1)

Artykuł 55 ust. 1, art. 56–58 oraz art. 60–66 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w związku z art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że organ nadzorczy państwa członkowskiego, który na podstawie ustawodawstwa krajowego wydanego w wykonaniu art. 58 ust. 5 tego rozporządzenia jest uprawniony do podnoszenia wszelkich zarzucanych naruszeń tego rozporządzenia przed sądami tego państwa członkowskiego i, w stosownych przypadkach, do wszczęcia postępowania sądowego, może wykonywać to uprawnienie w zakresie dotyczącym transgranicznego przetwarzania danych, pomimo tego, że nie jest on w odniesieniu do takiego przetwarzania danych „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 tego rozporządzenia, pod warunkiem że jest to jeden z przypadków, w których rozporządzenie 2016/679 przyznaje temu organowi nadzorczemu uprawnienie do wydania decyzji stwierdzającej, iż owo przetwarzanie narusza normy ustanowione w tym rozporządzeniu, i że uprawnienie to jest wykonywane z poszanowaniem ustanowionych w tym rozporządzeniu procedur współpracy i kontroli spójności.

2)

Artykuł 58 ust. 5 rozporządzenia 2016/679 należy interpretować w ten sposób, że w przypadku transgranicznego przetwarzania danych wykonywanie przysługującego organowi nadzorczemu państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienia do wszczęcia postępowania sądowego w rozumieniu tego przepisu nie wiąże się z wymogiem, aby administrator danych lub podmiot dokonujący transgranicznego przetwarzania danych osobowych, przeciwko któremu zostało wytoczone powództwo, posiadał główną lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego.

3)

Artykuł 58 ust. 5 rozporządzenia 2016/679 należy interpretować w ten sposób, że przysługujące organowi nadzorczemu danego państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienie do podnoszenia przed sądami tego państwa wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w rozumieniu tego przepisu, może być wykonywane zarówno w odniesieniu do głównej jednostki organizacyjnej administratora danych znajdującej się w państwie członkowskim owego organu, jak i w odniesieniu do innej jednostki organizacyjnej tego administratora, pod warunkiem że powództwo dotyczy przetwarzania danych dokonywanego w związku z działalnością prowadzoną przez tę jednostkę, a organ ten jest właściwy do wykonywania tego uprawnienia, zgodnie z tym, co zostało wskazane w odpowiedzi na pierwsze z zadanych pytań prejudycjalnych.

4)

Artykuł 58 ust. 5 rozporządzenia 2016/679 należy interpretować w ten sposób, że jeżeli organ nadzorczy państwa członkowskiego, który nie jest „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 tego rozporządzenia, wniósł do sądu powództwo dotyczące transgranicznego przetwarzania danych osobowych przed dniem 25 maja 2018 r., czyli przed dniem, począwszy od którego rozporządzenie to ma zastosowanie, powództwo to może, z punktu widzenia prawa Unii, zostać podtrzymane na podstawie przepisów dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, mającej nadal zastosowanie w zakresie dotyczącym naruszeń przewidzianych w niej norm, których dopuszczono się aż do dnia, w którym dyrektywa ta została uchylona. Takie powództwo może także zostać wniesione przez ten organ w związku z naruszeniami popełnionymi po tej dacie na podstawie art. 58 ust. 5 rozporządzenia 2016/679, pod warunkiem że ma to miejsce w jednej z sytuacji, w których w drodze wyjątku rozporządzenie to przyznaje organowi nadzorczemu państwa członkowskiego, który nie jest „wiodącym organem nadzorczym”, uprawnienie do wydania decyzji stwierdzającej, że rozpatrywane przetwarzanie danych narusza zawarte w tym rozporządzeniu przepisy dotyczące ochrony praw osób fizycznych w zakresie przetwarzania danych osobowych, i to w poszanowaniu przewidzianych w tym samym rozporządzeniu procedur współpracy i kontroli spójności, czego sprawdzenie należy do sądu odsyłającego.

5)

Artykuł 58 ust. 5 rozporządzenia 2016/679 należy interpretować w ten sposób, że przepis ten ma bezpośrednią skuteczność, wobec czego krajowy organ nadzorczy może powołać się na ten przepis w celu wszczęcia lub dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli nie został on konkretnie przetransponowany do ustawodawstwa danego państwa członkowskiego.