. punktā jēdziens “galvenā uzņēmējdarbības vieta” un 23. punktā jēdziens “pārrobežu apstrāde” ir definēti šādi:

    “16) “galvenā uzņēmējdarbības vieta”:

    a)

    attiecībā uz pārzini, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, ja vien lēmumi par personas datu apstrādes nolūkiem un līdzekļiem netiek pieņemti citā pārziņa uzņēmējdarbības vietā Savienībā un ja vien šai citai uzņēmējdarbības vietai nav šādu lēmumu īstenošanas pilnvaru – tādā gadījumā par galveno uzņēmējdarbības vietu uzskata to uzņēmējdarbības vietu, kurā pieņemti šādi lēmumi;

    b)

    attiecībā uz apstrādātāju, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, vai, ja apstrādātājam nav galvenās pārvaldes Savienībā, – apstrādātāja uzņēmējdarbības vieta Savienībā, kur notiek galvenās apstrādes darbības saistībā ar apstrādātāja uzņēmējdarbības vietas darbībām, ciktāl uz apstrādātāju attiecas šajā regulā paredzētie konkrētie pienākumi;

    [..].

    23) “pārrobežu apstrāde” ir vai nu:

    a)

    personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja uzņēmējdarbības vietās vairāk nekā vienā dalībvalstī, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī; vai

    b)

    personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja vienīgajā uzņēmējdarbības vietā, bet kas būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī.”

    6

    Šīs pašas regulas 51. pantā “Uzraudzības iestāde” ir paredzēts:

    “1.   Katra dalībvalsts paredz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par šīs regulas piemērošanas uzraudzību, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar apstrādi un veicinātu personas datu brīvu apriti Savienībā [..].

    2.   Katra uzraudzības iestāde palīdz nodrošināt šīs regulas konsekventu piemērošanu visā Savienībā. Minētajā nolūkā uzraudzības iestādes sadarbojas cita ar citu un ar Komisiju saskaņā ar VII nodaļu.

    [..]”

    7

    Regulas 2016/679 55. pantā “Kompetence” – kas ietilpst šīs regulas VI nodaļā “Neatkarīgas uzraudzības iestādes” – ir noteikts:

    “1.   Katra uzraudzības iestāde savas dalībvalsts teritorijā ir kompetenta pildīt uzticētos uzdevumus un īstenot pilnvaras, ko tai piešķir saskaņā ar šo regulu.

    2.   Ja apstrādi veic publiska iestāde vai privāta struktūra, kas darbojas saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu, par to ir atbildīga attiecīgās dalībvalsts uzraudzības iestāde. Šādos gadījumos 56. pantu nepiemēro.”

    8

    Minētās regulas 56. pantā “Vadošās uzraudzības iestādes kompetence” ir noteikts:

    “1.   Neskarot 55. pantu, galvenās uzņēmējdarbības vietas vai pārziņa vai apstrādātāja darbības vietas uzraudzības iestāde ir kompetenta rīkoties kā vadošā uzraudzības iestāde attiecībā uz minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi saskaņā ar 60. pantā paredzēto procedūru.

    2.   Atkāpjoties no 1. punkta, ikviena uzraudzības iestāde ir kompetenta izskatīt tai iesniegto sūdzību vai iespējamu šīs regulas pārkāpumu, ja lietas priekšmets attiecas vienīgi uz uzņēmējdarbības vietu tās dalībvalstī vai būtiski ietekmē datu subjektus vienīgi tās dalībvalstī.

    3.   Šā panta 2. punktā minētajos gadījumos uzraudzības iestāde nekavējoties par minēto jautājumu informē vadošo uzraudzības iestādi. Trīs nedēļu laikā pēc informēšanas vadošā uzraudzības iestāde nolemj, vai tā izskatīs vai neizskatīs jautājumu saskaņā ar 60. pantā paredzēto procedūru, ņemot vērā to, vai pārzinis vai apstrādātājs veic uzņēmējdarbību tajā dalībvalstī, kuras uzraudzības iestāde sniegusi informāciju.

    4.   Ja vadošā uzraudzības iestāde nolemj izskatīt jautājumu, piemēro 60. pantā paredzēto procedūru. Uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, vadošajai uzraudzības iestādei var iesniegt lēmuma projektu. Vadošā uzraudzības iestāde maksimāli ņem vērā minēto projektu, kad tā izstrādā 60. panta 3. punktā minēto lēmuma projektu.

    5.   Ja vadošā uzraudzības iestāde nolemj neizskatīt jautājumu, tā uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, izskata jautājumu saskaņā ar 61. un 62. pantu.

    6.   Vadošā uzraudzības iestāde ir vienīgais pārziņa vai apstrādātāja partneris saistībā ar minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi.”

    9

    Regulas 2016/679 57. panta “Uzdevumi” 1. punktā ir noteikts:

    “Neskarot citus uzdevumus, kas noteikti ar šo regulu, ikviena uzraudzības iestāde savā teritorijā:

    a)

    uzrauga un īsteno šīs regulas piemērošanu;

    [..]

    g)

    sadarbojas ar citām uzraudzības iestādēm, tostarp apmainās ar informāciju un sniedz savstarpēju palīdzību, lai nodrošinātu konsekventu šīs regulas piemērošanu un izpildi;

    [..].”

    10

    Šīs pašas regulas 58. panta “Pilnvaras” 1., 4. un 5. punktā ir noteikts:

    “1.   Katrai uzraudzības iestādei ir visas šādas izmeklēšanas pilnvaras:

    a)

    izdot rīkojumu pārzinim un apstrādātājam, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvim sniegt visu informāciju, kas nepieciešama tās uzdevumu veikšanai;

    [..]

    d)

    paziņot pārzinim vai apstrādātājam par aizdomām par šīs regulas iespējamu pārkāpšanu;

    [..].

    4.   Uzraudzības iestāde saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības un dalībvalstu tiesību aktos saskaņā ar Hartu.

    5.   Katra dalībvalsts ar tiesību aktiem paredz, ka tās uzraudzības iestādei ir pilnvaras pievērst tiesu iestāžu uzmanību šīs regulas pārkāpumiem un vajadzības gadījumā uzsākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu šīs regulas noteikumus.”

    11

    Regulas 2016/679 VII nodaļā “Sadarbība un konsekvence” ietvertajā 1. iedaļā “Sadarbība” ir šīs regulas 60.–62. pants. Regulas 60. pantā “Sadarbība starp vadošo uzraudzības iestādi un citām attiecīgajām uzraudzības iestādēm” ir noteikts:

    “1.   Vadošā uzraudzības iestāde sadarbojas ar citām attiecīgajām uzraudzības iestādēm saskaņā ar šo pantu nolūkā panākt konsensu. Vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes savstarpēji apmainās ar visu būtisko informāciju.

    2.   Vadošā uzraudzības iestāde jebkurā laikā var lūgt citām attiecīgajām uzraudzības iestādēm sniegt savstarpēju palīdzību saskaņā ar 61. pantu un var veikt kopīgas operācijas saskaņā ar 62. pantu, jo īpaši nolūkā veikt izmeklēšanu vai uzraudzīt pasākuma īstenošanu saistībā ar pārzini vai apstrādātāju, kas veic uzņēmējdarbību citā dalībvalstī.

    3.   Vadošā uzraudzības iestāde nekavējoties nosūta attiecīgo informāciju par lietu citām attiecīgajām uzraudzības iestādēm. Tā nekavējoties nosūta citām attiecīgajām uzraudzības iestādēm lēmuma projektu, lai saņemtu to atzinumu un pienācīgi ņemtu vērā to viedokli.

    4.   Ja kāda no citām attiecīgajām uzraudzības iestādēm četru nedēļu laikā pēc konsultēšanās saskaņā ar šā panta 3. punktu izsaka būtisku un motivētu iebildumu par lēmuma projektu, vadošā uzraudzības iestāde, ja tā neņem vērā būtisku un motivētu iebildumu vai uzskata, ka iebildums nav būtisks vai motivēts, iesniedz lietu izskatīšanai saskaņā ar 63. pantā minēto konsekvences mehānismu.

    5.   Ja vadošā uzraudzības iestāde ir nolēmusi piekrist izteiktajam būtiskajam un motivētajam iebildumam, tā citām attiecīgajām uzraudzības iestādēm nosūta pārskatītu lēmuma projektu atzinuma saņemšanai. Uz minēto pārskatīto lēmuma projektu divu nedēļu laikposmā attiecas 4. punktā minētā procedūra.

    6.   Ja neviena no citām attiecīgajām uzraudzības iestādēm 4. un 5. punktā minētajā laikposmā neiebilst pret vadošās uzraudzības iestādes nosūtīto lēmuma projektu, uzskata, ka vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes ir vienojušās par minēto lēmuma projektu un tas viņām ir saistošs.

    7.   Vadošā uzraudzības iestāde pieņem lēmumu un to paziņo attiecīgi uz pārziņa vai apstrādātāja galveno vai vienīgo uzņēmējdarbības vietu un par minēto lēmumu informē attiecīgās uzraudzības iestādes un [Eiropas datu aizsardzības] kolēģiju, tostarp sniedzot attiecīgo faktu un pamatojumu kopsavilkumu. Uzraudzības iestāde, kurā iesniegta sūdzība, informē sūdzības iesniedzēju par lēmumu.

    8.   Atkāpjoties no 7. punkta, ja sūdzība ir noraidīta, uzraudzības iestāde, kurā bija iesniegta sūdzība, pieņem lēmumu un to paziņo sūdzības iesniedzējam un par to informē pārzini.

    9.   Ja vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes vienojas noraidīt daļu no sūdzības un rīkoties attiecībā uz pārējo minētās sūdzības daļu, par katru no šā jautājuma daļām pieņem atsevišķu lēmumu. [..]

    10.   Pēc vadošās uzraudzības iestādes lēmuma saņemšanas saskaņā ar 7. un 9. punktu pārzinis vai apstrādātājs īsteno vajadzīgos pasākumus, lai nodrošinātu atbilstību šim lēmumam attiecībā uz apstrādes darbībām visās tā uzņēmējdarbības vietās Savienībā. Pārzinis vai apstrādātājs par pasākumiem, kas īstenoti nolūkā nodrošināt atbilstību šim lēmumam, paziņo vadošajai uzraudzības iestādei, kura informē citas attiecīgās uzraudzības iestādes.

    11.   Ja ārkārtas apstākļos attiecīgajai uzraudzības iestādei ir pamats uzskatīt, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu intereses, piemēro 66. pantā minēto steidzamības procedūru.

    [..]”

    12

    Minētās regulas 61. panta “Savstarpēja palīdzība” 1. punktā ir noteikts:

    “Uzraudzības iestādes sniedz cita citai visu attiecīgo informāciju un savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo regulu, un īsteno pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība ietver jo īpaši informācijas pieprasījumus un uzraudzības pasākumus, piemēram, pieprasījumus sniegt iepriekšējas atļaujas un veikt apspriešanos, pārbaudes un izmeklēšanas.”

    13

    Šīs pašas regulas 62. pantā “Uzraudzības iestāžu kopīgās operācijas” ir paredzēts:

    “1.   Uzraudzības iestādes vajadzības gadījumā veic kopīgas operācijas, tostarp kopīgu izmeklēšanu un kopīgus izpildes pasākumus, kuros iesaistās citu dalībvalstu uzraudzības iestāžu locekļi vai personāls.

    2.   Ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairākās dalībvalstīs vai apstrādes darbības var būtiski ietekmēt ievērojamu skaitu datu subjektu vairāk nekā vienā dalībvalstī, uzraudzības iestādei katrā no šīm dalībvalstīm ir tiesības piedalīties kopīgajās operācijās. [..]

    [..]”

    14

    Regulas 2016/679 VII nodaļas 2. iedaļā “Konsekvence” ir šīs regulas 63.–67. pants. Regulas 63. pants “Konsekvences mehānisms” ir formulēts šādi:

    “Lai sekmētu šīs regulas konsekventu piemērošanu visā Savienībā, uzraudzības iestādes sadarbojas cita ar citu un attiecīgā gadījumā ar Komisiju, izmantojot konsekvences mehānismu, kā izklāstīts šajā iedaļā.”

    15

    Saskaņā ar minētās regulas 64. panta 2. punktu:

    “Jebkura uzraudzības iestāde, [Eiropas Datu aizsardzības] kolēģijas priekšsēdētājs vai Komisija var pieprasīt, lai [Eiropas Datu aizsardzības] kolēģija izskata jebkuru jautājumu par vispārējo piemērošanu vai kas rada sekas vairāk nekā vienā dalībvalstī nolūkā saņemt atzinumu, jo īpaši, ja kompetentā uzraudzības iestāde neievēro savstarpējas palīdzības pienākumu saskaņā ar 61. pantu vai kopīgu operāciju pienākumu saskaņā ar 62. pantu.”

    16

    Minētās regulas 65. panta “Strīdu risināšana kolēģijā” 1. punktā ir paredzēts:

    “Lai nodrošinātu šīs regulas pareizu un konsekventu piemērošanu katrā atsevišķā gadījumā, [Eiropas Datu aizsardzības] kolēģija pieņem saistošu lēmumu šādos gadījumos:

    a)

    ja 60. panta 4. punktā minētajā gadījumā attiecīgā uzraudzības iestāde ir cēlusi būtisku un motivētu iebildumu pret vadošās iestādes lēmuma projektu vai vadošā iestāde ir noraidījusi šādu iebildumu kā nebūtisku vai nemotivētu. Saistošais lēmums skar visus jautājumus, kas ir būtiskā un motivētā iebilduma priekšmets, jo īpaši jautājumu par to, vai ir pārkāpta šī regula;

    b)

    ja ir pretēji viedokļi par to, kurai attiecīgajai uzraudzības iestādei ir kompetence par galveno uzņēmējdarbības vietu;

    [..].”

    17

    Regulas 2016/679 66. panta “Steidzamības procedūra” 1. un 2. punktā ir noteikts:

    “1.   Ārkārtas apstākļos, ja kāda attiecīgā uzraudzības iestāde uzskata, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu tiesības un brīvības, tā, atkāpjoties no 63., 64. un 65. pantā minētā konsekvences mehānisma vai 60. pantā minētās procedūras, var nekavējoties pieņemt pagaidu pasākumus, kuru nolūks ir radīt tiesiskas sekas savā teritorijā, norādot konkrētu spēkā esamības laikposmu, kas nepārsniedz trīs mēnešus. Uzraudzības iestāde šos pasākumus un to pieņemšanas iemeslus nekavējoties dara zināmus citām attiecīgajām uzraudzības iestādēm, [Eiropas Datu aizsardzības] kolēģijai un Komisijai.

    2.   Ja uzraudzības iestāde ir pieņēmusi pasākumu saskaņā ar 1. punktu un uzskata, ka ir steidzami jāpieņem galīgie pasākumi, tā var lūgt steidzamu atzinumu vai steidzamu saistošu lēmumu no [Eiropas Datu aizsardzības] kolēģijas, pamatojot šāda atzinuma vai lēmuma nepieciešamību.”

    18

    Šīs regulas 77. pantā “Tiesības iesniegt sūdzību uzraudzības iestādē” ir noteikts, ka:

    “1.   Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, jo īpaši tajā dalībvalstī, kurā ir viņa pastāvīgā dzīvesvieta, darbavieta vai iespējamā pārkāpuma izdarīšanas vieta, ja datu subjekts uzskata, ka viņa personas datu apstrāde pārkāpj šo regulu.

    2.   Uzraudzības iestāde, kurā ir iesniegta sūdzība, informē sūdzības iesniedzēju par sūdzības izskatīšanas virzību un iznākumu, tostarp par tiesību aizsardzības tiesā iespēju saskaņā ar 78. pantu.”

    19

    Minētās regulas 78. pantā “Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi” ir paredzēts, ka:

    “1.   Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katrai fiziskai vai juridiskai personai ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas skar minētās personas.

    2.   Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katram datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja uzraudzības iestāde, kas ir kompetenta, ievērojot 55. un 56. pantu, trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības, kas iesniegta, ievērojot 77. pantu, izskatīšanas virzību vai rezultātiem.

    3.   Tiesvedību pret uzraudzības iestādi uzsāk tās dalībvalsts tiesā, kurā atrodas uzraudzības iestāde.

    4.   Ja tiesvedību sāk par uzraudzības iestādes lēmumu, pirms kura pieņemšanas [Eiropas Datu aizsardzības] kolēģija saistībā ar konsekvences mehānismu bija nākusi klajā ar atzinumu vai pieņēmusi lēmumu, tad uzraudzības iestāde minēto atzinumu vai lēmumu nosūta tiesai.”

    20

    Šīs regulas 79. pantā “Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju” ir noteikts:

    “1.   Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 77. pantu, ikvienam datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, tādas viņa personas datu apstrādes rezultātā, kura neatbilst šai regulai.

    2.   Prasību pret pārzini vai apstrādātāju ceļ tās dalībvalsts tiesā, kurā atrodas pārziņa vai apstrādātāja uzņēmējdarbības vieta. Alternatīvi šādu prasību var celt tās dalībvalsts tiesās, kur atrodas datu subjekta pastāvīgā dzīvesvieta, izņemot, ja pārzinis vai apstrādātājs ir dalībvalsts publiska iestāde, kas rīkojas, pildot savas publiskās pilnvaras.”

    Beļģijas tiesības

    21

    Ar 1992. gada 8. decembrawet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Likums par privātās dzīves aizsardzību personas datu apstrādē) (Belgisch Staatsblad, 1993. gada 18. marts, 5801. lpp.), kurā grozījumi izdarīti ar 1998. gada 11. decembra likumu (Belgisch Staatsblad, 1999. gada 3. februāris, 3049. lpp.; turpmāk tekstā – “1992. gada 8. decembra likums), Beļģijas tiesībās tika transponēta Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.).

    22

    Ar 1992. gada 8. decembra likumu tika izveidota PDzAK, kas ir neatkarīga iestāde, kuras uzdevums ir nodrošināt, lai personas dati tiktu apstrādāti, ievērojot šo likumu, tādējādi aizsargājot pilsoņu privāto dzīvi.

    23

    1992. gada 8. decembra likuma 32. panta 3. punktā bija paredzēts:

    “Neskarot vispārējās piekritības tiesu jurisdikciju attiecībā uz privātuma aizsardzības pamatprincipu piemērošanu, [PDzAK] priekšsēdētājs var vērsties pirmās instances tiesā saistībā ar jebkuru strīdu jautājumā par šā likuma un tā īstenošanas pasākumu piemērošanu.”

    24

    Ar 2017. gada 3. decembrawet tot oprichting van de Gegevensbeschermingsautoriteit (Likums par datu aizsardzības iestādes izveidi) (Belgisch Staatsblad, 2018. gada 10. janvāris, 989. lpp.; turpmāk tekstā – “2017. gada 3. decembra likums”), kas stājās spēkā 2018. gada 25. maijā, tika izveidota DAI kā uzraudzības iestāde Regulas 2016/679 izpratnē.

    25

    2017. gada 3. decembra likuma 3. pantā ir paredzēts:

    “Pārstāvju palātā izveido “Datu aizsardzības iestādi”. Tā aizstāj [PDzAK].”

    26

    2017. gada 3. decembra likuma 6. pantā ir noteikts:

    “[DAI] ir tiesīga vērst tiesu iestāžu uzmanību, ja tiek pārkāpti šajā tiesību aktā un citos tiesību aktos, kas satur noteikumus par personas datu apstrādes aizsardzību, noteiktie personas datu aizsardzības pamatprincipi, un attiecīgā gadījumā sākt tiesvedību, lai šie pamatprincipi tiktu piemēroti.”

    27

    Neviena īpaša tiesību norma nav paredzēta attiecībā uz tiesvedībām, kuras PDzAK priekšsēdētājs jau bija sācis līdz 2018. gada 25. maijam, pamatojoties uz 1992. gada 8. decembra likuma 32. panta 3. punktu. Attiecībā tikai uz sūdzībām vai pieteikumiem, kas iesniegti pašā DAI, 2017. gada 3. decembra likuma 112. pantā ir noteikts:

    “VI nodaļa neattiecas uz sūdzībām vai pieteikumiem, kas vēl tiek izskatīti [DAI] brīdī, kad stājas spēkā šis likums. Pirmajā daļā minētās sūdzības vai pieteikumus [DAI] izskata kā [PDzAK] tiesību pārņēmēja saskaņā ar procedūru, kas bija piemērojama pirms šā likuma stāšanās spēkā.”

    28

    1992. gada 8. decembra likums tika atcelts ar 2018. gada 30. jūlijawet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Likums par fizisko personu aizsardzību attiecībā uz personas datu apstrādi; Belgisch Staatsblad, 2018. gada 5. septembris, 68616. lpp.; turpmāk tekstā – “2018. gada 30. jūlija likums”). Šī pēdējā minētā likuma mērķis ir Beļģijas tiesībās īstenot Regulas 2016/679 normas, kurās dalībvalstīm ir noteikts pienākums vai ļauts pieņemt detalizētākus noteikumus papildus šai regulai.

    Pamatlieta un prejudiciālie jautājumi

    29

    2015. gada 11. septembrī PDzAK priekšsēdētājs pret Facebook Ireland, Facebook Inc. un Facebook Belgium cēla Nederlandstalige rechtbank van eerste aanleg Brussel (Briseles pirmās instances tiesa, kurā tiesvedība noris holandiešu valodā, Beļģija) prasību par atturēšanos no noteiktām darbībām. Tā kā PDzAK nav juridiskas personas statusa, tās priekšsēdētājam bija jāceļ prasība, lai nodrošinātu tiesību aktu par personas datu aizsardzību ievērošanu. Tomēr pati PDzAK lūdza atļauju iestāties tās priekšsēdētāja sāktajā tiesvedībā.

    30

    Šīs prasības par atturēšanos no noteiktām darbībām mērķis bija izbeigt to, ko PDzAK citastarp ir raksturojusi kā “tiesību aktu privātās dzīves aizsardzības jomā smagu pārkāpumu, ko plašā mērogā izdarījusi Facebook”, ko veido tas, ka šis sociālais tīkls, izmantojot tādas tehnoloģijas kā sīkdatnes, sociālos spraudņus (piemēram, pogas “patīk” vai “dalīties”) vai pikseļus, tiešsaistē vāc informāciju gan par Facebook konta turētāju, gan arī personu, kuras neizmanto Facebook pakalpojumus, tīklklejošanas darbībām. Šie elementi ļauj attiecīgajam sociālajam tīklam iegūt noteiktus datus no interneta lietotāja, kurš apmeklē tīmekļvietni, kurā ievietoti šie tehniskie rīki, piemēram, šīs lapas adresi, minētās lapas apmeklētāja “IP adresi”, kā arī attiecīgās vietnes aplūkošanas datumu un laiku.

    31

    Ar 2018. gada 16. februāra spriedumu Nederlandstalige rechtbank van eerste aanleg Brussel (Briseles pirmās instances tiesa, kurā tiesvedība noris holandiešu valodā) atzina savu kompetenci izskatīt minēto prasību par atturēšanos no noteiktām darbībām, ciktāl tā attiecās uz Facebook Ireland, Facebook Inc. un Facebook Belgium, bet PDzAK iesniegto pieteikumu par iestāšanos lietā atzina par nepieņemamu.

    32

    Pēc būtības šī tiesa nosprieda, ka attiecīgais sociālais tīkls pietiekami neinformē Beļģijas interneta lietotājus par minētās informācijas vākšanu un šīs informācijas izmantošanu. Turklāt interneta lietotāju dotā piekrišana minētās informācijas vākšanai un apstrādei tika atzīta par nederīgu. Līdz ar to tā uzdeva Facebook Ireland, Facebook Inc. un Facebook Belgium, pirmkārt, attiecībā uz ikvienu Beļģijā reģistrētu interneta lietotāju izbeigt bez viņa piekrišanas izvietot sīkdatnes, kuras ir aktīvas divus gadus ierīcē, ko šī persona izmanto, pārvietojoties Facebook.com domēna nosaukuma tīmekļvietnē vai nonākot trešās personas tīmekļvietnē, kā arī ievietot sīkdatnes un ar sociālā tīkla Facebook mērķiem nesamērīgi lielā apmērā vākt datus ar sociālajiem spraudņiem, pikseļiem vai tamlīdzīgiem tehniskiem līdzekļiem trešo personu tīmekļvietnēs, otrkārt, izbeigt sniegt informāciju, kas attiecīgās personas varētu ticami maldināt par šī sociālā tīkla piedāvāto sīkdatņu izmantošanas mehānismu faktiskajām iespējām un, treškārt, iznīcināt visus ar sīkdatnēm un sociālajiem spraudņiem iegūtos personas datus.

    33

    2018. gada 2. martāFacebook Ireland, Facebook Inc. un Facebook Belgium pārsūdzēja šo spriedumu hof van beroep te Brussel (Briseles apelācijas tiesa, Beļģija). Šajā tiesā DAI piedalās tiesvedībā gan kā PDzAK priekšsēdētāja, kurš bija cēlis prasību par atturēšanos no noteiktām darbībām, gan pašas PDzAK tiesību pārņēmēja.

    34

    Iesniedzējtiesa atzina, ka tās kompetencē ir lemt par iesniegto apelācijas sūdzību, ciktāl tā attiecas uz Facebook Belgium. Turpretī tā atzina, ka tās kompetencē neietilpst izskatīt šo apelācijas sūdzību attiecībā uz Facebook Ireland un Facebook Inc.

    35

    Pirms pamatlieta tiek izskatīta pēc būtības, iesniedzējtiesa vēlas noskaidrot, vai DAI ir nepieciešamā interese celt prasību un locus standi. Facebook Belgium uzskata, ka celtā prasība par atturēšanos no noteiktām darbībām esot nepieņemama, ciktāl tā attiecas uz faktiem, kas notikuši līdz 2018. gada 25. maijam, jo, stājoties spēkā 2017. gada 3. decembra likumam un Regulai 2016/679, 1992. gada 8. decembra likuma 32. panta 3. punkts, kas ir šādas prasības celšanas juridiskais pamats, esot ticis atcelts. Attiecībā uz faktiem, kas notikuši pēc 2018. gada 25. maija, Facebook Belgium apgalvo, ka DAI neesot kompetences un tai neesot tiesību celt šo prasību, ņemot vērā “vienas pieturas aģentūras” mehānismu, kas tagad ir paredzēts saskaņā ar Regulas 2016/679 normām. Pamatojoties uz šīm tiesību normām, vienīgi Data Protection Commissioner (Datu aizsardzības komisārs, Īrija) kompetencē esot celt prasību pret Facebook Ireland par atturēšanos no noteiktām darbībām, jo tas esot vienīgais attiecīgā sociālā tīkla lietotāju personas datu apstrādes pārzinis Savienībā.

    36

    Iesniedzējtiesa nosprieda, ka DAI nebija pamatojusi interesi celt šo prasību par atturēšanos no noteiktām darbībām, ciktāl tā attiecās uz faktiem, kas notikuši līdz 2018. gada 25. maijam. Attiecībā uz faktiem, kas notikuši pēc šī datuma, iesniedzējtiesai tomēr ir šaubas par Regulas 2016/679 stāšanās spēkā ietekmi, it īpaši par šajā regulā paredzētā “vienas pieturas aģentūras” mehānisma piemērošanas ietekmi uz DAI pilnvarām, kā arī par tās pilnvarām celt šādu prasību par atturēšanos no noteiktām darbībām.

    37

    Konkrēti iesniedzējtiesa uzskata, ka tagad rodas jautājums, vai par faktiem, kas notikuši pēc 2018. gada 25. maija, DAI var celt prasību pret Facebook Belgium, jo kā personas datu pārzine ir identificēta Facebook Ireland. Kopš šī datuma un saskaņā ar “vienas pieturas aģentūras” principu, šķiet, saskaņā ar Regulas 2016/679 56. pantu kompetence ir vienīgi Datu aizsardzības komisāram, kura lēmumi ir pārskatāmi tikai Īrijas tiesās.

    38

    Iesniedzējtiesa atgādina, ka 2018. gada 5. jūnija spriedumā Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388) Tiesa ir nospriedusi, ka izskatīt strīdu personas datu aizsardzības jomā ietilpst “Vācijas uzraudzības iestādes” kompetencē, lai gan datu apstrādes pārziņa juridiskā adrese ir Īrijā un tā meitasuzņēmums, kura juridiskā adrese ir Vācijā, proti, Facebook Germany GmbH, Vācijā veica tikai reklāmas laukumu pārdošanas un citas mārketinga darbības.

    39

    Tomēr lietā, kurā tika pasludināts minētais spriedums, Tiesai bija iesniegts lūgums sniegt prejudiciālu nolēmumu par to, kā interpretējamas ar Regulu 2016/679 atceltās Direktīvas 95/46 normas. Iesniedzējtiesa jautā, cik lielā mērā interpretācijai, ko Tiesa ir sniegusi minētajā spriedumā, vēl ir nozīme attiecībā uz Regulas 2016/679 piemērošanu.

    40

    Iesniedzējtiesa min arī Bundeskartellamt (Federālais karteļu birojs, Vācija) 2019. gada 6. februāra lēmumu (tā saukto “Facebook lēmumu”), kurā šī konkurences iestāde būtībā uzskatīja, ka attiecīgais uzņēmums ļaunprātīgi izmantoja savu stāvokli, apkopojot no dažādiem avotiem iegūtus datus, kam turpmāk vajadzētu notikt tikai ar lietotāju skaidru piekrišanu, ņemot vērā, ka lietotājam, kurš tam nepiekrīt, nevar liegt izmantot Facebook pakalpojumus. Iesniedzējtiesa norāda, ka minētā konkurences iestāde acīmredzami uzskatīja sevi par kompetentu, neraugoties uz “vienas pieturas aģentūras” mehānismu.

    41

    Turklāt iesniedzējtiesa uzskata, ka 2017. gada 3. decembra likuma 6. pants, kurā DAI principā ir atļauts attiecīgā gadījumā sākt tiesvedību, nenozīmē, ka prasība tai jebkādā gadījumā ir jāceļ [vienīgi] Beļģijas tiesās, jo “vienas pieturas aģentūras” mehānisms, šķiet, paredz, ka šāda prasība ir jāceļ tās vietas tiesā, kur tiek veikta datu apstrāde.

    42

    Šādos apstākļos hof van beroep te Brussel (Briseles Apelācijas tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

    “1)

    Vai [Regulas 2016/679] 55. panta 1. punkts, 56.–58. un 60.–66. pants saistībā ar [Hartas] 7., 8. un 47. pantu ir jāinterpretē tādējādi, ka uzraudzības iestāde, kas saskaņā ar šīs regulas 58. panta 5. punkta izpildei pieņemtiem valsts tiesību aktiem ir pilnvarota celt prasību savas dalībvalsts tiesā šīs regulas pārkāpuma gadījumā, nedrīkst izmantot šīs pilnvaras pārrobežu apstrādes kontekstā, ja vien tā nav vadošā uzraudzības iestāde šajā pārrobežu apstrādes gadījumā?

    2)

    Vai atbilde uz pirmo jautājumu būtu citādāka, ja par šo pārrobežu apstrādi atbildīgajam pārzinim šajā dalībvalstī nav galvenā, bet gan cita veida uzņēmējdarbības vieta?

    3)

    Vai atbilde uz pirmo jautājumu būtu citādāka, ja valsts uzraudzības iestāde celtu prasību pret šo pašu datu pārrobežu apstrādes pārzini tā galvenajā uzņēmējdarbības vietā, nevis pret tā uzņēmumu savā dalībvalstī?

    4)

    Vai atbilde uz pirmo jautājumu būtu citādāka, ja valsts uzraudzības iestāde ir cēlusi prasību jau pirms datuma, kad [Regula 2016/679] kļuva piemērojama (2018. gada 25. maijs)?

    5)

    Ja atbilde uz pirmo jautājumu ir apstiprinoša: vai Regulas 2016/679 58. panta 5. punkta normai ir tieša iedarbība, tā, ka valsts uzraudzības iestāde var atsaukties uz šo normu, lai celtu vai uzturētu prasību pret privātpersonām, pat ja Regulas 2016/679 58. panta 5. punkta norma nav transponēta valsts tiesību aktos, kaut arī ir pienākums to darīt?

    6)

    Ja atbildes uz iepriekšējiem jautājumiem ir apstiprinošas: vai šādu tiesvedību rezultāts var liegt vadošajai uzraudzības iestādei secināt pretējo, ja šī vadošā uzraudzības iestāde pārbauda tās pašas vai līdzīgas pārrobežu apstrādes darbības saskaņā ar mehānismu, kas paredzēts Regulas 2016/679 56. un 60. pantā?”

    Par prejudiciālajiem jautājumiem

    Par pirmo jautājumu

    43

    Ar pirmo jautājumu iesniedzējtiesa būtībā jautā, vai Regulas 2016/679 55. panta 1. punkts, 56.–58. pants un 60.–66. pants, lasot tos kopsakarā ar Hartas 7., 8. un 47. pantu, ir jāinterpretē tādējādi, ka dalībvalsts uzraudzības iestāde, kas saskaņā ar šīs regulas 58. panta 5. punkta īstenošanai pieņemtajiem valsts tiesību aktiem ir pilnvarota vērst dalībvalsts tiesu iestāžu uzmanību uz jebkuru iespējamu minētās regulas pārkāpumu un kura attiecīgā gadījumā var sākt tiesvedību, šīs pilnvaras var īstenot arī attiecībā uz datu pārrobežu apstrādi, kaut arī tā attiecībā uz šādu datu apstrādi nav “vadošā uzraudzības iestāde” šīs regulas 56. panta 1. punkta izpratnē.

    44

    Šajā ziņā vispirms ir svarīgi atgādināt, ka, pirmkārt, atšķirībā no Direktīvas 95/46, kas tika pieņemta, pamatojoties uz EK līguma 100.a pantu par kopējā tirgus saskaņošanu, Regulas 2016/679 juridiskais pamats ir LESD 16. pants, kurā ir paredzētas ikvienas personas tiesības uz personas datu aizsardzību un Eiropas Parlamentam un Eiropas Savienības Padomei ir atļauts paredzēt noteikumus par fizisko personu aizsardzību attiecībā uz Savienības iestāžu un struktūru veikto personas datu apstrādi, kā arī personas datu apstrādi, ko veic dalībvalstis, īstenojot Savienības tiesību piemērošanas jomā ietilpstošas darbības, un noteikumus par šādu datu brīvu apriti. Otrkārt, šīs regulas 1. apsvērumā ir apstiprināts, ka “fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir pamattiesības”, un atgādināts, ka Hartas 8. panta 1. punktā, kā arī LESD 16. panta 1. punktā ir paredzētas ikvienas personas tiesības uz savu personas datu aizsardzību.

    45

    Līdz ar to, kā izriet no Regulas 2016/679 1. panta 2. punkta, lasot to kopsakarā ar šīs regulas 10., 11. un 13. apsvērumu, ar šo regulu Savienības iestādēm un struktūrām, kā arī dalībvalstu kompetentajām iestādēm ir uzlikts pienākums nodrošināt augstu LESD 16. pantā un Hartas 8. pantā garantēto tiesību aizsardzības līmeni.

    46

    Turklāt, kā noteikts šīs regulas 4. apsvērumā, tajā ir ievērotas visas Hartā atzītās pamattiesības, brīvības un principi.

    47

    Tieši ar šādu domu Regulas 2016/679 55. panta 1. punktā ir noteikta katras uzraudzības iestādes principiālā kompetence tai saskaņā ar šo regulu uzticētos uzdevumus un pilnvaras īstenot savas dalībvalsts teritorijā (šajā nozīmē skat. spriedumu, 2020. gada 16. jūlijs, Facebook Ireland un Schrems, C‑311/18, EU:C:2020:559, 147. punkts).

    48

    Viens no šīm uzraudzības iestādēm uzticētajiem uzdevumiem citstarp ir Regulas 2016/679 57. panta 1. punkta a) apakšpunktā paredzētais uzdevums uzraudzīt un īstenot šīs regulas piemērošanu, kā arī šīs pašas regulas 57. panta 1. punkta g) apakšpunktā paredzētais uzdevums sadarboties ar citām uzraudzības iestādēm, tostarp apmainīties ar informāciju un sniegt savstarpēju palīdzību, lai nodrošinātu konsekventu minētās regulas piemērošanu un šai nolūkā pieņemto pasākumu izpildi. Šo uzdevumu veikšanas vajadzībām šīm uzraudzības iestādēm starp piešķirtajām pilnvarām ir dažādas izmeklēšanas pilnvaras, kas paredzētas Regulas 2016/679 58. panta 1. punktā, kā arī šīs regulas 58. panta 5. punktā ietvertās pilnvaras vērst tiesu iestāžu uzmanību uz jebkādiem šīs regulas pārkāpumiem un vajadzības gadījumā sākt tiesvedību, lai piemērotu minētās regulas noteikumus.

    49

    Tomēr, lai varētu pildīt šos uzdevumus un īstenot šīs pilnvaras, ir vajadzīgs, lai uzraudzības iestādei būtu kompetence attiecībā uz kādu noteiktu datu apstrādi.

    50

    Šajā ziņā, neskarot Regulas 2016/679 55. panta 1. punktā paredzēto kompetences noteikumu, šīs regulas 56. panta 1. punktā attiecībā uz “pārrobežu apstrādi” tās 4. panta 23. punkta izpratnē ir paredzēts “vienas pieturas aģentūras” mehānisms, kura pamatā ir pilnvaru sadale starp “vadošo uzraudzības iestādi” un citām attiecīgajām uzraudzības iestādēm. Saskaņā ar šo mehānismu pārziņa vai apstrādātāja galvenās uzņēmējdarbības vietas vai vienīgās darbības vietas uzraudzības iestāde ir kompetenta rīkoties kā vadošā uzraudzības iestāde attiecībā uz minētā pārziņa vai apstrādātāja veikto pārrobežu apstrādi saskaņā ar minētās regulas 60. pantā paredzēto procedūru.

    51

    Minētajā pantā ir paredzēta sadarbība starp vadošo uzraudzības iestādi un citām attiecīgajām uzraudzības iestādēm. Šīs procedūras ietvaros vadošajai uzraudzības iestādei citastarp ir jācenšas panākt vienprātību. Šai nolūkā saskaņā ar Regulas 2016/679 60. panta 3. punktu tā nekavējoties nosūta citām attiecīgajām uzraudzības iestādēm lēmuma projektu, lai saņemtu to atzinumu, un pienācīgi ņem vērā to viedokli.

    52

    Konkrētāk no Regulas 2016/679 56. un 60. panta izriet, ka “pārrobežu apstrādes gadījumā” tās 4. panta 23. punkta izpratnē – ar šīs regulas 56. panta 2. punktā paredzēto izņēmumu – dažādajām valstu uzraudzības iestādēm ir šajās tiesību normās paredzētajā kārtībā jāsadarbojas, lai panāktu vienprātību un vienotu lēmumu, kas ir saistošs visām šīm iestādēm un kura ievērošana pārzinim ir jānodrošina attiecībā uz apstrādes darbībām, kas veiktas visu tā Savienībā esošo uzņēmējdarbības vietu ietvaros. Turklāt minētās regulas 61. panta 1. punktā uzraudzības iestādēm ir noteikts pienākums citastarp sniegt noderīgu informāciju, kā arī sniegt savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo regulu visā Savienībā. Regulas 2016/679 63. pantā ir precizēts, ka tieši šim nolūkam ir paredzēts konsekvences mehānisms, kas ir noteikts tās 64. un 65. pantā (spriedums, 2019. gada 24. septembris, Google (Atsauču atsaistīšanas teritoriālā piemērojamība), C‑507/17, EU:C:2019:772, 68. punkts).

    53

    Tāpēc “vienas pieturas aģentūras” mehānisma piemērošanai, kā tas ir apstiprināts Regulas 2016/679 13. apsvērumā, ir nepieciešama lojāla un efektīva sadarbība starp vadošo uzraudzības iestādi un pārējām attiecīgajām uzraudzības iestādēm. Tādēļ, kā ģenerāladvokāts ir norādījis secinājumu 111. punktā, vadošā uzraudzības iestāde nevar neņemt vērā citu attiecīgo uzraudzības iestāžu viedokli, un jebkurš būtisks un motivēts iebildums, ko izteikusi kāda no šīm iestādēm, vismaz uz laiku bloķē vadošās uzraudzības iestādes lēmuma projekta pieņemšanu.

    54

    Tādējādi saskaņā ar Regulas 2016/679 60. panta 4. punktu, ja kāda no citām attiecīgajām uzraudzības iestādēm četru nedēļu laikā pēc konsultēšanās iesniedz šādu būtisku un motivētu iebildumu attiecībā uz lēmuma projektu, vadošā uzraudzības iestāde – ja tā vai nu neņem vērā būtisko un motivēto iebildumu, vai uzskata, ka iebildums nav būtisks vai motivēts, ‑ iesniedz lietu izskatīšanai saskaņā ar 63. pantā minēto konsekvences mehānismu, lai no Eiropas Datu aizsardzības kolēģijas saņemtu saistošu lēmumu, kas pieņemts, pamatojoties uz minētās regulas 65. panta 1. punkta a) apakšpunktu.

    55

    Saskaņā ar Regulas 2016/679 60. panta 5. punktu, ja vadošā uzraudzības iestāde ir nolēmusi piekrist izteiktajam būtiskajam un motivētajam iebildumam, tā citām attiecīgajām uzraudzības iestādēm nosūta pārskatītu lēmuma projektu atzinuma saņemšanai. Uz šo pārskatīto lēmuma projektu divu nedēļu laikposmā attiecas šīs regulas 60. panta 4. punktā minētā procedūra.

    56

    Atbilstoši minētās regulas 60. panta 7. punktam vadošā uzraudzības iestāde ir tā, kurai ir principā jāpieņem lēmums par attiecīgo datu pārrobežu apstrādi un tas jāpaziņo attiecīgi uz pārziņa vai apstrādātāja galveno vai vienīgo uzņēmējdarbības vietu, un par minēto lēmumu jāinformē pārējās attiecīgās uzraudzības iestādes un Eiropas Datu aizsardzības kolēģija, tostarp sniedzot attiecīgo faktu un pamatojumu kopsavilkumu.

    57

    Tomēr ir jāuzsver, ka Regulā 2016/679 ir paredzēti izņēmumi no principa par vadošās uzraudzības iestādes lēmumpieņemšanas kompetenci minētās regulas 56. panta 1. punktā paredzētā “vienas pieturas aģentūras” mehānisma ietvaros.

    58

    Šo izņēmumu vidū ir, pirmkārt, Regulas 2016/679 56. panta 2. punkts, kurā ir paredzēts, ka uzraudzības iestādei, kas nav vadošā uzraudzības iestāde, ir kompetence izskatīt tai iesniegtu sūdzību par personas datu pārrobežu apstrādi vai iespējamu šīs regulas pārkāpumu, ja lietas priekšmets attiecas vienīgi uz uzņēmējdarbības vietu tās dalībvalstī vai būtiski ietekmē datu subjektus vienīgi tās dalībvalstī.

    59

    Otrkārt, Regulas 2016/679 66. pantā, atkāpjoties no šīs regulas 60. un 63.–65. pantā minētajiem konsekvences mehānismiem, ir paredzēta steidzamības procedūra. Šī steidzamības procedūra izņēmuma gadījumos, ja attiecīgā uzraudzības iestāde uzskata, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu tiesības un brīvības, tai ļauj nekavējoties pieņemt pagaidu pasākumus, kuru nolūks ir radīt tiesiskas sekas savā teritorijā, norādot konkrētu spēkā esamības laikposmu, kas nepārsniedz trīs mēnešus, un turklāt Regulas 2016/679 66. panta 2. punktā ir paredzēts, ka, ja uzraudzības iestāde ir pieņēmusi pasākumu saskaņā ar 1. punktu un uzskata, ka ir steidzami jāpieņem galīgie pasākumi, tā var lūgt steidzamu atzinumu vai steidzamu saistošu lēmumu no Eiropas Datu aizsardzības kolēģijas, pamatojot šāda atzinuma vai lēmuma nepieciešamību.

    60

    Tomēr šī uzraudzības iestāžu kompetence ir jāīsteno, ievērojot lojālas un efektīvas sadarbības ar vadošo uzraudzības iestādi prasību atbilstoši Regulas 2016/679 56. panta 3.–5. punktā paredzētajai procedūrai. Šajā gadījumā saskaņā ar šīs regulas 56. panta 3. punktu attiecīgajai uzraudzības iestādei nekavējoties ir jāinformē vadošā uzraudzības iestāde, kura trīs nedēļu laikā pēc tās informēšanas lemj par to, vai tā izskatīs attiecīgo jautājumu.

    61

    Saskaņā ar Regulas 2016/679 56. panta 4. punktu, ja vadošā uzraudzības iestāde nolemj izskatīt šo jautājumu, ir piemērojama šīs regulas 60. pantā paredzētā sadarbības procedūra. Šajā kontekstā uzraudzības iestāde, kas ir informējusi vadošo uzraudzības iestādi, var tai iesniegt lēmuma projektu un tai ir maksimāli jāņem vērā šis projekts, kad tā izstrādā minētās regulas 60. panta 3. punktā minēto lēmuma projektu.

    62

    Savukārt saskaņā ar Regulas 2016/679 56. panta 5. punktu, ja vadošā uzraudzības iestāde nolemj neizskatīt jautājumu, uzraudzības iestāde, kas to ir informējusi, izskata to saskaņā ar šīs regulas 61. un 62. pantu, kuros uzraudzības iestādēm ir prasīts ievērot savstarpējās palīdzības un sadarbības noteikumus kopīgo operāciju ietvaros, lai nodrošinātu efektīvu sadarbību starp attiecīgajām iestādēm.

    63

    No iepriekš minētā izriet, ka, pirmkārt, personas datu pārrobežu apstrādes jomā vadošās uzraudzības iestādes kompetence pieņemt lēmumu, ar kuru tiek konstatēts, ka ar šādu apstrādi netiek ievēroti Regulā 2016/679 ietvertie noteikumi par fizisko personu tiesību aizsardzību attiecībā uz personas datu apstrādi, ir pamatnoteikums, savukārt citu attiecīgo uzraudzības iestāžu kompetence pieņemt šādu lēmumu – pat pagaidu kārtā – ir izņēmums. Otrkārt, lai arī vadošās uzraudzības iestādes kompetence ir apstiprināta Regulas 2016/679 56. panta 6. punktā, saskaņā ar kuru vadošā uzraudzības iestāde ir personas datu apstrādātāja vai apstrādātāja “vienīgais partneris” par šī pārziņa vai apstrādātāja veiktu pārrobežu apstrādi, šai iestādei minētā kompetence ir jāīsteno ciešā sadarbībā ar citām attiecīgajām uzraudzības iestādēm. Konkrēti, kā norādīts šī sprieduma 53. punktā, savu pilnvaru īstenošanā vadošā uzraudzības iestāde nevar atmest būtisko dialogu, kā arī lojālu un efektīvu sadarbību ar citām attiecīgajām uzraudzības iestādēm.

    64

    Šajā ziņā no Regulas 2016/679 10. apsvēruma izriet, ka tās mērķis citastarp ir visā Savienībā nodrošināt, ka noteikumi par fizisko personu pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi tiek piemēroti vienveidīgi, un novērst šķēršļus personas datu apritei Savienībā.

    65

    Taču gan šā mērķa sasniegšana, gan “vienas pieturas aģentūras” mehānisma lietderīgā iedarbība varētu tikt apdraudētas, ja uzraudzības iestāde, kas saistībā ar pārrobežu datu apstrādi nav vadošā uzraudzības iestāde, varētu īstenot Regulas 2016/679 58. panta 5. punktā paredzētās pilnvaras gadījumos, kad tā nav kompetenta pieņemt tādu lēmumu, kāds ir minēts šī sprieduma 63. punktā. Šādu pilnvaru īstenošanas mērķis ir panākt saistošu tiesas nolēmumu, kas minēto mērķi, kā arī šo mehānismu var apdraudēt tikpat lielā mērā kā lēmums, ko pieņēmusi uzraudzības iestāde, kas nav vadošā uzraudzības iestāde.

    66

    Pretēji tam, ko apgalvo DAI, apstāklis, ka dalībvalsts uzraudzības iestāde, kas nav vadošā uzraudzības iestāde, Regulas 2016/679 58. panta 5. punktā paredzētās pilnvaras var īstenot vienīgi tad, ja tiek ievēroti it īpaši šīs pašas regulas 55. un 56. pantā, lasot tos kopsakarā ar šīs pašas regulas 60. pantu, paredzētie lēmumu pieņemšanas kompetences sadales noteikumi, atbilst Hartas 7., 8. un 47. pantam.

    67

    Pirmkārt, attiecībā uz argumentāciju par apgalvoto Hartas 7. un 8. panta neievērošanu ir jāatgādina, ka tās 7. pantā ikvienai personai ir garantētas tiesības uz savas privātās un ģimenes dzīves, dzīvokļa un saziņas neaizskaramību, savukārt Hartas 8. panta 1. punktā, gluži kā LESD 16. panta 1. punktā, ikvienai personai ir skaidri atzītas tiesības uz savu personas datu aizsardzību. Konkrēti no Regulas 2016/679 51. panta 1. punkta izriet, ka uzraudzības iestādēm ir jāuzrauga šīs regulas piemērošana, tostarp, lai aizsargātu fizisko personu pamattiesības attiecībā uz viņu personas datu apstrādi. No tā izriet, ka saskaņā ar šī sprieduma 45. punktā izklāstīto šīs regulas noteikumi par lēmumu pieņemšanas kompetences sadalījumu starp vadošo uzraudzības iestādi un pārējām uzraudzības iestādēm neskar katras šīs iestādes atbildību veicināt šo tiesību augsta līmeņa aizsardzību, ievērojot šos noteikumus, kā arī šī sprieduma 52. punktā atgādinātās sadarbības un savstarpējas palīdzības prasības.

    68

    Tas it īpaši nozīmē, ka nekādā gadījumā nevar būt tā, ka “vienas pieturas aģentūras” mehānisma rezultātā valsts uzraudzības iestāde, it īpaši vadošā uzraudzības iestāde, neuzņemtos tai saskaņā ar Regulu 2016/679 noteikto pienākumu veicināt fizisku personu efektīvu aizsardzību pret šā sprieduma iepriekšējā punktā atgādinātajiem viņu pamattiesību pārkāpumiem, jo pretējā gadījumā tiktu veicināta forum shopping, ko varētu īstenot it īpaši šīs datu apstrādes pārziņi, lai apietu šīs pamattiesības un to īstenojošo šīs regulas tiesību normu efektīvu piemērošanu.

    69

    Otrkārt, nevar piekrist arī argumentācijai par Hartas 47. pantā garantēto tiesību uz efektīvu tiesību aizsardzību iespējamo neievērošanu. Proti, šā sprieduma 64. un 65. punktā izklāstītais regulējums par uzraudzības iestādes, kas nav vadošā uzraudzības iestāde, iespēju īstenot Regulas 2016/679 58. panta 5. punktā paredzētās pilnvaras attiecībā uz personas datu pārrobežu apstrādi neskar šīs regulas 78. panta 1. un 2. punktā atzītās ikvienas personas tiesības uz efektīvu tiesību aizsardzību tiesā tostarp attiecībā uz saistošu uzraudzības iestādes lēmumu par šo personu vai attiecībā uz faktu, ka uzraudzības iestāde, kurai ir lēmumu pieņemšanas kompetence atbilstoši minētās regulas 55. un 56. pantam, lasot tos kopsakarā ar tās 60. pantu, nav izskatījusi šīs personas iesniegtu sūdzību.

    70

    Tā tas it īpaši ir Regulas 2016/679 56. panta 5. punktā paredzētajā gadījumā, kad – kā norādīts šī sprieduma 62. punktā – uzraudzības iestāde, kas ir sniegusi informāciju, pamatojoties uz šīs regulas 56. panta 3. punktu, var izskatīt jautājumu saskaņā ar tās 61. un 62. pantu, ja vadošā uzraudzības iestāde pēc tam, kad tā ir tikusi informēta, nolemj, ka tā to neizskatīs pati. Šādas apstrādes ietvaros nevar tikt izslēgts, ka attiecīgā uzraudzības iestāde konkrētajā gadījumā var nolemt īstenot tai ar Regulas 2016/679 58. panta 5. punktu piešķirtās pilnvaras.

    71

    Tomēr ir jāuzsver, ka dalībvalsts uzraudzības iestādes pilnvaru vērsties savas valsts tiesās īstenošana nevar tikt izslēgta, ja pēc tam, kad tā ir lūgusi vadošās uzraudzības iestādes savstarpēju palīdzību saskaņā ar Regulas 2016/679 61. pantu, pēdējā minētā tai nav sniegusi pieprasīto informāciju. Šādā gadījumā saskaņā ar šīs regulas 61. panta 8. punktu attiecīgā uzraudzības iestāde var noteikt pagaidu pasākumu savas dalībvalsts teritorijā, un, ja tā uzskata, ka galīgie pasākumi ir jāveic steidzami, šī iestāde saskaņā ar minētās regulas 66. panta 2. punktu var lūgt Eiropas Datu aizsardzības kolēģijai steidzami sniegt atzinumu vai pieņemt saistošu lēmumu. Turklāt saskaņā ar šīs regulas 64. panta 2. punktu uzraudzības iestāde ar nolūku saņemt atzinumu var pieprasīt, lai Eiropas Datu aizsardzības kolēģija izskata jebkuru jautājumu ar vispārīgu nozīmi vai kas rada sekas vairāk nekā vienā dalībvalstī, it īpaši, ja kompetentā uzraudzības iestāde nepilda savstarpējās palīdzības pienākumu saskaņā ar minētās regulas 61. pantu. Pēc šāda atzinuma vai lēmuma pieņemšanas un ja Eiropas Datu aizsardzības kolēģija, kad tā ir iepazinusies ar visiem atbilstošajiem apstākļiem, tam piekrīt, attiecīgajai uzraudzības iestādei ir jābūt iespējai veikt vajadzīgos pasākumus, lai nodrošinātu, ka tiek ievēroti Regulas 2016/679 noteikumi par fizisko personu tiesību aizsardzību attiecībā uz personas datu apstrādi, un tādējādi īstenot tai ar šīs regulas 58. panta 5. punktu piešķirtās pilnvaras.

    72

    Pilnvaru un atbildības sadalījuma starp uzraudzības iestādēm obligāts priekšnosacījums ir lojāla un efektīva sadarbība starp šīm iestādēm, kā arī ar Komisiju, lai – kā apstiprināts tās 51. panta 2. punktā – nodrošinātu šīs regulas pareizu un konsekventu piemērošanu.

    73

    Šajā gadījumā iesniedzējtiesai būs jānosaka, vai pamatlietā ir pareizi piemēroti Regulā 2016/679 paredzētie noteikumi par kompetences sadalījumu, kā arī attiecīgās procedūras un mehānismi. Konkrēti tai būs jāpārbauda, vai, lai gan DAI šajā lietā nav vadošā uzraudzības iestāde, attiecīgā apstrāde, ciktāl tā attiecas uz sociālā tīkla Facebook tiešsaistes darbībām pēc 2018. gada 25. maija, ietilpst šī sprieduma 71. punktā minētās situācijas tvērumā.

    74

    Šajā ziņā Tiesa norāda, ka savā 2019. gada 12. marta atzinumā 5/2019 par direktīvas “par privāto dzīvi un elektronisko komunikāciju” un [Vispārējās datu aizsardzības regulas] mijiedarbību it īpaši saistībā ar datu aizsardzības iestāžu kompetenci, uzdevumiem un pilnvarām, minētā Eiropas Datu aizsardzības kolēģija atzina, ka personas datu reģistrēšana un nolasīšana ar sīkdatņu palīdzību ietilpst Eiropas Parlamenta un Padomes Direktīvas 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV 2002, L 201, 37. lpp.) piemērošanas jomā, nevis “vienas pieturas aģentūras” mehānisma tvērumā. Savukārt visas iepriekšējās darbības un vēlākas šo personas datu apstrādes darbības, izmantojot citas tehnoloģijas, ietilpst Regulas 2016/679 piemērošanas jomā un līdz ar to “vienas pieturas aģentūras” mehānisma piemērošanas jomā. Ņemot vērā, ka tās lūgums par savstarpējo palīdzību attiecās uz šīm vēlākajām personas datu apstrādes darbībām, DAI 2019. gada aprīlī lūdza Datu aizsardzības komisāram apmierināt tās lūgumu pēc iespējas ātrāk; taču atbilde uz šo lūgumu neesot saņemta.

    75

    Ņemot vērā visus iepriekš minētos apsvērumus, uz pirmo jautājumu ir jāatbild, ka Regulas 2016/679 55. panta 1. punkts, 56.–58. pants un 60.–66. pants, lasot tos kopsakarā ar Hartas 7., 8. un 47. pantu, ir jāinterpretē tādējādi, ka dalībvalsts uzraudzības iestāde, kas saskaņā ar šīs regulas 58. panta 5. punkta īstenošanai pieņemtajiem valsts tiesību aktiem ir pilnvarota vērst dalībvalsts tiesu iestāžu uzmanību uz jebkuru iespējamu minētās regulas pārkāpumu un kura attiecīgā gadījumā var sākt tiesvedību, šīs pilnvaras var īstenot arī attiecībā uz datu pārrobežu apstrādi, kaut arī tā attiecībā uz šādu datu apstrādi nav “vadošā uzraudzības iestāde” šīs regulas 56. panta 1. punkta izpratnē, ciktāl runa ir par kādu no situācijām, kurās Regulā 2016/679 šai uzraudzības iestādei ir piešķirta kompetence pieņemt lēmumu, kurā konstatēts, ka minētajā apstrādē nav ievērotas šīs regulas normas, kā arī – ievērojot šajā regulā paredzētās sadarbības un konsekvences procedūras.

    Par otro jautājumu

    76

    Ar otro jautājumu iesniedzējtiesa būtībā vaicā, vai Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka datu pārrobežu apstrādes gadījumā dalībvalsts uzraudzības iestādes, kas nav vadošā uzraudzības iestāde, iespēja izmantot pilnvaras sākt tiesvedību šīs tiesību normas izpratnē ir pakārtota priekšnosacījumam, ka personas datu pārrobežu apstrādes pārzinim, pret kuru ir celta šī prasība, šīs dalībvalsts teritorijā ir jābūt vai nu “galvenajai uzņēmējdarbības vietai” Regulas 2016/679 4. panta 16. punkta izpratnē, vai kādam citam dibinājumam.

    77

    Šajā ziņā jāatgādina, ka saskaņā ar Regulas 2016/679 55. panta 1. punktu katra uzraudzības iestāde savas dalībvalsts teritorijā ir kompetenta pildīt uzticētos uzdevumus un īstenot pilnvaras, kas tai piešķirtas ar šo regulu.

    78

    Turklāt Regulas 2016/679 58. panta 5. punktā ir paredzētas katras uzraudzības iestādes pilnvaras uz ikvienu iespējamu šīs regulas pārkāpumu vērst savas dalībvalsts tiesu iestāžu uzmanību un vajadzības gadījumā sākt tiesvedību, lai piemērotu minētās regulas noteikumus.

    79

    Ir jānorāda, ka Regulas 2016/679 58. panta 5. punkts ir formulēts vispārīgi un ka Savienības likumdevējs nav pakārtojis šo dalībvalsts uzraudzības iestādes pilnvaru īstenošanu nosacījumam, ka tās prasībai jābūt vērstai pret pārzini, kuram šajā dalībvalstī ir vai nu “galvenā uzņēmējdarbības vieta” šīs regulas 4. panta 16. punkta izpratnē, vai kāds cits dibinājums.

    80

    Tomēr dalībvalsts uzraudzības iestāde pilnvaras, kas tai piešķirtas ar Regulas 2016/679 58. panta 5. punktu, var īstenot tikai tad, ja ir skaidri zināms, ka šīs pilnvaras ietilpst šīs regulas teritoriālās piemērošanas jomā.

    81

    Regulas 2016/679 3. panta, kurā reglamentēta šīs regulas teritoriālā piemērojamība, 1. punktā šajā ziņā ir paredzēts, ka to piemēro personas datu apstrādei saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbības vietā Savienībā, neatkarīgi no tā, vai apstrāde notiek vai nenotiek Savienībā.

    82

    Šajā ziņā Regulas 2016/679 22. apsvērumā ir precizēts, ka uzņēmējdarbības veikšana nozīmē efektīvu un faktisku darbību, ko veic pastāvīga vienība un ka šādas vienības juridiskā forma neatkarīgi no tā, vai tā ir filiāle vai meitasuzņēmums ar juridiskas personas statusu, minētajā sakarā nav noteicošais faktors.

    83

    No tā izriet, ka saskaņā ar Regulas 2016/679 3. panta 1. punktu šīs regulas teritoriālo piemērošanas jomu, izņemot šī panta 2. un 3. punktā minētos gadījumus, izšķir nosacījums, ka personas datu pārrobežu apstrādes pārzinim vai to apstrādātājam ir uzņēmējdarbības vieta Savienības teritorijā.

    84

    Tādējādi uz otro jautājumu ir jāatbild, ka Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka datu pārrobežu apstrādes gadījumā dalībvalsts uzraudzības iestādes, kas nav vadošā uzraudzības iestāde, iespēja izmantot pilnvaras celt prasību tiesā šīs tiesību normas izpratnē nav pakārtota priekšnosacījumam, ka personas datu pārrobežu apstrādes pārzinim vai to veicošajam apstrādātājam, pret kuru ir celta šī prasība, šīs dalībvalsts teritorijā ir jābūt galvenajai uzņēmējdarbības vietai vai kādam citam dibinājumam.

    Par trešo jautājumu

    85

    Ar trešo jautājumu iesniedzējtiesa būtībā vaicā, vai Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka pārrobežu datu apstrādes gadījumā dalībvalsts uzraudzības iestādes, kas nav vadošā uzraudzības iestāde, iespēja izmantot pilnvaras vērst šīs valsts tiesu iestāžu uzmanību uz jebkuru iespējamu šīs regulas pārkāpumu un vajadzības gadījumā sākt tiesvedību šīs tiesību normas izpratnē, ir pakārtota priekšnosacījumam, ka attiecīgajai uzraudzības iestādei prasība tiesā ir jāvērš vai nu pret pārziņa galveno uzņēmējdarbības vietu, vai pret tā uzņēmējdarbības vietu, kura atrodas šīs iestādes dalībvalstī.

    86

    No lūguma sniegt prejudiciālu nolēmumu izriet, ka šis jautājums ir radies, pusēm diskutējot par to, vai iesniedzējtiesas kompetencē ir izskatīt prasību par atturēšanos no noteiktām darbībām, ciktāl tā ir celta pret Facebook Belgium, ņemot vērā, pirmkārt, ka Savienībā Facebook grupas juridiskā adrese ir Īrijā un Facebook Ireland ir vienīgais atbildīgais par personas datu vākšanu un apstrādi attiecībā uz visu Savienības teritoriju, un, otrkārt, ka, ņemot vērā sadalījumu grupas iekšienē, Beļģijā esošā uzņēmējdarbības vieta tika izveidota galvenokārt tādēļ, lai šī grupa varētu uzturēt attiecības ar Savienības iestādēm un pakārtoti – lai veicinātu grupas reklāmas un mārketinga darbības, kuru mērķauditorija ir Beļģijas iedzīvotāji.

    87

    Kā norādīts šī sprieduma 47. punktā, Regulas 2016/679 55. panta 1. punktā ir noteikts katras uzraudzības iestādes principiālā kompetence īstenot tai saskaņā ar šo regulu uzticētos uzdevumus un pilnvaras savas dalībvalsts teritorijā.

    88

    Attiecībā uz dalībvalsts uzraudzības iestādes pilnvarām celt prasību tiesā Regulas 2016/679 58. panta 5. punkta izpratnē ir jāatgādina, kā ģenerāladvokāts ir norādījis secinājumu 150. punktā, ka šī tiesību norma ir formulēta plaši un tajā nav norādīts, pret kādām vienībām uzraudzības iestādēm ir jāceļ vai tās var celt prasību tiesā par jebkādu šīs regulas pārkāpumu.

    89

    Līdz ar to minētā tiesību norma neierobežo pilnvaru sākt tiesvedību izmantošanu tādā ziņā, ka šādu prasību varētu celt tikai pret “galveno uzņēmējdarbības vietu” vai pret citu pārziņa “uzņēmējdarbības vietu”. Gluži pretēji, saskaņā ar šo pašu tiesību normu, ja dalībvalsts uzraudzības iestādei ir šim nolūkam nepieciešamā kompetence, piemērojot Regulas 2016/679 55. un 56. pantu, tā savas valsts teritorijā var īstenot pilnvaras, kas tai piešķirtas ar šo regulu, neatkarīgi no tā, kurā dalībvalstī ir iedibināts pārzinis vai apstrādātājs.

    90

    Tomēr katrai uzraudzības iestādei Regulas 2016/679 58. panta 5. punktā piešķirto pilnvaru īstenošanai ir nepieciešams, lai šī regula būtu piemērojama. Šajā ziņā, kā uzsvērts šī sprieduma 81. punktā, minētās regulas 3. panta 1. punktā ir paredzēts, ka tā ir piemērojama personas datu apstrādei “saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbības vietā Savienībā, neatkarīgi no tā, vai apstrāde notiek vai nenotiek Savienībā”.

    91

    Ņemot vērā Regulas 2016/679 mērķi nodrošināt fizisko personu pamattiesību un brīvību efektīvu aizsardzību, it īpaši viņu tiesības uz privātās dzīves aizsardzību un personas datu aizsardzību, nosacījums, saskaņā ar kuru personas datu apstrāde ir jāveic “saistībā ar darbībām”, ko veic attiecīgajā uzņēmējdarbības vietā, nevar tikt interpretēts šauri (pēc analoģijas skat. spriedumu, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, 56. punkts un tajā minētā judikatūra).

    92

    Šajā gadījumā no lūguma sniegt prejudiciālu nolēmumu un Facebook Belgium iesniegtajiem rakstveida apsvērumiem izriet, ka tai galvenokārt ir uzticēts uzturēt attiecības ar Savienības iestādēm un pakārtoti – veicināt grupas, kurā tā ietilpst, reklāmas un mārketinga darbības, kuru mērķauditorija ir Beļģijas iedzīvotāji.

    93

    Pamatlietā aplūkotā personas datu apstrāde, ko Savienības teritorijā veic tikai Facebook Ireland un kas izpaužas kā informācijas vākšana par Facebook konta turētāju, gan arī personu, kuras neizmanto Facebook pakalpojumus, tīklklejošanas darbībām, izmantojot dažādas tehnoloģijas, kā, piemēram, sociālos spraudņus un pikseļus, tieši ir vērsta uz to, lai ļautu attiecīgajam sociālajam tīklam padarīt savu reklāmas sistēmu efektīvāku, izvēršot mērķorientētu komunikāciju.

    94

    Ir jānorāda, ka, pirmkārt, tāda sociālā tīkla kā Facebook ieņēmumu būtisku daļu veido ienākumi citastarp no tajā publicētās reklāmas, un ka Beļģijā esošās uzņēmējdarbības vietas darbības mērķis ir nodrošināt šajā dalībvalstī – kaut tikai pakārtoti – reklāmas laukumu reklamēšanu un pārdošanu, lai veicinātu Facebook pakalpojumu rentabilitāti. Otrkārt, Facebook Belgium galvenās darbības, proti, uzturēt sakarus ar Savienības iestādēm un būt vietējam partnerim attiecībās ar šīm iestādēm, mērķis tostarp ir noteikt Facebook Ireland īstenoto personas datu apstrādes politiku.

    95

    Šādos apstākļos Facebook grupas, kas atrodas Beļģijā, uzņēmējdarbības vietas darbības ir jāuzskata par tādām, kas ir nesaraujami saistītas ar pamatlietā aplūkoto personas datu apstrādi, par kurām atbildīga attiecībā uz Savienības teritoriju ir Facebook Ireland. Līdz ar to šāda apstrāde ir jāuzskata par veiktu “saistībā ar darbībām, ko veic pārziņa [..] uzņēmējdarbības vietā Savienībā” Regulas 2016/679 3. panta 1. punkta izpratnē.

    96

    Ņemot vērā visus iepriekš minētos apsvērumus, uz trešo jautājumu ir jāatbild, ka Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka tādas dalībvalsts uzraudzības iestādes, kas nav vadošā uzraudzības iestāde, pilnvaras vērst šīs valsts tiesu iestāžu uzmanību uz jebkuru iespējamu šīs regulas pārkāpumu un vajadzības gadījumā sākt tiesvedību šīs tiesību normas izpratnē, var tikt izmantotas gan pret pārziņa galveno uzņēmējdarbības vietu, kas atrodas šīs iestādes dalībvalstī, gan pret citu šī pārziņa dibinājumu, ciktāl šīs prasības priekšmets ir datu apstrāde saistībā ar šī dibinājuma darbībām un šī iestāde ir kompetenta īstenot šīs pilnvaras atbilstoši atbildē uz pirmo jautājumu izklāstītajam.

    Par ceturto jautājumu

    97

    Ar ceturto jautājumu iesniedzējtiesa būtībā vaicā, vai Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka, ja dalībvalsts uzraudzības iestāde, kas nav “vadošā uzraudzības iestāde” šīs regulas 56. panta 1. punkta izpratnē, pirms 2018. gada 25. maija – proti, pirms datuma, kurā šī regula kļuva piemērojama, – ir cēlusi prasību par personas datu pārrobežu apstrādi, šis apstāklis ietekmē nosacījumus, ar kādiem minētā dalībvalsts uzraudzības iestāde var īstenot savas pilnvaras sākt tiesvedību, kas tai ir paredzētas minētā 58. panta 5. punktā.

    98

    Proti, šajā tiesā Facebook Ireland, Facebook Inc. un Facebook Belgium apgalvo, ka Regulas 2016/679 piemērošanas rezultātā, sākot no 2018. gada 25. maija, tādas prasības uzturēšana, kura celta pirms šī datuma, esot nepieņemama vai pat nepamatota.

    99

    Vispirms ir jānorāda, ka Regulas 2016/679 99. panta 1. punktā ir paredzēts, ka tā stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī. Tā kā šī regula minētajā Oficiālajā Vēstnesī tika publicēta 2016. gada 4. maijā, tā stājās spēkā tā paša gada 25. maijā. Turklāt minētās regulas 99. panta 2. punktā ir paredzēts, ka tā ir piemērojama no 2018. gada 25. maija.

    100

    Šajā ziņā ir jāatgādina, ka jauna tiesību norma ir piemērojama, sākot no tā tiesību akta stāšanās spēkā, ar ko tā ir ieviesta, un ka, lai gan tā nav piemērojama tiesiskajām attiecībām, kuras ir radušās un galīgi nostabilizējušās agrāka tiesību akta spēkā esamības laikā, tā ir piemērojama šo attiecību sekām nākotnē, kā arī jaunām tiesiskajām attiecībām. Ievērojot tiesību aktu atpakaļejoša spēka aizlieguma principu, citādi var būt tikai tad, ja jaunajai tiesību normai ir pievienoti īpaši noteikumi, kas īpaši paredz nosacījumus šīs normas piemērošanai laikā. Konkrētāk, parasti tiek uzskatīts, ka procesuālo tiesību normas ir piemērojamas dienā, kad tās stājas spēkā, atšķirībā no materiālo tiesību normām, kas parasti tiek interpretētas kā tādas, kas uz situācijām, kuras ir nostabilizējušās pirms to stāšanās spēkā, attiecas tikai, ciktāl no to noteikumiem, mērķa vai struktūras skaidri izriet, ka tām ir piešķirama šāda iedarbība (spriedums, 2021. gada 25. februāris, Caisse pour l’avenir des enfants (Nodarbinātība dzimšanas brīdī), C‑129/20, EU:C:2021:140, 31. punkts un tajā minētā judikatūra).

    101

    Regulā 2016/679 nav nedz pārejas noteikuma, nedz kāda cita noteikuma, kas reglamentētu to tiesvedību statusu, kas uzsāktas pirms tās piemērošanas un kas tās spēkā esamības laikā vēl nebija pabeigtas. Proti, nevienā šīs regulas normā nav paredzēts, ka ar to tiek izbeigtas visas 2018. gada 25. maijā notiekošās tiesvedības attiecībā uz apgalvotiem Direktīvā 95/46 paredzēto noteikumu, kuri reglamentē personas datu apstrādi, pārkāpumiem, pat ja rīcība, kas ir šāds apgalvots pārkāpums, turpinās pēc šī datuma.

    102

    Šajā gadījumā Regulas 2016/679 58. panta 5. punktā ir ietverti noteikumi, kas reglamentē uzraudzības iestādes pilnvaras pievērst tiesu iestāžu uzmanību šīs regulas pārkāpumiem un vajadzības gadījumā sākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu šīs regulas noteikumus.

    103

    Šādos apstākļos ir jānošķir tiesvedības, ko dalībvalsts uzraudzības iestāde ir sākusi par personas datu aizsardzības noteikumu pārkāpumiem, kurus pārziņi vai apstrādātāji ir izdarījuši pirms datuma, kad kļuva piemērojama Regula 2016/679, un tiesvedības, kas uzsāktas par pārkāpumiem, kuri izdarīti pēc šī datuma.

    104

    Pirmajā gadījumā no Savienības tiesību viedokļa tāda tiesvedība kā pamatlietā var tikt turpināta, pamatojoties uz Direktīvas 95/46 normām, kura joprojām ir piemērojama attiecībā uz pārkāpumiem, kuri izdarīti līdz tās atcelšanai, proti, 2018. gada 25. maijam. Otrajā gadījumā šāda tiesvedība saskaņā ar Regulas 2016/679 58. panta 5. punktu var tikt sākta tikai ar nosacījumu, ka tā attiecas uz situāciju, kurā – kā uzsvērts atbildē uz pirmo jautājumu – izņēmuma kārtā ar šo regulu dalībvalsts uzraudzības iestādei, kas nav “vadošā uzraudzības iestāde”, ir piešķirta kompetence pieņemt lēmumu, ar kuru konstatē, ka attiecīgā datu apstrāde ir pretrunā minētās regulas noteikumiem saistībā ar fizisku personu tiesību aizsardzību personas datu apstrādes jomā, un ievērojot šajā regulā paredzētās procedūras.

    105

    Ņemot vērā visus iepriekš minētos apsvērumus, uz ceturto jautājumu ir jāatbild, ka Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka, ja dalībvalsts uzraudzības iestāde, kas nav “vadošā uzraudzības iestāde” šīs regulas 56. panta 1. punkta izpratnē, pirms 2018. gada 25. maija – proti, pirms datuma, kurā šī regula kļuva piemērojama, – ir cēlusi prasību par personas datu pārrobežu apstrādi, no Savienības tiesību viedokļa tā šo prasību var turpināt uzturēt, pamatojoties uz Direktīvas 95/46 noteikumiem, kura joprojām ir piemērojama tās noteikumu pārkāpumiem, kas izdarīti līdz šīs direktīvas atcelšanas datumam. Par pārkāpumiem, kas izdarīti pēc minētā datuma, šādu prasību minētā iestāde turklāt var celt, pamatojoties uz Regulas 2016/679 58. panta 5. punktu, ciktāl runa ir par kādu no situācijām, kurās ar šo regulu izņēmuma kārtā dalībvalsts uzraudzības iestādei, kas nav “vadošā uzraudzības iestāde”, ir piešķirta kompetence pieņemt lēmumu, kurā konstatēts, ka ar attiecīgo datu apstrādi nav ievērotas šajā regulā ietvertās normas par fizisku personu datu aizsardzību saistībā ar personas datu apstrādi, un ciktāl šī iestāde ievēro šajā regulā paredzētās sadarbības un konsekvences procedūras; un šos apstākļus pārbaudīt ir iesniedzējtiesas ziņā.

    Par piekto jautājumu

    106

    Ar piekto jautājumu iesniedzējtiesa būtībā vaicā, vai gadījumā, ja uz pirmo jautājumu tiek atbildēts apstiprinoši, Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka šai tiesību normai ir tieša iedarbība, kuras dēļ valsts uzraudzības iestāde var atsaukties uz minēto tiesību normu, lai celtu vai uzturētu prasību pret privātpersonām, pat ja šī tiesību norma nav tikusi īpaši ieviesta attiecīgās dalībvalsts tiesību aktos.

    107

    Regulas 2016/679 58. panta 5. punktā ir noteikts, ka katra dalībvalsts ar tiesību aktiem paredz, ka tās uzraudzības iestādei ir pilnvaras pievērst tiesu iestāžu uzmanību šīs regulas pārkāpumiem un vajadzības gadījumā sākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu minētās regulas noteikumus.

    108

    Vispirms ir svarīgi norādīt, kā to apgalvo arī Beļģijas valdība, ka Regulas 2016/679 58. panta 5. punkts Beļģijas tiesību sistēmā ir ticis ieviests ar 2017. gada 3. decembra likuma 6. pantu. Saskaņā ar minētā likuma 6. pantu, kura teksts ir būtībā identisks Regulas 2016/679 58. panta 5. punkta tekstam, DAI ir tiesīga vērst tiesu iestāžu uzmanību, ja tiek pārkāpti šajā likumā un citos likumos, kas satur noteikumus par personas datu apstrādes aizsardzību, noteiktie personas datu aizsardzības pamatprincipi, un attiecīgā gadījumā sākt tiesvedību, lai šie pamatprincipi tiktu piemēroti. Līdz ar to ir jāuzskata, ka DAI var pamatoties uz tādu valsts tiesību normu kā 2017. gada 3. decembra likuma 6. pants, ar kuru Beļģijas tiesībās ir ieviests Regulas 2016/679 58. panta 5. punkts, lai vērstos tiesā ar nolūku panākt šīs regulas ievērošanu.

    109

    Turklāt un pilnības labad ir jānorāda, ka saskaņā ar LESD 288. panta otro daļu regula uzliek saistības kopumā un ka tā ir tieši piemērojama visās dalībvalstīs, tādēļ tās normām principā nav vajadzīgi nekādi dalībvalstu piemērošanas pasākumi.

    110

    Šajā ziņā ir jāatgādina, ka saskaņā ar Tiesas iedibināto judikatūru atbilstoši LESD 288. pantam un ņemot vērā pašu regulu raksturu un to funkciju Savienības tiesību avotu sistēmā, regulu normas vispārīgi ir nepastarpināti piemērojamas valstu tiesību sistēmās un valstu iestādēm nav jāpieņem piemērošanas pasākumi. Taču dažu šo normu īstenošanai dalībvalstīm tomēr ir jānosaka piemērošanas pasākumi (spriedums, 2017. gada 15. marts, Al Chodor, C‑528/15, EU:C:2017:213, 27. punkts un tajā minētā judikatūra).

    111

    Kā ģenerāladvokāts būtībā ir norādījis secinājumu 167. punktā, Regulas 2016/679 58. panta 5. punktā ir paredzēta īpaša un tieši piemērojama norma, saskaņā ar kuru uzraudzības iestādēm ir jābūt locus standi valsts tiesās un tām ir jābūt tiesībām sākt tiesvedību saskaņā ar valsts tiesībām.

    112

    No Regulas 2016/679 58. panta 5. punkta neizriet, ka dalībvalstīm konkrētā tiesību normā būtu skaidri jānosaka, ar kādiem nosacījumiem valsts uzraudzības iestādes var sākt tiesvedību šīs tiesību normas izpratnē. Pietiek ar to, ka uzraudzības iestādei saskaņā ar valsts tiesību aktiem ir iespēja vērst tiesu iestāžu uzmanību uz šīs regulas pārkāpumiem un vajadzības gadījumā sākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai piemērotu minētās regulas noteikumus.

    113

    Ņemot vērā visus iepriekš izklāstītos apsvērumus, uz piekto jautājumu ir jāatbild, ka Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka šai tiesību normai ir tieša iedarbība, kuras dēļ valsts uzraudzības iestāde var atsaukties uz minēto tiesību normu, lai celtu vai uzturētu prasību pret privātpersonām, pat ja šī tiesību norma nav tikusi īpaši ieviesta attiecīgās dalībvalsts tiesību aktos.

    Par sesto jautājumu

    114

    Ar sesto jautājumu iesniedzējtiesa būtībā jautā, vai tad, ja uz visiem iepriekšējiem jautājumiem tiek sniegtas apstiprinošas atbildes, kādas dalībvalsts uzraudzības iestādes sāktas tiesvedības par personas datu pārrobežu apstrādi rezultāts var būt šķērslis tam, ka vadošā uzraudzības iestāde savā lēmumā, izmeklējot tās pašas vai līdzīgas pārrobežu apstrādes darbības, nonāk pie pretēja secinājuma, atbilstoši Regulas 2016/679 56. un 60. pantā paredzētajam mehānismam.

    115

    Šajā ziņā ir jāatgādina, ka saskaņā ar pastāvīgo judikatūru uz jautājumiem par Savienības tiesībām attiecas atbilstības pieņēmums. Tiesa var atteikties lemt par valsts tiesas uzdotu prejudiciālu jautājumu tikai tad, ja ir acīmredzams, ka lūgtajai Savienības tiesību normas interpretācijai vai spēkā esamības izvērtējumam nav nekāda sakara ar pamatlietas faktisko situāciju vai tās priekšmetu, ja izvirzītā problēma ir hipotētiska vai ja Tiesai nav zināmi faktiskie vai juridiskie apstākļi, kas nepieciešami, lai sniegtu noderīgu atbildi uz tai uzdotajiem jautājumiem (spriedumi, 2015. gada 16. jūnijs, Gauweiler u.c.,C‑62/14, EU:C:2015:400, 25. punkts, kā arī 2018. gada 7. februāris, American Express, C‑304/16, EU:C:2018:66, 32. punkts).

    116

    Turklāt atbilstoši pastāvīgajai judikatūrai lūguma sniegt prejudiciālu nolēmumu pamatojums nav arī konsultatīvu atzinumu sniegšana par vispārīgiem vai hipotētiskiem jautājumiem, bet gan nepieciešamība faktiski atrisināt strīdu (spriedums, 2018. gada 10. decembris, Wightman u.c., C‑621/18, EU:C:2018:999, 28. punkts, kā arī tajā minētā judikatūra).

    117

    Šajā gadījumā ir jāuzsver, kā to norāda Beļģijas valdība, ka sestais jautājums ir balstīts uz apstākļiem, par kuriem nekādi nav pierādīts, ka tie pastāvētu pamatlietā, proti, ka attiecībā uz šajā lietā aplūkoto pārrobežu apstrādi pastāvētu situācija, kad vadošā uzraudzības iestāde ne tikai izmeklē tās pašas pārrobežu personas datu apstrādes darbības, kas ir attiecīgās dalībvalsts uzraudzības iestādes ierosinātās tiesvedības priekšmets, vai līdzīgas darbības, bet arī ir plānojusi pieņemt lēmumu, ar kuru tiktu izdarīts pretējs secinājums.

    118

    Šādos apstākļos ir jānorāda, ka uzdotajam jautājumam nav nekādas saistības ar pamatlietas faktiskajiem apstākļiem vai tās priekšmetu un tas attiecas uz hipotētisku problēmu. Tādējādi šis jautājums ir jāatzīst par nepieņemamu.

    Par tiesāšanās izdevumiem

    119

    Attiecībā uz pamatlietas pusēm šī tiesvedība ir stadija procesā, kuru izskata iesniedzējtiesa, un tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

     

    Ar šādu pamatojumu Tiesa (virspalāta) nospriež:

     

    1)

    Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 55. panta 1. punkts, 56.–58. pants un 60.–66. pants, lasot tos kopsakarā ar Eiropas Savienības Pamattiesību hartas 7., 8. un 47. pantu, ir jāinterpretē tādējādi, ka dalībvalsts uzraudzības iestāde, kas saskaņā ar šīs regulas 58. panta 5. punkta īstenošanai pieņemtajiem valsts tiesību aktiem ir pilnvarota vērst dalībvalsts tiesu iestāžu uzmanību uz jebkuru iespējamu minētās regulas pārkāpumu, un kura attiecīgā gadījumā var sākt tiesvedību, šīs pilnvaras var īstenot arī attiecībā uz datu pārrobežu apstrādi, kaut arī tā attiecībā uz šādu datu apstrādi nav “vadošā uzraudzības iestāde” šīs regulas 56. panta 1. punkta izpratnē, ciktāl runa ir par kādu no situācijām, kurās Regulā 2016/679 šai uzraudzības iestādei ir piešķirta kompetence pieņemt lēmumu, kurā konstatēts, ka minētajā apstrādē nav ievērotas šīs regulas normas, kā arī – ievērojot šajā regulā paredzētās sadarbības un konsekvences procedūras.

     

    2)

    Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka datu pārrobežu apstrādes gadījumā dalībvalsts uzraudzības iestādes, kas nav vadošā uzraudzības iestāde, iespēja izmantot pilnvaras celt prasību tiesā šīs tiesību normas izpratnē nav pakārtota priekšnosacījumam, ka personas datu pārrobežu apstrādes pārzinim vai to veicošajam apstrādātājam, pret kuru ir celta šī prasība, šīs dalībvalsts teritorijā ir jābūt galvenajai uzņēmējdarbības vietai vai kādam citam dibinājumam.

     

    3)

    Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka tādas dalībvalsts uzraudzības iestādes, kas nav vadošā uzraudzības iestāde, pilnvaras vērst šīs valsts tiesu iestāžu uzmanību uz jebkuru iespējamu šīs regulas pārkāpumu un vajadzības gadījumā sākt tiesvedību šīs tiesību normas izpratnē, var tikt izmantotas gan pret pārziņa galveno uzņēmējdarbības vietu, kas atrodas šīs iestādes dalībvalstī, gan pret citu šī pārziņa dibinājumu, ciktāl šīs prasības priekšmets ir datu apstrāde saistībā ar šī dibinājuma darbībām un šī iestāde ir kompetenta īstenot šīs pilnvaras atbilstoši atbildē uz pirmo prejudiciālo jautājumu izklāstītajam.

     

    4)

    Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka, ja dalībvalsts uzraudzības iestāde, kas nav “vadošā uzraudzības iestāde” šīs regulas 56. panta 1. punkta izpratnē, pirms 2018. gada 25. maija – proti, pirms datuma, kurā šī regula kļuva piemērojama, – ir cēlusi prasību par personas datu pārrobežu apstrādi, no Savienības tiesību viedokļa tā šo prasību var turpināt uzturēt, pamatojoties uz Eiropas Parlamenta un Padomes Direktīvas 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti noteikumiem, kura joprojām ir piemērojama tās noteikumu pārkāpumiem, kas izdarīti līdz šīs direktīvas atcelšanas datumam. Par pārkāpumiem, kas izdarīti pēc minētā datuma, šādu prasību minētā iestāde turklāt var celt, pamatojoties uz Regulas 2016/679 58. panta 5. punktu, ciktāl runa ir par kādu no situācijām, kurās ar šo regulu izņēmuma kārtā dalībvalsts uzraudzības iestādei, kas nav “vadošā uzraudzības iestāde”, ir piešķirta kompetence pieņemt lēmumu, kurā konstatēts, ka ar attiecīgo datu apstrādi nav ievērotas šajā regulā ietvertās normas par fizisku personu datu aizsardzību saistībā ar personas datu apstrādi, un ciktāl šī iestāde ievēro šajā regulā paredzētās sadarbības un konsekvences procedūras; un šos apstākļus pārbaudīt ir iesniedzējtiesas ziņā.

     

    5)

    Regulas 2016/679 58. panta 5. punkts ir jāinterpretē tādējādi, ka šai tiesību normai ir tieša iedarbība, kuras dēļ valsts uzraudzības iestāde var atsaukties uz minēto tiesību normu, lai celtu vai uzturētu prasību pret privātpersonām, pat ja šī tiesību norma nav tikusi īpaši ieviesta attiecīgās dalībvalsts tiesību aktos.

     

    [Paraksti]


    ( *1 ) Tiesvedības valoda – holandiešu.

    Top