–

w imieniu Facebook Ireland Ltd, Facebook Inc. i Facebook Belgium BVBA – S. Raes, P. Lefebvre oraz D. Van Liedekerke, advocaten,

–

w imieniu Gegevensbeschermingsautoriteit – F. Debusseré i R. Roex, advocaten,

–

w imieniu rządu belgijskiego – J.-C. Halleux, P. Cottin i C. Pochet, w charakterze pełnomocników, wspierani przez P. Paepego, advocaat,

–

w imieniu rządu czeskiego – M. Smolek, O. Serdula i J. Vláčil, w charakterze pełnomocników,

–

w imieniu rządu włoskiego – G. Palmieri, w charakterze pełnomocnika, którą wspierała G. Natale, avvocato dello Stato,

–

w imieniu rządu polskiego – B. Majczyna, w charakterze pełnomocnika,

–

w imieniu rządu portugalskiego – L. Inez Fernandes, A.C. Guerra, P. Barros da Costa oraz L. Medeiros, w charakterze pełnomocników,

–

w imieniu rządu fińskiego – A. Laine oraz M. Pere, w charakterze pełnomocników,

–

w imieniu Komisji Europejskiej – H. Kranenborg, D. Nardi oraz P.J.O. Van Nuffel, w charakterze pełnomocników,

1

Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 55 ust. 1, art. 56–58 i art. 60–66 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2; zwanego dalej „RODO”) w związku z art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”).

2

Wniosek ten został złożony w ramach sporu, jaki powstał pomiędzy spółkami Facebook Ireland Ltd, Facebook Inc. i Facebook Belgium BVBA z jednej strony a Gegevensbeschermingsautoriteit (organem ochrony danych, Belgia; zwanym dalej „ODO”), który to organ wstąpił w prawa Commissie ter bescherming van de persoonlijke levenssfeer (komisji do spraw ochrony prywatności, Belgia; zwanej dalej „KOP‑em”) z drugiej strony, w przedmiocie wniesionego przez przewodniczącego tej komisji powództwa o zaniechanie na terytorium Belgii przetwarzania danych internautów przez sieć społecznościową Facebook z wykorzystaniem technologii takich jak pliki cookie, wtyczki społecznościowe (social plug‑ins) i piksele monitorujące.

3

Motywy 1, 4, 10, 11, 13, 22, 123, 141 i 145 RODO stanowią:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

4

Artykuł 3 tego rozporządzenia, zatytułowany „Terytorialny zakres stosowania”, stanowi w ust. 1:

„Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii”.

5

Artykuł 4 tego rozporządzenia definiuje w pkt 16 pojęcie „głównej jednostki organizacyjnej”, a w pkt 23 pojęcie „transgranicznego przetwarzania” w następujący sposób:

„16) »główna jednostka organizacyjna« oznacza:

[…]

23) »transgraniczne przetwarzanie« oznacza:

6

Artykuł 51 tego rozporządzenia, zatytułowany „Organ nadzorczy”, przewiduje:

„1.   Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii […].

2.   Każdy organ nadzorczy przyczynia się do spójnego stosowania niniejszego rozporządzenia w całej Unii. W tym celu organy nadzorcze współpracują ze sobą i z Komisją zgodnie z rozdziałem VII.

[…]”.

7

Artykuł 55 RODO, zatytułowany „Właściwość”, który należy do rozdziału VI tego rozporządzenia, zatytułowanego „Niezależne organy nadzorcze”, stanowi:

„1.   Każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego.

2.   Jeżeli przetwarzania dokonują organy publiczne lub podmioty prywatne działające na podstawie art. 6 ust. 1 lit. c) lub e), organem właściwym jest organ nadzorczy danego państwa członkowskiego. W takich przypadkach art. 56 nie ma zastosowania”.

8

Artykuł 56 wspomnianego rozporządzenia, zatytułowany „Właściwość wiodącego organu nadzorczego”, stanowi:

„1.   Bez uszczerbku dla art. 55 organ nadzorczy głównej lub pojedynczej [jedynej] jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający.

2.   W drodze wyjątku od ust. 1 każdy organ nadzorczy jest właściwy do rozpatrzenia skargi, którą do niego wniesiono, lub zajęcia się ewentualnym naruszeniem niniejszego rozporządzenia, jeżeli sprawa dotyczy wyłącznie jednostki organizacyjnej w jego państwie członkowskim lub znacznie wpływa na osoby, których dane dotyczą, wyłącznie w jego państwie członkowskim.

3.   W przypadkach, o których mowa w ust. 2 niniejszego artykułu, organ nadzorczy niezwłocznie informuje o danej sprawie wiodący organ nadzorczy. W terminie trzech tygodni od otrzymania informacji wiodący organ nadzorczy postanawia, czy zajmie się daną sprawą zgodnie z procedurą przewidzianą w art. 60, uwzględniając, czy w państwie członkowskim, którego organ nadzorczy przekazał mu informacje, znajduje się jednostka organizacyjna administratora lub podmiotu przetwarzającego.

4.   Jeżeli wiodący organ nadzorczy postanowi zająć się daną sprawą, zastosowanie ma procedura przewidziana w art. 60. Organ nadzorczy, który przekazał informacje wiodącemu organowi nadzorczemu, może przedłożyć temu organowi projekt decyzji. Wiodący organ nadzorczy w jak największym stopniu uwzględnia ten projekt, przygotowując projekt decyzji, o którym mowa w art. 60 ust. 3.

5.   Jeżeli wiodący organ nadzorczy postanowi nie zajmować się daną sprawą, sprawą zajmuje się – zgodnie z art. 61 i 62 – organ nadzorczy, który przekazał informacje wiodącemu organowi nadzorczemu.

6.   Administrator lub podmiot przetwarzający komunikują się w sprawie dokonywanego przez nich transgranicznego przetwarzania jedynie z wiodącym organem nadzorczym”.

9

Artykuł 57 RODO, zatytułowany „Zadania”, przewiduje w ust. 1:

„Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:

[…]

[…]”.

10

Artykuł 58 tego rozporządzenia, zatytułowany „Uprawnienia”, stanowi w ust. 1, 4 i 5:

„1.   Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:

[…]

[…]

4.   Wykonywanie uprawnień powierzonych organowi nadzorczemu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom – w tym prawu do skutecznego środka ochrony prawnej przed sądem i rzetelnego procesu, określonym w prawie Unii i prawie państwa członkowskiego zgodnie z [kartą].

5.   Każde państwo członkowskie przewiduje w swoich przepisach, że jego organ nadzorczy jest uprawniony do wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia [podnoszenia przed organami wymiaru sprawiedliwości wszelkich naruszeń] niniejszego rozporządzenia oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów niniejszego rozporządzenia”.

11

W rozdziale VII RODO, zatytułowanym „Współpraca i spójność”, sekcja 1, zatytułowana „Współpraca”, obejmuje art. 60–62 tego rozporządzenia. Artykuł 60, zatytułowany „Współpraca miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy”, stanowi:

„1.   Wiodący organ nadzorczy współpracuje z innymi organami nadzorczymi, których sprawa dotyczy, zgodnie z niniejszym artykułem w celu osiągnięcia porozumienia. Wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, wymieniają się wszelkimi stosownymi informacjami.

2.   Wiodący organ nadzorczy może w dowolnym momencie zwrócić się do innych organów nadzorczych, których sprawa dotyczy, o wzajemną pomoc zgodnie z art. 61 i może prowadzić wspólne operacje zgodnie z art. 62, w szczególności w celu przeprowadzenia postępowania lub monitorowania wdrażania środka dotyczącego administratora lub podmiotu przetwarzającego posiadającego jednostkę organizacyjną w innym państwie członkowskim.

3.   Wiodący organ nadzorczy niezwłocznie przekazuje innym organom nadzorczym, których sprawa dotyczy, stosowne informacje dotyczące danej sprawy. Niezwłocznie przedkłada innym organom [nadzorczym], których sprawa dotyczy, […] projekt decyzji w celu uzyskania ich opinii i należytego uwzględnienia ich uwag [uwzględnia należycie ich uwagi].

4.   Jeżeli w terminie czterech tygodni od otrzymania wniosku o opinię zgodnie z ust. 3 niniejszego artykułu inny organ nadzorczy, którego sprawa dotyczy, zgłosi mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji, wiodący organ nadzorczy – jeżeli nie przychyla się do mającego znaczenie dla sprawy i uzasadnionego sprzeciwu lub sądzi, że sprzeciw nie ma znaczenia dla sprawy lub nie jest uzasadniony – przekazuje sprawę w ramach mechanizmu spójności, o którym mowa w art. 63.

5.   Jeżeli wiodący organ nadzorczy zamierza przychylić się do zgłoszonego mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, przedkłada innym organom nadzorczym, których sprawa dotyczy, zmieniony projekt decyzji w celu uzyskania ich opinii. Zmieniony projekt decyzji jest poddawany procedurze, o której mowa w ust. 4, w terminie dwóch tygodni.

6.   Jeżeli w terminie, o którym mowa w ust. 4 i 5, żaden inny organ nadzorczy, którego sprawa dotyczy, nie zgłosi sprzeciwu wobec projektu decyzji przedłożonego przez wiodący organ nadzorczy, uznaje się, że wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, porozumiały się w sprawie projektu decyzji i są ni[m] związane.

7.   Wiodący organ nadzorczy przyjmuje decyzję i doręcza ją odpowiednio głównej lub pojedynczej [jedynej] jednostce organizacyjnej administratora lub podmiotu przetwarzającego oraz informuje o decyzji inne organy nadzorcze, których sprawa dotyczy, i Europejską Radę Ochrony Danych, dołączając streszczenie stanu faktycznego i powodów [uzasadnienia] decyzji. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o decyzji.

8.   W drodze wyjątku od ust. 7, jeżeli skarga zostaje oddalona lub odrzucona, organ nadzorczy, do którego wniesiono skargę, przyjmuje decyzję i doręcza ją skarżącemu oraz informuje o niej administratora.

9.   Jeżeli wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, porozumiały się co do oddalenia lub odrzucenia części skargi oraz co do podjęcia działań względem innych części tej skargi, dla każdej z tych części przyjmuje się odrębną decyzję […].

10.   Po doręczeniu administratorowi lub podmiotowi przetwarzającemu decyzji wiodącego organu nadzorczego zgodnie z ust. 7 i 9 podejmują oni niezbędne działania, by zastosować się do tej decyzji, jeżeli chodzi o czynności przetwarzania w ramach wszystkich swoich jednostek organizacyjnych w Unii. Administrator lub podmiot przetwarzający zawiadamiają wiodący organ nadzorczy o działaniach podjętych w celu zastosowania się do decyzji, ten zaś informuje o nich inne organy nadzorcze, których sprawa dotyczy.

11.   Jeżeli w wyjątkowych okolicznościach organ nadzorczy, którego sprawa dotyczy, ma powody sądzić, że istnieje pilna potrzeba podjęcia działań w celu ochrony interesów osób, których dane dotyczą, zastosowanie ma tryb pilny, o którym mowa w art. 66.

[…]”.

12

Artykuł 61 wspomnianego rozporządzenia, zatytułowany „Wzajemna pomoc”, stanowi w ust. 1:

„Organy nadzorcze przekazują sobie stosowne informacje i świadczą sobie wzajemną pomoc w celu spójnego wdrażania i stosowania niniejszego rozporządzenia oraz wprowadzają środki na rzecz skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji oraz środki nadzorcze, takie jak wnioski o udzielenie uprzednich zezwoleń i przeprowadzenie uprzednich konsultacji oraz o przeprowadzenie kontroli i postępowań wyjaśniających”.

13

Artykuł 62 tego rozporządzenia, zatytułowany „Wspólne operacje organów nadzorczych”, stanowi:

„1.   Organy nadzorcze prowadzą w stosownych przypadkach wspólne operacje, w tym wspólne postępowania i wspólne działania egzekucyjne, w których uczestniczą członkowie lub personel organów nadzorczych innych państw członkowskich.

2.   Jeżeli administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w kilku państwach członkowskich lub jeżeli operacje przetwarzania mogą istotnie wpłynąć na znaczną liczbę osób, których dane dotyczą, w więcej niż jednym państwie członkowskim, organ nadzorczy każdego z tych państw członkowskich ma prawo uczestniczyć we wspólnych operacjach […].

[…]”.

14

Sekcja 2, zatytułowana „Spójność”, zawarta w rozdziale VII RODO, obejmuje art. 63–67 tego rozporządzenia. Artykuł 63, zatytułowany „Mechanizm [kontroli] spójności”, ma następujące brzmienie:

„Aby przyczynić się do spójnego stosowania niniejszego rozporządzenia w całej Unii, organy nadzorcze współpracują ze sobą, a w stosownym przypadku także z Komisją, stosując mechanizm [kontroli] spójności określony w niniejszej sekcji”.

15

Zgodnie z brzmieniem art. 64 ust. 2 tego rozporządzenia:

„Każdy organ nadzorczy, przewodniczący Europejskiej Rady Ochrony Danych lub Komisja mogą wystąpić o przeanalizowanie przez Europejską Radę Ochrony Danych w celu wydania opinii sprawy mającej charakter ogólny lub wywołującej skutki w więcej niż jednym państwie członkowskim, w szczególności jeżeli właściwy organ nadzorczy nie wywiązuje się z obowiązków dotyczących wzajemnej pomocy zgodnie z art. 61 lub wspólnych operacji zgodnie z art. 62”.

16

Artykuł 65 tego rozporządzenia, zatytułowany „Rozstrzyganie sporów przez Europejską Radę Ochrony Danych”, stanowi w ust. 1:

„Aby w poszczególnych sytuacjach zapewnić właściwe i spójne stosowanie niniejszego rozporządzenia, Europejska Rada Ochrony Danych przyjmuje w następujących przypadkach wiążące decyzje:

[…]”.

17

Artykuł 66 RODO, zatytułowany „Tryb pilny”, stanowi w ust. 1 i 2:

„1.   W wyjątkowych okolicznościach, jeżeli organ nadzorczy, którego sprawa dotyczy, uzna, że istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą, może w drodze odstępstwa od mechanizmu spójności, o którym mowa w art. 63, 64 i 65, lub od procedury, o której mowa w art. 60, niezwłocznie przyjąć środki tymczasowe mające na terytorium jego państwa członkowskiego wywołać skutki prawne przez określony okres, nieprzekraczający trzech miesięcy. Organ nadzorczy niezwłocznie informuje o tych środkach i o powodach ich przyjęcia pozostałe organy nadzorcze, których sprawa dotyczy, Europejską Radę Ochrony Danych i Komisję.

2.   Jeżeli organ nadzorczy zastosował środek na mocy ust. 1 i uznaje, że należy pilnie przyjąć środki o charakterze ostatecznym, może zwrócić się z wnioskiem o pilne wydanie opinii lub wiążącej decyzji do Europejskiej Rady Ochrony Danych, uzasadniając swój wniosek o taką opinię lub decyzję”.

18

Artykuł 77 tego rozporządzenia, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, stanowi:

„1.   Bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

2.   Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78”.

19

Artykuł 78 tego rozporządzenia, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”, stanowi:

„1.   Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej.

2.   Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy właściwy zgodnie z art. 55 i 56 nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi wniesionej zgodnie z art. 77.

3.   Postępowanie przeciwko organowi nadzorczemu zostaje wszczęte przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

4.   Jeżeli postępowanie zostało wszczęte przeciwko decyzji organu nadzorczego, którą poprzedziła opinia lub decyzja Europejskiej Rady Ochrony Danych w ramach mechanizmu [kontroli] spójności, organ nadzorczy przekazuje sądowi tę opinię lub decyzję”.

20

Artykuł 79 wspomnianego rozporządzenia, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, stanowi:

„1.   Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania je[j] danych osobowych z naruszeniem niniejszego rozporządzenia.

2.   Postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne”.

21

Wet van tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (ustawa o ochronie prywatności w odniesieniu do przetwarzania danych osobowych) z dnia 8 grudnia 1992 r. (Belgisch Staatsblad z dnia18 marca 1993 r., s. 5801), z późniejszymi zmianami wprowadzonymi w drodze ustawy z dnia 11 grudnia 1998 r. (Belgisch Staatsblad z dnia 3 lutego 1999 r., s. 3049) (zwana dalej „ustawą z dnia 8 grudnia 1992 r.”) stanowi środek transpozycji do prawa belgijskiego dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31).

22

Na mocy ustawy z dnia 8 grudnia 1992 r. utworzony został KOP, niezależny organ mający za zadanie czuwanie nad przetwarzaniem danych osobowych z poszanowaniem tej ustawy w sposób zapewniający ochronę życia prywatnego obywateli.

23

Artykuł 32 ust. 3 ustawy z dnia 8 grudnia 1992 r. stanowił, co następuje:

„Bez uszczerbku dla właściwości sądów powszechnych w zakresie stosowania zasad ogólnych o ochronie prywatności, przewodniczący [KOP‑u] może kierować do sądu pierwszej instancji wszelkie sprawy dotyczące stosowania niniejszej ustawy i wydanych do niej środków wykonawczych”.

24

Wet tot oprichting van de Gegevensbeschermingsautoriteit (ustawa o utworzeniu organu ochrony danych) z dnia 3 grudnia 2017 r. (Belgisch Staatsblad z dnia 10 stycznia 2018 r., s. 989, zwana dalej „ustawą z dnia 3 grudnia 2017 r.”), która weszła w życie w dniu 25 maja 2018 r., ustanowiła ODO jako organ nadzorczy w rozumieniu RODO.

25

Artykuł 3 ustawy z dnia 3 grudnia 2017 r. stanowi:

„Przy izbie reprezentantów ustanowiony zostaje »Organ ochrony danych«. Wchodzi on w prawa i obowiązki [KOP‑u]”.

26

Artykuł 6 ustawy z dnia 3 grudnia 2017 r. stanowi:

„[ODO] jest uprawnione do podnoszenia przed organami wymiaru sprawiedliwości wszelkich naruszeń podstawowych zasad ochrony danych osobowych w świetle niniejszej ustawy i ustaw zawierających przepisy w zakresie ochrony przetwarzania danych osobowych oraz, w stosownych przypadkach, do wszczynania postępowania sądowego w celu wyegzekwowania stosowania tych zasad podstawowych”.

27

Nie został przewidziany żaden przepis szczególny, który regulowałby kwestię postępowań sądowych wszczętych już przez prezesa KOP‑u przed dniem 25 maja 2018 r. na podstawie art. 32 ust. 3 ustawy z dnia 8 grudnia 1992 r. Jedynie jeśli chodzi o skargi lub wnioski złożone w ODO jako takim, art. 112 ustawy z dnia 3 grudnia 2017 r. stanowi:

„Rozdział VI nie ma zastosowania do skarg lub wniosków, w sprawie których postępowanie pozostawało w toku przed [ODO] w chwili wejścia w życie niniejszej ustawy. Skargi i wnioski, o których mowa w akapicie pierwszym, są rozpatrywane przez [ODO] jako następcę prawnego [KOP‑u] zgodnie z procedurą mającą zastosowanie przed wejściem w życie niniejszej ustawy”.

28

Ustawa z dnia 8 grudnia 1992 r. została uchylona w drodze wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (ustawy o ochronie osób fizycznych w zakresie przetwarzania danych osobowych) z dnia 30 lipca 2018 r. (Belgisch Staatsblad z dnia 5 września 2018 r., s. 68616, zwanej dalej „ustawą z dnia 30 lipca 2018 r.”). Ta ustawa ma za cel przetransponowanie do prawa belgijskiego tych przepisów rozporządzenia RODO, które zobowiązują państwa członkowskie do przyjęcia bardziej szczegółowych zasad lub zezwalają im na wprowadzenie takich zasad.

29

W dniu 11 września 2015 r. prezes KOP‑u wniósł do Nederlandstalige rechtbank van eerste aanleg Brussel (niderlandzkojęzycznego sądu pierwszej instancji w Brukseli, Belgia) przeciwko Facebook Ireland, Facebook Inc. i Facebook Belgium powództwo o zaniechanie. Ponieważ KOP jako taki nie posiadał osobowości prawnej, wniesienie tego powództwa należało do jego prezesa, w celu zapewnienia przestrzegania prawodawstwa w dziedzinie ochrony danych osobowych. Niemniej jednak sam KOP też złożył wniosek o dopuszczenie go na zasadzie dobrowolności do udziału w postępowaniu wszczętym przez jego prezesa.

30

To powództwo o zaniechanie miało na celu położenie kresu temu, co KOP określił w szczególności jako „poważne i na dużą skalę naruszanie przez Facebooka przepisów w dziedzinie ochrony życia prywatnego”, polegające na gromadzeniu przez tę internetową sieć społecznościową informacji o zachowaniach w Internecie zarówno posiadaczy kont na Facebooku, jak i podmiotów niekorzystających z usług Facebooka, za pomocą różnych technologii, takich jak pliki cookie, wtyczki społecznościowe (na przykład przyciski „Lubię to” lub „Udostępnij”) czy też pikseli monitorujących. Informacje te umożliwiają tej sieci społecznościowej uzyskanie określonych danych internauty przeglądającego zawierającą je stronę internetową, takich jak adres tej strony, adres IP osoby odwiedzającej tę stronę, a także datę i godzinę wejścia na tę stronę.

31

Rozstrzygnięciem z dnia 16 lutego 2018 r. Nederlandstalige rechtbank van eerste aanleg Brussel (niderlandzkojęzyczny sąd pierwszej instancji w Brukseli) uznał się za właściwy do orzekania w przedmiocie wspomnianego powództwa o zaprzestanie w zakresie, w jakim dotyczy ono Facebook Ireland, Facebook Inc. i Facebook Belgium, i uznał za niedopuszczalny złożony przez KOP wniosek o dopuszczenie go do postępowania na zasadzie dobrowolności.

32

Co do istoty sprawy sąd ten orzekł, że rozpatrywana sieć społecznościowa nie informuje dostatecznie belgijskich internautów o gromadzeniu owych dotyczących ich informacji i o sposobie, w jaki wykorzystuje te informacje. Ponadto uznał on za nieważną udzielaną przez internautów zgodę na gromadzenie i przetwarzanie tych informacji. W związku z tym nakazał on Facebook Ireland, Facebook Inc. i Facebook Belgium, po pierwsze, zaniechanie w stosunku do wszystkich internautów na terytorium belgijskim instalowania bez ich zgody aktywnych przez dwa lata plików cookie na urządzeniach używanych przez tych internautów, gdy przeglądają on stronę internetową o nazwie domeny Facebook.com czy też przechodzą na stronę internetową osoby trzeciej; nakaz dotyczył też zaniechania instalowania plików cookie i gromadzenia danych z wykorzystaniem wtyczek społecznościowych, pikseli monitorujących czy też podobnych technologii na stronach internetowych osób trzecich w sposób nadmierny w stosunku do realizowanych przez sieć społecznościową Facebook celów; po drugie, zaniechanie dostarczania informacji mogących racjonalnie rzecz biorąc wprowadzać internautów w błąd co do rzeczywistego zakresu mechanizmów oddawanych do dyspozycji przez tę sieć społecznościową w odniesieniu do wykorzystywania plików cookie; i po trzecie, zniszczenie wszystkich danych osobowych uzyskanych za pomocą plików cookie i wtyczek społecznościowych.

33

W dniu 2 marca 2018 r. Facebook Ireland, Facebook Inc. i Facebook Belgium zaskarżyły to rozstrzygnięcie przed hof van beroep te Brussel (sądem apelacyjnym w Brukseli, Belgia). W postępowaniu przed tym sądem ODO występuje zarówno jako następca prawny przewodniczącego KOP‑u, który wniósł powództwo o zaniechanie, jak i samego KOP‑u.

34

Sąd odsyłający stwierdził swoją właściwość do rozpoznania wniesionej apelacji wyłącznie w zakresie, w jakim dotyczy ona spółki Facebook Belgium. Uznał się on natomiast za niewłaściwy do rozpoznania tej apelacji w zakresie dotyczącym Facebook Ireland i Facebook Inc.

35

Przed wydaniem rozstrzygnięcia co do istoty w postępowaniu głównym sąd odsyłający chce rozstrzygnąć kwestię, czy ODO posiada wymaganą legitymację procesową i wymagany interes prawny. Zdaniem Facebook Belgium wytoczone powództwo o zaniechanie jest niedopuszczalne w zakresie dotyczącym okoliczności faktycznych, które miały miejsce przed dniem 25 maja 2018 r., ponieważ w następstwie wejścia w życie ustawy z dnia 3 grudnia 2017 r. i RODO art. 32 ust. 3 ustawy z dnia 8 grudnia 1992 r., stanowiący podstawę prawną pozwalającą na wytoczenie takiego powództwa, został uchylony. Jeśli chodzi o okoliczności faktyczne zaistniałe po dniu 25 maja 2018 r., Facebook Belgium podnosi, że ODO nie ma właściwości w ich zakresie i nie przysługuje mu prawo do wytoczenia tego powództwa z uwagi na istnienie mechanizmu kompleksowej współpracy przewidzianego obecnie w zastosowaniu przepisów RODO. Zgodnie bowiem z tymi przepisami jedynie Data Protection Commissioner (komisarz ds. ochrony danych, Irlandia) jest uprawniony do wniesienia powództwa o zaniechanie przeciwko Facebook Ireland, ponieważ spółka ta jest jedynym podmiotem odpowiedzialnym za przetwarzanie danych osobowych użytkowników tej sieci społecznościowej w Unii.

36

Sąd odsyłający rozstrzygnął, że ODO nie ma interesu prawnego wymaganego do wytoczenia powództwa o zaniechanie w zakresie, w jakim dotyczyło ono okoliczności faktycznych zaistniałych przed dniem 25 maja 2018 r. Jeśli chodzi o okoliczności faktyczne zaistniałe po tej dacie, sąd odsyłający ma jednak wątpliwości co do wpływu, jaki miało wejście w życie RODO, a w szczególności stosowanie przewidzianego w nim mechanizmu kompleksowej współpracy, na kompetencje ODO, a także na przysługujące mu uprawnienie do wytoczenia takiego powództwa o zaniechanie.

37

W szczególności zdaniem sądu odsyłającego nasuwa się pytanie, czy ODO może wystąpić z powództwem przeciwko Facebook Belgium w odniesieniu do zdarzeń, które miały miejsce po dniu 25 maja 2018 r., skoro to Facebook Ireland został zidentyfikowany jako administrator rozpatrywanych danych. Począwszy od tej daty, zgodnie z zasadą kompleksowej współpracy wydaje się, że zgodnie z brzmieniem art. 56 RODO właściwy miałby tu być jedynie komisarz ds. ochrony danych, zaś jego rozstrzygnięcie podlega jedynie kontroli sprawowanej przez sądy irlandzkie.

38

Sąd odsyłający przypomina, że w wyroku z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388) Trybunał orzekł, że to „niemiecki organ nadzorczy” jest właściwy do orzekania w przedmiocie sporu dotyczącego ochrony danych osobowych, choć administrator danych ma siedzibę w Irlandii, a jego spółka zależna mająca siedzibę w Niemczech, czyli Facebook Germany GmbH, zajmuje się jedynie sprzedażą przestrzeni reklamowych i prowadzeniem innych rodzajów działalności marketingowej na terytorium Niemiec.

39

Niemniej jednak w sprawie, w której zapadł ten wyrok, Trybunał rozpatrywał wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczący wykładni przepisów dyrektywy 95/46, która została uchylona RODO. Sąd odsyłający zastanawia się, w jakim zakresie wykładnia dokonana przez Trybunał w owym wyroku jest jeszcze istotna w odniesieniu do stosowania RODO.

40

Sąd odsyłający wskazuje również na decyzję wydaną przez Bundeskartellamt (federalny urząd ochrony konkurencji, Niemcy) w dniu 6 lutego 2019 r. (decyzji w sprawie Facebooka), w której ten organ ochrony konkurencji uznał w istocie, że przedsiębiorstwo, do którego została skierowana ta decyzja, nadużywało swojej pozycji, gromadząc razem dane pochodzące z różnego rodzaju źródeł, co, począwszy od tego momentu, powinno być możliwe jedynie za wyraźną zgodą użytkowników, przy czym użytkownik, który nie wyraża na to zgody, nie może zostać wyłączony z zakresu usług świadczonych przez Facebook. Sąd odsyłający wskazuje, że w oczywisty sposób ten organ ochrony konkurencji uznał się za właściwy pomimo istnienia mechanizmu kompleksowej współpracy.

41

Ponadto sąd odsyłający uważa, że art. 6 ustawy z dnia 3 grudnia 2017 r., który co do zasady zezwala ODO na wnoszenie, gdy zachodzi taka konieczność, spraw do sądu, nie oznacza, że organ ten może w każdych okolicznościach wytaczać powództwo przed sądy belgijskie, ponieważ w ramach mechanizmu kompleksowej współpracy zdaje się istnieć wymóg wniesienia takiego powództwa do sądu miejsca, w którym dane są przetwarzane.

42

W tych okolicznościach hof van beroep te Brussel (sąd apelacyjny w Brukseli) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

43

Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 55 ust. 1, art. 56–58 i art. 60–66 RODO w związku z art. 7, 8 i 47 karty należy interpretować w ten sposób, że organ nadzorczy państwa członkowskiego, który na podstawie ustawodawstwa krajowego przyjętego w wykonaniu art. 58 ust. 5 RODO jest uprawniony do podnoszenia wszelkich zarzucanych naruszeń tego rozporządzenia przed sądami tego państwa członkowskiego, i, w stosownych przypadkach, do wszczęcia postępowania sądowego, może wykonywać to uprawnienie w zakresie dotyczącym transgranicznego przetwarzania danych, pomimo tego, że nie jest on w odniesieniu do takiego przetwarzania danych „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 tego rozporządzenia.

44

W tym względzie należy na wstępie przypomnieć, że po pierwsze, w odróżnieniu od dyrektywy 95/46, która została przyjęta na podstawie art. 100A traktatu WE, dotyczącego harmonizacji wspólnego rynku, podstawą prawną dla przyjęcia RODO jest art. 16 TFUE, który sankcjonuje przysługujące każdej osobie prawo do ochrony danych osobowych i upoważnia Parlament Europejski i Radę Unii Europejskiej do określenia norm dotyczących ochrony osób fizycznych w zakresie przetwarzania tych danych przez instytucje, organy i jednostki organizacyjne Unii, a także państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasad dotyczących swobodnego przepływu takich danych. Po drugie, zgodnie z motywem 1 tego rozporządzenia „[o]chrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych”; przypomniano w nim również, iż art. 8 ust. 1 karty oraz art. 16 ust. 1 TFUE stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

45

W konsekwencji, jak wynika z art. 1 ust. 2 RODO w związku z motywami 10, 11 i 13 tego rozporządzenia, nakłada ono na instytucje, organy i jednostki organizacyjne Unii oraz na właściwe organy państw członkowskich obowiązek zapewnienia wysokiego poziomu ochrony praw zagwarantowanych w art. 16 TFUE i w art. 8 karty.

46

Ponadto, jak stanowi motyw 4 tego rozporządzenia, nie narusza ono praw podstawowych, wolności i zasad uznanych w karcie.

47

To w tym właśnie kontekście art. 55 ust. 1 RODO stanowi, że każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z tym rozporządzeniem na terytorium swojego państwa członkowskiego (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 147).

48

Do zadań powierzonych tym organom nadzorczym należą w szczególności przewidziane w art. 57 ust. 1 lit. a) RODO zadanie polegające na monitorowaniu i egzekwowaniu stosowania tego rozporządzenia, a także przewidziana w art. 57 ust. 1 lit. g) tego rozporządzenia współpraca z innymi organami nadzorczymi, m.in. w postaci wymiany informacji oraz świadczenia w tych ramach wzajemnej pomocy w celu zapewnienia spójnego stosowania tego rozporządzenia i środków podjętych w celu zapewnienia jego przestrzegania. Wśród uprawnień przyznanych wspomnianym organom nadzorczym w celu wykonywania tych zadań znajdują się przewidziane w art. 58 ust. 1 RODO różnego rodzaju uprawnienia dochodzeniowe, jak również uprawnienie do podnoszenia przed organami wymiaru sprawiedliwości wszelkich naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w celu wyegzekwowania stosowania przepisów tego rozporządzenia, o którym mowa w art. 58 ust. 5 tego rozporządzenia.

49

Wykonywanie tych zadań i uprawnień wymaga jednak, aby organowi nadzorczemu przysługiwały kompetencje w zakresie danego przetwarzania danych.

50

W tym względzie, bez uszczerbku dla zawartej w art. 55 ust. 1 RODO normy kompetencyjnej, w art. 56 ust. 1 tego rozporządzenia ustanowiony został w odniesieniu do „przetwarzania transgranicznego” w rozumieniu art. 4 pkt 23 tego rozporządzenia mechanizm „kompleksowej współpracy”, oparty na podziale kompetencji między „wiodącym organem nadzorczym” i pozostałymi organami nadzorczymi, których dana sprawa dotyczy. W ramach tego mechanizmu to organ nadzorczy głównej lub jedynej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 tego rozporządzenia – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający.

51

W tym art. 60 ustanowiona została procedura współpracy między wiodącym organem nadzorczym a innymi organami nadzorczymi, których dana sprawa dotyczy. W ramach tej procedury wiodący organ nadzorczy jest w szczególności zobowiązany do dążenia do osiągnięcia porozumienia. W tym celu, zgodnie z art. 60 ust. 3 RODO, przedkłada on niezwłocznie innym organom nadzorczym, których sprawa dotyczy, projekt decyzji w celu uzyskania ich opinii i uwzględnia należycie ich uwagi.

52

W szczególności zaś z art. 56 i 60 RODO wynika, że w odniesieniu do „przetwarzania transgranicznego” w rozumieniu art. 4 pkt 23 tego rozporządzenia, z zastrzeżeniem jego art. 56 ust. 2, poszczególne krajowe organy nadzorcze, których sprawa dotyczy, powinny współpracować, zgodnie z procedurą przewidzianą w tych przepisach, w celu wypracowania porozumienia i jednej wspólnej decyzji wiążącej wszystkie te organy, której przestrzeganie musi być zapewnione przez administratora danych w odniesieniu do działalności w zakresie przetwarzania danych prowadzonej we wszystkich jego jednostkach organizacyjnych na terytorium Unii. Ponadto art. 61 ust. 1 wspomnianego rozporządzenia zobowiązuje organy nadzorcze w szczególności do przekazywania sobie istotnych informacji oraz do świadczenia wzajemnej pomocy w celu spójnego wdrażania i stosowania tego rozporządzenia w całej Unii. W art. 63 RODO wyjaśniono, że to w tym właśnie celu w art. 64 i 65 ustanowiony zostaje mechanizm kontroli spójności [wyrok z dnia 24 września 2019 r., Google (Zakres terytorialny prawa do usunięcia linków), C‑507/17, EU:C:2019:772, pkt 68].

53

W ramach stosowania mechanizmu kompleksowej współpracy istnieje zatem, jak zostało to potwierdzone w motywie 13 RODO, wymóg lojalnej i skutecznej współpracy pomiędzy wiodącym organem nadzorczym i innymi organami nadzorczymi, których sprawa dotyczy. Z tego względu, jak zauważył rzecznik generalny w pkt 111 opinii, wiodący organ nadzorczy nie może zignorować opinii innych organów nadzorczych, których sprawa dotyczy, zaś wszelkie mające znaczenie dla sprawy i uzasadnione sprzeciwy ze strony któregokolwiek z tych organów skutkują zablokowaniem, przynajmniej czasowo, możliwości przyjęcia projektu decyzji przez wiodący organ nadzorczy.

54

I tak, zgodnie z art. 60 ust. 4 RODO, jeżeli jeden z pozostałych organów nadzorczych, których sprawa dotyczy, zgłosi w terminie czterech tygodni od otrzymania wniosku o opinię taki mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji, wiodący organ nadzorczy, jeżeli nie przychyli się do mającego znaczenie dla sprawy i uzasadnionego sprzeciwu lub jeśli jest zdania, że sprzeciw ten nie ma znaczenia dla sprawy czy też nie jest uzasadniony, poddaje sprawę mechanizmowi kontroli spójności, o którym mowa w art. 63 tego rozporządzenia, w celu uzyskania od Europejskiej Rady Ochrony Danych wiążącej decyzji wydanej na podstawie art. 65 ust. 1 lit. a) tego rozporządzenia.

55

Zgodnie natomiast z art. 60 ust. 5 RODO jeżeli wiodący organ nadzorczy zamierza przychylić się do zgłoszonego i mającego znaczenie dla sprawy, jak również uzasadnionego sprzeciwu, przedkłada innym organom nadzorczym, których sprawa dotyczy, zmieniony projekt decyzji w celu uzyskania ich opinii. Ten zmieniony projekt decyzji jest poddawany procedurze, o której mowa w art. 60 ust. 4, w terminie dwóch tygodni.

56

Zgodnie z art. 60 ust. 7 tego rozporządzenia to na wiodącym organie nadzorczym ciąży co do zasady obowiązek wydania decyzji w sprawie danego transgranicznego przetwarzania danych, podania jej do wiadomości głównej lub jedynej jednostce organizacyjnej administratora lub podmiotu przetwarzającego oraz, w zależności od przypadku, poinformowania o wydaniu tej decyzji innych organów nadzorczych, których sprawa dotyczy, jak również Europejskiej Rady Ochrony Danych, przy równoczesnym podaniu do wiadomości streszczenia stanu faktycznego i uzasadnienia tej decyzji.

57

W nawiązaniu do tego należy podkreślić, że w RODO w ramach przewidzianego w art. 56 ust. 1 tego rozporządzenia mechanizmu kompleksowej współpracy przewidziane zostały wyjątki od zasady kompetencji decyzyjnych wiodącego organu nadzorczego.

58

W pierwszej kolejności wyjątek taki został przewidziany w art. 56 ust. 2 RODO, w którym wskazano, że organ nadzorczy niebędący organem wiodącym jest właściwy do rozpatrzenia skargi, którą do niego wniesiono i która dotyczy transgranicznego przetwarzania danych osobowych czy też ewentualnego naruszenia tego rozporządzenia, jeżeli sprawa dotyczy wyłącznie jednostki organizacyjnej w jego państwie członkowskim lub znacznie wpływa na podmioty, których dane dotyczą, wyłącznie w jego państwie członkowskim.

59

W drugiej kolejności, w art. 66 RODO, przewidziano, w drodze odstępstwa od mechanizmów kontroli spójności, o których mowa w artykułach 60 i 63–65 tego rozporządzenia, tryb pilny. Procedowanie w tym trybie pilnym umożliwia w wyjątkowych okolicznościach, w przypadku gdy organ nadzorczy uzna, że istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności podmiotów, których dane dotyczą, niezwłoczne przyjęcie środków tymczasowych mających na celu wywołanie skutków prawnych na jego własnym terytorium przez określony czas, nieprzekraczający trzech miesięcy, zaś w art. 66 ust. 2 RODO przewidziano ponadto, że jeżeli organ nadzorczy zarządził dany środek na podstawie ust. 1 i uzna, że istnieje pilna konieczność zarządzenia środków o charakterze ostatecznym, może on zwrócić się do Europejskiej Rady Ochrony Danych z umotywowanym wnioskiem o pilne wydanie opinii lub wiążącej decyzji.

60

Jednakże to uprawnienie organów nadzorczych powinno być wykonywane w poszanowaniu zasad lojalnej i skutecznej współpracy z wiodącym organem nadzorczym, zgodnie z procedurą przewidzianą w art. 56 ust. 3–5 RODO. W takim bowiem przypadku, w zastosowaniu art. 56 ust. 3 tego rozporządzenia, organ nadzorczy, którego sprawa dotyczy, niezwłocznie informuje wiodący organ nadzorczy, który w terminie trzech tygodni od otrzymania informacji postanawia, czy zajmie się on rozpatrzeniem tej sprawy.

61

Zgodnie zaś z art. 56 ust. 4 RODO jeśli wiodący organ nadzorczy postanowi zająć się daną sprawą, zastosowanie ma procedura przewidziana w art. 60 tego rozporządzenia. W tym kontekście organ nadzorczy, który poinformował wiodący organ nadzorczy, może przedłożyć mu projekt decyzji, zaś organ wiodący powinien w jak największym stopniu uwzględnić ten projekt przy opracowywaniu projektu decyzji, o którym mowa w art. 60 ust. 3 wspomnianego rozporządzenia.

62

Natomiast, w zastosowaniu art. 56 ust. 5 RODO, jeżeli wiodący organ nadzorczy postanowi nie zajmować się danym przypadkiem, zajmuje się nim organ nadzorczy, który go poinformował, zgodnie z art. 61 i 62 tego rozporządzenia, w których nałożono na organy nadzorcze wymóg przestrzegania w ramach prowadzenia wspólnych działań zasad wzajemnej pomocy i współpracy, a to w celu zapewnienia skutecznej współpracy między organami, których sprawa dotyczy.

63

Z powyższego wynika, po pierwsze, że w dziedzinie transgranicznego przetwarzania danych osobowych przysługujące wiodącemu organowi nadzorczemu uprawnienie do wydania decyzji stwierdzającej, iż takie przetwarzanie narusza ustanowione w RODO przepisy dotyczące ochrony praw osób fizycznych w zakresie przetwarzania danych osobowych, stanowi zasadę, podczas gdy przysługująca innym organom nadzorczym, których sprawa dotyczy, kompetencja do wydania takiej decyzji, choćby tylko czasowej, stanowi wyjątek. Po drugie, choć to przysługujące co do zasady wiodącemu organowi nadzorczemu uprawnienie znajduje potwierdzenie w art. 56 ust. 6 RODO, zgodnie z którym administrator lub podmiot przetwarzający komunikują się w sprawie dokonywanego przez nich transgranicznego przetwarzania jedynie z wiodącym organem nadzorczym, to organ ten powinien wykonywać takie uprawnienie w ramach ścisłej współpracy z innymi organami nadzorczymi, których sprawa dotyczy. W szczególności ten wiodący organ nadzorczy nie może zrezygnować, w ramach wykonywania swoich kompetencji, jak wskazano w pkt 53 niniejszego wyroku, z prowadzenia niezbędnego dialogu oraz lojalnej i skutecznej współpracy z innymi organami nadzorczymi, których sprawa dotyczy.

64

W tym względzie z motywu 10 RODO wynika, że jego celem jest między innymi zapewnienie spójnego i jednolitego stosowania zasad ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych w całej Unii oraz usuwanie przeszkód w przepływie danych osobowych w jej ramach.

65

Realizacja takiego celu, podobnie jak skuteczność (effet utile) mechanizmu kompleksowej współpracy, mogłaby zostać zagrożona, gdyby organ nadzorczy, który w odniesieniu do przetwarzania danych transgranicznych nie jest organem wiodącym, mógł wykonywać uprawnienie przewidziane w art. 58 ust. 5 RODO również w przypadkach innych niż te, w których jest on właściwy do wydania decyzji takiej jak ta, o której mowa w pkt 63 niniejszego wyroku. Wykonywanie takiego uprawnienia ma bowiem na celu uzyskanie wiążącego orzeczenia sądowego, które może mieć negatywny wpływ zarówno na realizację wspomnianego celu i wspomniany mechanizm, jak i na decyzję wydaną przez organ nadzorczy, który nie jest organem wiodącym.

66

Wbrew temu, co utrzymuje ODO, okoliczność polegająca na tym, że organ nadzorczy państwa członkowskiego, który nie jest wiodącym organem nadzorczym, może wykonywać uprawnienie przewidziane w art. 58 ust. 5 RODO tylko z poszanowaniem zasad podziału kompetencji decyzyjnych przewidzianych w szczególności w art. 55 i 56 tego rozporządzenia w związku z jego art. 60, jest zgodna z art. 7, 8 i 47 karty.

67

Po pierwsze, jeśli chodzi o argumentację dotyczącą podnoszonego naruszenia art. 7 i 8 karty, należy przypomnieć, że art. 7 gwarantuje każdej osobie prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się, podczas gdy art. 8 ust. 1 karty, podobnie jak art. 16 ust. 1 TFUE, wyraźnie przyznaje każdej osobie prawo do ochrony danych osobowych jej dotyczących. W szczególności zaś z art. 51 ust. 1 RODO wynika, że organy nadzorcze są odpowiedzialne za nadzór nad stosowaniem tego rozporządzenia, między innymi w celu ochrony praw podstawowych osób fizycznych w zakresie przetwarzania ich danych osobowych. Wynika z tego, że, zgodnie z tym, co zostało stwierdzone w pkt 45 niniejszego wyroku, przewidziane w tym rozporządzeniu zasady podziału kompetencji decyzyjnych między wiodącym organem nadzorczym a innymi organami nadzorczymi pozostają bez uszczerbku dla spoczywającej na każdym z tych organów odpowiedzialności za przyczynianie się do wysokiego poziomu ochrony tych praw, przy równoczesnym poszanowaniu zarówno tych zasad, jak również przypomnianych w pkt 52 tego wyroku wymogów dotyczących współpracy i wzajemnej pomocy.

68

Oznacza to w szczególności, że stosowanie mechanizmu kompleksowej współpracy nie może w żadnym wypadku doprowadzić do sytuacji, w której krajowy organ nadzorczy, w szczególności wiodący organ nadzorczy, nie ponosi przypisanej mu w RODO odpowiedzialności za przyczynianie się do skutecznej ochrony osób fizycznych przed naruszeniem ich przypomnianych w poprzednim punkcie niniejszego wyroku praw podstawowych, gdyż przyjęcie przeciwnego rozwiązania zachęcałoby do stosowania, w szczególności ze strony administratorów, praktyki tzw. forum shopping, mającej na celu obejście tych praw podstawowych i uniemożliwienie skutecznego stosowania przepisów tego rozporządzenia służących ich wykonaniu.

69

Po drugie, jeśli chodzi o argumentację opartą na zarzucanym naruszeniu prawa do skutecznego środka prawnego, zagwarantowanego w art. 47 karty, to również ona nie może zostać uwzględniona. Określone w pkt 64 i 65 niniejszego wyroku ramy możliwości skorzystania przez organ nadzorczy inny niż wiodący z przewidzianego w art. 58 ust. 5 RODO uprawnienia w odniesieniu do transgranicznego przetwarzania danych osobowych pozostaje bowiem bez uszczerbku dla przyznanego każdemu podmiotowi na mocy art. 78 ust. 1 i 2 tego rozporządzenia uprawnienia do wniesienia skutecznego środka zaskarżenia w postępowaniu sądowym, w szczególności od prawnie wiążącej decyzji organu nadzorczego, która tego podmiotu dotyczy, lub od braku rozpatrzenia skargi wniesionej przez niego do organu nadzorczego, któremu przysługuje kompetencja decyzyjna na podstawie art. 55 i 56 w związku z art. 60 tego rozporządzenia.

70

Tak jest w szczególności w przypadku przedstawionym w art. 56 ust. 5 RODO, w którym, jak wskazano w pkt 62 niniejszego wyroku, organ nadzorczy, który przekazał informacje na podstawie art. 56 ust. 3 tego rozporządzenia, może rozpatrzyć daną sprawę zgodnie z art. 61 i 62 tego rozporządzenia, jeżeli wiodący organ nadzorczy po uzyskaniu tych informacji podejmie decyzję, że nie będzie rozpatrywał go sam. W ramach takiego rozpatrywania nie można zresztą wykluczyć, że dany organ nadzorczy może, jeśli zajdzie taka potrzeba, zdecydować o skorzystaniu z uprawnienia przyznanego mu w art. 58 ust. 5 RODO.

71

Po dokonaniu tego wyjaśnienia należy podkreślić, że nie można wykluczyć, iż organ nadzorczy danego państwa członkowskiego skorzysta z uprawnienia do zwrócenia się do sądów tego państwa, jeżeli zwróci się on o wzajemną pomoc do wiodącego organu nadzorczego na podstawie art. 61 RODO, a organ ten nie dostarczy mu żądanych informacji. W takim przypadku na mocy art. 61 ust. 8 tego rozporządzenia organ nadzorczy, którego sprawa dotyczy, może przyjąć środek tymczasowy na terytorium swego państwa członkowskiego i, jeśli uzna, że środki o charakterze ostatecznym winny zostać podjęte w trybie pilnym, może zgodnie z art. 66 ust. 2 tego rozporządzenia zwrócić się do Europejskiej Rady Ochrony Danych o pilne wydanie opinii lub wiążącej decyzji. Ponadto zgodnie z art. 64 ust. 2 tego samego rozporządzenia organ nadzorczy może wystąpić o przeanalizowanie przez Europejską Radę Ochrony Danych, w celu wydania opinii, sprawy mającej charakter ogólny lub wywołującej skutki w więcej niż jednym państwie członkowskim, w szczególności jeżeli właściwy organ nadzorczy nie wywiązuje się z dotyczących wzajemnej pomocy obowiązków nałożonych nań w art. 61 tego rozporządzenia. Tymczasem w następstwie przyjęcia takiej opinii lub takiej decyzji i w zakresie, w jakim Europejska Rada Ochrony Danych, po uwzględnieniu wszystkich istotnych okoliczności, przychyli się do niej, dany organ nadzorczy powinien mieć możliwość podjęcia środków niezbędnych do zapewnienia przestrzegania zawartych w RODO przepisów dotyczących ochrony praw osób fizycznych w zakresie przetwarzania danych osobowych i z tego tytułu skorzystać z uprawnienia przyznanego mu w art. 58 ust. 5 tego rozporządzenia.

72

Podział kompetencji i odpowiedzialności między organami nadzorczymi opiera się bowiem siłą rzeczy na założeniu istnienia lojalnej i skutecznej współpracy między tymi organami, a także Europejską Radą Ochrony Danych, a to w celu zapewnienia prawidłowego i spójnego stosowania tego rozporządzenia, co zostało potwierdzone w jego art. 51 ust. 2.

73

W niniejszej sprawie to do sądu odsyłającego będzie należało ustalenie, czy zasady podziału kompetencji oraz przewidziane w RODO odpowiednie procedury i mechanizmy zostały w ramach postępowania głównego prawidłowo zastosowane. W szczególności powinien on sprawdzić, czy mimo że ODO nie jest wiodącym organem nadzorczym w tej sprawie, rozpatrywane przetwarzanie, w zakresie, w jakim dotyczy ono zachowań sieci społecznościowej Facebook po dniu 25 maja 2018 r., stanowi w szczególności sytuację, o której mowa w pkt 71 niniejszego wyroku.

74

W tym względzie Trybunał zauważył, że Europejska Rada Ochrony Danych w swej opinii nr 5/2019 z dnia 12 marca 2019 r. w sprawie wzajemnych zależności pomiędzy dyrektywą o prywatności i łączności elektronicznej a [RODO], w szczególności w zakresie dotyczącym zadań i uprawnień poszczególnych organów ochrony danych, oświadczyła, że zapisywanie i odczytywanie danych osobowych za pomocą plików cookie jest objęte zakresem stosowania dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37), nie zaś mechanizmem kompleksowej współpracy. Natomiast wszelkie wcześniejsze operacje i późniejsze działania w zakresie przetwarzania tych danych osobowych za pomocą innych technologii są jak najbardziej objęte zakresem stosowania RODO, a w konsekwencji – mechanizmem kompleksowej współpracy. Zważywszy, że złożony przez nie wniosek o udzielenie wzajemnej pomocy dotyczył późniejszych operacji przetwarzania danych osobowych, w kwietniu 2019 r. ODO zwróciło się do komisarza ds. ochrony danych o jak najszybsze rozpatrzenie jego wniosku, co pozostało bez odpowiedzi.

75

Mając na względzie całokształt powyższych rozważań, na pytanie pierwsze należy odpowiedzieć, że art. 55 ust. 1, art. 56–58 oraz art. 60–66 RODO w związku z art. 7, 8 i 47 karty należy interpretować w ten sposób, że organ nadzorczy państwa członkowskiego, który na podstawie ustawodawstwa krajowego wydanego w wykonaniu art. 58 ust. 5 tego rozporządzenia jest uprawniony do podnoszenia wszelkich zarzucanych naruszeń tego rozporządzenia przed sądami tego państwa członkowskiego i, w stosownych przypadkach, do wszczęcia postępowania sądowego, może wykonywać to uprawnienie w zakresie dotyczącym transgranicznego przetwarzania danych, pomimo tego, że nie jest on w odniesieniu do takiego przetwarzania danych „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 tego rozporządzenia, pod warunkiem że jest to jeden z przypadków, w których RODO przyznaje temu organowi nadzorczemu uprawnienie do wydania decyzji stwierdzającej, iż owo przetwarzanie narusza normy ustanowione w tym rozporządzeniu, i że uprawnienie to jest wykonywane z poszanowaniem ustanowionych w tym rozporządzeniu procedur współpracy i kontroli spójności.

76

Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 58 ust. 5 RODO należy interpretować w ten sposób, że w przypadku transgranicznego przetwarzania danych korzystanie z uprawnień organu nadzorczego państwa członkowskiego innego niż organ wiodący do wszczęcia postępowania sądowego w rozumieniu tego przepisu wiąże się z wymogiem, aby administrator danych osobowych, przeciwko któremu wniesiono to powództwo, posiadał „główną jednostkę organizacyjną” w rozumieniu art. 4 pkt 16 RODO lub też inną jednostkę organizacyjną na terytorium tego państwa członkowskiego.

77

W tym względzie należy przypomnieć, że zgodnie z brzmieniem art. 55 ust. 1 RODO każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z tym rozporządzeniem na terytorium swojego państwa członkowskiego.

78

W art. 58 ust. 5 RODO przyznano ponadto każdemu organowi nadzorczemu uprawnienie do wnoszenia do organów sądowniczych jego państwa członkowskiego spraw dotyczących wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w celu wyegzekwowania stosowania jego przepisów.

79

Należy zaś zauważyć, że art. 58 ust. 5 RODO został sformułowany w sposób ogólny i że prawodawca Unii nie uzależnił wykonywania tego uprawnienia przez organ nadzorczy państwa członkowskiego od spełnienia warunku, by powództwo wnoszone przez ten organ było skierowane przeciwko administratorowi danych posiadającemu „główną jednostkę organizacyjną” w rozumieniu art. 4 pkt 16 tego rozporządzenia lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego.

80

Niemniej jednak organ nadzorczy państwa członkowskiego może wykonywać uprawnienie przyznane mu w art. 58 ust. 5 RODO tylko wtedy, gdy ustalone zostanie, że uprawnienie to jest objęte terytorialnym zakresem stosowania tego rozporządzenia.

81

Artykuł 3 RODO, który reguluje terytorialny zakres zastosowania tego rozporządzenia, stanowi w tym względzie w ust. 1, że ma ono zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego na terytorium Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

82

W tym względzie w motywie 22 RODO wyjaśniono, iż taka jednostka organizacyjna zakłada skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury, zaś forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział, czy spółkę zależną posiadającą osobowość prawną, nie jest w tym względzie czynnikiem decydującym.

83

Wynika z tego, że zgodnie z art. 3 ust. 1 RODO terytorialny zakres stosowania tego rozporządzenia jest determinowany – z zastrzeżeniem sytuacji określonych w ust. 2 i 3 tego artykułu – warunkiem, by administrator danych lub podmiot dokonujący ich transgranicznego przetwarzania posiadali jednostkę organizacyjną na terytorium Unii.

84

Na pytanie drugie należy zatem odpowiedzieć, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż w przypadku transgranicznego przetwarzania danych wykonywanie przysługującego organowi nadzorczemu państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienia do wszczęcia postępowania sądowego w rozumieniu tego przepisu nie wiąże się z wymogiem, aby administrator danych lub podmiot dokonujący transgranicznego przetwarzania danych osobowych, przeciwko któremu zostało wytoczone powództwo, posiadał główną lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego.

85

Poprzez pytanie trzecie sąd odsyłający dąży w istocie do ustalenia, czy art. 58 ust. 5 RODO należy interpretować w ten sposób, że w przypadku transgranicznego przetwarzania danych wykonywanie przez organ nadzorczy państwa członkowskiego inny niż organ wiodący uprawnienia do podnoszenia przed sądami tego państwa wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w rozumieniu tego przepisu wiąże się z wymogiem, aby organ nadzorczy, którego sprawa dotyczy, kierował swoje powództwo przeciwko głównej jednostce organizacyjnej administratora, czy też przeciwko jednostce organizacyjnej, która znajduje się w jego własnym państwie członkowskim.

86

Z postanowienia odsyłającego wynika, że pytanie to zostało podniesione w ramach powstałego między stronami sporu dotyczącego kwestii tego, czy sąd odsyłający jest właściwy do rozpatrzenia powództwa o zaniechanie w zakresie, w jakim zostało wniesione przeciwko Facebook Belgium, z uwagi na fakt, po pierwsze, że unijna siedziba grupy Facebook znajduje się w Irlandii, a Facebook Ireland jest podmiotem ponoszącym wyłączną odpowiedzialność za gromadzenie i przetwarzanie danych osobowych na całym terytorium Unii, a po drugie, zgodnie z podziałem zadań wewnątrz tej grupy, jednostka organizacyjna znajdująca się w Belgii została utworzona przede wszystkim po to, aby umożliwić tej grupie, tytułem działalności głównej, utrzymywanie stosunków z instytucjami Unii i, tytułem działalności pobocznej, prowadzenie działalności reklamowej i marketingowej tej grupy adresowanej do podmiotów mających miejsce zamieszkania lub siedzibę w Belgii.

87

Tak jak zostało to podniesione w pkt 47 niniejszego wyroku, w art. 55 ust. 1 RODO ustanowiona została przysługująca każdemu organowi nadzorczemu właściwość do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z tym rozporządzeniem na terytorium swojego państwa członkowskiego.

88

Co się tyczy uprawnienia organu nadzorczego danego państwa członkowskiego do wszczęcia postępowania sądowego w rozumieniu art. 58 ust. 5 RODO należy przypomnieć, jak zauważył rzecznik generalny w pkt 150 opinii, że przepis ten jest sformułowany w sposób ogólny i że nie wskazano w nim dokładnie podmiotów, przeciwko którym organy nadzorcze powinny lub mogą skierować powództwo dotyczące wszelkich naruszeń tego rozporządzenia.

89

Tak więc wspomniany przepis nie ogranicza wykonywania uprawnienia do wszczęcia postępowania sądowego w tym znaczeniu, że takie powództwo mogłoby zostać wytoczone wyłącznie przeciwko „głównej jednostce organizacyjnej” czy też „innej jednostce organizacyjnej” administratora danych. Przeciwnie, zgodnie z tym samym przepisem jeżeli organ nadzorczy państwa członkowskiego posiada, zgodnie z art. 55 i 56 RODO, niezbędne w tym celu kompetencje, może on wykonywać uprawnienia przyznane mu w tym rozporządzeniu na terytorium swojego państwa, niezależnie od tego, w jakim państwie członkowskim mają siedzibę administrator lub podmiot przetwarzający.

90

Jednakże wykonywanie uprawnienia przyznanego każdemu organowi nadzorczemu w art. 58 ust. 5 RODO wiąże się z przyjęciem założenia, że rozporządzenie to znajduje zastosowanie. W tym względzie, jak podkreślono w pkt 81 niniejszego wyroku, w art. 3 ust. 1 tego rozporządzenia przewidziano, że ma ono zastosowanie do przetwarzania danych osobowych dokonywanego „w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii”.

91

Z uwagi na cel realizowany przez RODO i polegający na zapewnieniu skutecznej ochrony swobód i praw podstawowych osób fizycznych, w szczególności ich prawa do życia prywatnego i do ochrony danych osobowych, warunkowi, zgodnie z którym przetwarzanie danych osobowych powinno odbywać się „w związku z działalnością” prowadzoną przez daną jednostkę organizacyjną, nie można nadać wykładni zawężającej (zob. analogicznie wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, pkt 56 i przytoczone tam orzecznictwo).

92

W niniejszej sprawie z postanowienia odsyłającego i z uwag na piśmie złożonych przez Facebook Belgium wynika, że zadaniem tego przedsiębiorstwa, wykonywanym jako główna działalność, jest utrzymywanie stosunków z instytucjami Unii oraz, tytułem działalności pobocznej, promowanie działalności reklamowej i marketingowej grupy Facebook adresowanej do podmiotów mających miejsce zamieszkania lub siedzibę w Belgii.

93

Rozpatrywane w postępowaniu głównym przetwarzanie danych osobowych, którego na terytorium Unii dokonuje wyłącznie Facebook Ireland i które polega na gromadzeniu informacji o zachowaniach w Internecie zarówno posiadaczy konta na Facebooku, jak i niekorzystających z usług Facebooka przy użyciu różnego rodzaju technologii, w szczególności takich jak wtyczki społecznościowe i piksele monitorujące, ma zaś właśnie na celu umożliwienie tej sieci społecznościowej poprawy efektywności jej systemu reklamowego poprzez lepsze ukierunkowanie emitowanych reklam.

94

Należy zauważyć, że po pierwsze, sieć społecznościowa taka jak Facebook osiąga znaczną część swoich dochodów zwłaszcza dzięki reklamie, która jest w niej rozpowszechniana, a działalność jednostki organizacyjnej mającej siedzibę w Belgii ma na celu prowadzenie w tym państwie członkowskim, choćby miało to charakter działalności pobocznej, promocji i sprzedaży powierzchni reklamowych, z których dochody służą zapewnieniu rentowności usług oferowanych przez Facebooka. Po drugie, prowadzona jako główna przez Facebook Belgium działalność polegająca na utrzymywaniu relacji z instytucjami Unii i na stanowieniu punktu kontaktowego z tymi instytucjami ma na celu w szczególności kreowanie polityki przetwarzania danych osobowych przez Facebook Ireland.

95

W tych okolicznościach rodzaje działalności prowadzone przez jednostkę organizacyjną grupy Facebook znajdującą się w Belgii należy uznać za nierozerwalnie związane z rozpatrywanym w postępowaniu głównym przetwarzaniem danych osobowych, za które Facebook Ireland ponosi odpowiedzialność w odniesieniu do terytorium Unii. W konsekwencji takie przetwarzanie należy traktować jako dokonywane „w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora” w rozumieniu art. 3 ust. 1 RODO.

96

Uwzględniając całokształt powyższych rozważań, na pytanie trzecie należy odpowiedzieć, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż przysługujące organowi nadzorczemu danego państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienie do podnoszenia przed sądami tego państwa wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w rozumieniu tego przepisu, może być wykonywane zarówno w odniesieniu do głównej jednostki organizacyjnej administratora danych znajdującej się w państwie członkowskim owego organu, jak i w odniesieniu do innej jednostki organizacyjnej tego administratora, pod warunkiem że powództwo dotyczy przetwarzania danych dokonywanego w związku z działalnością prowadzoną przez tę jednostkę, a organ ten jest właściwy do wykonywania tego uprawnienia, zgodnie z tym, co zostało wskazane w odpowiedzi na pierwsze z zadanych pytań prejudycjalnych.

97

Poprzez czwarte z zadanych pytań sąd odsyłający dąży w istocie do ustalenia, czy art. 58 ust. 5 RODO należy interpretować w ten sposób, że w przypadku gdy organ nadzorczy państwa członkowskiego, który nie jest „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 tego rozporządzenia, wszczął postępowanie sądowe dotyczące transgranicznego przetwarzania danych osobowych przed dniem 25 maja 2018 r., czyli przed dniem, w którym rozporządzenie to weszło w życie, okoliczność ta może mieć wpływ na warunki, na jakich ów organ nadzorczy państwa członkowskiego może wykonywać uprawnienie do wszczęcia postępowania sądowego, jakie mu przysługuje w oparciu o ten art. 58 ust. 5 RODO.

98

Facebook Ireland, Facebook Inc. i Facebook Belgium podnoszą bowiem przed tym sądem, że stosowanie RODO począwszy od dnia 25 maja 2018 r. skutkuje tym, że podtrzymanie powództwa wytoczonego przed tą datą jest niedopuszczalne, a wręcz bezzasadne.

99

Na wstępie należy zauważyć, że w art. 99 ust. 1 RODO przewidziano, iż wchodzi ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej. Ponieważ rozporządzenie to zostało opublikowane w tym Dzienniku Urzędowym w dniu 4 maja 2016 r., weszło ono w życie w dniu 25 maja tego samego roku. Ponadto w art. 99 ust. 2 tego rozporządzenia przewidziano, że ma ono zastosowanie od dnia 25 maja 2018 r.

100

W tym względzie należy przypomnieć, że nowy przepis stosuje się od wejścia w życie aktu, który go wprowadza, i że choć nie stosuje się go do sytuacji prawnych powstałych i ostatecznie zakończonych pod rządami dawnej ustawy, ma on zastosowanie do przyszłych skutków tych sytuacji oraz do nowych sytuacji prawnych. Inaczej jest tylko – i to z zastrzeżeniem zasady niedziałania wstecz aktów prawnych – jeżeli wraz z nowym przepisem zostają wydane przepisy szczególne, które określają konkretnie jego warunki stosowania w czasie. W szczególności przepisy proceduralne uznaje się na ogół za mające zastosowanie w chwili ich wejścia w życie, w odróżnieniu od przepisów materialnych, które są zazwyczaj interpretowane w ten sposób, iż obowiązują w stosunku do sytuacji ukształtowanych przed ich wejściem w życie tylko wtedy, gdy z brzmienia tych przepisów, ich celu lub ich struktury jednoznacznie wynika, że należy im przypisać taki skutek [wyrok z dnia 25 lutego 2021 r., Caisse pour l’avenir des enfants (Zatrudnienie w chwili narodzin), C‑129/20, EU:C:2021:140, pkt 31 i przytoczone tam orzecznictwo].

101

RODO nie przewiduje żadnego przepisu przejściowego ani jakiegokolwiek innego przepisu regulującego status postępowań sądowych wszczętych przed momentem, od którego ma ono zastosowanie i które pozostawały jeszcze w toku w dniu, począwszy od którego rozporządzenie to ma zastosowanie. W szczególności żaden przepis tego rozporządzenia nie przewiduje, że skutkuje ono zakończeniem wszystkich toczących się w dniu 25 maja 2018 r. postępowań sądowych dotyczących zarzucanych naruszeń przewidzianych w dyrektywie 95/46 przepisów regulujących przetwarzanie danych osobowych, nawet jeśli zachowania mające znamiona takich zarzucanych naruszeń są kontynuowane po tej dacie.

102

W niniejszym przypadku art. 58 ust. 5 RODO ustanawia zasady regulujące przysługujące organowi nadzorczemu uprawnienie do wniesienia do organów wymiaru sprawiedliwości spraw dotyczących naruszenia tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego – lub do uczestniczenia w nim inny sposób – w celu wyegzekwowania stosowania przepisów tego rozporządzenia.

103

W tych okolicznościach należy dokonać rozróżnienia pomiędzy powództwami wytaczanymi przez organ nadzorczy danego państwa członkowskiego w związku z naruszeniami przepisów dotyczących ochrony danych osobowych popełnianymi przez administratorów lub podmioty przetwarzające przed dniem, począwszy od którego RODO zaczęło mieć zastosowanie, a tymi, które zostały wniesione w związku z naruszeniami popełnionymi po tej dacie.

104

W pierwszym przypadku, z punktu widzenia prawa Unii, postępowanie sądowe, takie jak rozpatrywane w postępowaniu głównym, może być prowadzone dalej na podstawie przepisów dyrektywy 95/46, która nadal znajduje zastosowanie w odniesieniu do naruszeń, których dopuszczono się do dnia jej uchylenia, czyli do dnia 25 maja 2018 r. W drugim przypadku powództwo może zostać wniesione na podstawie art. 58 ust. 5 RODO wyłącznie pod warunkiem, że – jak podkreślono w ramach odpowiedzi na pierwsze z zadanych pytań – powództwo to dotyczy sytuacji, w której w rozporządzeniu tym przyznano tytułem wyjątku organowi nadzorczemu państwa członkowskiego, który nie jest „wiodącym organem nadzorczym”, uprawnienie do wydania decyzji stwierdzającej, że rozpatrywane przetwarzanie danych narusza przepisy tego rozporządzenia, jeśli chodzi o ochronę praw osób fizycznych w zakresie przetwarzania danych osobowych, i że uprawnienie to jest wykonywane w poszanowaniu procedur przewidzianych w tym rozporządzeniu.

105

W świetle całości powyższych rozważań na pytanie czwarte należy odpowiedzieć, że art. 58 ust. 5 RODO należy interpretować w ten sposób, że jeżeli organ nadzorczy państwa członkowskiego, który nie jest „wiodącym organem nadzorczym” w rozumieniu art. 56 ust. 1 tego rozporządzenia, wniósł do sądu powództwo dotyczące transgranicznego przetwarzania danych osobowych przed dniem 25 maja 2018 r., czyli przed dniem, począwszy od którego rozporządzenie to ma zastosowanie, powództwo to może, z punktu widzenia prawa Unii, zostać podtrzymane na podstawie przepisów dyrektywy 95/46 mającej nadal zastosowanie w zakresie dotyczącym naruszeń przewidzianych w niej norm, których dopuszczono się aż do dnia, w którym dyrektywa ta została uchylona. Takie powództwo może także zostać wniesione przez wspomniany organ w związku z naruszeniami popełnionymi po tej dacie na podstawie art. 58 ust. 5 RODO, pod warunkiem że ma to miejsce w jednej z sytuacji, w których w drodze wyjątku rozporządzenie to przyznaje organowi nadzorczemu państwa członkowskiego, który nie jest „wiodącym organem nadzorczym”, uprawnienie do wydania decyzji stwierdzającej, że rozpatrywane przetwarzanie danych narusza zawarte w tym rozporządzeniu przepisy dotyczące ochrony praw osób fizycznych w zakresie przetwarzania danych osobowych, i że uprawnienie to jest wykonywane w poszanowaniu przewidzianych w tym samym rozporządzeniu procedur współpracy i kontroli spójności, czego sprawdzenie należy do sądu odsyłającego.

106

Poprzez pytanie piąte sąd odsyłający dąży w istocie do ustalenia, na wypadek udzielenia odpowiedzi twierdzącej na pierwsze z zadanych pytań, czy art. 58 ust. 5 RODO należy interpretować w ten sposób, że przepis ten ma bezpośrednią skuteczność, efektem czego krajowy organ nadzorczy może powołać się na ten przepis w celu wszczęcia lub dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli ten konkretny przepis jako taki nie został przetransponowany do ustawodawstwa danego państwa członkowskiego.

107

Zgodnie z brzmieniem art. 58 ust. 5 RODO każde państwo członkowskie winno przewidzieć w swoich przepisach, że jego organ nadzorczy jest uprawniony do podniesienia przed organami wymiaru sprawiedliwości wszelkich naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego lub do uczestniczenia w nim w inny sposób w celu wyegzekwowania stosowania przepisów tego rozporządzenia.

108

Na wstępie należy zauważyć, że – jak twierdzi rząd belgijski – art. 58 ust. 5 RODO został przetransponowany do belgijskiego porządku prawnego w drodze art. 6 ustawy z dnia 3 grudnia 2017 r. Zgodnie z brzmieniem tego art. 6, które jest w swej istocie identyczne z brzmieniem art. 58 ust. 5 RODO, ODO jest uprawnione do podnoszenia przed organami wymiaru sprawiedliwości wszelkich naruszeń podstawowych zasad ochrony danych osobowych w świetle niniejszej ustawy i ustaw zawierających przepisy w zakresie ochrony przetwarzania danych osobowych oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w celu wyegzekwowania stosowania tych zasad podstawowych. Należy więc uznać, że ODO może oprzeć się na przepisie prawa krajowego takim jak art. 6 ustawy z dnia 3 grudnia 2017 r., który stanowi transpozycję art. 58 ust. 5 RODO do prawa belgijskiego, aby wszcząć postępowanie sądowe mające na celu wyegzekwowanie przestrzegania tego rozporządzenia.

109

Ponadto w trosce o kompletność wywodu należy zauważyć, że zgodnie z art. 288 akapit drugi TFUE rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich, w związku z czym jego przepisy nie wymagają co do zasady przyjęcia przez państwa członkowskie jakiegokolwiek środka wykonawczego.

110

W tym względzie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału, na mocy art. 288 TFUE oraz ze względu na charakter i funkcję rozporządzeń w systemie źródeł prawa unijnego, zawarte w nich przepisy mają co do zasady bezpośredni skutek w krajowych porządkach prawnych, bez konieczności przyjmowania przez organy władz krajowych środków wykonawczych. Niemniej jednak wprowadzenie w życie niektórych przepisów rozporządzenia może wymagać przyjęcia przez państwa członkowskie krajowych środków wykonawczych (wyrok z dnia 15 marca 2017 r., Al Chodor, C‑528/15, EU:C:2017:213, pkt 27 i przytoczone tam orzecznictwo).

111

Otóż jak zauważył w istocie rzecznik generalny w pkt 167 opinii, w art. 58 ust. 5 RODO przewidziana została szczególna i mająca bezpośrednie zastosowanie norma, zgodnie z którą organom nadzorczym musi przysługiwać legitymacja procesowa do występowania przed sądami krajowymi, zaś na gruncie prawa krajowego należy im przyznać uprawnienie do wszczynania postępowań sądowych.

112

Z art. 58 ust. 5 RODO nie wynika, że państwa członkowskie powinny określić za pomocą wyraźnego przepisu okoliczności, w jakich krajowe organy nadzorcze mogą wszcząć postępowanie przed sądem w rozumieniu tego przepisu. Wystarczy, by organ nadzorczy miał, zgodnie z ustawodawstwem krajowym, możliwość podnoszenia przed organami wymiaru sprawiedliwości naruszeń przepisów tego rozporządzenia oraz, w stosownych przypadkach, pozwania przed sąd lub wszczęcia w inny sposób postępowania w celu wyegzekwowania stosowania przepisów tego rozporządzenia.

113

Uwzględniając całokształt powyższych rozważań, na piąte z zadanych pytań należy odpowiedzieć, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż przepis ten ma bezpośrednią skuteczność, efektem czego krajowy organ nadzorczy może powołać się na ten przepis w celu wszczęcia lub dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli ten konkretny przepis jako taki nie został przetransponowany do ustawodawstwa danego państwa członkowskiego.

114

Poprzez pytanie szóste sąd odsyłający dąży w istocie do ustalenia, w przypadku udzielenia odpowiedzi twierdzącej na pytania od pierwszego do piątego, czy wynik postępowania sądowego wszczętego przez organ nadzorczy państwa członkowskiego w przedmiocie transgranicznego przetwarzania danych osobowych może stać na przeszkodzie temu, by wiodący organ nadzorczy wydał decyzję, w której dochodzi do przeciwnego wniosku, w przypadku gdy prowadzi on dochodzenie w przedmiocie tych samych transgranicznych czynności przetwarzania lub podobnych czynności, zgodnie z mechanizmem przewidzianym w art. 56 i 60 RODO.

115

W tym względzie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem pytania dotyczące prawa Unii korzystają z domniemania posiadania znaczenia dla sprawy. Odmowa wydania przez Trybunał orzeczenia w przedmiocie zadanego przez sąd krajowy pytania jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą wniesiono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego niezbędnymi do udzielenia użytecznej odpowiedzi na postawione mu pytania (wyroki: z dnia 16 czerwca 2015 r., Gauweiler i in., C‑62/14, EU:C:2015:400, pkt 25; a także z dnia 7 lutego 2018 r., American Express, C‑304/16, EU:C:2018:66, pkt 32).

116

Ponadto, również zgodnie z utrwalonym orzecznictwem, uzasadnieniem procedury odesłania prejudycjalnego nie jest oczekiwanie opinii w kwestiach generalnych lub hipotetycznych, lecz rzeczywista potrzeba związana ze skutecznym rozstrzygnięciem określonego sporu (wyrok z dnia 10 grudnia 2018 r., Wightman i in., C‑621/18, EU:C:2018:999, pkt 28 i przytoczone tam orzecznictwo).

117

W niniejszej sprawie należy podkreślić, że – jak zauważa rząd belgijski – pytanie szóste opiera się na okolicznościach, w odniesieniu do których nie zostało w żaden sposób wykazane, iż zachodzą one w sporze w postępowaniu głównym, a mianowicie polegających na tym, że w odniesieniu do przetwarzania transgranicznego będącego przedmiotem tego sporu miałby istnieć wiodący organ nadzorczy, który nie tylko badałby te same czynności transgranicznego przetwarzania danych osobowych co te będące przedmiotem postępowania sądowego wszczętego przez organ nadzorczy danego państwa członkowskiego czy też czynności do nich podobne, lecz również nosiłby się z zamiarem wydania decyzji, w której doszedłby do przeciwnego wniosku.

118

W tych okolicznościach należy stwierdzić, że pytanie szóste nie ma żadnego związku ze stanem faktycznym lub przedmiotem sporu w postępowaniu głównym i dotyczy problemu hipotetycznego. W konsekwencji pytanie to należy uznać za niedopuszczalne.

119

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje: