This document is an excerpt from the EUR-Lex website
Document 62019CC0645
Opinion of Advocate General Bobek delivered on 13 January 2021.#Facebook Ireland Ltd and Others v Gegevensbeschermingsautoriteit.#Request for a preliminary ruling from the Hof van beroep te Brussel.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Charter of Fundamental Rights of the European Union – Articles 7, 8 and 47 – Regulation (EU) 2016/679 – Cross-border processing of personal data – ‘One-stop shop’ mechanism – Sincere and effective cooperation between supervisory authorities – Competences and powers – Power to initiate or engage in legal proceedings.#Case C-645/19.
Návrhy prednesené 13. januára 2021 – generálny advokát M. Bobek.
Facebook Ireland Limited a i. proti Gegevensbeschermingsautoriteit.
Návrh na začatie prejudiciálneho konania, ktorý podal Hof van beroep te Brussel.
Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Charta základných práv Európskej únie – Články 7, 8 a 47 – Nariadenie (EÚ) 2016/679 – Cezhraničné spracúvanie osobných údajov – Mechanizmus ‚jednotného kontaktného miesta‘ – Lojálna a účinná spolupráca dozorných orgánov – Príslušnosť a právomoci – Procesná spôsobilosť.
Vec C-645/19.
Návrhy prednesené 13. januára 2021 – generálny advokát M. Bobek.
Facebook Ireland Limited a i. proti Gegevensbeschermingsautoriteit.
Návrh na začatie prejudiciálneho konania, ktorý podal Hof van beroep te Brussel.
Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Charta základných práv Európskej únie – Články 7, 8 a 47 – Nariadenie (EÚ) 2016/679 – Cezhraničné spracúvanie osobných údajov – Mechanizmus ‚jednotného kontaktného miesta‘ – Lojálna a účinná spolupráca dozorných orgánov – Príslušnosť a právomoci – Procesná spôsobilosť.
Vec C-645/19.
ECLI identifier: ECLI:EU:C:2021:5
MICHAL BOBEK
prednesené 13. januára 2021 ( 1 )
Vec C‑645/19
Facebook Ireland Limited,
Facebook Inc.,
Facebook Belgium BVBA
proti
Gegevensbeschermingsautoriteit
[návrh na začatie prejudiciálneho konania, ktorý podal Hof van beroep te Brussel (Odvolací súd Brusel, Belgicko)]
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Charta základných práv Európskej únie – Články 7, 8 a 47 – Nariadenie (EÚ) 2016/679 – Články 55, 56, 58, 60, 61 a 66 – Dozorné orgány – Cezhraničné spracúvanie osobných údajov – Mechanizmus jednotného kontaktného miesta – Vedúci dozorný orgán – Dotknutý dozorný orgán – Príslušnosť – Právomoc – Právomoc podať návrh na začatie súdneho konania“
I. Úvod
1. |
Umožňuje všeobecné nariadenie o ochrane údajov ( 2 ) (ďalej len „nariadenie GDPR“), aby dozorný orgán členského štátu podal návrh na začatie konania na súde tohto štátu z dôvodu údajného porušenia tohto nariadenia v súvislosti s cezhraničným spracúvaním údajov v prípade, že uvedený orgán nie je v súvislosti s uvedením spracúvaním vedúcim dozorným orgánom? |
2. |
Alebo je to naopak tak, že nový mechanizmus jednotného kontaktného miesta vyhlasovaný za jednu z veľkých inovácií, ktorú prinieslo nariadenie GDPR, práve takejto situácii bráni? Znamenala by situácia, v ktorej by sa musel prevádzkovateľ brániť proti žalobe, ktorá sa týka cezhraničného spracúvania údajov a podal ju dozorný orgán na súde mimo miesta hlavnej prevádzkarne prevádzkovateľa, že jednotných miest je „akosi priveľa“, čo je v rozpore s novým mechanizmom nariadenia GDPR? |
II. Právny rámec
A. Právo Únie
3. |
V preambule nariadenia GDPR je okrem iného uvedené: „ciele a zásady smernice 95/46/ES zostávajú platné, nepodarilo sa však zabrániť rozdielom pri vykonávaní ochrany údajov v Únii [a] právnej neistote“ (odôvodnenie 9); konzistentné a jednotné uplatňovanie pravidiel ochrany osobných údajov by sa malo zabezpečiť v rámci celej Únie (odôvodnenie 10); dozorné orgány by mali monitorovať uplatňovanie pravidiel a prispievať k ich konzistentnému uplatňovaniu v záujme ochrany fyzických osôb a uľahčenia voľného toku osobných údajov v rámci vnútorného trhu (odôvodnenie 123); v situácii cezhraničného spracúvania „by mal dozorný orgán pre hlavnú prevádzkareň prevádzkovateľa alebo sprostredkovateľa alebo pre jedinú prevádzkareň prevádzkovateľa alebo sprostredkovateľa konať ako vedúci orgán“ a tento orgán by mal „spolupracovať s inými dotknutými orgánmi“ (odôvodnenie 124). |
4. |
Podľa článku 51 ods. 1 nariadenia GDPR „každý členský štát stanoví, že za monitorovanie uplatňovania tohto nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie (ďalej len ‚dozorný orgán‘)“. |
5. |
Článok 55 ods. 1 nariadenia GDPR stanovuje, že „každý dozorný orgán je príslušný plniť úlohy, ktoré mu boli uložené, a vykonávať právomoci, ktoré mu boli zverené, v súlade s týmto nariadením na území vlastného členského štátu“. |
6. |
Článok 56 nariadenia GDPR sa týka príslušnosti vedúceho dozorného orgánu. Odsek 1 tohto článku uvádza: „Bez toho, aby bol dotknutý článok 55, dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa je príslušný konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa alebo sprostredkovateľa v súlade s postupom stanoveným v článku 60.“ |
7. |
Článok 56 ods. 2 až 5 stanovuje, že odchylne od odseku 1 „je každý dozorný orgán príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením tohto nariadenia, ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte“. Týmito prípadmi sa môže zaoberať vedúci dozorný orgán v súlade s postupom stanoveným v článku 60 nariadenia GDPR alebo „ak vedúci dozorný orgán rozhodne, že sa prípadom nebude zaoberať“ miestny dozorný orgán v súlade s článkami 61 a 62 nariadenia GDPR. |
8. |
Podľa článku 56 ods. 6 „vedúci dozorný orgán je jediným partnerom prevádzkovateľa alebo sprostredkovateľa v súvislosti s cezhraničným spracúvaním vykonávaným týmto prevádzkovateľom alebo sprostredkovateľom.“ |
9. |
Článok 58 ods. 5 nariadenia GDPR týkajúci sa právomocí dozorných orgánov uvádza: „Každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení tohto nariadenia.“ |
10. |
Kapitola VII nariadenia GDPR, nazvaná „Spolupráca a konzistentnosť“, obsahuje články 60 až 76. článok 60 má názov „Spolupráca medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmi“ a stanovuje podrobný postup, na základe ktorého majú v súvislosti s cezhraničným spracúvaním údajov konať vedúce dozorné orgány. |
11. |
Podľa článku 61 ods. 2 nariadenia GDPR týkajúceho sa vzájomnej pomoci, každý dozorný orgán „prijme všetky primerané opatrenia potrebné na to, aby na žiadosť iného dozorného orgánu odpovedal bez zbytočného odkladu a najneskôr do jedného mesiaca po prijatí žiadosti“. Článok 61 ods. 8 nariadenia GDPR stanovuje, že ak dozorný orgán neposkytne požadované informácie, žiadajúci dozorný orgán môže prijať predbežné opatrenie na území svojho členského štátu, pričom platí domnienka, že existuje naliehavá potreba konať podľa článku 66 ods. 1. |
12. |
Článok 65 ods. 1 písm. a) nariadenia GDPR, nazvaný „Riešenie sporov výborom“, uvádza, že s cieľom zabezpečiť správne a jednotné uplatňovanie tohto nariadenia v jednotlivých prípadoch prijme Európsky výbor pre ochranu údajov (ďalej len „výbor“) záväzné rozhodnutie okrem iného vtedy, ak dotknutý dozorný orgán vzniesol relevantnú a odôvodnenú námietku voči návrhu rozhodnutia vedúceho orgánu alebo ak vedúci orgán zamietol takúto námietku ako irelevantnú alebo neodôvodnenú. |
13. |
Článok 66 ods. 1 sa týka postupu pre naliehavé prípady a stanovuje, že za výnimočných okolností, keď sa dotknutý dozorný orgán domnieva, že je naliehavo potrebné konať s cieľom chrániť práva a slobody dotknutých osôb, môže odchylne od mechanizmu konzistentnosti a súdržnosti, „bezodkladne prijať predbežné opatrenia, ktoré majú mať právne účinky na jeho území a určenú dobu platnosti, ktorá nepresahuje tri mesiace“. |
14. |
Kapitola VIII nariadenia GDPR, ktorá má názov „Prostriedky nápravy, zodpovednosť a sankcie“ zahŕňa články 77 až 84. článok 77 ods. 1 stanovuje, že každá dotknutá osoba má právo podať sťažnosť dozornému orgánu „najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia“, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, môže byť v rozpore s týmto nariadením. Článok 78 ods. 1 a 2 nariadenia GDPR priznáva každej fyzickej alebo právnickej osobe právo na účinný súdny prostriedok nápravy okrem iného proti právne záväznému rozhodnutiu dozorného orgánu, ktoré sa týka tejto osoby, a proti dozornému orgánu, ktorý nevybavil sťažnosť. |
B. Vnútroštátne právo
15. |
Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (zákon z 8. decembra 1992 o ochrane súkromia pri spracúvaní osobných údajov, ďalej len „zákon o WVP“) v znení zmien a doplnení, prebral smernicu Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov ( 3 ). Tento zákon okrem iného vytvoril Belgickú komisiu pre ochranu súkromia. Podľa článku 32 ods. 3 tohto zákona „bez toho, aby bola dotknutá právomoc všeobecných súdov v súvislosti s uplatňovaním všeobecných zásad ochrany súkromia, predseda [komisie pre ochranu súkromia] môže predložiť prvostupňovému súdu akýkoľvek spor týkajúci sa uplatňovania tohto zákona a jeho vykonávacích predpisov“. |
16. |
V zmysle článku 3 Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (zákon z 3. decembra 2017 o zriadení belgického Úradu na ochranu osobných údajov, ďalej len „zákon o GBA“), ktorý nadobudol účinnosť 25. mája 2018, bol vytvorený Úrad na ochranu osobných údajov (ďalej len „GBA“) ako následník komisie pre ochranu súkromia. Článok 6 tohto zákona stanovuje, že GBA má „právomoc upozorniť súdne orgány na akékoľvek porušenie základných zásad ochrany osobných údajov, a to v rámci pôsobnosti tohto zákona a zákonov obsahujúcich ustanovenia o ochrane spracúvania osobných údajov, pričom ak je to vhodné, môže podať návrh na začatie konania s cieľom domôcť sa uplatnenia týchto základných zásad“. |
17. |
Zákon o GBA neobsahoval nijaké osobitné ustanovenia v súvislosti so súdnym konaním podľa článku 32 ods. 3 zákona o WVP, ktoré 25. mája 2018 stále prebiehalo. |
18. |
Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (zákon z 30. júla 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov) zrušil zákon o WVP. Nový zákon implementoval ustanovenia nariadenia GDPR, ktoré členským štátom ukladajú povinnosť alebo im umožňujú prijať nad rámec spoločných pravidiel aj podrobnejšie pravidlá. |
III. Skutkový stav, konanie na vnútroštátnom súde a prejudiciálne otázky
19. |
Predseda Belgickej komisie pre ochranu súkromia, ktorá sa neskôr zmenila na GBA, podal 11. septembra 2015 žalobu na Nederlandstalige rechtbank van eerste aanleg Brussel (Holandskojazyčný súd prvého stupňa v Bruseli, Belgicko) proti spoločnostiam Facebook Inc., Facebook Ireland Ltd a Facebook Belgium BVBA (ďalej len spoločne „Facebook“). Táto žaloba sa týka údajného porušovania právnych predpisov o ochrane údajov zo strany spoločnosti Facebook, ktoré spočíva okrem iného v tom, že sa prostredníctvom technológií ako „cookies“, „sociálne zásuvné moduly“ a „pixely“ nezákonným spôsobom zhromažďujú a používajú údaje o súkromnom internetovom správaní používateľov internetu v Belgicku. |
20. |
GBA v podstate tvrdí, že Facebook používa rôzne technológie, aby monitoroval a sledoval jednotlivcov, keď surfujú z jednej internetovej stránky na druhú, a zozbierané údaje následne používa na to, aby vytvoril ich profil správania na internete a na jeho základe im zobrazoval cielenú reklamu bez toho, aby dotknuté osoby riadnym spôsobom informoval a získal ich platný súhlas. GBA ďalej uvádza, že Facebook používa túto prax bez ohľadu na to, či je dotknutá osoba zaregistrovaná na sociálnej sieti Facebook. |
21. |
GBA žiadal, aby Facebook vo vzťahu ku všetkým používateľom internetu usadeným na území Belgicka upustil jednak od umiestňovania „cookies“ bez ich súhlasu, ktoré sú v zariadeniach týchto jednotlivcov aktívne počas dvoch rokov pri ich používaní internetovej stránky v rámci domény Facebook.com alebo internetovej stránky tretej strany, a jednak od nadmerného zhromažďovania údajov prostredníctvom sociálnych zásuvných modulov a pixelov na webstránkach tretích strán. Okrem toho GBA požiadal o úplné zničenie všetkých osobných údajov získaných o každom používateľovi internetu usadeným na belgickom území prostredníctvom „cookies“ a sociálnych zásuvných modulov. |
22. |
V predbežnom opatrení z 9. novembra 2015 predseda Nederlandstalige rechtbank van eerste aanleg Brussel (Holandskojazyčný súd prvého stupňa v Bruseli) konštatoval, že má právomoc o veci rozhodovať, pričom žaloba je vo vzťahu ku všetkým trom žalovaným prípustná. Tento súd tiež predbežne nariadil žalovaným, aby upustili od istých činností vzťahujúcich sa na používateľov internetu nachádzajúcich sa na belgickom území. |
23. |
Facebook podal 2. marca 2016 proti tomuto predbežnému opatreniu odvolanie na Hof van beroep te Brussel (Odvolací súd Brusel, Belgicko). Rozsudkom z 29. júna 2016 tento súd zmenil prvostupňové rozhodnutie. Konkrétne rozhodol, že síce nemá právomoc, pokiaľ ide o žaloby proti spoločnostiam Facebook Inc. a Facebook Ireland Ltd, avšak v súvislosti so žalobou proti spoločnosti Facebook Belgium BVBA právomoc má. Konanie vo veci samej sa teda zúžilo len na žalobu podanú proti spoločnosti Facebook Belgium. Uvedený súd tiež konštatoval, že vec nemá naliehavú povahu. |
24. |
Rozumiem tomu tak, že vec, o ktorej v súčasnosti Hof van beroep te Brussel (Odvolací súd Brusel) rozhoduje, sa týka odvolania proti následnému rozhodnutiu prvostupňového súdu vo veci samej. V rámci odvolacieho konania Facebook Belgium okrem iného tvrdí, že odkedy funguje mechanizmus jednotného kontaktného miesta nariadenia GDPR už nie je GBA príslušný pokračovať v konaní vo veci samej, pretože nie je vedúci dozorný orgán. Vzhľadom na dotknuté cezhraničné spracúvanie údajov je takýmto orgánom Irish Data Protection Commission (Írska komisia pre ochranu údajov). Hlavná prevádzkareň prevádzkovateľa sa v Európskej únii nachádza v Írsku (Facebook Ireland Ltd). |
25. |
Za týchto okolností Hof van beroep te Brussel (Odvolací súd Brusel) rozhodol prerušiť konanie a položiť Súdnemu dvoru nasledujúce prejudiciálne otázky:
|
26. |
Písomné pripomienky predložili Facebook, GBA, ďalej belgická, česká, talianska, poľská, portugalská a fínska vláda, ako aj Európska komisia. Na pojednávaní, ktoré sa konalo 5. októbra 2020, boli vypočuté prednesy spoločnosti Facebook, GBA a Komisie. |
IV. Analýza
27. |
Kľúčový problematický bod, ktorý vyplynul z konania vo veci samej, spočíva v otázke, či GBA môže pokračovať v súdnom konaní proti spoločnosti Facebook Belgium v súvislosti s cezhraničným spracúvaním osobných údajov potom, ako sa nariadenie GDPR začalo uplatňovať, keďže subjektom spracúvajúcim údaje je Facebook Ireland Ltd. |
28. |
Preskúmanie tejto otázky si vyžaduje posúdenie pôsobnosti a fungovania mechanizmu, ktorý samotné nariadenie GDPR vo svojom odôvodnení 127 nazýva mechanizmom jednotného kontaktného miesta. Tento mechanizmus vytvára súbor pravidiel, na základe ktorých vzniká v prípade cezhraničného spracúvania ústredné vykonávacie miesto fungujúce prostredníctvom vedúceho dozorného orgánu (ďalej len „VDO“), pričom toto miesto je súčasťou systému postupov založených na konzistentnosti a spolupráci s dotknutými dozornými orgánmi (ďalej len „DDO“) s cieľom zabezpečiť účasť všetkých zainteresovaných vedúcich orgánov. |
29. |
Podľa článku 56 ods. 1 nariadenia GDPR je dozorný orgán príslušný konať ako VDO v prípade cezhraničného spracúvania vykonávaného zo strany prevádzkovateľov alebo sprostredkovateľov, ktorí majú hlavnú prevádzkareň alebo jedinú prevádzkareň na jeho území. Článok 4 bod 22 nariadenia GDPR uvádza, že dozorný orgán koná ako DDO v prípade splnenia jednej z týchto alternatívnych podmienok: „a) prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu; b) dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo c) sťažnosť sa podala na tento dozorný orgán“. |
30. |
Skôr, ako sa zameriam na podstatu prejudiciálnych otázok, je najprv vhodné uviesť niekoľko úvodných poznámok (časť A). Potom preskúmam právne otázky, na ktoré poukazuje vnútroštátny súd. Pozornosť budem venovať najmä prvej prejudiciálnej otázke, pretože v nej spočíva podstata sporu na vnútroštátnom súde (časť B). Následne sa zameriam na ostatné prejudiciálne otázky, a to len v stručnosti, pretože ak je odpoveď na prvú otázku skutočne tá, ktorú navrhnem v týchto návrhoch, odpovede na ďalšie otázky nie sú potrebné alebo sú veľmi jednoduché (časť C). |
A. Úvodné poznámky
31. |
Na úvod chcem uviesť, že niektoré prvky konania vo veci samej nie sú úplne zrozumiteľné. |
32. |
Po prvé musím priznať, že mi nie je úplne jasná relevantnosť otázok položených v priebehu konania vo veci samej, pretože spomedzi účastníkov konania, proti ktorým GBA podal žalobu, zostala jedinou žalovanou v konaní vo veci samej Facebook Belgium. ( 4 ) Zo súdneho spisu, ktorý má Súdny dvor k dispozícii, vyplýva, že táto spoločnosť nie je ani „hlavnou prevádzkarňou“ prevádzkovateľa na účely článku 4 bodu 16 nariadenia GDPR, ani prípadným „spoločným prevádzkovateľom“ v zmysle článku 26 nariadenia GDPR, keďže zrejme ide o prevádzkareň rovnakého podniku. ( 5 ) |
33. |
Na otázky položené v rámci prejudiciálneho konania sa však vzťahuje prezumpcia relevantnosti. Súdny dvor teda môže odmietnuť rozhodovať o prejudiciálnej otázke iba za obmedzených okolností, najmä pokiaľ nie sú splnené požiadavky uvedené v článku 94 Rokovacieho poriadku Súdneho dvora, alebo pokiaľ je zjavné, že výklad ustanovenia práva Únie nemá žiadny vzťah k existencii sporu vo veci samej, alebo ide o (úplne) hypotetický problém. ( 6 ) V prejednávanej veci podľa mňa nejde o tento prípad. Otázky „kto je kto“ a „kto môže byť žalovaný za čo“ jednak spadajú do posúdenia skutkového stavu, ktoré je v konečnom dôsledku úlohou vnútroštátneho súdu, zároveň však tvoria jeden z aspektov prejudiciálnych otázok predložených Súdnemu dvoru. |
34. |
Úplne zrozumiteľný nie je ani časový aspekt konania vo veci samej. Žaloba bola podaná v čase, keď bola účinná smernica 95/46. Konanie o nej prebiehalo, aj keď ešte nadobudlo účinnosť nariadenie GDPR. Konanie sa však v súčasnosti zjavne týka iba skutkov vykonaných potom, ako sa tento nový právny rámec začal uplatňovať. Vzniká tu teda problém, či pokračovanie konania zo strany GBA je v súlade s ustanoveniami nariadenia GDPR, a odkazuje naň aj štvrtá prejudiciálna otázka. Uvedený problém by však bol v konaní vo veci samej relevantný len v prípade, že by zámerom vnútroštátneho orgánu bolo ukončiť prebiehajúce konanie v súvislosti s údajnými porušeniami, ku ktorým došlo predtým, ako sa nový právny rámec začal uplatňovať. Ak by sa však prebiehajúce konanie v tejto jeho fáze týkalo iba údajného porušenia, ku ktorému došlo potom, ako sa nariadenie GDPR začalo uplatňovať, a prípadne by sa v ňom žalobca domáhal aj (nevyhnutne perspektívneho) súdneho zákazu takéhoto porušovania, nie je úplne jasné, prečo GBA – ak sa domnieva, že môže zasiahnuť do konania – neukončil súčasné konanie a nepostupoval v zmysle príslušných ustanovení nariadenia GDPR. |
35. |
Po tretie GBA na pojednávaní hovoril o komunikácii s írskym dozorným orgánom a výborom týkajúcej sa jednej z technológií, ktorú Facebook používa na zhromažďovanie údajov (cookies). Uviedol, že tieto dva dozorné orgány sa nezhodovali v otázke, či táto technológia spadá do vecnej pôsobnosti nariadenia GDPR. |
36. |
V tejto súvislosti je v súvislosti s prejednávanou vecou vhodné poznamenať, že niektoré činnosti spočívajúce v zhromažďovaní údajov skutočne môžu spadať do vecnej pôsobnosti viacerých nástrojov práva Únie, a v takom prípade sa všetky tieto nástroje, ak nie je uvedené inak, uplatňujú v rovnakom čase. ( 7 ) V iných prípadoch, napríklad keď sa spracovanie netýka osobných údajov v zmysle článku 4 ods. 1 nariadenia GDPR, sa toto nariadenie zjavne neuplatňuje. |
37. |
Preto v prípade, že údajná nezákonnosť poznačujúca isté typy spracúvania údajov vyplýva z iných ustanovení (vnútroštátneho) práva (alebo práva Únie), postupy a mechanizmy upravené v nariadení GDPR sa neuplatňujú. Toto nariadenie sa nemá použiť ako vstupný bod, prostredníctvom ktorého sa mechanizmus jednotného kontaktného miesta uplatní na konanie, ktoré síce do istej miery zahŕňa tok údajov alebo dokonca ich spracúvanie, avšak neporušuje nijaké z povinností, ktoré sú v nariadení stanovené. |
38. |
Vnútroštátny súd, vrátane súdu, ktorý podal návrh na začatie prejudiciálneho konania, by pri rozhodovaní o tom, či vec spadá do vecnej pôsobnosti nariadenia GDPR, mal zistiť presný zdroj právnej povinnosti hospodárskeho subjektu, ktorú tento subjekt údajne porušil. Ak zdrojom tejto povinnosti nie je nariadenie GDPR, je logické, že sa nebudú uplatňovať ani postupy vyplývajúce z tohto právneho nástroja, ktoré súvisia s jeho vecnou pôsobnosťou. |
B. Prvá otázka
39. |
Vnútroštátny súd sa vo svojej prvej otázke pýta, či ustanovenia nariadenia GDPR vykladané z hľadiska článkov 7, 8 a 47 Charty základných práva Európskej únie (ďalej len „Charta“) umožňujú dozornému orgánu členského štátu podať žalobu na súde tohto štátu z dôvodu údajného porušenia nariadenia GDPR v súvislosti s cezhraničným spracúvaním údajov, aj v prípade, že nie je „vedúcim dozorným orgánom“. |
40. |
V tejto súvislosti navrhujú GBA a belgická, talianska, poľská a portugalská vláda, aby Súdny dvor na prejudiciálnu otázku odpovedal kladne, kým Facebook, česká a fínska vláda, ako aj Komisia zastávajú opačné stanovisko. |
41. |
V nasledujúcej časti vysvetlím, prečo nepokladám výklad nariadenia GDPR, ktorý navrhuje GBA, a tiež belgická, talianska, poľská a portugalská vláda, za presvedčivý: aj jazykový a systematický (časť 1), aj teleologický a historický (časť 2) výklad nariadenia GDPR zjavne ukazujú opačným smerom. Navyše ani výklad tohto nariadenia založený na Charte (časť 3), ani údajné riziká spojené s nedostatočným presadzovaním uplatňovania uvedeného nariadenia (časť 4) nespochybňujú výklad nariadenia GDPR, ktorý je podľa mňa správny, a to nepochybne prinajmenšom v súčasnosti. |
42. |
Z takéhoto výkladu nariadenia by však podľa mňa nemali vyplývať až také extrémne dôsledky, aké uvádzajú Facebook, česká a fínska vláda a Komisia. Vysvetlím, prečo si myslím, že odpoveď na otázku vnútroštátneho súdu by mala byť strednou cestou medzi dvoma stanoviskami prednesenými v tomto konaní: dozorný orgán členského štátu môže podať žalobu na súde tohto štátu z dôvodu údajného porušenia nariadenia GDPR pri cezhraničnom spracúvaní údajov, a to aj napriek tomu, že tento orgán nie je VDO, pod podmienkou, že tak bude konať v situáciách vymedzených v nariadení GDPR a v súlade s postupmi vyplývajúcimi z tohto nariadenia (časť 5). |
1. Jazykový a systematický výklad nariadenia GDPR
43. |
Po prvé sa domnievam, že znenie dotknutých ustanovení, najmä keď sa vykladajú v kontexte, podporuje taký výklad nariadenia GDPR, podľa ktorého VDO má všeobecnú príslušnosť týkajúcu sa cezhraničného spracúvania a z toho vyplýva, že príslušnosť DDO je v tejto súvislosti obmedzená. |
44. |
Článok 56 ods. 1 nariadenia GDPR stanovuje, že „dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa je príslušný konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa alebo sprostredkovateľa v súlade s postupom stanoveným v článku 60“ ( 8 ). Podľa článku 56 ods. 6 nariadenia GDPR „vedúci dozorný orgán je jediným partnerom prevádzkovateľa alebo sprostredkovateľa v súvislosti s cezhraničným spracúvaním vykonávaným týmto prevádzkovateľom alebo sprostredkovateľom“ ( 9 ). Uvedené ustanovenia sa odrážajú aj v odôvodnení 124 tohto nariadenia, podľa ktorého v prípade cezhraničného spracúvania „by mal dozorný orgán pre hlavnú prevádzkareň prevádzkovateľa alebo sprostredkovateľa alebo pre jedinú prevádzkareň prevádzkovateľa alebo sprostredkovateľa konať ako vedúci orgán“ ( 10 ). |
45. |
Všeobecnú príslušnosť VDO v súvislosti s cezhraničným spracúvaním údajov potvrdzuje aj skutočnosť, že situácie, v ktorých sú pri cezhraničnom spracúvaní príslušné iné dozorné orgány, sa opisujú ako výnimky zo všeobecného pravidla. Konkrétne článok 55 ods. 2 nariadenia GDPR vylučuje príslušnosť VDO v súvislosti s určitým spracúvaním, ktoré „uskutočňujú orgány verejnej moci“. Okrem toho článok 56 ods. 2 nariadenia GDPR upravuje výnimku zo zásady, podľa ktorej je príslušný VDO, v tom zmysle, že „každý dozorný orgán [je] príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením tohto nariadenia, ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte“. |
46. |
Ďalej článok 66 nariadenia GDPR upravujúci „postup pre naliehavé prípady“, umožňuje, aby „za výnimočných okolností“, ak je naliehavo potrebné konať s cieľom chrániť práva a slobody dotknutých osôb, každý DDO bezodkladne prijal predbežné opatrenia, ktoré majú mať právne účinky na jeho území a určenú dobu platnosti, ktorá nepresahuje tri mesiace, a to „odchylne od“ mechanizmu spolupráce a konzistentnosti uvedeného v článkoch 60, 63, 64 a 65 nariadenia GDPR. |
47. |
Podľa mňa preto zo znenia nariadenia GDPR v súvislosti s cezhraničným spracúvaním celkom jasne vyplýva, že príslušnosť VDO je pravidlom, kým príslušnosť iných dozorných orgánov tvorí výnimku z tohto pravidla. ( 11 ) |
48. |
GBA a niektoré vlády však takýto výklad nariadenia GDPR spochybňujú. Podľa nich zo znenia príslušných ustanovení vyplýva (takmer neobmedzené) právo akéhokoľvek dozorného orgánu podať návrh na začatie súdneho konania proti možným porušeniam, ktoré majú dosah na ich územie, bez ohľadu na to, či má spracúvanie cezhraničnú povahu. Opierajú sa pritom najmä o dve tvrdenia. |
49. |
Po prvé uvádzajú, že výraz „bez toho, aby bol dotknutý článok 55“ uvedený na začiatku článku 56 ods. 1, znamená, že príslušnosť, ktorá z tohto ustanovenia vyplýva pre VDO, nemôže zasahovať do právomoci, ktorú článok 55 priznáva každému dozornému orgánu, vrátane právomoci podať návrh na začatie súdneho konania, a ani túto právomoc obmedziť. |
50. |
Toto tvrdenie ma nepresvedčilo. |
51. |
Článok 55 ods. 1 stanovuje zásadu, podľa ktorej každý dozorný orgán „je príslušný plniť úlohy, ktoré mu boli uložené, a vykonávať právomoci, ktoré mu boli zverené, v súlade s týmto nariadením na území vlastného členského štátu“. Tieto úlohy sú vymenované v článku 57 nariadenia GDPR. Právomoci sú vymenované v článku 58 tohto nariadenia. Medzi úlohy patrí najmä monitorovanie a presadzovanie uplatňovania nariadenia GDPR [článok 57 ods. 1 písm. a)]. Podľa článku 58 majú dozorné orgány rôzne vyšetrovacie (odsek 1), nápravné (odsek 2), povoľovacie a poradné (odsek 3) právomoci, a tiež právomoc začať súdne konanie (odsek 5). |
52. |
Uvedené ustanovenia, na ktoré článok 55 implicitne odkazuje, zahŕňajú v podstate všetky úlohy a právomoci, ktoré boli dozorným orgánom zverené v zmysle nariadenia GDPR. Ak by sme sa riadili výkladom GBA a niektorých vlád, do všeobecnej príslušnosti VDO by už nespadalo takmer nič a článok 56 by strácal zmysel. VDO by tak nebol ani „jediným“ partnerom, ani by vo vzťahu k ostatným vedúcim orgánom nebol v akejkoľvek podobe „vedúcim“. Jeho jedinou úlohou by nepochybne bola úloha „informačného bodu“ bez jasne vymedzeného poslania. |
53. |
Spoločný výklad uvedených ustanovení, ktorý zohľadňuje kontext, ešte viac zvýrazňuje význam úlohy, ktorú plní VDO, a teda z toho vyplývajúci význam mechanizmu jednotného kontaktného miesta. |
54. |
Prvým indikátorom tohto záveru je významné umiestnenie, ktoré má článok 56 v rámci štruktúry nariadenia GDPR. Tento článok je druhým ustanovením v príslušnej časti uvedeného nariadenia (kapitola VI nazvaná „Nezávislé dozorné orgány“, oddiel 2 s názvom „Príslušnosť, úlohy a právomoc“) a nasleduje hneď po všeobecných ustanoveniach o „príslušnosti“ a pred ostatnými všeobecnými ustanoveniami o „úlohách“ a „právomoci“. Normotvorca Únie sa teda rozhodol zdôrazniť ústrednú povahu príslušnosti VDO ešte predtým, ako podrobne opíše osobitné úlohy a právomoci všetkých dozorných orgánov. |
55. |
Ešte zásadnejšie je, že význam úlohy VDO potvrdzujú aj ustanovenia uvedené v kapitole VII nariadenia GDPR (nazvanej „Spolupráca a konzistentnosť“) zakotvujúcej rôzne postupy a mechanizmy, ktorými sa majú dozorné orgány riadiť pri zabezpečovaní konzistentného uplatňovania nariadenia GDPR. Najmä úvodné ustanovenie tejto kapitoly, článok 60, na ktorý odkazuje článok 56 ods. 1, upravuje postup „spolupráce medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmi“. |
56. |
Je jasné, že práve tento postup sa uplatňuje v prípade potreby podať s cieľom presadzovania nariadenia žalobu namierenú proti cezhraničnému spracúvaniu. Tento postup nie je fakultatívny, rovnako ako nie sú fakultatívne iné postupy upravené v kapitole VII nariadenia GDPR. Z kogentných ustanovení, ktoré sa nachádzajú najmä v článku 51 ods. 2 a článku 63 uvedeného nariadenia, jednoznačne vyplýva, že dozorné orgány sú povinné spolupracovať, a to prostredníctvom (povinného) použitia postupov a mechanizmov zavedených na tento účel. |
57. |
Výraz „bez toho, aby bol dotknutý článok 55“ uvedený v článku 56 ods. 1 má preto iný význam, ako tvrdí GBA. Domnievam sa, že v kontexte, v ktorom sa nachádza, jednoducho znamená, že aj keď v jednotlivom prípade je vo veci zahŕňajúcej cezhraničné spracúvanie príslušný VDO v zmysle článku 56 nariadenia GDPR, všetky dozorné orgány majú aj naďalej svoje všeobecné právomoci, ktoré im vyplývajú z článku 55 (a článku 58) nariadenia GDPR. |
58. |
Podľa článku 55 ods. 1 nariadenia GDPR musia členské štáty zabezpečiť, aby dozorné orgány mohli plniť úlohy a vykonávať právomoci vyplývajúce z tohto nariadenia. Toto ustanovenie teda priznáva akémukoľvek dozornému orgánu všeobecnú právomoc (alebo príslušnosť) konať na svojom území, a to platí bez ohľadu na to („bez toho, aby bola dotknutá“ otázka), či je spracúvanie cezhraničné alebo nie, pričom ak ide o spracúvanie cezhraničnej povahy, dotknutý orgán koná ako VDO alebo DDO. ( 12 ) Článok 55 nariadenia GDPR však neupravuje situácie, v ktorých sa uvedená právomoc konať uplatní v individuálnych prípadoch, ani spôsob, akým sa v takých prípadoch uplatní. Tieto aspekty sú totiž upravené v iných ustanoveniach nariadenia GDPR, najmä v ustanoveniach kapitoly VII. Podľa nich závisí otázka, či môže dozorný orgán uplatniť všeobecnú právomoc konať, a spôsob, akým môže konať, okrem iného od toho, či je vo vzťahu k danému prevádzkovateľovi alebo sprostredkovateľovi tento orgán VDO alebo DDO. ( 13 ) |
59. |
Z hľadiska výsledku sa v tejto súvislosti stotožňujem s názorom výboru, ktorý vo svojom nedávnom stanovisku spomenul článok 56 ods. 1 nariadenia GDPR ako „prevažujúce pravidlo“ a ako „lex specialis“: toto ustanovenie „má prednosť [pred všeobecným pravidlom vyplývajúcim z článku 55 nariadenia GDPR] vždy, keď nastane akákoľvek situácia spracúvania, ktorá spĺňa v ňom stanovené podmienky“ ( 14 ). |
60. |
Preto si myslím, že GBA a niektoré vlády vykladajú článok 55 a článok 56 ods. 1 GDPR nesprávne. Uvedené oprávnené subjekty vytrhli prvú časť vety v článku 56 ods. 1 z kontextu s cieľom obrátiť vzťah medzi pravidlom a výnimkou. Takýmto spôsobom sa oslabuje normatívny obsah viacerých ustanovení nariadenia GDPR a narušuje sa cieľ, ktorý je zdôraznený okrem iného v odôvodnení 10 tohto nariadenia a spočíva v konzistentnom a jednotnom uplatňovaní pravidiel ochrany údajov. Uvedený výklad by vlastne znamenal návrat k predchádzajúcemu systému smernice 95/46. |
61. |
Po druhé GBA a niektoré vlády tvrdia, že zo samotného znenia článku 58 ods. 5 nariadenia GDPR vyplýva, že všetky dozorné orgány musia mať možnosť podať návrh na začatie súdneho konania proti akémukoľvek potenciálnemu porušeniu pravidiel o ochrane údajov, ktoré sa týka ich územia, a to bez ohľadu na (miestnu alebo cezhraničnú) povahu spracúvania. Podľa nich z toho vyplýva, že aj keby sa mechanizmus jednotného kontaktného miesta vykladal tak, že obmedzuje právomoci iných dozorných orgánov v súvislosti s cezhraničným spracúvaním, takéto obmedzenia sa týkajú iba podania návrhu na začatie správneho konania, a nie súdneho konania. |
62. |
Domnievam sa, že druhé uvedené tvrdenie je neudržateľné. Poznačuje ho rovnaký problém ako prvé tvrdenie: je ním jednak výklad konkrétneho ustanovenia nariadenia GDPR v „sterilnej izolácii“ od zvyšku nariadenia, a jednak domýšľanie si záverov. |
63. |
Článok 58 ods. 5 nariadenia GDPR stanovuje: „každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení tohto nariadenia.“ |
64. |
Toto ustanovenie vyžaduje, aby členský štát na jednej strane umožnil dozorným orgánom, aby udržiavali úzke vzťahy so súdnymi orgánmi (dokonca vrátane trestných orgánov), a na druhej strane priznal dozorným orgánom procesnú legitimáciu (nielen pasívnu, ale aj aktívnu) na vnútroštátnych súdoch a tribunáloch. Inak povedané dozorné orgány by v zásade mali mať možnosť kontaktu so súdnymi orgánmi a v prípade potreby by mali mať možnosť iniciovať súdne konanie. Rozumiem tomu, že takéto výslovné ustanovenie považoval normotvorca Únie za nevyhnutné, pretože napriek zneniu článku 28 ods. 3 smernice 95/46 ( 15 ) existovali medzi právnymi úpravami členských štátov v tejto oblasti výrazné rozdiely, z ktorých vyplýval problém nedostatočného presadzovania. ( 16 ) Príkladom v tejto súvislosti je aj prejednávaná vec, o ktorej sa začalo konať v čase, keď bola smernica stále účinná: vo veci ide o problém procesnej legitimácie komisie pre ochranu súkromia podľa vnútroštátneho práva a o problém vhodnosti právneho základu na podanie žaloby jej predsedom. |
65. |
Podobne, ako som však už uviedol vyššie, ( 17 ) článok 58 ods. 5 nariadenia GDPR upravuje právomoci, ktoré majú mať k dispozícii bez výnimky všetky dozorné orgány, a to bez ohľadu na zistenie (alebo ešte pred zistením) v konkrétnom prípade, či je týmto orgánom príslušný VDO alebo DDO, prípadne ani jeden z nich. Článok 58 ods. 5 nariadenia GDPR neupravuje situácie, v ktorých sa má právomoc podať návrh na začatie súdneho konania uplatniť, ani spôsob, akým sa má uplatniť. Aj preto zrejme toto ustanovenie obsahuje výraz „prípadne“. Úprava uvedených aspektov je úlohou iných ustanovení nariadenia GDPR. |
66. |
Okrem toho ani zo znenia, ani zo štruktúry článku 58 nariadenia GDPR nevyplýva, že by bolo možné rozlišovať medzi správnymi právomocami orgánov (na ktoré by sa vzťahovali obmedzenia vyplývajúce z mechanizmu jednotného kontaktného miesta) a právomocou podať návrh na začatie súdneho konania (na ktorú by sa takéto obmedzenia nevzťahovali), ako to tvrdí GBA. Uvedené ustanovenie vo svojich jednotlivých odsekoch vymenúva rôzne právomoci, ktoré sa majú priznať dozorným orgánom, pričom ich rozdeľuje do skupín podľa ich zamerania (vyšetrovacie, nápravné, poradné právomoci, atď.). Znenie týchto odsekov je dosť podobné a v podstate z neho vyplýva, že každý dozorný orgán má právomoci, ktoré sú v nich vymedzené. |
67. |
Preto nevidím dôvod, prečo by sa mal odsek 5 článku 58 vykladať inak ako odseky 1 až 3 tohto ustanovenia. Správna môže byť len jedna z dvoch alternatív: buď má každý dozorný orgán všetky uvedené právomoci, ktoré nie sú obmedzené mechanizmom jednotného kontaktného miesta, alebo sa všetky uvedené právomoci musia uplatňovať podľa postupov a v rámci obmedzení stanovených nariadením. |
68. |
Z dôvodov uvedených v bodoch 51 a 52 vyššie nemožno s prvou z uvedených hypotéz súhlasiť. Ak sa totiž článok 58 nariadenia GDPR vykladá vo svojom kontexte, je jasné, že platí presný opak toho, čo tvrdí GBA a niektoré vlády. |
69. |
Každý dozorný orgán totiž musí prispieť k správnemu a konzistentnému uplatňovaniu nariadenia. Každý dozorný orgán preto musí s týmto cieľom – bez ohľadu na to, či ide v konkrétnom prípade o VDO alebo DDO – napríklad preskúmať s náležitou starostlivosťou podané sťažnosti. ( 18 ) Aj keď sa totiž údajné porušovania týkajú cezhraničného spracúvania a príslušným orgánom nie je VDO, iné dozorné orgány by mali mať možnosť jednak vec preskúmať, aby mohli poskytnúť zmysluplné informácie v prípade, že by o to boli požiadané v rámci mechanizmu spolupráce a konzistentnosti, ( 19 ) a jednak prijať naliehavé opatrenia. Potom je však najmä úlohou VDO, aby prijal záväzné rozhodnutia, ktorými sa vo vzťahu k sprostredkovateľovi alebo prevádzkovateľovi presadzuje nariadenie GDPR. ( 20 ) Ako konkrétne vyplýva z nedávneho rozsudku vo veci Facebook Ireland a Schrems predovšetkým „príslušný vnútroštátny dozorný orgán… musí mať možnosť… prípadne podať žalobu na vnútroštátne súdy“ ( 21 ). Predpoklad, že dozorné orgány by nemuseli v prípade, že by chceli podať návrh na začatie súdneho konania, zohľadňovať mechanizmus konzistentnosti a spolupráce, preto nie je v súlade so znením nariadenia GDPR ani s judikatúrou Súdneho dvora. |
70. |
Okrem toho by z praktického pohľadu bolo nelogické, ak by príslušný orgán nemohol začať správne konanie s cieľom preskúmať s dotknutými subjektmi údajné porušenie pravidiel ochrany údajov, pričom by však ten istý orgán mohol okamžite podať návrh na začatie súdneho konania o rovnakej otázke. Súdny proces je často nástrojom, ktorý príslušný orgán využíva ako posledný, keď sa problém nedá účinne vyriešiť prostredníctvom (formálnych alebo neformálnych) rokovaní a rozhodnutí na správnej úrovni. |
71. |
Rozdielny prístup navrhovaný GBA, ktorý by neumožnil dozornému orgánu preskúmať, spracovať a rozhodnúť (na základe správneho práva), avšak dovolil by mu namiesto toho okamžite podať žalobu na súde, by správne orgány nebezpečne priblížil k dosť pochybným postavám z westernu, ktoré najprv strieľajú a až potom (možno), a ak vôbec, diskutujú („ak máš strieľať, strieľaj; nerozprávaj“ ( 22 )). Nemyslím si, že by práve toto bol primeraný alebo vhodný spôsob, akým by správne orgány mali riešiť údajné porušenia pravidiel na ochranu údajov. |
72. |
Okrem toho je ešte dôležitejšie, že ak by sa dozorné orgány mohli ihneď obrátiť na svoje vnútroštátne súdy, pričom by nemohli využiť svoje správne právomoci a neuplatnili by mechanizmy spolupráce a konzistentnosti zakotvené v nariadení, vytvorilo by to priestor na jednoduché obchádzanie týchto mechanizmov. Konkrétne v prípade nezhody v súvislosti s návrhom rozhodnutia by tak VDO, ako aj (každý) DDO mohol „vziať veci do vlastných rúk“ a podať návrh na vnútroštátnom súde, čím by obišiel postup stanovený v článku 60 ods. 4 a v článku 65 nariadenia GDPR. |
73. |
To by tiež znamenalo, že by stratila zmysel jedna z hlavných funkcií výboru, teda orgánu, ktorý vytvorilo nariadenie GDPR a jeho členmi sú vedúci predstavitelia dozorných orgánov každého členského štátu a európsky dozorný úradník pre ochranu údajov. ( 23 ) Jedna z úloh výboru spočíva práve v monitorovaní a zabezpečení správneho uplatňovania nariadenia GDPR, ak vznikne nezhoda medzi rôznymi dozornými orgánmi. ( 24 ) V takých prípadoch je výbor priestorom na vyriešenie sporov a zároveň orgánom, ktorý prijíma rozhodnutia. Ak by sa prijal výklad GBA a niektorých vlád, mechanizmus vytvorený v článku 65 nariadenia GDPR by sa mohol úplne ignorovať a každý orgán by šiel svojou vlastnou cestou, pričom by obišiel výbor. |
74. |
Ako vysvetlím ďalej, vznikla by tak situácia, ktorá by zrejme bola presným opakom toho, čo zamýšľal novým systémom vytvoriť normotvorca Únie. |
2. Teleologický a historický výklad nariadenia GDPR
75. |
Ako vyplýva z odôvodnenia 9 nariadenia GDPR, podľa normotvorcu Únie „ciele a zásady smernice 95/46/ES zostávajú platné“, avšak tomuto právnemu nástroju sa „nepodarilo… zabrániť rozdielom pri vykonávaní ochrany údajov v Únii, právnej neistote ani rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou fyzických osôb existujú značné riziká“. |
76. |
Potreba zabezpečiť konzistentnosť sa tak stala najdôležitejšou črtou právneho nástroja, ktorý mal nahradiť smernicu 95/46. Význam tohto cieľa sa vnímal z dvoch pohľadov: jedným bolo zabezpečenie ochrany fyzických osôb, ktorá je jednotná a má vysokú úroveň, a druhým bolo odstránenie prekážok toku osobných údajov v rámci Únie, pričom pre hospodárske subjekty by bola zabezpečená právna istota a transparentnosť. ( 25 ) |
77. |
Práve tento aspekt je potrebné zdôrazniť. Podľa smernice 95/46 boli hospodárske subjekty v celej Európskej únii povinné dodržiavať rôzne súbory vnútroštátnych pravidiel, ktoré preberali smernicu, a zároveň byť v kontakte so všetkými vnútroštátnymi orgánmi na ochranu údajov. Táto situácia bola pre hospodárske subjekty nielen nákladná, zaťažujúca a časovo náročná, ale bola pre tieto subjekty a ich zákazníkov aj nevyhnutným zdrojom neistoty a konfliktov. ( 26 ) |
78. |
Na obmedzenia systému vytvoreného smernicou 95/46 poukázalo aj niekoľko rozsudkov Súdneho dvora. Vo veci Weltimmo Súdny dvor konštatoval, že právomoci orgánov na ochranu údajov sú prísne obmedzené zásadou územnej príslušnosti: uvedené orgány môžu konať len v súvislosti s porušeniami, ku ktorým došlo na ich vlastnom území a vo všetkých ostatných prípadoch majú požiadať o zásah orgány iných členských štátov. ( 27 ) Vo veci Wirtschaftsakademie Schleswig‑Holstein Súdny dvor rozhodol, že v prípade cezhraničného spracúvania môže každý orgán na ochranu údajov vykonávať svoju právomoc voči subjektu usadenému na jeho území bez ohľadu na stanoviská a konanie orgánov na ochranu údajov v členskom štáte, v ktorom má subjekt zodpovedný za toto spracúvanie svoje sídlo. ( 28 ) |
79. |
Rozdelenie príslušnosti rôznych orgánov podľa územia je vo virtuálnom svete spracúvania údajov často problematické. ( 29 ) Okrem toho neexistencia jasných koordinačných mechanizmov medzi vnútroštátnymi orgánmi bola zdrojom nezrovnalostí a neistoty. |
80. |
Vyriešenie práve týchto problémov malo priniesť zavedenie mechanizmu jednotného kontaktného miesta, ktorý zveroval významnú úlohu VDO, a vytvoril mechanizmy spolupráce, ktoré mali zabezpečiť účasť ďalších dozorných orgánov. ( 30 ) Vo veci Google (Územná pôsobnosť práva na odstránenie odkazov) Súdny dvor v súvislosti so správnym a zrozumiteľným uplatňovaním nariadenia GDPR zdôraznil význam mechanizmu spolupráce a konzistentnosti a jeho kogentnú povahu. ( 31 ) Aj v nedávnej veci Facebook Ireland a Schrems generálny advokát Saugmandsgaard Øe zdôraznil, že mechanizmy spolupráce a konzistentnosti stanovené v kapitole VII nariadenia GDPR sú vytvorené s cieľom vyhnúť sa rozdrobenosti prístupov uplatňovaných vo vzťahu k cezhraničnému spracúvaniu rôznymi dozornými orgánmi. ( 32 ) |
81. |
Je pravda, že ako tvrdí GBA, v priebehu legislatívneho postupu sa Rada aj Parlament snažili obmedziť príslušnosť VDO, ako vyplývala z návrhu Komisie. Zmeny, ktoré napokon boli do konečného znenia nariadenia GDPR zavedené, však vyššie uvedený výklad nariadenia vôbec nespochybňujú, skôr ho potvrdzujú. |
82. |
Podľa pôvodného návrhu Komisie mechanizmus jediného kontaktného miesta znamenal, že pri cezhraničnom spracúvaní má byť za monitorovanie činnosti prevádzkovateľa alebo sprostredkovateľa v celej Európskej únii a za prijímanie súvisiacich rozhodnutí zodpovedný jeden dozorný orgán (VDO). ( 33 ) Tento návrh však vyvolal v Rade a Parlamente polemiku. |
83. |
Rada napokon súhlasila so znením vyplývajúcim z návrhu predloženého predsedníctvom. ( 34 ) Uvedený návrh v nijakom prípade nespochybnil samotný mechanizmus jediného kontaktného miesta, o ktorom Rada povedala, že je „jedným z nosných pilierov“ nového právneho rámca. ( 35 ) Návrh predsedníctva napokon viedol k dvom súborom dosť špecifických zmien a doplnení. |
84. |
Po prvé Rada chcela zaviesť isté výnimky zo všeobecnej právomoci VDO: konkrétne v súvislosti so spracúvaním uskutočneným verejnými orgánmi a v súvislosti so situáciami miestnej povahy. Rada preto navrhla prijať dve ustanovenia, ktoré v návrhu Komisie neboli, ( 36 ) pričom ide o článok 55 ods. 2 a článok 56 ods. 2 súčasného znenia nariadenia GDPR. ( 37 ) |
85. |
Po druhé chcela Rada zjemniť úlohu a právomoci VDO tým, že postup viac otvorí. Znenie návrhu Komisie sa v tejto súvislosti považovalo za pomerne nejednoznačné, pričom by z neho potenciálne mohla vyplývať výlučná príslušnosť VDO pri cezhraničnom spracúvaní údajov. Preto boli do textu návrhu zavedené viaceré zmeny s cieľom „priblížiť“ dotknuté osoby a dozorné orgány. ( 38 ) Výrazne sa preto okrem iného zvýšila účasť iných dozorných orgánov v rozhodovacom procese. |
86. |
Európsky parlament podporil vytvorenie mechanizmu jednotného kontaktného miesta, v ktorom sa zvýraznila úloha VDO, avšak navrhol posilnenie systému spolupráce medzi dozornými orgánmi. Celkom jasne to vyplýva z dôvodovej správy k návrhu správy Parlamentu, ( 39 ) rovnako ako z legislatívneho uznesenia Európskeho parlamentu z 12. marca 2014 ( 40 ). |
87. |
Mechanizmus jednotného kontaktného miesta, ktorý pôvodne výrazne uprednostňoval VDO, sa tak na základe zásahu Rady a Parlamentu zmenil na vyrovnanejší dvojpilierový mechanizmus: vedúca úloha VDO v súvislosti s cezhraničným spracúvaním zostala zachovaná, v súčasnej podobe ju však sprevádza jednak významnejšia úloha ostatných dozorných orgánov, ktoré sa na konaní aktívne zúčastňujú prostredníctvom mechanizmu spolupráce a konzistentnosti, a jednak úloha rozhodcu a sprievodcu, ktorú plní v prípade nezhôd výbor. |
88. |
Teleologický a historický výklad nariadenia GDPR preto potvrdzuje význam mechanizmu jednotného kontaktného miesta a z toho vyplývajúcu všeobecnú príslušnosť VDO v súvislosti s cezhraničným spracúvaním údajov. Výklad ustanovení nariadenia GDPR, ktorý navrhuje GBA a niektoré vlády, nie je v súlade so zámerom normotvorcu Únie, ktorý možno vyvodiť z preambuly a ustanovení nariadenia, ako aj z prípravných prác. |
89. |
Preto som dospel k záveru, že jazykový, systematický, teleologický a historický prístup k výkladu príslušných ustanovení nariadenia GDPR potvrdzuje, že dozorné orgány sú povinné dodržiavať pravidlá o príslušnosti, ako aj pravidlá týkajúce sa mechanizmu a postupov spolupráce a konzistentnosti vymedzené v tomto nariadení. V prípade cezhraničného spracúvania musia tieto orgány konať v rámci, ktorý je vymedzený uvedený nariadením. |
90. |
GBA a niektoré vlády uviedli ďalšie dva súbory tvrdení, ktoré podľa nich svedčia v prospech posilnenia právomoci všetkých dozorných orgánov konať jednostranne, a to aj v prípade cezhraničného spracúvania. V ďalších častiach týchto návrhov vysvetlím, prečo by tieto tvrdenia nemali spochybňovať výklad nariadenia GDPR, ktorý navrhujem vyššie, prinajmenšom nie v súčasnosti. |
3. Výklad nariadenia GDPR, ktorý zohľadňuje Chartu
91. |
GBA tvrdí, že neobmedzená právomoc dozorných orgánov podať návrh na začatie súdneho konania proti sprostredkovateľom a prevádzkovateľom vrátane prípadov, v ktorých má spracúvanie cezhraničnú povahu, je nevyhnutná s cieľom zabezpečiť súlad s článkami 7, 8 a 47 Charty. Tvrdenia GBA v tejto súvislosti zrejme vychádzajú z dvoch hlavných obáv, aj keď žiadnu úvahu vo svojich pripomienkach plne nevysvetlil. ( 41 ) |
92. |
Prvá obava GBA sa týka zníženia počtu orgánov, ktoré môžu v súvislosti s konkrétnym konaním zasiahnuť. Ide tu zrejme o implicitný predpoklad, že vysoká úroveň ochrany si vyžaduje viac orgánov, ktoré môžu presadzovať dodržiavanie nariadenia GDPR, a to aj tak, že budú konať paralelne. Jednoducho povedané, čím viac zapojených orgánov, tým vyššia úroveň ochrany. |
93. |
Nemyslím si, že prinajmenšom z hľadiska úrovne ochrany to tak musí byť. |
94. |
Je pravda, že Súdny dvor konštatoval, že cieľom právnej úpravy Únie v oblasti ochrany údajov vykladanej z hľadiska článkov 7 a 8 Charty je zabezpečiť pri spracúvaní osobných údajov vysokú úroveň ochrany, okrem iného, základného práva na rešpektovanie súkromného života. ( 42 ) |
95. |
Podľa normotvorcu Únie si však cieľ zabezpečiť „vysokú úroveň ochrany fyzických osôb“ vyžaduje „silný a súdržnejší rámec ochrany údajov“ ( 43 ). Rámec, ktorý vytvára nariadenie GDPR, má s týmto zámerom zabezpečiť konzistentnosť na všetkých úrovniach: musí sa to týkať fyzických osôb, hospodárskych subjektov, prevádzkovateľov a sprostredkovateľov a tiež dozorných orgánov. ( 44 ) Pokiaľ ide o poslednú uvedenú kategóriu, nariadenie GDPR podporuje „užšiu spoluprácu“ medzi týmito orgánmi, ako vyplýva z odôvodnenia 116. ( 45 ) |
96. |
Na rozdiel od tvrdenia GBA je teda z pohľadu normotvorcu Únie zabezpečenie vysokej úrovne ochrany práv a slobôd dotknutých osôb úplne v súlade s fungovaním mechanizmu jednotného kontaktného miesta, tak ako bolo opísané vyššie. Ak sa umožní súdržnejší, účinnejší a transparentnejší prístup k veci, mechanizmus spolupráce a konzistentnosti zavedený v nariadení GDPR by mal prispieť k silnejšiemu dôrazu na podporu a ochranu práv, ktoré sú okrem iného zakotvené v článkoch 7 a 8 Charty. |
97. |
Inak povedané súdržná a jednotná úroveň ochrany určite nebráni tomu, aby mala táto ochrana vysokú úroveň. To je jednoducho otázka nastavenia štandardu jednotnosti. Napokon pochybujem, že by existencia simultánnych konaní dozorných orgánov, ktoré sú vzájomne neprepojené a potenciálne protichodné, skutočne podporila cieľ zabezpečenia vysokej úrovne ochrany práv jednotlivcov. Tomuto cieľu by mohli lepšie slúžiť konzistentnosť a jasnosť, ktoré by zabezpečovali dozorné orgány konajúce v zhode. |
98. |
Druhá obava GBA spočíva v probléme blízkosti medzi jednotlivcami, ktorí podávajú sťažnosť, a orgánmi, ktoré v konečnom dôsledku na túto sťažnosť reagujú. Vzniká tu otázka, či jednotlivci môžu účinne podať žalobu proti konaniu alebo nekonaniu dozorných orgánov v súvislosti s ich sťažnosťami. |
99. |
Článok 78 nariadenia GDPR totiž potvrdzuje právo fyzických alebo právnických osôb na účinný súdny prostriedok nápravy, ktorý môžu uplatniť proti dozornému orgánu. Navyše prostriedky nápravy stanovené v nariadení GDPR môžu byť v súlade s článkom 47 Charty len v prípade, že od dotknutých osôb nevyžadujú, aby dodržiavali podrobné pravidlá, ktoré vzhľadom na ich postavenie fyzických osôb môže neprimerane ovplyvniť ich právo na prístup k súdnemu prostriedku nápravy (napríklad z dôvodu vyšších nákladov alebo oneskoreného podania žaloby). ( 46 ) |
100. |
Ani v jednom z (dosť vágnych) tvrdení prednesených každým účastníkom konania sa pritom jasne nevysvetľuje, prečo by bol výklad nariadenia GDPR, ktorý navrhuje Facebook, česká a fínska vláda, ako aj Komisia, v rozpore s článkom 47 Charty. |
101. |
Nariadenie GDPR predovšetkým výslovne zakotvuje právo dotknutých osôb podať návrh na začatie súdneho konania tak proti prevádzkovateľom a sprostredkovateľom, ako aj proti dozorným orgánom. Zo systémového hľadiska preto nie je jasné, prečo by nariadenie GDPR nebolo v súlade s článkom 47 Charty. |
102. |
Pokiaľ ide o právo dotknutých osôb podať návrh na začatie súdneho konania proti prevádzkovateľom a sprostredkovateľom, majú tieto osoby na výber medzi začatím konania na súde členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ prevádzkareň, alebo na súde členského štátu, v ktorom majú uvedené osoby pobyt. ( 47 ) Toto pravidlo sa zdá byť pre dotknuté osoby priaznivé alebo prinajmenšom nekomplikované. ( 48 ) |
103. |
V prípade práva dotknutých osôb podať návrh na začatie súdneho konania proti dozornému orgánu je to však zložitejšie. Dotknuté osoby majú predovšetkým právo napadnúť tak konanie, ako aj nekonanie dozorných orgánov. Konkrétne môžu napadnúť dozorný orgán, ak „nereaguje na sťažnosť, čiastočne alebo v plnom rozsahu ju odmietne, nevyhovie jej alebo nekoná v prípade, keď je takéto konanie nevyhnutné na ochranu práv dotknutej osoby“ ( 49 ). |
104. |
Žaloby namierené proti dozorným orgánom sa majú, na rozdiel od žalôb proti prevádzkovateľom a sprostredkovateľom, podávať na súdoch členského štátu, v ktorom je dozorný orgán zriadený. ( 50 ) Aj keď sa toto pravidlo môže javiť tak, že voči jednotlivcom je menej priaznivé, je potrebné mať na zreteli, že z článku 60 ods. 8 a 9 nariadenia GDPR vyplýva, že ak sa sťažnosť dotknutej osoby úplne alebo čiastočne odmietne alebo sa jej nevyhovie, dozorný orgán, na ktorom sa sťažnosť podala, prijme príslušné rozhodnutie a oznámi ho dotknutej osobe. Je to tak bez ohľadu na to, či je uvedený orgán VDO, z čoho vyplýva, že (v prípade potreby) môže dotknutá osoba podať návrh na začatie konania vo svojom vlastnom členskom štáte. |
105. |
Zdá sa že zámerom týchto mechanizmov spočívajúcich v posúvaní príslušnosti na prijatie rozhodnutia a v prípade nevyhnutnosti v možnom prijatí dvojitých rozhodnutí (VDO vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi a miestny orgán vo vzťahu k sťažovateľovi), je vyhnúť sa tomu, aby dotknutá osoba musela „cestovať“ do súdnych siení Európskej únie s cieľom podať návrh na začatie konania namierený proti pasívnym dozorným orgánom. |
106. |
Pripúšťam však, že takéto riešenie môže viesť k množstvu praktických otázok. Aký má byť presný obsah každého z týchto rozhodnutí? Bol by tento obsah rovnaký ( 51 ) alebo rozdielny? Mala by dotknutá osoba možnosť spochybniť všetky otázky, o ktorých si myslí, že sa týkajú jej veci, a to aj otázky, ktoré sú súčasťou rozhodnutia VDO? Alebo by bolo rozhodnutie dozorného orgánu, na ktorom podala dotknutá osoba svoju sťažnosť, len „prázdnou škrupinkou“, pričom by sa tento orgán konkrétnou sťažnosťou zaoberal len formálne a reálny obsah by sa nachádzal v rozhodnutí VDO? Ak by v takomto prípade uvedená dotknutá osoba chcela mať prístup k skutočne „účinnému súdnemu prostriedku nápravy“ v zmysle článku 78 nariadenia GDPR a článku 47 Charty, musela by v každom prípade podať žalobu na súdoch členského štátu, v ktorom je VDO zriadený? Ako by fungovali pravidlá prístupu k skutočne účinnému súdnemu prostriedku nápravy vo vzťahu k preskúmaniu akýchkoľvek súvisiacich rozhodnutí buď na horizontálnej úrovni (pokiaľ ide o situácie, v ktorých dozorné orgány konajú spoločne), alebo na vertikálnej úrovni (pokiaľ ide o preskúmanie stanoviska alebo rozhodnutia výboru v rámci mechanizmu konzistentnosti, ktoré predchádza konečnému rozhodnutiu dozorného orgánu a pravdepodobne ho reálne predurčuje)? ( 52 ) |
107. |
Potenciálne chúlostivých problematických bodov je tu dosť. Praktická skúsenosť možno jedného dňa odhalí skutočné problémy s kvalitou alebo dokonca úrovňou právnej ochrany, ktorá z nového systému vyplýva. V súčasnosti sú však uvedené problematické body len dohadom. V tejto fáze, a nepochybne v tomto konaní, neboli Súdnemu dvoru predložené nejaké skutočnosti, ktoré by poukazovali na reálne problémy v tejto súvislosti. |
4. Možné nedostatočné presadzovanie nariadenia GDPR
108. |
GBA v podstate tvrdí, že presadzovanie nariadenia GDPR v cezhraničných situáciách nemožno ponechať výhradne na VDO a na dotknuté osoby, ktorých sa spracúvanie dotkne. Úloha každého jedného dozorného orgánu spočíva práve v tom, že koná v záujme ochrany práv jednotlivcov, do ktorých môže spracúvanie údajov zasiahnuť. Dozorný orgán si hlavne nemôže riadne splniť svoju úlohu, ak je rozhodnutie o tom, či proti údajnému porušeniu zasiahnuť, vždy ponechané na voľnej úvahe iného orgánu. |
109. |
Podľa mňa je toto tvrdenie v podstate priamym spochybnením nového mechanizmu spolupráce, ktorý zaviedlo nariadenie GDPR. Svoju reakciu naň sformulujem v dvoch úrovniach: v prvom rade, pokiaľ ide o úroveň práva platného v súčasnosti, možno povedať, že nariadenie GDPR obsahuje mechanizmy, ktoré sú zamerané na odvrátenie podobného scenára. V druhom rade, pokiaľ ide o skutočné fungovanie a účinky nového systému, pokladám takéto obavy v tejto etape za predčasné a hypotetické. |
110. |
Po prvé je potrebné hneď na začiatku vysvetliť, že skutočnosť, že dozorný orgán nie je vo vzťahu k danému prevádzkovateľovi alebo sprostredkovateľovi VDO, v nijakom prípade neznamená, že proti porušeniam nariadenia GDPR, ktoré sú trestnými činmi, nebude môcť byť riadne vedené trestné konanie, ako to tvrdí GBA. Právomoc „upozorniť justičné orgány na porušenia tohto nariadenia“ stanovená v článku 58 ods. 5 zjavne zahŕňa aj právomoc nadviazať kontakt s orgánmi činnými v trestnom konaní, ako je generálna prokuratúra. Táto právomoc je v súlade s úlohou dozorných orgánov monitorovať a presadzovať uplatňovanie nariadenia GDPR na ich území, pričom nebráni účinnému fungovaniu mechanizmov spolupráce a konzistentnosti stanovených v kapitole VII nariadenia GDPR. V tejto súvislosti snáď ani nie je potrebné zdôrazňovať, že hoci tieto mechanizmy sú pre dozorné orgány záväzné, neuplatňujú sa na orgány iných členských štátov, najmä na tie, ktorých úlohou je trestné konanie. |
111. |
Po druhé je ešte dôležitejšie, že keď sa systém vytvorený nariadením GDPR vníma ako celok, je úplne jasné, že VDO nie je jediným subjektom, ktorý nariadenie GDPR presadzuje v cezhraničných situáciách. VDO je skôr primus inter pares. Vo všeobecnosti môže konať (na správnej alebo súdnej úrovni) len so súhlasom DDO. V rámci konania stanoveného v článku 60 nariadenia GDPR musí VDO dosiahnuť konsenzus. ( 53 ) Nemôže ignorovať stanoviská DDO. Musí „náležite zohľadniť“ stanoviská týchto orgánov, pričom akákoľvek formálna námietka zo strany DDO dočasne zablokuje prijatie návrhu rozhodnutia VDO. Pretrvávajúce nezhody medzi orgánmi v konečnom dôsledku urovnáva osobitný orgán (výbor), ktorý pozostáva zo zástupcov všetkých dozorných orgánov EÚ. Pozícia VDO preto v tejto súvislosti nie je silnejšia ako pozícia ktoréhokoľvek iného orgánu. ( 54 ) |
112. |
Ako povedal bývalý európsky dozorný úradník pre ochranu údajov, pán P. Hustinx, úloha VDO v štruktúre nariadenia GDPR „by sa nemala vnímať na základe jeho výlučnej príslušnosti, ale skôr ako systematický spôsob spolupráce s inými miestne príslušnými dozornými orgánmi“ ( 55 ). Z nariadenia GDPR vyplýva zdieľaná zodpovednosť za monitorovanie jeho presadzovania a zabezpečenie jeho konzistentného uplatňovania. Na účely dosiahnutia tohto cieľa dostali dozorné orgány úlohy a boli im zverené isté právomoci; priznali sa im isté práva, avšak nesú aj bremeno povinností. Medzi ne patrí najmä povinnosť konať v zmysle istých postupov a mechanizmov vytvorených na zabezpečenie konzistentnosti. Snaha orgánu konať pri (súdnom) presadzovaní nariadenia GDPR podľa prístupu „všetko sám“, ( 56 ) a nespolupracovať pritom s inými orgánmi, nie je v súlade ani so znením, ani s duchom tohto nariadenia. |
113. |
Ako bolo uvedené v bodoch 76 a 77 vyššie, nariadenie GDPR je postavené na jemnej rovnováhe medzi potrebou zabezpečiť vysokú úroveň ochrany fyzických osôb a potrebou odstrániť prekážky toku osobných údajov v Únii. Ide o dva ciele, ktoré sú pevne prepojené, ako vyplýva najmä z odôvodnenia 10 a článku 1 ods. 1 nariadenia GDPR. Vnútroštátne dozorné orgány preto musia zabezpečiť medzi uvedenými cieľmi primeranú vyváženosť, ako Súdny dvor stále zdôrazňuje už od čias svojich prvých rozsudkov v oblasti ochrany údajov. ( 57 ) Tento prístup sa odráža v článku 51 ods. 1 nariadenia GDPR, ktorý definuje úlohu dozorných orgánov. ( 58 ) |
114. |
Po tretie nariadenie GDPR nie je len nástrojom vytvárajúcim mechanizmy na vyriešenie rozporov, ktoré súvisia so spôsobom jeho presadzovania, teda mechanizmy rozhodovania v prípade reálnych protichodných názorov a stanovísk vyjadrených dozornými orgánmi. Toto nariadenie obsahuje aj mechanizmy na prekonanie správnej nečinnosti. Ide predovšetkým o situácie, v ktorých VDO z dôvodu nedostatku odbornej spôsobilosti a/alebo personálu alebo z akéhokoľvek iného dôvodu, jednoducho neprijíma zmysluplné opatrenia s cieľom vyšetriť možné porušenia nariadenia GDPR a v nevyhnutnom prípade presadiť uplatnenie jeho pravidiel. |
115. |
Nariadenie GDPR principiálne vyžaduje, aby VDO v prípadoch cezhraničného spracúvania konal rýchlo. Konkrétne podľa článku 60 ods. 3 nariadenia GDPR VDO „bezodkladne oznámi relevantné informácie týkajúce sa veci iným dotknutým dozorným orgánom [a] bezodkladne predloží iným dotknutým dozorným orgánom návrh rozhodnutia, aby sa k nemu vyjadrili a aby sa náležite zohľadnili ich stanoviská“ ( 59 ). |
116. |
Ak by si VDO túto povinnosť nesplnil alebo by vo všeobecnosti nekonal, hoci by mal, vzniká otázka, aké opravné prostriedky majú DDO, ktoré chcú viesť vyšetrovanie, a dokonca možno aj podať žalobu. ( 60 ) Domnievam sa, že tieto orgány sa môžu vydať prinajmenšom dvoma rôznymi smermi, ktoré sa navzájom nevylučujú. |
117. |
Na jednej strane podľa článku 61 ods. 1 a 2 nariadenia GDPR môže jeden dozorný orgán požiadať druhý, aby mu poskytol „informácie a pomoc v záujme konzistentného vykonávania a uplatňovania [nariadenia GDPR]“ ( 61 ). Táto žiadosť môže mať podobu žiadosti o informácie, vrátane informácií o „vedení vyšetrovania“ alebo podobu iných opatrení vzájomnej pomoci (napríklad môže ísť o kontroly a vyšetrovania alebo zavedenie opatrení účinnej spolupráce). Na každú takúto žiadosť musí dožiadaný orgán odpovedať „bez zbytočného odkladu a najneskôr do jedného mesiaca po prijatí žiadosti“. |
118. |
Podľa článku 61 ods. 5 a 8 nariadenia GDPR neposkytnutie odpovede v stanovenom čase alebo odmietnutie žiadosti umožňuje žiadajúcemu orgánu „prijať predbežné opatrenia na území svojho členského štátu v súlade s článkom 55 ods. 1“. V takých prípadoch „platí domnienka, že je splnená naliehavá potreba konať podľa článku 66 ods. 1, ktorá si vyžaduje naliehavé záväzné rozhodnutie výboru podľa článku 66 ods. 2“ ( 62 ). |
119. |
Zdá sa mi, že tento mechanizmus tiež môže využiť (a pravdepodobne sa tak aj má využívať ( 63 )) DDO vo vzťahu k VDO. Ak v konkrétnom prípade cezhraničného spracúvania VDO nekoná napriek žiadosti, ktorú mu v tomto zmysle zaslal DDO, môže to DDO umožniť prijať naliehavé opatrenia, ktoré sú potrebné na ochranu záujmov dotknutých osôb. Existencia výnimočných okolností, ktoré odôvodňujú naliehavú potrebu konať, sa totiž predpokladá a nemusí sa dokazovať. |
120. |
Na druhej strane článok 64 ods. 2 nariadenia GDPR umožňuje dozornému orgánu (alebo predsedovi výboru alebo Komisii) „požiadať, aby akúkoľvek záležitosť so všeobecným uplatnením alebo s účinkami vo viac ako jednom členskom štáte preskúmal výbor s cieľom získať stanovisko, najmä ak si príslušný dozorný orgán neplní povinnosti týkajúce sa vzájomnej pomoci podľa článku 61…“ ( 64 ). |
121. |
Nie je úplne jasné, či je rozhodnutie výboru pre dotknutý VDO právne záväzné. ( 65 ) Z článku 65 ods. 1 písm. c) nariadenia GDPR však vyplýva, že ak príslušný dozorný orgán nepostupuje podľa stanoviska výboru vyhotoveného v zmysle článku 64, ktorýkoľvek DDO (alebo Komisia) môže záležitosť oznámiť výboru a iniciovať tak postup riešenia sporu, ktorý je s týmto cieľom v nariadení upravený. Výsledkom tohto postupu je záväzné rozhodnutie. ( 66 ) |
122. |
Zároveň je však potrebné pripustiť, že oba vyššie opísané mechanizmy (články 61 a 66 nariadenia GDPR na jednej strane a články 64 a 65 nariadenia GDPR na strane druhej) sú trochu ťažkopádne. Spôsob, akým reálne fungujú, nie je vždy úplne jasný. Z toho vyplýva, že aj keď vyššie uvedené ustanovenia sú formulované tak, že by mohli zabrániť spomenutým problémom, len ich budúce uplatňovanie ukáže, či v praxi nebudú iba „strašiakmi na papieri“. |
123. |
To ma vracia k druhej úrovni tvrdenia predneseného v časti o údajne nedostatočnom presadzovaní a k jeho hypotetickej a nepodloženej povahe, prinajmenšom v súčasnosti. Musím pripustiť, že ak by skutočne mali nastať riziká nedostatočného presadzovania nariadenia GDPR, ktoré opísal alebo skôr naznačil GBA a niektorí iní vedľajší účastníci konania, prinajmenšom podľa mňa by bol celý systém zrelý na zásadnú úpravu. |
124. |
Zo systematického hľadiska by o takýto scenár nepochybne mohlo ísť v prípade, že by nový systém viedol k vytvoreniu regulačných „skrýš“ pre niektoré subjekty, ktoré by si najprv sami vybrali svoj vnútroštátny regulačný orgán, keďže by podľa toho umiestnili v rámci Únie svoju hlavnú prevádzkareň, konkrétny VDO by ich skôr chránil pred inými regulačnými orgánmi, než by ich monitoroval. Je nepochybné, že regulačná konkurencia medzi členskými štátmi vo forme pretekov o dosiahnutie najnižšej úrovne by bola rovnako nezdravá a nebezpečná ako regulačná nekonzistentnosť, teda presne taký druh nedostatku koordinácie a konzistentnosti, ktorý bol charakteristický pre predchádzajúci systém. Prepojené regulačné štruktúry môžu prostredníctvom podpory konsenzu a spolupráce zabrániť nekonzistentnosti a nejednotnosti. Cenou za konsenzus však býva zastavenie aktívnych orgánov, a to najmä v systéme, v ktorom je na dosiahnutie akéhokoľvek rozhodnutia potrebné väčšie vzájomné zosúladenie. V rámci takých systémov môže kolektívna zodpovednosť viesť ku kolektívnej nezodpovednosti a napokon nečinnosti. |
125. |
Právny rámec vytvorený nariadením GDPR je však v súvislosti s uvedenými rizikami stále na začiatku svojho vývoja. Nie je jednoduché odhadnúť – osobitne pre súd konajúci v rámci jedného alebo dosť špecifického konania – ako budú mechanizmy vytvorené uvedeným nariadením v praxi fungovať a aké účinné budú. V tomto rámci sa podobne ako v prípadne potenciálnych problémov súvisiacich s ochranou základných práv a výkladom v súlade s Chartou, ( 67 ) odporúča opatrnosť. |
126. |
Podľa mňa by nebol dobrý nápad, ak by Súdny dvor významne zmenil tento rámec, ktorý je (krehkým a dôkladne vypracovaným) nástrojom vytvoreným v rámci dlhotrvajúceho a intenzívneho legislatívneho procesu, a to tak, že by v tomto štádiu vykladal jednotlivé vety mimo ich kontextu, pričom by postupoval na základe domnienok a špekulácií. Platí to ešte viac v prípade, že výklad navrhovaný niektorými účastníkmi konania spočíva len v tom, že z nariadenia sa vyberú niektoré kľúčové časti a de facto sa tak dosiahne návrat k predchádzajúcemu systému smernice 95/46, ktorej sa normotvorca Únie výslovne a jasne v jej inštitucionálnom rozmere vzdal. |
127. |
Tento úplne jasný legislatívny úmysel, ktorý – ako to vyplýva z predchádzajúcich častí týchto návrhov, – potvrdzuje tak znenie a systém nariadenia GDPR, ako aj zdokumentovaný legislatívny zámer, je zároveň odpoveďou na prípadné systémové obavy, ktoré sa týkajú napríklad správnej rovnováhy medzi súkromným a verejným presadzovaním pravidiel o ochrane údajov a nariadenia GDPR. Má zmysel obmedziť verejné presadzovanie, ku ktorému dôjde až po dlhom a ťažkopádnom správnom konaní, na jediný orgán, a teda na jediný členský štát, kým k súkromnému presadzovaniu rovnakých pravidiel dôjde v praxi na (civilných) súdoch všetkých členských štátov pravdepodobne rýchlejšie? Mali by vnútroštátne dozorné orgány mať obmedzenejší prístup k súdom ako konkrétny súkromný spotrebiteľ? Neskončí väčšina prípadov ochrany údajov na vnútroštátnych súdoch (a prípadne na Súdnom dvore v rámci prejudiciálneho konania) na základe žalôb podaných priamo súkromnými žalobcami, pričom sa tak úplne obídu vnútroštátne regulačné orgány vytvorené práve s cieľom ochrany údajov, pretože tieto vnútroštátne regulačné orgány sa nachádzajú uprostred postupov spolupráce a koordinácie svojich stanovísk? Neexistuje v takomto systéme riziko, že súkromné presadzovanie úplne nahradí verejné? |
128. |
Bez ohľadu na odpovede na uvedené otázky normotvorca Únie urobil jasné inštitucionálne a systémové rozhodnutie a podľa mňa niet pochybností o tom, čo zamýšľal dosiahnuť. Za týchto okolností by sa v prenesenom zmysle slova malo v prípade pochybností prinajmenšom nateraz rozhodnúť v prospech dieťaťa. Ak by to však s dieťaťom dopadlo zle a preukazovali by to fakty a presvedčivé tvrdenia, nemyslím si, že by Súdny dvor ignoroval akúkoľvek medzeru, ktorá by tak vznikla pri ochrane základných práv zaručených Chartou, a pri ich účinnom vymáhaní príslušnými regulačnými orgánmi. Odpoveď na otázku, či by aj v takom prípade išlo o problém výkladu ustanovení sekundárneho práva, ktorý je v súlade s Chartou, alebo o problém platnosti relevantných ustanovení či dokonca častí nástroja sekundárneho práva, sa bude hľadať až pri prejednávaní ďalších vecí. |
5. Predbežný záver
129. |
Všetky vyššie uvedené úvahy týkajúce sa výkladu preto smerujú k jedinému záveru: VDO má pri cezhraničnom spracúvaní všeobecnú príslušnosť. Všetky dozorné orgány (bez ohľadu na to, či sú v postavení VDO alebo DDO) majú najmä v prípadoch cezhraničného spracúvania konať podľa postupov a mechanizmov vymedzených v nariadení GDPR. |
130. |
Vyplýva z toho, že dozorný orgán, ktorý nie je VDO, nemôže pri spracúvaní cezhraničnej povahy zásadne nikdy konať na vnútroštátnom súde proti prevádzkovateľovi alebo sprostredkovateľovi? |
131. |
Nie, nevyplýva. |
132. |
Po prvé dozorné orgány sa môžu prirodzene obrátiť na vnútroštátny súd, keď konajú mimo vecnej pôsobnosti nariadenia GDPR a za predpokladu, že im to umožňuje vnútroštátne právo a právo Únie im v tom nebráni, napríklad keď sa spracúvanie netýka osobných údajov, alebo keď sa spracúvanie osobných údajov uskutočňuje v rámci činností uvedených v článku 2 ods. 2 nariadenia GDPR. ( 68 ) |
133. |
Po druhé napriek cezhraničnej povahe spracúvania patrí v situáciách vymedzených v článku 55 ods. 2 nariadenia GDPR (spracúvanie orgánmi verejnej moci, ale aj akékoľvek spracúvanie vo verejnom záujme alebo pri výkone úradnej moci) regulačná príslušnosť miestnemu dozornému orgánu, pričom jej súčasťou je prirodzene aj podanie žaloby na súde v prípade potreby. |
134. |
Po tretie existujú prípady, v ktorých napriek tomu, že ide o cezhraničné spracúvanie osobných údajov spadajúce do pôsobnosti nariadenia GDPR, nemôže ako VDO konať nijaký dozorný orgán. Keďže mechanizmy spolupráce a konzistentnosti vymedzené v nariadení GDPR sa uplatňujú iba na prevádzkovateľov, ktorí majú v Únii jednu alebo viac prevádzkarní, v prípade cezhraničného spracúvania prevádzkovateľmi, ktorí v Európskej únii nemajú nijakú prevádzkareň, neexistuje nijaký VDO. To znamená, že prevádzkovatelia, ktorí v Európskej únii nemajú prevádzkareň, musia prichádzať do kontaktu s miestnymi dozornými orgánmi v každom členskom štáte, v ktorom vyvíjajú svoje aktivity. ( 69 ) |
135. |
Po štvrté každý dozorný orgán môže v prípade splnenia primeraných podmienok prijať naliehavé opatrenia. Okrem toho existujú situácie, v ktorých sa naliehavosť opatrení predpokladá. Môže to tak byť napríklad v prípadoch, keď DDO čelí pretrvávajúcej nečinnosti príslušného VDO. Vzhľadom na to, že článok 66 ods. 1 nariadenia GDPR upravuje celkový odklon od mechanizmu konzistentnosti, je opodstatnené predpokladať, že za takýchto výnimočných okolností sa celá škála právomocí zverených dozornému orgánu (ktoré sa za bežných okolností nemajú uplatňovať, pretože tomu bránia osobitné pravidlá o príslušnosti VDO pri cezhraničnom spracúvaní) obnoví a môže sa dočasne používať. Medzi tieto právomoci prirodzene patrí aj právomoc podať návrh na začatie súdneho konania podľa článku 58 ods. 5 nariadenia GDPR. |
136. |
Napokon po piate je v záujme úplnosti vhodné poukázať na to, že existuje aj možnosť, že dozorný orgán, ktorý informoval VDO, môže získať (alebo skôr udržať si) právomoc obrátiť sa na súd v prípade, keď sa VDO rozhodne, že sa prípadom nebude zaoberať v zmysle článku 56 ods. 5 nariadenia GDPR. Na prvý pohľad toto ustanovenie môže poukazovať na predpoklad skutočnej dohody medzi oboma dozornými orgánmi o tom, ktorý z nich má lepšie predpoklady zaoberať sa prípadom. |
137. |
Z uvedeného vyplýva, že ustanovenia nariadenia GDPR neobsahujú v súvislosti s dozornými orgánmi a osobitne DDO, nijaký všeobecný zákaz podať návrh na začatie súdneho konania namierený proti možným porušeniam pravidiel o ochrane údajov. Naopak v tomto nariadení sú uvedené rôzne situácie, – a to buď výslovne, alebo implicitne – v ktorých majú právomoc tak urobiť. ( 70 ) |
138. |
Vo všeobecnosti je však mimoriadne dôležité, aby v prípade, že sa uplatňujú postupy a mechanizmy stanovené v nariadení GDPR (najmä tie, ktoré sa nachádzajú v kapitolách VI a VII tohto nariadenia), tak VDO, ak aj DDO tieto postupy a mechanizmy náležite rešpektovali. Z pravidiel nariadenia GDPR veľmi jasne vyplýva, že nijaký z uvedených orgánov nesmie konať mimo tohto právneho rámca alebo v rozpore s ním. |
139. |
Otázku, či GBA rešpektoval uvedené postupy a mechanizmy v prejednávanej veci, však musí preskúmať vnútroštátny súd, pričom ide o otázku, ktorá vyvolala na pojednávaní diskusiu, avšak vzhľadom na osobitné procesné pozadie prejednávanej veci zostáva trochu nejasná. ( 71 ) |
140. |
Na prvú otázku by sa preto malo odpovedať v tom zmysle, že ustanovenia nariadenia GDPR umožňujú dozornému orgánu členského štátu podať návrh na začatie konania na súde tohto štátu z dôvodu údajného porušenia ustanovení nariadenia GDPR v súvislosti s cezhraničným spracúvaním, aj napriek tomu, že tento orgán nie je VDO, za predpokladu, že takýto návrh podá v situáciách uvedených v nariadení GDPR a v súlade s postupmi, ktoré sú v ňom upravené. |
C. Ďalšie prejudiciálne otázky
1. Druhá otázka
141. |
Vo svojej druhej otázke sa vnútroštátny súd pýta, či by bola odpoveď na prvú otázku iná v prípade, že prevádzkovateľ predmetného cezhraničného spracúvania síce nemá v dotknutom členskom štáte hlavnú prevádzkareň, ale má tam inú prevádzkareň. |
142. |
Vzhľadom na navrhovanú odpoveď na prvú otázku je odpoveď na druhú otázku pomerne jasná: v zásade nie, za predpokladu, že „hlavná prevádzkareň“ v zmysle článku 4 bodu 16 nariadenia GDPR sa skutočne nachádza v inom členskom štáte. |
143. |
Skutočnosť, že prevádzkovateľ má v členskom štáte vedľajšiu prevádzkareň v zásade neovplyvňuje možnosť miestneho dozorného orgánu podať v súvislosti s dotknutým cezhraničným spracúvaním návrh na začatie súdneho konania v zmysle článku 58 ods. 5 nariadenia GDPR. Inak povedané rozsah právomocí dozorného orgánu a spôsob, akým by sa tieto právomoci mali vykonávať, nezávisí v prípade cezhraničného spracúvania údajov vo všeobecnosti od skutočnosti, či prevádzkovateľ alebo sprostredkovateľ, ktorí majú svoju hlavnú prevádzkareň v inom členskom štáte, majú prevádzkareň aj v členskom štáte uvedeného orgánu. |
144. |
Ako však už bolo uvedené vyššie, ( 72 ) predpokladom prijatia uvedeného záveru je, že vnútroštátny súd najprv zistí, ktorá prevádzkareň je na účely predmetnej spracovateľskej operácie hlavnou prevádzkarňou. V tejto súvislosti ponúka článok 4 bod 16 písm. a) pružný výklad ( 73 ) toho, čo sa za hlavnú prevádzkareň považuje, pričom nemusí ísť nevyhnutne o podnik, ktorý má pevnú korporátnu štruktúru. |
145. |
Navyše zo skutočnosti, že prevádzkovateľ alebo sprostredkovateľ má (vedľajšiu) prevádzkareň na území dozorného orgánu, vyplýva, že tento orgán je DDO v zmysle článku 4 bodu 22 nariadenia GDPR. DDO majú v rámci postupov stanovených v kapitole VII nariadenia GDPR významné právomoci. ( 74 ) |
146. |
Okrem toho článok 56 ods. 2 nariadenia GDPR stanovuje výnimku zo všeobecnej príslušnosti VDO v súvislosti s cezhraničným spracúvaním: „každý dozorný orgán [je] príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením [GDPR], ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte“. Táto príslušnosť pritom musí byť vykonávaná v súlade s postupom stanoveným v odsekoch 3 až 5 rovnakého ustanovenia. ( 75 ) |
2. Tretia otázka
147. |
Vo svojej tretej otázke sa vnútroštátny súd pýta, či by odpoveď na prvú otázku bola iná, ak by vnútroštátny dozorný orgán podal návrh na začatie konania proti hlavnej prevádzkarni prevádzkovateľa alebo proti prevádzkarni vo svojom vlastnom členskom štáte. |
148. |
Vzhľadom na odpoveď na prvú otázku a v rozsahu, v akom sa tretia otázka neprekrýva s druhou, je na ňu tiež potrebné odpovedať záporne. |
149. |
Opäť je potrebné uviesť, že ak zo skutkových okolností veci samej jasne vyplýva, že hlavná prevádzkareň v zmysle článku 4 bodu 16 nariadenia GDPR sa v prípade predmetnej spracovateľskej operácie v skutočnosti nachádza v inom členskom štáte, vnútroštátny dozorný orgán členského štátu, v ktorom sa nachádza prevádzkareň prevádzkovateľa, nie je VDO, ale môže sa stať DDO. Z tohto posúdenia však vyplýva, že príslušnosť dozorného orgánu konať nezávisí od toho, či bol návrh na začatie konania podaný proti hlavnej prevádzkarni prevádzkovateľa alebo proti prevádzkarni nachádzajúcej sa v členskom štáte tohto orgánu. ( 76 ) |
150. |
V záujme úplnosti dodám, že formulácia článku 58 ods. 5 nariadenia GDPR je široká a neurčuje konkrétne subjekty, proti ktorým by dozorné orgány mali alebo mohli konať. V rámci vyjadrení niektorých účastníkov konania to viedlo k zaujímavej diskusii o otázke, ktorá síce nie je nepodstatná, avšak podľa mňa sa jej Súdny dvor v tejto veci nemusí venovať. Ide o otázku, či môžu dozorné orgány v prípade, že sú na to príslušné v zmysle pravidiel nariadenia GDPR, konať len proti prevádzkarni (alebo prevádzkarňam) prevádzkovateľa alebo sprostredkovateľa, ktorá sa nachádza na území týchto orgánov alebo môžu konať aj proti prevádzkarňam nachádzajúcim sa v zahraničí? |
151. |
Na jednej strane belgická, talianska a poľská vláda zdôrazňujú, že článok 55 ods. 1 nariadenia GDPR obmedzuje územnú príslušnosť každého dozorného orgánu na jeho územie. Z toho vyvodzujú, že dozorné orgány môžu konať len proti miestnym prevádzkarňam. |
152. |
Podľa mňa však znenie tohto ustanovenia nie je až také jasné: uvádza sa v ňom, že právomoci, ktoré dozornému orgánu zverilo toto nariadenie, sa vykonávajú „na území vlastného členského štátu“. Toto ustanovenie nevnímam tak, že by nevyhnutne zabraňovalo konaniu proti prevádzkarni, ktorá sa nachádza v inom členskom štáte. Územný prvok, ktorý vyplýva z článku 55 ods. 1 nariadenia GDPR v spojení s celkovou pôsobnosťou nariadenia GDPR vymedzenou v článku 1 ods. 1 a článku 3 tohto nariadenia, a ktorý aktivuje príslušnosť dozorného orgánu v danom prípade, sa týka účinkov spracúvania údajov na území členského štátu. Tento prvok pritom neobmedzuje možnosť konať proti prevádzkovateľom alebo sprostredkovateľom, ktorí sa nachádzajú mimo štátnych hraníc. |
153. |
Na druhej strane podľa GBA má každý orgán právomoc konať proti všetkým porušeniam nariadenia GDPR, ku ktorým dochádza na jeho území, a to bez ohľadu na to, či má prevádzkovateľ alebo sprostredkovateľ na jeho území prevádzkareň. To znamená, že tento orgán by mal mať možnosť podať návrh na začatie súdneho konania aj proti prevádzkarni, ktorá sa nachádza v zahraničí. V tejto súvislosti GBA odkazuje na rozsudok Súdneho dvora vo veci Wirtschaftsakademie Schleswig‑Holstein ( 77 ). Súdny dvor v ňom konštatoval, že články 4 a 28 smernice 95/46 umožňujú dozornému orgánu členského štátu, aby uplatnil svoju právomoc podať návrh na začatie súdneho konania v súvislosti s prevádzkarňou tohto podniku nachádzajúcou sa na území tohto členského štátu. Platí to aj v prípade, že táto prevádzkareň bola zodpovedná výhradne za predaj reklamného priestoru a iné marketingové opatrenia na území uvedeného členského štátu, kým výhradnú zodpovednosť za zhromažďovanie a spracúvanie osobných údajov niesla v súvislosti s celým územím Únie prevádzkareň nachádzajúca sa v inom členskom štáte. |
154. |
GBA má pravdu v tom, že v rozsahu, v akom nariadenie GDPR obsahuje v tejto oblasti podobné ustanovenia ako smernica 95/46, ( 78 ) mali by sa v súvislosti s uvedeným nariadením mutatis mutandis uplatňovať zásady, ktoré Súdny dvor formuloval vo svojom rozsudku Wirtschaftsakademie Schleswig‑Holstein. Tento rozsudok však len vysvetlil, kedy môže príslušný orgán podať žalobu na miestnu prevádzkareň, aj keď spracúvanie resp. jeho hlavnú časť vykonáva prevádzkareň nachádzajúca sa na inom mieste Európskej únie. Uvedený rozsudok pritom nepotvrdil ani nevyvrátil skutočnosť, prinajmenšom nie výslovne, že dozorný orgán by mohol konať aj proti prevádzkarni nachádzajúcej sa na inom mieste Únie. |
155. |
Podľa môjho názoru však nový mechanizmus jednotného kontaktného miesta tým, že vytvára ústredný bod presadzovania nariadenia, nevyhnutne naznačuje, že dozorný orgán môže konať aj proti prevádzkarňam so sídlom v zahraničí. Nie som si istý, či by tento nový systém mohol dobre fungovať, ak by nedovoľoval príslušným orgánom, najmä VDO, aby konali proti prevádzkarňam, ktoré sa nachádzajú na inom mieste. ( 79 ) |
3. Štvrtá otázka
156. |
Vo svoje štvrtej otázke sa vnútroštátny súd pýta, či by odpoveď na prvú otázku bola iná v prípade, ak vnútroštátny dozorný orgán podal návrh na začatie súdneho konania ešte predtým ako nariadenie GDPR nadobudlo účinnosť. |
157. |
Na začiatok je potrebné poukázať na to, že v uvedenom nariadení sa nenachádzajú nijaké prechodné ustanovenia ani iné pravidlá, ktorými by sa mohli riadiť súdne konania prebiehajúce v čase nadobudnutia účinnosti nového právneho rámca. |
158. |
Preto by odpoveď na štvrtú otázku podľa mňa mala byť: „to závisí od okolností“. |
159. |
Na jednej strane pokiaľ ide o porušenia pravidiel o ochrane údajov, ktorých sa dopustili prevádzkovatelia alebo sprostredkovatelia predtým, ako sa nariadenie GDPR začalo uplatňovať, myslím si, že konania o týchto porušeniach môžu pokračovať. Nevidím dôvod, prečo by príslušné orgány museli vziať späť žaloby zamerané na presadzovanie nariadenia, týkajúce sa konania v minulosti, ktoré bolo (údajne) v čase, keď k nemu došlo, nezákonné a proti ktorému mali (v tom čase) právomoc zasiahnuť. Iné riešenie by viedlo k akejsi amnestii týkajúcej sa niektorých porušení právnych predpisov o ochrane údajov. |
160. |
Na druhej strane iná situácia nastáva v prípade žalôb podaných proti porušeniam, ktoré ešte nenastali, pretože k nim dochádza potom, ako sa nariadenie GDPR začalo uplatňovať. ( 80 ) V tejto súvislosti rovnako ako v každom inom prípade, v ktorom sa nové pravidlá uplatňujú na situácie vznikajúce v zmysle nového právneho režimu, sa nové hmotnoprávne pravidlá budú uplatňovať iba na skutkové okolnosti, ktoré nastali potom, ako sa nový právny nástroj začal uplatňovať. ( 81 ) |
161. |
Úlohou vnútroštátneho súdu je zistiť, ktorá z uvedených dvoch situácií sa viac približuje k súčasnému stavu konania vo veci samej. ( 82 ) Ak by išlo o prvú situáciu, možno podľa mňa v prebiehajúcom konaní pokračovať, a to nepochybne aspoň z hľadiska práva Únie, za predpokladu, že tieto konania sú obmedzené iba na prípadné konštatovanie minulých porušení. Ak by išlo o druhú situáciu, malo by sa vnútroštátne konanie zastaviť. Nový právny rámec totiž vytvára nový systém príslušnosti a právomoci, a to znamená, že DDO nemôže konať proti porušeniu vyplývajúcemu z cezhraničného porušovania, ktoré nepatrí medzi osobitné situácie stanovené v tomto rámci, a ak to nie je v súlade s postupmi a mechanizmami, ktoré sú s týmto cieľom v uvedenom rámci upravené. |
162. |
Opačné riešenie by de facto znamenalo predĺženie platnosti systému, ktorý vytvorila smernica 95/46, a to napriek tomu, že právo Únie, ako aj vnútroštátne právo túto smernicu výslovne zrušilo a nahradilo. Napokon, ak by GBA skutočne získal súdny zákaz, ktorý by spoločnosti Facebook bránil, aby v budúcnosti (a mimochodom na ako dlho?) konala tak ako vo veci samej, je otázne, či by sa tak nevstupovalo do právomoci zasiahnuť v súvislosti s (rovnakým) konaním, ktorú nariadenie GDPR od 25. mája 2018 zverilo VDO a DDO, pričom by tiež hrozili kolidujúce rozhodnutia (alebo súdne príkazy) pochádzajúce z rôznych členských štátov. |
4. Piata otázka
163. |
Vnútroštátny súd sa vo svojej piatej otázke, ktorá bola položená v prípade kladnej odpovede na prvú otázku, pýta, či článok 58 ods. 5 nariadenia GDPR má priamy účinok, takže sa ho vnútroštátny dozorný orgán môže dovolávať, keď má v úmysle podať návrh na začatie súdneho konania proti súkromným subjektom alebo v takomto konaní pokračovať, a to aj ak toto ustanovenie nebolo osobitne prebraté do vnútroštátneho práva. |
164. |
Zopakujem, že článok 58 ods. 5 znie: „každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení tohto nariadenia.“ |
165. |
Facebook, rovnako ako česká a portugalská vláda poukazujú na to, že uvedené ustanovenie jasne vyžaduje, aby členské štáty niečo urobili: teda aby zaviedli ustanovenia umožňujúce príslušným orgánom podať návrh na začatie súdneho konania. Predpokladom plného fungovania právomoci podať návrh na začatie súdneho konania sú tiež isté vnútroštátne pravidlá, ktoré okrem iného určia, ktorý súd má právomoc, aké sú podmienky podania žaloby a na základe akých postupov treba konať. |
166. |
Vzhľadom na navrhovanú odpoveď na prvú otázku nie je potrebné na piatu otázku odpovedať. V záujme úplnosti však nevidím dôvod, pre ktorý by som nesúhlasil s GBA v tom, že normatívny obsah tohto konkrétneho ustanovenia práva Únie je celkom jednoznačný a bezprostredný. V tejto súvislosti je potrebné mať na pamäti, že vo všeobecnosti má ustanovenie práva Únie priamy účinok vtedy, ak je v súvislosti s predmetom svojej úpravy dostatočne jasné, presné a bezpodmienečné, aby bolo možné sa naň odvolávať proti kolidujúcemu vnútroštátnemu opatreniu, alebo ak toto ustanovenie definuje práva, ktorých sa jednotlivci môžu dovolávať voči štátu. ( 83 ) |
167. |
Zdá sa mi, že aj bez ohľadu na to, že uvedené ustanovenie je súčasťou nariadenia (ktoré je v zmysle článku 288 ZFEÚ „záväzné vo svojej celistvosti a je priamo uplatniteľné vo všetkých členských štátoch“ ( 84 )), možno konkrétne a bezprostredne uplatniteľné pravidlo vyvodiť z článku 58 ods. 5 nariadenia GDPR. Toto pravidlo je veľmi jednoduché: dozorné orgány musia mať pred vnútroštátnymi súdmi aktívnu procesnú legitimáciu, a teda možnosť podať v zmysle vnútroštátneho práva návrh na začatie súdneho konania. Žalobu podanú na vnútroštátnom súde nemožno vyhlásiť za neprípustnú z dôvodu nedostatku spôsobilosti byť účastníkom konania. |
168. |
Hoci súhlasím so spoločnosťou Facebook a s českou a portugalskou vládou v tom zmysle, že členské štáty môžu stanoviť v súvislosti so žalobami podanými dozornými orgánmi osobitné pravidlá, podmienky alebo príslušnosť, prijatie takých pravidiel nie je v nijakom prípade nevyhnutné na účely fungovania priamo účinného pravidla vyplývajúceho z článku 58 ods. 5 nariadenia GDPR. V prípade neexistencie ad hoc pravidiel upravených vo vnútroštátnej právnej úprave sa na akékoľvek žaloby, ktoré podali dozorné orgány, prirodzene uplatnia všeobecné pravidlá v príslušných vnútroštátnych procesných poriadkoch (teda v správnych poriadkoch alebo aj v občianskych súdnych poriadkoch). Ak by napríklad neexistovali konkrétne vykonávacie pravidlá týkajúce sa príslušnosti, možno bez pochybností predpokladať, že podľa všeobecného pravidla, ktoré sa zrejme nachádza v každom (občianskom) súdnom poriadku, je všeobecne príslušným súdom súd v mieste, kde má žalovaný prevádzkareň, ak nie je stanovené inak. |
5. Šiesta otázka
169. |
Vnútroštátny súd sa vo svojej šiestej a poslednej otázke pýta, či v prípade, v ktorom vnútroštátny dozorný orgán má právomoc konať, môže výsledok takého konania zabrániť vedúcemu dozornému orgánu, aby dospel k opačnému záveru v prípade, že tento vedúci dozorný orgán vedie vyšetrovanie rovnakého alebo podobného cezhraničného spracúvania podľa mechanizmu stanoveného v článkoch 56 a 60 nariadenia GDPR. |
170. |
Vzhľadom na odpoveď navrhovanú na prvú otázku nie je potrebné na šiestu otázku odpovedať. |
171. |
Problém, na ktorý táto otázka poukazuje, znova potvrdzuje, prečo je na prvú otázku potrebné odpovedať tak, ako to navrhujem. Ak by bola odstránená povinná povaha mechanizmov konzistentnosti a spolupráce vymedzených v nariadení GDPR a mechanizmus jednotného kontaktného miesta by tak bol „dobrovoľný“, resp. by reálne skôr neexistoval, vážne by bola ovplyvnená súdržnosť celého systému. Pravidlá týkajúce sa príslušnosti, ktoré sa v súčasnom znení nariadenia GDPR nachádzajú, by v podstate boli nahradené paralelným systémom spočívajúcim v „pretekoch za prvým rozsudkom“, na ktorých by sa zúčastnili všetky dozorné orgány. Ktokoľvek by ako „prvý dosiahol cieľovú rovinu“ konečného rozsudku by sa v konečnom dôsledku v mieste svojej pôsobnosti stal reálnym VDO pre zvyšok Európskej únie, ako to vyplýva zo šiestej otázky. |
V. Návrh
172. |
Navrhujem, aby Súdny dvor na prejudiciálne otázky, ktoré položil Hof van beroep te Brussel (Odvolací súd Brusel, Belgicko) odpovedal takto:
|
( 1 ) Jazyk prednesu: angličtina.
( 2 ) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1).
( 3 ) Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355.
( 4 ) Z dôvodov uvedených vyššie, pozri bod 23 vyššie.
( 5 ) V tejto súvislosti Súdny dvor vždy konštatoval, že pojem „kontrolór [prevádzkovateľ – neoficiálny preklad]“ v zmysle smernice 95/46 sa má vykladať extenzívne, pozri napríklad nedávne rozsudky z 29. júla 2019, Fashion ID (C‑40/17, EU:C:2019:629, body 65, 66 a 70), a z 10. júla 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 66). Nevidím dôvod, prečo by to nemalo platiť aj v prípade nariadenia GDPR.
( 6 ) Pozri napríklad rozsudok z 25. júla 2018, Confédération paysanne a i. (C‑528/16, EU:C:2018:583, body 72 a 73 a citovaná judikatúra), alebo z 1. októbra 2019, Blaise a i. (C‑616/17, EU:C:2019:800, bod 35).
( 7 ) Napríklad v mojich návrhoch vo veci Fashion ID som vysvetlil dôvody, pre ktoré sa v prípade týkajúcom sa umiestňovania cookies (C‑40/17, EU:C:2018:1039, body 111 až 115) potenciálne mohli uplatňovať aj pravidlá vyplývajúce zo smernice 95/46, účinnej v tom čase, aj pravidlá vyplývajúce zo smernice o súkromí a elektronických komunikáciách (smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 2002, s. 37; Mim. vyd. 13/029, s. 514). V súvislosti s touto otázkou pozri vo všeobecnosti stanovisko Európskeho výboru pre ochranu údajov 5/2019 z 12. marca 2019 týkajúce sa vzájomného pôsobenia medzi smernicou o súkromí a elektronických komunikáciách a nariadením GDPR, najmä pokiaľ ide o príslušnosť, úlohy a právomoci orgánov pre ochranu osobných údajov. Pozri tiež dokument 02/2013 pracovnej skupiny zriadenej podľa článku 29 o usmernení pri získavaní súhlasu s cookies, 1676/13/EN WP 208, z 2. októbra 2013.
( 8 ) Kurzívou zvýraznil generálny advokát.
( 9 ) Kurzívou zvýraznil generálny advokát.
( 10 ) Kurzívou zvýraznil generálny advokát.
( 11 ) V právnej vede pozri BENSOUSSAN, A. (ed.): Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques. 2e éd. Bruxelles: Bruylant, 2017, s. 363.
( 12 ) Podobne HIJMANS, H.: Comment to Article 56 of the GDPR. In: KUNER, C., BYGRAVE, L., DOCKSEY, C. (eds.): The EU General Data Protection Regulation (GDPR) – A Commentary. Oxford: Oxford University Press, 2020, s. 921.
( 13 ) Na základe analógie so všeobecným správnym právom (alebo súdnymi poriadkami) možno povedať, že orgán síce môže mať (všeobecnú) právomoc konať istým spôsobom, ale nemusí mať pritom nevyhnutne príslušnosť (rationae materiae, personae, temporis, loci…) použiť túto právomoc a rozhodnúť v individuálnom prípade. Skutočnosť, že trestný súd má právomoc vyhlásiť v trestnom konaní rozsudok, teda nevyhnutne neznamená, že je aj príslušný to urobiť v súvislosti s konkrétnym trestným činom spáchaným konkrétnou osobou (v tomto konkrétnom prípade môže byť príslušný iný súd).
( 14 ) Európsky výbor pre ochranu údajov, stanovisko 8/2019 z 9. júla 2019 k právomoci dozorného orgánu v prípade zmeny okolností tykajúcich sa hlavnej alebo jedinej prevádzkarne, body 19 a 20.
( 15 ) Toto ustanovenie v príslušnej časti uvádzalo: „každý je zabezpečený najmä [každý bude mať najmä – neoficiálny preklad]… právomocou zaoberať sa právnymi postupmi [právomoc podať návrh na začatie súdneho konania – neoficiálny preklad] tam, kde sa porušili vnútroštátne ustanovenia prijaté v súlade s touto smernicou alebo dať tieto porušenia do pozornosti súdnych orgánov“.
( 16 ) Pozri prvú správu Európskej komisie o implementácii smernice o ochrane údajov (95/46/ES) z 15. mája 2003, COM(2003) 265 final, s. 12 a 13, a jej prílohu s názvom „Analýza a štúdia vplyvu implementácie smernice ES 95/46 v členských štátoch“, s. 40. Pozri tiež dokument Agentúry Európskej únie pre základné práva, Prístup k prostriedkom na ochranu údajov v členských štátoch EÚ – správa, 2012, najmä s. 20 až 22.
( 17 ) Pozri body 51, 57 a 58 vyššie.
( 18 ) Rozsudky zo 6. októbra 2015, Schrems (C‑362/14, EU:C:2015:650, bod 63), a zo 16. júla 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559, bod 109).
( 19 ) V niektorých prípadoch má DDO právo (a teda by mal mať aj možnosť) predložiť VDO návrh rozhodnutia: pozri článok 56 ods. 2 až 4 nariadenia GDPR.
( 20 ) Pozri v tejto súvislosti odôvodnenie 125 nariadenia GDPR.
( 21 ) Rozsudok zo 16. júla 2020 (C‑311/18, EU:C:2020:559, bod 120) (kurzívou zvýraznil generálny advokát). V podobnom zmysle pozri návrhy, ktoré predniesol generálny advokát Saugmandsgaard Øe vo veci Facebook Ireland a Schrems (C‑311/18, EU:C:2019:1145, body 147 a 148) a v ktorých jasne uvádza, že je úlohou príslušného dozorného orgánu, aby reagoval na porušenie nariadenia GDPR a zvolil na to primeraný spôsob. Porovnaj s rozsudkom zo 6. októbra 2015, Schrems (C‑362/14, EU:C:2015:650, bod 65), v ktorom Súdny dvor konštatoval, že podľa smernice 95/46 musí mať (každý) vnútroštátny dozorný orgán možnosť podať návrh na začatie súdneho konania.
( 22 ) Známa replika z filmu The Good, the Bad and the Ugly (Dobrý, zlý a škaredý) (film z roku 1966, ktorého režisérom je Sergio Leone, hrajú v ňom Clint Eastwood, Lee Van Cleef a Eli Wallach, a vznikol v produkcii Produzioni Europee Associate a United Artists).
( 23 ) Článok 68 nariadenia GDPR.
( 24 ) Pozri najmä článok 70 ods. 1 písm. a) nariadenia GDPR.
( 25 ) Pozri dôvodovú správu k návrhu predloženého Komisiou a týkajúceho sa nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) [KOM(2012) 11 v konečnom znení]. Pozri tiež odôvodnenia 10, 13 a 123 nariadenia GDPR.
( 26 ) V tejto súvislosti pozri vo všeobecnosti GIURGIU, A., LARSEN, T.: Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More „European“ DPAs as Guardians of Consistency? In: European Data Protection Law Review. 2016, s. 342 – 352, na s. 349; a VOIGT, P., von dem BUSSCHE, A.: The EU General Data Protection Regulation (GDPR) – A Practical Guide. Springer, 2017, s. 190 – 192.
( 27 ) Rozsudok z 1. októbra 2015 (C‑230/14, EU:C:2015:639, body 42 až 60).
( 28 ) Rozsudok z 5. júna 2018 (C‑210/16, EU:C:2018:388, body 65 až 74).
( 29 ) Pozri napríklad MIGLIO, A.: The Competence of Supervisory Authorities and the One‑stop‑shop Mechanism. In: EU Law Live – Weekend edition. 2020, č. 28, s. 10 – 14, na s. 11.
( 30 ) Pozri návrhy, ktoré predniesol generálny advokát Bot vo veci Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2017:796, bod 103).
( 31 ) Rozsudok z 24. septembra 2019 (C‑507/17, EU:C:2019:772, bod 68).
( 32 ) C‑311/18, EU:C:2019:1145, bod 155.
( 33 ) Pozri body 97 a 98 návrhu Komisie (pozri poznámku pod čiarou 25 vyššie).
( 34 ) Pozri dokumenty Rady 15656/1/14 REV 1 z 28. novembra 2014, a 16526/14 zo 4. a 5. decembra 2014, s. 2, 8 a 9.
( 35 ) Tamže, s. 1.
( 36 ) Pozri dokument Rady 5419/1/16 REV 1 z 8. apríla 2016, s. 203 až 205.
( 37 ) Pozri bod 45 vyššie.
( 38 ) Dokument Rady 15656/1/14 REV 1, z 28. novembra 2014, s. 2.
( 39 ) Pozri dokument A7‑0402/2013 z 22. novembra 2013, ktorý mechanizmus jednotného kontaktného miesta charakterizuje ako „obrovský krok k ucelenému uplatňovaniu právnych predpisov v oblasti ochrany údajov v EÚ“.
( 40 ) Dokument EP‑PE_TC1‑COD(2012)0011 z 12. marca 2014 (pozri najmä zmeny a doplnenia 148, 149, 158, 159 a 167).
( 41 ) V podobnom zmysle jednoducho predpokladám, že uvádzané ustanovenia Charty a práva, ktoré z nej vyplývajú, sa týkajú dotknutých osôb, pričom dozorný orgán ich má chrániť, a že nejde o ustanovenia a práva, ktoré sa vzťahujú na samotný dozorný orgán. Predstava, že správne orgány, teda predstavitelia štátu, by mali mať základné (ľudské) práva, ktorých by sa mohli dovolávať v spore proti štátu (alebo v sporoch medzi sebou či v prípade horizontálneho priameho účinku dokonca v spore proti jednotlivcom) je dosť zvláštna. Podľa mňa by odpoveď mala byť nepochybne záporná, ale uznávam, že v členských štátoch existujú rôzne prístupy. V každom prípade v prejednávanej veci jednoznačne nie je potrebné sa touto otázkou zaoberať.
( 42 ) Pozri v tejto súvislosti rozsudok zo 6. októbra 2015, Schrems (C‑362/14, EU:C:2015:650, bod 39).
( 43 ) Pozri odôvodnenia 7, 9 a 10 nariadenia GDPR (kurzívou zvýraznil generálny advokát).
( 44 ) Pozri v tejto súvislosti odôvodnenia 10, 11 a 13 nariadenia GDPR.
( 45 ) Kurzívou zvýraznil generálny advokát.
( 46 ) Pozri v tejto súvislosti rozsudok z 27. septembra 2017, Puškár (C‑73/16, EU:C:2017:725, body 54 až 76 a citovaná judikatúra).
( 47 ) Pozri článok 79 a tiež odôvodnenie 145 nariadenia GDPR.
( 48 ) Pričom je potrebné mať na pamäti aj to, že z praktického hľadiska je toto riešenie podobné ako (naozaj ochranné) forum (actoris) v spotrebiteľských zmluvách v zmysle systému zavedeného nariadením Brusel, pozri vo všeobecnosti rozsudok z 25. januára 2018, Schrems (C‑498/16, EU:C:2018:37).
( 49 ) Pozri odôvodnenia 141 a 143 nariadenia GDPR a rozsudok zo 16. júla 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559, bod 110).
( 50 ) Pozri odôvodnenie 143 a článok 78 nariadenia GDPR.
( 51 ) Pokiaľ ide o takýto prístup v inom (decentralizovanom) regulačnom kontexte, pozri návrhy, ktoré som predniesol vo veci Astellas Pharma (C‑557/16, EU:C:2017:957).
( 52 ) Pokiaľ ide o uvedenú vertikálnu úroveň, v článku 78 ods. 4 sa uvádza, že „ak sa návrh na začatie konania podáva proti rozhodnutiu dozorného orgánu, ktorému predchádzalo stanovisko alebo rozhodnutie výboru v rámci mechanizmu konzistentnosti, dozorný orgán takéto stanovisko alebo rozhodnutie postúpi súdu“. V praxi to bude pravdepodobne jediný spôsob ako podrobiť rozhodnutia výboru súdnemu preskúmaniu, keďže odôvodnenie 143 zlovestne potvrdzuje, že „každá fyzická alebo právnická osoba“ (teda aj dotknuté osoby) môže v prípade splnenia podmienok v článku 263 ZFEÚ napadnúť právne záväzné rozhodnutie výboru na súdoch EÚ. Vzhľadom na reštriktívny výklad, ktorý Súdny dvor uplatnil na podmienky procesnej legitimácie jednotlivcov uvedené v článku 263 štvrtom odseku ZFEÚ, však nie je jednoduché identifikovať situácie, v ktorých by sa rozhodnutie výboru jednotlivcov priamo týkalo, pretože toto rozhodnutie sa v každom prípade bude musieť prostredníctvom následného rozhodnutia VDO alebo DDO „uplatniť“ na situáciu konkrétnej dotknutej osoby. V takejto situácii, rovnako ako v mnohých iných oblastiach práva Únie [k tomuto systému sa vyjadrujem kriticky vo svojich návrhoch vo veci Région de Bruxelles‑Capitale/Komisia (C‑352/19 P, EU:C:2020:588, body 137 až 147)], spočíva jediný spôsob ako napadnúť rozhodnutie výboru v návrhu na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, ktorý sa obmedzuje na prípady, v ktorých zvedavejší vnútroštátny súd chce pri svojom vlastnom súdnom preskúmaní „nadvihnúť záves“, ktorý pred ním zatiahol vnútroštátny dozorný orgán vo forme „postúpeného“ rozhodnutia výboru v zmysle článku 78 ods. 4 nariadenia GDPR.
( 53 ) Pozri najmä článok 60 ods. 1 nariadenia GDPR.
( 54 ) HIJMANS, H.: Comment to Article 56 of the GDPR. In: KUNER, C., BYGRAVE, L., DOCKSEY, C. (eds): The EU General Data Protection Regulation (GDPR) – A Commentary. Oxford: Oxford University Press, 2020, s. 918.
( 55 ) HUSTINX, P.: EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation. In: CREMONA, M. (ed.): New Technologies and EU Law. Oxford: Oxford University Press, 2017, s. 123.
( 56 ) V súvislosti s týmto výrazom pozri dokument Rady „Diskusia o smerovaní v súvislosti s mechanizmom jednotného kontaktného miesta“, 10139/14 z 26. mája 2014, s. 4.
( 57 ) Pozri napríklad rozsudok z 9. marca 2010, Komisia/Nemecko (C‑518/07, EU:C:2010:125, bod 24). Pozri nedávny rozsudok zo 6. októbra 2015, Schrems (C‑362/14, EU:C:2015:650, bod 42).
( 58 ) Pozri bod 4 vyššie.
( 59 ) Kurzívou zvýraznil generálny advokát.
( 60 ) V tomto kontexte chcem len doplniť, že dozorný orgán, ktorý dostane sťažnosť, bez ohľadu na to, či je v postavení VDO alebo DDO, má nielen povinnosť túto sťažnosť s náležitou starostlivosťou preskúmať (pozri bod 69 vyššie), ale „so všetkou náležitou starostlivosťou je povinný splniť svoju úlohu spočívajúcu v zabezpečení plného dodržiavania nariadenia GDPR“ (pozri v tomto zmysle rozsudok zo 16. júla 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559, bod 112) (kurzívou zvýraznil generálny advokát).
( 61 ) Kurzívou zvýraznil generálny advokát.
( 62 ) Kurzívou zvýraznil generálny advokát.
( 63 ) Pozri TOSONI, L.: Comment to Article 60 of GDPR. In: KUNER, C., BYGRAVE, L., DOCKSEY, C. (eds.): The EU General Data Protection Regulation (GDPR) – A Commentary. Oxford: Oxford University Press, 2020, s. 969.
( 64 ) Kurzívou zvýraznil generálny advokát.
( 65 ) Ako vyplýva z odôvodnenia 138 nariadenia GDPR, závisí to od typu dotknutého opatrenia. Z realistického pohľadu by však bolo dosť prekvapujúce, ak by sa VDO rozhodol ignorovať rozhodnutie výboru, aj ak by nebolo formálne záväzné v zmysle nariadenia GDPR (najmä preto, že čo v prvom kole nemusí byť záväzné, môže byť záväzné v ďalšom kole).
( 66 ) Pozri v podobnom zmysle a podrobnejšie van EECKE, P., ŠIMKUS, A.: Comment to Article 64. In: KUNER, C., BYGRAVE, L., DOCKSEY, C. (eds.): The EU General Data Protection Regulation (GDPR) – A Commentary. Oxford: Oxford University Press, 2020, s. 1011.
( 67 ) Pozri body 106 a 107 vyššie.
( 68 ) Pozri body 35 až 38 vyššie.
( 69 ) Pozri tiež dokument pracovnej skupiny zriadenej podľa článku 29, Usmernenia zamerané na určenie vedúceho dozorného orgánu prevádzkovateľa alebo sprostredkovateľa, WP 244 rev.01, z 5. apríla 2017, s. 10.
( 70 ) Navyše netvrdím, že príklady uvedené vyššie tvoria taxatívny zoznam. Nemohla by nastať ďalšia situácia, v ktorej by sa na základe konečného rozhodnutia v danom prípade cezhraničného spracúvania – či už by išlo o rozhodnutie na základe dohody medzi VDO a DDO alebo o rozhodnutie prijaté po vyriešení sporu výborom, – poveril jeden alebo viaceré DDO, aby na svojich územiach uskutočnili isté úkony vedúce k presadzovaniu nariadenia, ako je napríklad podanie návrhu na začatie konania?
( 71 ) Uvedené v bodoch 31 až 38 vyššie.
( 72 ) Pozri body 32 až 33 vyššie.
( 73 ) A tak by to malo byť vo všeobecnosti aj v prípade akéhokoľvek spracúvania, a tiež v prípade definície (spoločného) prevádzkovateľa takého spracúvania. Účinná kontrola účelov a prostriedkov spracúvania sa má posúdiť podľa dotknutej spracovateľskej operácie, a nie abstraktne a staticky v súvislosti s nedefinovaným „spracúvaním“ – pozri rozsudok z 29. júla 2019, Fashion ID (C‑40/17, EU:C:2019:629, body 71 až 74).
( 74 ) Pozri body 111 a 112 vyššie.
( 75 ) Pozri body 45 a 84 vyššie.
( 76 ) Nepriamo sa tým vracia pôvodný problém spočívajúci v otázke, za čo presne bude takáto prevádzkareň v takom členskom štáte stíhaná potom, ako sa nariadenie GDPR začalo uplatňovať, ako to vyplýva z bodov 32 až 34 vyššie.
( 77 ) Rozsudok z 5. júna 2018 (C‑210/16, EU:C:2018:388).
( 78 ) Porovnaj najmä nový článok 3 ods. 1 so skorším článkom 4 ods. 1 písm. a) a nový článok 58 ods. 6 so skorším článkom 28 ods. 3 treťou zarážkou.
( 79 ) Ako však bolo uvedené v poznámke pod čiarou 70, je tiež možné, že koordinované prijímanie rozhodnutí môže mať za následok koordinované opatrenia na presadzovanie nariadenia.
( 80 ) Pozri analogicky rozsudok zo 14. februára 2012, Toshiba Corporation a i. (C‑17/10, EU:C:2012:72, najmä bod 60).
( 81 ) Pozri v súvislosti s podrobnejším rozborom obsahujúcim aj príklady moje návrhy vo veci Nemec (C‑256/15, EU:C:2016:619, body 27 až 44).
( 82 ) Pozri aj bod 34 vyššie.
( 83 ) Podrobnejšie pozri moje návrhy vo veci Klohn (C‑167/17, EU:C:2018:387, body 36 až 46).
( 84 ) Pričom samozrejme priama uplatniteľnosť neznamená to isté čo priamy účinok a rovnaké podmienky priameho účinku platia aj v súvislosti s ustanoveniami nariadení, ktoré predpokladajú alebo vyžadujú implementáciu – pozri napríklad rozsudky z 11. januára 2001, Monte Arcosu (C‑403/98, EU:C:2001:6, body 26 až 28); z 28. októbra 2010, SGS Belgium a i. (C‑367/09, EU:C:2010:648, bod 33 a nasl.); alebo zo 14. apríla 2011, Vlaamse Dierenartsenvereniging a Janssens (C‑42/10, C‑45/10 a C‑57/10, EU:C:2011:253, body 48 až 50).