NÁVRHY GENERÁLNEHO ADVOKÁTA

MACIEJ SZPUNAR

prednesené 11. mája 2023 ( 1 )

Vec C‑33/22

Österreichische Datenschutzbehörde,

za účasti:

WK,

Präsident des Nationalrates

[návrh na začatie prejudiciálneho konania, ktorý podal Verwaltungsgerichtshof (Najvyšší správny súd, Rakúsko)]

„Návrh na začatie prejudiciálneho konania – Ochrana osobných údajov – Článok 16 ods. 2 ZFEÚ – Činnosti, ktoré patria do pôsobnosti práva Únie – Všeobecné nariadenie o ochrane osobných údajov – Činnosti týkajúce sa národnej bezpečnosti – Parlamentný vyšetrovací výbor členského štátu – Kontrola činnosti policajného orgánu – Príslušnosť dozorného orgánu na ochranu údajov – Článok 55 ods. 1 – Článok 77 ods. 1 – Priamy účinok“

Úvod

1.

Spadajú činnosti parlamentného vyšetrovacieho výboru členského štátu do oblasti pôsobnosti nariadenia (EÚ) 2016/679 ( 2 ), vrátane prípadov ak sa vyšetrovanie vzťahuje na otázky týkajúce sa ochrany národnej bezpečnosti? V prípade kladnej odpovede, je možné priamo uplatniť ustanovenia GDPR týkajúce sa práva podať sťažnosť vnútroštátnemu dozornému orgánu napriek ústavnej zásade, ktorá bráni vonkajším zásahom do činnosti parlamentu? Toto sú v podstate otázky, ktoré v prejednávanej veci položil Verwaltungsgerichtshof (Najvyšší správny súd, Rakúsko).

2.

V súlade s judikatúrou Súdneho dvora na ne navrhujem odpovedať kladne. Podľa môjho názoru by takéto riešenie zodpovedalo nielen zámerom normotvorcu Únie – ktorý povýšil GDPR na skutočné lex generalis v oblasti ochrany osobných údajov –, ale aj dôvodom, na ktorých sú založené ustanovenia článku 16 ZFEÚ, ktorého pôsobnosť sa vzťahuje na kontrolné činnosti členských štátov, o aké ide vo veci samej.

3.

V prejednávanej veci bol príslušník kriminálnej polície WK (ďalej len „zúčastnená osoba“) vypočutý vyšetrovacím výborom rakúskeho parlamentu v súvislosti s prehliadkami vykonanými okrem iného v priestoroch Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Spolkový úrad na ochranu ústavy a boj proti terorizmu, Rakúsko, ďalej len „BVT). Zápisnica z vypočutia bola následne uverejnená na internetovej stránke rakúskeho parlamentu s uvedením celého mena a priezviska zúčastnenej osoby z dôvodu, že tlač už zverejnila jej totožnosť.

4.

Keďže sa zúčastnená osoba domnievala, že bolo porušené jej právo na dôvernosť osobných údajov, podala na Österreichische Datenschutzbehörde (Úrad na ochranu osobných údajov, Rakúsko, ďalej len „Datenschutzbehörde“) sťažnosť podľa článku 77 ods. 1 GDPR, ktorá však nebola preskúmaná vo veci samej. Vzhľadom na zásadu deľby moci zakotvenú v rakúskom práve Datenschutzbehörde odmietol svoju príslušnosť, keďže zastával názor, že jeho kontrolné právomoci v prejednávanej veci sú v rozpore s ústavnou nezávislosťou orgánov rakúskeho Parlamentu.

5.

Za týchto okolností zúčastnená osoba podala žalobu, pričom rozhodnutie o nej závisí od odpovedí na prejudiciálne otázky položené Súdnemu dvoru. Tieto otázky sa v podstate týkajú vecnej pôsobnosti a priameho účinku relevantných ustanovení GDPR, ktoré sú uvedené nižšie.

Právny rámec

Právo Únie

6.

Odôvodnenia 16, 20 a 117 nariadenia GDPR stanovujú:

„(16)

Toto nariadenie sa nevzťahuje na otázky ochrany základných práv a slobôd ani na voľný tok osobných údajov týkajúcich sa činností, ktoré nepatria do pôsobnosti práva Únie, ako sú činnosti týkajúce sa národnej bezpečnosti. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov členskými štátmi pri vykonávaní činností v súvislosti so spoločnou zahraničnou a bezpečnostnou politikou Únie.

(20)

Hoci sa toto nariadenie okrem iného vzťahuje aj na činnosti súdov a iných justičných orgánov, mohli by sa v práve Únie alebo v práve členského štátu spresniť spracovateľské operácie a spracovateľské postupy týkajúce sa spracúvania osobných údajov zo strany súdov a iných justičných orgánov. Právomoc dozorných orgánov by sa nemala vzťahovať na spracúvanie osobných údajov súdmi pri výkone ich súdnej právomoci, aby sa zaručila nezávislosť súdnictva pri výkone jeho justičných úloh vrátane prijímania rozhodnutí. …

(117)

Zriadenie dozorných orgánov v členských štátoch oprávnených plniť svoje úlohy a vykonávať svoje právomoci úplne nezávisle je zásadným prvkom ochrany fyzických osôb pri spracúvaní ich osobných údajov. Členské štáty by mali mať možnosť zriadiť viac ako jeden dozorný orgán, aby zohľadnili svoju ústavnú, organizačnú a správnu štruktúru.“

7.

Článok 2 GDPR s názvom „Vecná pôsobnosť“, stanovuje:

„1.   Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

2.   Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:

a)

v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;

b)

členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V ZEÚ;

c)

fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti;

d)

príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.

…“

8.

Článok 23 ods. 1 GDPR s názvom „Obmedzenia“ stanovuje:

„V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:

a)

národnú bezpečnosť;

h)

monitorovaciu, kontrolnú alebo regulačnú funkciu spojenú, hoci aj príležitostne, s výkonom verejnej moci v prípadoch uvedených v písmenách a) až e) a g);

…“

9.

Článok 51 ods. 1 GDPR s názvom „Dozorný orgán“ znie takto:

„Každý členský štát stanoví, že za monitorovanie uplatňovania tohto nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie (ďalej len ‚dozorný orgán‘).“

10.

Článok 55 GDPR s názvom „Príslušnosť“ znie:

„1.   Každý dozorný orgán je príslušný plniť úlohy, ktoré mu boli uložené, a vykonávať právomoci, ktoré mu boli zverené, v súlade s týmto nariadením na území vlastného členského štátu.

3.   Dozorné orgány nie sú príslušné pre vykonávanie dozoru nad spracovateľskými operáciami na súdoch pri výkone ich súdnej právomoci.“

11.

Článok 77 ods. 1 GDPR s názvom „Právo podať sťažnosť dozornému orgánu“ stanovuje:

„Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu,… ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.“

Rakúske právo

12.

Článok 53 Bundes‑ Verfassungsgesetz (Spolkový ústavný zákon) z 2. januára 1930 (BGBl. 1/1930) v znení z 30. decembra 2021 (BGBl. I 235/2021), stanovuje:

„1. Nationalrat [Národná rada, Rakúsko] môže rozhodnúť o zriadení vyšetrovacích výborov. Okrem toho sa na žiadosť jednej štvrtiny jej členov zriadi vyšetrovací výbor.

2. Vyšetrovanie sa týka predchádzajúcej činnosti v oblasti výkonnej moci na spolkovej úrovni. Patria sem aj všetky činnosti spolkových orgánov, prostredníctvom ktorých Bund bez ohľadu na rozsah svojej účasti vykonáva práva účasti a dohľadu. Preskúmanie judikatúry je vylúčené.

3. Všetky orgány Bund, Länder, obcí a združení obcí, ako aj iných samosprávnych orgánov sú povinné na požiadanie vyšetrovacej komisii predložiť svoje spisy a dokumenty v rozsahu, v akom sa týkajú predmetu vyšetrovania, a sú povinné vyhovieť požiadavkám vyšetrovacej komisie na zhromaždenie dôkazov týkajúcich sa predmetu vyšetrovania. …

…“

13.

Podľa § 18 ods. 1 Datenschutzgesetz (zákon o ochrane osobných údajov) zo 17. augusta 1999 (BGBl. I 165/1999) v znení z 26. júla 2021 (BGBl. I 148/2021, (ďalej len „DSG“) s názvom „Organizácia“:

„Datenschutzbehörde je zriadený ako vnútroštátny dozorný orgán podľa článku 51 [GDPR].“

14.

Ustanovenie § 24 DSG s názvom „Sťažnosť podaná na Datenschutzbehörde“ znie takto:

„1. Každá zúčastnená osoba má právo podať sťažnosť na Datenschutzbehörde, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, predstavuje porušenie GDPR…“

15.

Ustanovenie § 35 DSG s názvom „Osobitné právomoci dozorného orgánu na ochranu údajov“ v odseku 1 stanovuje:

„Úlohou Datenschutzbehörde je zabezpečiť ochranu údajov v súlade s ustanoveniami GDPR a tohto spolkového zákona.“

Skutkové okolnosti sporu vo veci samej, konanie vo veci samej a prejudiciálne otázky

Okolnosti predchádzajúce sporu

16.

Dňa 20. apríla 2018 dolná komora rakúskeho Parlamentu zriadila vyšetrovací výbor na preskúmanie údajného ovplyvňovania BVT s cieľom zneužiť jeho činnosť. Tvrdenia poslancov, ktorí podali žiadosť o vyšetrovanie, sa týkali najmä prípadov zneužitia právomoci pripisovaného zamestnancom BVT, nepotvrdených informácií týkajúcich sa odpočúvania v kanceláriách úradu spolkového kancelára, údajného ovplyvňovania vyšetrovaní zameraných na určité extrémistické hnutia, ako aj politicky motivovaných nominácií v rámci BVT a ministerských kabinetov.

17.

Dňa 19. septembra 2018 vyšetrovací výbor vypočul zúčastnenú osobu ako svedka. Bola vypočutá ako príslušník spolkovej polície na boj proti pouličnej kriminalite v súvislosti s prehliadkami a zaistením údajov vykonanými jeho oddelením v kanceláriách BVT a v domácnostiach jeho zamestnancov.

18.

Napriek postupu, ktorý bol prijatý vo vzťahu k niektorým iným svedkom, a napriek žiadosti zúčastnenej osoby o anonymizáciu, vyšetrovací výbor odhalil jej totožnosť tým, že uverejnil úplné znenie zápisnice z výsluchu na svojej internetovej stránke.

Konanie vo veci samej

19.

Sťažnosť, ktorú zúčastnená osoba podala na Datenschutzbehörde podľa článku 77 ods. 1 GDPR, bola zamietnutá z dôvodu nepríslušnosti. Tento orgán vo svojom rozhodnutí z 18. septembra 2019 uviedol, že zásada deľby moci bráni tomu, aby zasahoval do činnosti orgánu Parlamentu.

20.

Odvolaniu, ktoré podala zúčastnená osoba proti rozhodnutiu z 18. septembra 2019, Bundesverwaltungsgericht (Spolkový správny súd, Rakúsko) rozsudkom z 23. novembra 2020 vyhovel. Tento súd zrušil rozhodnutie Datenschutzbehörde z dôvodu, že ustanovenia GDPR nestanovujú výnimky, ktoré by mohli obmedziť jeho pôsobnosť vo vzťahu k orgánom zákonodarnej moci.

21.

Datenschutzbehörde podal proti tomuto rozsudku opravný prostriedok „Revision“ na Verwaltungsgerichtshof (Najvyšší správny súd), ktorý sa pýta, či sú vo veci samej uplatniteľné ustanovenia GDPR.

Prejudiciálne otázky

22.

Po prvé – a bez ohľadu na predmet vyšetrovania vo veci samej – sa vnútroštátny súd pýta, či činnosť parlamentného vyšetrovacieho výboru „[patrí] do rozsahu pôsobnosti práva Únie“ v zmysle článku 16 ods. 2 ZFEÚ. Toto ustanovenie určuje právomoc Európskeho parlamentu a Rady prijímať pravidlá týkajúce sa spracúvania osobných údajov členskými štátmi.

23.

Keďže právomoci Únie zostávajú obmedzené zásadou prenesenia právomocí, vnútroštátny súd sa v tejto súvislosti pýta, či je GDPR uplatniteľné na činnosti parlamentného orgánu povereného politickou kontrolou, ktoré podľa neho nie sú upravené žiadnym osobitným ustanovením práva Únie.

24.

V záujme zachovania národnej identity a základných funkcií členských štátov v súlade s článkom 4 ods. 2 ZEÚ vnútroštátny súd okrem toho poukazuje na to, že zasahovanie správneho orgánu, akým je Datenschutzbehörde do činnosti Parlamentu, je v rozpore so zásadou deľby moci zakotvenou v rakúskej Ústave.

25.

Vzhľadom na rozsudok vo veci Land Hessen ( 3 ), v ktorom Súdny dvor potvrdil, že ustanovenia GDPR sa vzťahujú na činnosť petičného výboru hesenského krajinského snemu, sa vnútroštátny súd napokon pýta, či by sa úlohy petičného výboru, ktorého prínos pre parlamentnú činnosť je len nepriamy, nemali odlišovať od úloh vyšetrovacích výborov. Podľa jeho názoru je táto činnosť podstatou činnosti parlamentu a preto by mohla byť vyňatá z pôsobnosti práva Únie.

26.

Po druhé, ak by Súdny dvor dospel k záveru, že ustanovenia GDPR majú upravovať činnosť vyšetrovacích výborov, vnútroštátny súd sa pýta, či by výbor, o ktorý ide vo veci samej, nemal byť vyňatý z tejto povinnosti, keďže predmet jeho činnosti súvisí s otázkami národnej bezpečnosti.

27.

V tejto súvislosti vnútroštátny súd pripomína, že podľa odôvodnenia 16 GDPR sa toto nariadenie nevzťahuje na „činnosti týkajúce sa národnej bezpečnosti“. Podľa uvedeného súdu by mohlo ísť o prípad vyšetrovania politického nátlaku na BVT, ktorý je spolkovým orgánom zodpovedným za zabezpečovanie základných funkcií štátu.

28.

Po tretie v prípade, že Súdny dvor dospeje k záveru, že ustanovenia GDPR sú napriek tomu uplatniteľné v prejednávanej veci, vnútroštátny súd sa pýta na priamu uplatniteľnosť tohto nariadenia.

29.

V prípade neexistencie primeranej výnimky ústavnej povahy je príslušnosť Datenschutzbehörde naďalej obmedzená zásadou deľby moci, ktorá je hlavnou zásadou rakúskeho práva. Vnútroštátny súd sa preto pýta, či by príslušnosť tohto orgánu vo vzťahu k orgánom rakúskeho Parlamentu mohla vyplývať priamo z ustanovení článku 77 ods. 1 v spojení s článkom 55 ods. 1 GDPR, hoci vnútroštátny zákonodarca ustanovil podľa článku 51 ods. 1 tohto nariadenia iba jeden dozorný orgán.

30.

Za týchto okolností Verwaltungsgerichtshof (Najvyšší správny súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru nasledujúce prejudiciálne otázky:

„1.

Spadajú činnosti vyšetrovacieho výboru zriadeného parlamentom členského štátu pri výkone jeho práva na kontrolu výkonnej moci bez ohľadu na predmet vyšetrovania do oblasti pôsobnosti práva Únie v zmysle článku 16 ods. 2 prvej vety ZFEÚ, takže [GDPR] je uplatniteľné na spracúvanie osobných údajov parlamentným vyšetrovacím výborom členského štátu?

V prípade kladnej odpovede na prvú otázku:

2.

Spadajú činnosti vyšetrovacieho výboru zriadeného parlamentom členského štátu pri výkone jeho práva na kontrolu výkonnej moci, predmetom ktorého je vyšetrovanie činnosti policajného orgánu ochrany štátu, a tým činnosti týkajúcej sa ochrany národnej bezpečnosti v zmysle odôvodnenia 16 [GDPR], pod výnimku uvedenú v článku 2 ods. 2 písm. a) GDPR?

V prípade zápornej odpovede na druhú otázku:

3.

Ak – ako v tomto prípade – členský štát zriadil len jediný dozorný orgán podľa článku 51 ods. 1 GDPR, vyplýva jeho príslušnosť na prejednávanie sťažností v zmysle článku 77 ods. 1 v spojení s článkom 55 ods. 1 GDPR už priamo [z tohto nariadenia]?“

31.

Písomné pripomienky predložili zúčastnená osoba, Präsident des Nationalrates (predseda Národnej rady, Rakúsko), Datenschutzbehörde, rakúska a česká vláda, ako aj Európska komisia. Tí istí účastníci konania sa zúčastnili na pojednávaní, ktoré sa konalo 6. marca 2023.

Posúdenie

O prvej prejudiciálnej otázke

32.

Svojou prvou otázkou sa vnútroštátny súd pýta, či činnosť vyšetrovacieho výboru zriadeného parlamentom členského štátu v rámci výkonu jeho práva kontroly výkonnej moci patrí do oblasti pôsobnosti práva Únie v zmysle článku 16 ods. 2 prvej vety ZFEÚ.

33.

Odpoveď na túto otázku závisí na jednej strane od výkladu pojmu „činnosti, ktoré patria do rozsahu pôsobnosti práva Únie“, uvedeného v článku 16 ods. 2 prvej vete ZFEÚ. Tento pojem, formulovaný negatívne, sa nachádza aj v článku 2 ods. 2 písm. a) GDPR, ktorý vylučuje z pôsobnosti tohto nariadenia „činnost[i], ktoré nepatria do pôsobnosti práva Únie“. V týchto dvoch ustanoveniach je vymedzená právomoc orgánov Únie prijímať pravidlá ochrany osobných údajov a vecná pôsobnosť GDPR.

34.

Na druhej strane odpoveď na prvú prejudiciálnu otázku závisí od spôsobu, akým treba klasifikovať činnosť parlamentných vyšetrovacích výborov z hľadiska vyššie uvedených ustanovení ZFEÚ a GDPR.

O pojme „činnosti, ktoré patria do pôsobnosti práva Únie“

35.

Ako som sa snažil preukázať v inej veci, ( 4 ) tento pojem nie je jednoznačný, pretože umožňuje dva rôzne výklady. Vzhľadom na rozpory, ktoré vyvoláva jeho výklad v prejednávanej veci, a to napriek ustálenej judikatúre Súdneho dvora, ( 5 ) považujem za potrebné vyčerpávajúcim spôsobom uviesť dôvody, ktoré viedli k vývoju judikatúry v tejto oblasti.

– Konkretizujúci výklad

36.

Prvý z možných výkladov „pôsobnosti práva Únie“ možno považovať za konkretizujúci v tom zmysle, že vedie k otázke, či sa na danú činnosť vzťahuje konkrétne ustanovenie práva Únie.

37.

Tento výklad v podstate zodpovedá pojmu „vykonávanie práva Únie“, ktorý vymedzuje oblasť pôsobnosti Charty základných práv Európskej únie (ďalej len „Charta“). V inom kontexte, ako je ochrana osobných údajov, je tento pojem v judikatúre Súdneho dvora chápaný ako „oblasť pôsobnosti práva Únie“ ( 6 ).

38.

Vnútroštátny súd sa vo svojom návrhu na začatie prejudiciálneho konania opiera práve o tento výklad, keď uvádza, že činnosti parlamentných vyšetrovacích výborov sa naďalej riadia výlučne vnútroštátnym právom, čo ho vedie k pochybnostiam o tom, či sa má nariadenie GDPR uplatniť vo veci samej.

39.

O tento výklad sa opieral aj generálny advokát Tizzano vo svojich návrhoch v spojených veciach Österreichischer Rundfunk a i. ( 7 ) a vo veci Lindqvist ( 8 ) na základe smernice 95/46/ES ( 9 ), ktoré Súdny dvor neprevzal.

40.

Treba pripomenúť, že smernica 95/46 bola prijatá na základe bývalého článku 100a Zmluvy o ES, neskôr článok 95 ES, teraz článok 114 ZFEÚ, ako súčasť opatrení na vytvorenie a fungovanie vnútorného trhu. Táto smernica, ktorej cieľom bolo zabezpečiť voľný pohyb a rovnocenný stupeň ochrany osobných údajov v rámci Únie, sa podľa jej článku 3 ods. 2 nevzťahovala na činnosti, ktoré „sú mimo rozsahu zákona spoločenstva, ako sú tie, ktoré sú uvedené v hlave V a VI Zmluvy o Európskej únii a v žiadnom prípade sa neuplatňujú na operácie spracovania týkajúce sa verejnej bezpečnosti, obrany, bezpečnosti štátu… a činností štátu v oblastiach trestného zákona“, ako aj na spracovanie údajov vykonávané „fyzickou osobou v priebehu osobnej činnosti, alebo činnosti týkajúcej sa domácnosti“.

41.

Vzhľadom na tieto ustanovenia generálny advokát Tizzano dospel k záveru, že smernicu 95/46 nemožno uplatniť v spojených veciach Österreichischer Rundfunk a i. ( 10 ). V súvislosti so spracovaním údajov o odmenách vyplácaných verejnoprávnymi subjektmi, ktoré mali byť zahrnuté do správy predkladanej parlamentu rakúskym Dvorom audítorov, sa domnieval, že Dvor audítorov v prejednávanej veci vykonával „činnosť verejnej kontroly, ktorú stanovili a regulovali rakúske orgány (dokonca prostredníctvom ústavného zákona) na základe ich autonómneho rozhodnutia politickej a inštitucionálnej povahy, a nie s cieľom splniť záväzok Spoločenstva. Keďže táto činnosť nie je predmetom žiadnej osobitnej právnej úpravy Spoločenstva, môže patriť len do právomoci členských štátov“ ( 11 ).

42.

Podľa rovnakého výkladu vo veci Lindqvist sa generálny advokát Tizzano domnieval, že internetová stránka vytvorená pani Lindqvistovou v rámci jej dobrovoľníckej činnosti katechétky spadá pod „činnosť nehospodárskej povahy, ktorá nesúvisí (alebo aspoň priamo nesúvisí) s výkonom základných slobôd zaručených Zmluvou a nie je predmetom žiadnej osobitnej právnej úpravy na úrovni Spoločenstva“ ( 12 ). Podľa generálneho advokáta preto táto činnosť nepatrila do pôsobnosti práva Spoločenstva v zmysle článku 3 ods. 2 smernice 95/46.

43.

Súdny dvor sa týmito závermi neriadil z dôvodov, ktoré môžu súvisieť so snahou o zachovanie právnej istoty a potrebou zabezpečiť užitočný účinok smernice 95/46.

44.

Vzhľadom na špecifickosť osobných údajov, ktorých pohyb a hospodárske využívanie uľahčuje ich digitalizácia, je totiž v praxi veľmi ťažké v jednotlivých prípadoch určiť, či spracúvanie týchto údajov súvisí s osobitnými ustanoveniami práva Únie alebo so slobodami upravujúcimi vnútorný trh, ako by si to vyžadoval konkretizujúci výklad.

45.

Na príklade prípadu, v ktorom bol vyhlásený rozsudok Lindqvist ( 13 ), by bolo v praxi ťažké určiť, či prevádzka internetovej stránky určenej pre obmedzený okruh členov cirkevného zboru predstavuje konkrétnu súvislosť s ustanoveniami smernice 95/46 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov na spoločnom trhu. Odpoveď na túto otázku by mohla závisieť najmä od fyzického umiestnenia serverov, na ktorých sa nachádza predmetná internetová stránka. ( 14 )

46.

Dodávam, že ťažkosti podobnej povahy by mohli vzniknúť, ak by v prejednávanej veci prevládol konkretizujúci výklad podľa nariadenia GDPR.

47.

Na ilustráciu možno uviesť, že by bolo ťažké presne určiť, do akej miery sa na činnosti niektorých prevádzkovateľov údajov – ako sú cirkvi alebo náboženské združenia, na ktoré sa toto nariadenie ( 15 ) výslovne vzťahuje, – naďalej účinne vzťahujú osobitné ustanovenia práva Únie. ( 16 ) Rovnaká otázka by mohla vzniknúť v prípade neziskových organizácií, ktoré nevykonávajú hospodársku činnosť. Viedlo by to k právnej neistote, pokiaľ ide o oblasť pôsobnosti GDPR.

48.

Vzhľadom na tieto ťažkosti Súdny dvor odmietol konkretizujúci výklad „oblasti pôsobnosti práva Spoločenstva“ podľa smernice 95/46. V rozsudkoch Österreichischer Rundfunk a i. ( 17 ) a Lindqvist ( 18 ) Súdny dvor rozhodol, že „keďže každý osobný údaj môže byť predmetom toku medzi členskými štátmi, smernica ukladá zásadu dodržiavania pravidiel ochrany takýchto údajov z hľadiska akéhokoľvek zaobchádzania s nimi tak, ako to uvádza jej článok 3. … Za týchto podmienok uplatniteľnosť smernice 95/46 nemôže závisieť od otázky, či mali konkrétne sporné situácie… postačujúce spojenie s výkonom základných slobôd zaručených Zmluvou…. Opačný výklad by totiž predstavoval riziko obzvlášť nejasného a neistého vymedzenia pôsobnosti uvedenej smernice, čo by bolo v rozpore s jej hlavným cieľom, ktorým je priblížiť zákonné, správne a iné normatívne ustanovenia členských štátov s cieľom odstrániť prekážky fungovania vnútorného trhu vyplývajúce práve z odlišností medzi jednotlivými vnútroštátnymi úpravami“ ( 19 ).

49.

V judikatúre Súdneho dvora teda prevládol „zovšeobecňujúci“ výklad smernice 95/46.

– Zovšeobecňujúci výklad

50.

Tento výklad vedie k tomu, že sa do oblasti pôsobnosti práva Únie zahrnú všetky činnosti, na ktoré sa toto právo môže vzťahovať v tom zmysle, že neboli vyňaté z dôvodu výlučných právomocí členských štátov.

51.

Podľa smernice 95/46 viedol tento výklad Súdny dvor k reštriktívnemu výkladu výnimky vzťahujúcej sa na činnosti, ktoré nepatria do pôsobnosti práva Spoločenstva. Vo veci Lindqvist Súdny dvor rozhodol, že „činnosti, ktoré sú demonštratívne vymenované v článku 3 ods. 2 prvej zarážke smernice 95/46, sú určené na definovanie oblasti pôsobnosti výnimky stanovenej v tomto ustanovení, aby sa táto výnimka uplatňovala iba na činnosti, ktoré sú tam výslovne vymenované alebo ktoré môžu byť zaradené do rovnakej kategórie (ejusdem generis)“ ( 20 ).

52.

Pred nadobudnutím platnosti Lisabonskej zmluvy činnosti, na ktoré sa vzťahuje táto výnimka – týkajúce sa verejnej bezpečnosti, obrany, bezpečnosti štátu, trestných vecí, ako aj činností uvedených v hlavách V a VI Zmluvy o Európskej únii – patrili do druhého a tretieho piliera Únie, a preto podliehali medzivládnej spolupráci. Tieto činnosti preto nemohli byť regulované na úrovni Spoločenstva vzhľadom na rozdelenie právomocí medzi Úniou a členskými štátmi, ako bolo v tom čase stanovené v Zmluvách.

53.

V tomto kontexte je potrebné vykladať vyňatie „činností, ktoré nepatria do pôsobnosti práva Spoločenstva“, obsiahnuté v článku 3 ods. 2 prvej zarážke smernice 95/46. Pôsobnosť GDPR však bola vymedzená obdobne.

54.

Podľa článku 2 ods. 2 písm. a) až d) sa GDPR nevzťahuje na spracúvanie osobných údajov: „a) v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie; b) členskými štátmi pri vykonávaní činností patriacich do oblasti pôsobnosti kapitoly 2 hlavy V ZEÚ; c) fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti; d) príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania“. Na tento druhý typ spracúvania sa vzťahujú ustanovenia smernice (EÚ) 2016/680. ( 21 )

55.

Vzhľadom na odôvodnenie 16 GDPR sú činnosťami, ktoré nepatria do pôsobnosti práva Únie, najmä činnosti týkajúce sa národnej bezpečnosti.

56.

Na základe týchto ustanovení Súdny dvor v rozsudku Land Hessen rozhodol, že výnimka stanovená v článku 2 ods. 2 písm. a) nariadenia GDPR, ktorá sa vzťahuje na „činnosti, ktoré nepatria do pôsobnosti práva Únie“, sa má vykladať reštriktívne, takže „skutočnosť, že ide o činnosť štátu alebo orgánu verejnej moci, však nestačí na to, aby sa táto výnimka automaticky vzťahovala na takúto činnosť. Je totiž nevyhnutné, aby táto činnosť patrila medzi činnosti výslovne vymenované v tomto ustanovení alebo aby mohla byť zaradená do rovnakej kategórie ako tieto činnosti“ ( 22 ).

57.

Žiadne z tvrdení uvedených v prejednávanej veci podľa môjho názoru nemôže spochybniť tento výklad.

58.

Nesúhlasím najmä s tvrdeniami založenými na zásade prenesenia právomocí, ktoré uviedli najmä vnútroštátny súd a Präsident des Nationalrates (predseda Národnej rady, Rakúsko).

59.

V súlade so zásadou prenesenia právomocí uvedenou v článku 5 ods. 2 ZEÚ ( 23 ) má Únia len právomoci, ktoré na ňu členské štáty preniesli v Zmluvách.

60.

Z čisto lexikálneho hľadiska je pojem „činnosti, ktoré patria do pôsobnosti práva Únie“ v tejto súvislosti nejednoznačný. Na prvý pohľad sa zovšeobecňujúci výklad tohto pojmu v judikatúre Súdneho dvora môže zdať pochybný, keďže vedie k tomu, že ustanovenia GDPR sa vzťahujú na všetky činnosti, ktoré neboli z pôsobnosti tohto nariadenia vyňaté, čo sa zdá byť v rozpore s vyššie pripomenutou zásadou.

61.

Podľa ustálenej judikatúry je však pri výklade ustanovenia práva Únie potrebné zohľadniť nielen jeho znenie a ciele, ktoré sleduje, ale aj jeho kontext, ako aj všetky ustanovenia práva Únie. Aj história vzniku ustanovení práva Únie môže obsahovať relevantné informácie pre jeho výklad. ( 24 )

62.

Odhliadnuc od doslovného výkladu, ktorý sa mi zdá málo presvedčivý vzhľadom na nejednoznačné znenie „oblasti pôsobnosti práva Únie“, kontextuálna ( 25 ) a teleologická analýza jasne svedčí v prospech zovšeobecňujúceho výkladu článku 16 ods. 2 ZFEÚ, takže oblasť pôsobnosti tohto ustanovenia presahuje oblasť „vykonávania práva Únie“ v zmysle článku 51 ods. 1 Charty.

63.

V prvom rade je tento záver nevyhnutný vzhľadom na systematiku ZFEÚ a osobitné miesto článku 16 ods. 2 v štruktúre tejto Zmluvy.

64.

Predmetný článok sa nachádza v hlave II prvej časti ZFEÚ, ktorá obsahuje „všeobecne uplatniteľné ustanovenia“. Z toho vyplýva, že právo fyzických osôb na ochranu osobných údajov zakotvené v tomto ustanovení má mimoriadny význam vo vzťahu k ostatným základným právam, ktoré boli umiestnené v Charte pripojenej k Zmluve.

65.

Konkrétne privilegované umiestnenie článku 16 ZFEÚ v štruktúre Zmluvy vyvoláva dojem, že „oblasť pôsobnosti“ uvedená v tomto ustanovení sa neobmedzuje len na situácie, keď členské štáty „vykonávajú právo Únie“ v zmysle článku 51 ods. 1 Charty, čo by zodpovedalo konkretizujúcemu výkladu uvedenému vyššie.

66.

V tejto súvislosti musím zdôrazniť rozdiel v povahe ustanovení článku 16 ods. 2 ZFEÚ a ustanovení Charty.

67.

Podľa článku 51 ods. 2 Charta „nezakladá žiadnu novú právomoc ani úlohu pre Úniu, ani nemení právomoci a úlohy vymedzené v zmluvách“. Jej ustanovenia sú určené členským štátom v rozsahu, v akom vykonávajú právo Únie v oblastiach, ktoré už patria do pôsobnosti tohto práva.

68.

Inak je to v prípade článku 16 ods. 2 ZFEÚ, ktorého ustanovenia zakladajú a prenášajú na Úniu legislatívnu právomoc v oblasti ochrany a voľného pohybu osobných údajov a na tento účel vymedzujú osobitnú oblasť pôsobnosti, ktorá vychádza z ustanovení smernice 95/46, ako to vyplýva z genézy tohto ustanovenia.

69.

V druhom rade je totiž z prípravných prác na Lisabonskej zmluve zrejmé, že autori Zmluvy o FEÚ mali v úmysle potvrdiť pôsobnosť pravidiel týkajúcich sa ochrany osobných údajov, ako boli vymedzené v smernici 95/46.

70.

V tejto súvislosti treba pripomenúť, že znenie článku 16 ZFEÚ vychádza priamo z návrhu Zmluvy zakladajúcej Ústavu pre Európu, ktorej článok 36a ods. 2 (teraz článok 50 ods. 2 v konečnom znení návrhu z 18. júla 2003 ( 26 )) stanovoval právomoc Parlamentu a Rady prijať „pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov inštitúciami a orgánmi Únie, ako aj členskými štátmi pri výkone činností, ktoré patria do oblasti pôsobnosti práva Únie, a pravidlá týkajúce sa voľného pohybu takýchto údajov“ ( 27 ) [neoficiálny preklad].

71.

V súlade s vysvetleniami, ktoré poskytli jeho autori, „cieľom návrhu článku 36a je vytvoriť jednotný právny základ na ochranu osobných údajov, a to tak na ochranu týchto údajov zo strany inštitúcií, ako aj zo strany členských štátov, ak konajú v oblasti, ktorá patrí do oblasti pôsobnosti práva Únie. Text vychádza zo súčasnej úpravy Spoločenstva, ktorá vyplýva zo [smernice 95/46] (založenej na článku 95 ES), pokiaľ ide o činnosť členských štátov“ ( 28 ) [neoficiálny preklad].

72.

Z toho jednoznačne vyplýva, že ak by sa mal pojem „pôsobnosť práva Únie“ uvedený v článku 2 ods. 2 písm. a) GDPR vykladať tak, že obmedzuje uplatňovanie tohto nariadenia v porovnaní s uplatňovaním smernice 95/46, odporovalo by to vôli členských štátov vyjadrenej v ZFEÚ.

73.

V treťom rade treba zohľadniť teleologické hľadisko súvisiace s dynamikou a osobitnými cieľmi ochrany osobných údajov, ktorých súčasťou je prijatie GDPR.

74.

Z tohto hľadiska niet pochýb o tom, že normotvorca Únie sa snažil posilniť túto ochranu a zjednotiť oblasť pôsobnosti príslušných pravidiel. Svedčí o tom zámerné nahradenie smernice 95/46 prísnejším právnym predpisom a výslovne znenie odôvodnení 9, 11 a 13 GDPR.

75.

Ciele sledované týmto opatrením vyplývajú z osobitej povahy fenoménu spracúvania osobných údajov, ktorý presahuje rámec činností, pri ktorých možno tieto údaje zhromažďovať.

76.

Okrem toho tieto činnosti nemusia byť nevyhnutne hospodárskymi činnosťami, ktoré by už podliehali právnym predpisom Únie upravujúcim vnútorný trh, čo neznižuje trhovú hodnotu zhromaždených údajov a neodstraňuje riziká spojené s ich spracovaním.

77.

Otázka osobných údajov je v tomto ohľade prierezová, takže pravidlá ich ochrany nemožno obmedziť na oblasť pôsobnosti už existujúcich kategórií práva Únie.

78.

Inými slovami, ak „rozsah pôsobnosti práva Únie“ uvedený v článku 16 ods. 2 ZFEÚ presahuje prípady „vykonávania práva Únie“ v zmysle článku 51 ods. 1 Charty, je to z dôvodu autonómnej povahy problémov súvisiacich so spracovaním osobných údajov, ktoré si vyžiadali osobitný legislatívny zásah, ktorého rozsah presahuje súhrn už existujúcich ustanovení práva Únie. Z tohto hľadiska široká oblasť pôsobnosti GDPR odráža snahu reagovať na výzvy v oblasti ochrany osobných údajov prijatím mechanizmu vytvoreného „na mieru“.

79.

Vzhľadom na zbližovanie záverov vyplývajúcich z kontextuálnej a teleologickej analýzy článku 16 ods. 2 ZFEÚ navrhujem, aby Súdny dvor potvrdil svoju skoršiu judikatúru ( 29 ) tým, že použije reštriktívny výklad výnimky týkajúcej sa „činností, ktoré nepatria do pôsobnosti práva Únie“, obsiahnutej v článku 2 ods. 2 písm. a) GDPR.

80.

Vzhľadom na tento výklad navrhujem, aby Súdny dvor posúdil vhodnosť uplatniteľnosti tohto nariadenia na činnosti parlamentného vyšetrovacieho výboru, o ktoré ide vo veci samej.

O uplatnení GDPR na činnosť parlamentného vyšetrovacieho výboru

81.

Domnievam sa, že treba uviesť úvodnú poznámku, pokiaľ ide o spôsob, akým relevantné ustanovenia GDPR vymedzujú oblasť pôsobnosti tohto nariadenia.

– Sekundárny význam inštitucionálnych kritérií na vymedzenie oblasti pôsobnosti GDPR

82.

Treba zdôrazniť, že organické alebo inštitucionálne úvahy týkajúce sa povahy orgánov alebo prevádzkovateľov spracúvania osobných údajov majú pri vymedzení pôsobnosti GDPR druhoradý význam.

83.

Na jednej strane je totiž pôsobnosť GDPR založená na hmotnoprávnom pojme „spracúvanie“ osobných údajov podľa článku 2 ods. 1 nariadenia. Organický pojem „prevádzkovateľ“ uvedený v článku 4 bode 7 GDPR má z tohto hľadiska len vedľajšiu povahu v tom zmysle, že sa v podstate zakladá na hmotnoprávnom pojme spracúvania. Hoci definícia prevádzkovateľa odkazuje na „fyzick[ú] alebo právnick[ú] osob[u], orgán verejnej moci, agentúr[u] alebo iný subjekt“, tento odkaz predstavuje neutralizáciu organických kritérií na účely jeho uplatňovania.

84.

Na druhej strane, hoci ustanovenia obmedzujúce vecnú pôsobnosť nariadenia GDPR obsiahnuté v článku 2 ods. 2 tohto nariadenia odkazujú na určité kategórie osôb alebo orgánov, a to na členské štáty, fyzické osoby a orgány príslušné v trestných veciach, vždy ide o činnosti, na ktoré sa toto nariadenie nevzťahuje. Z uplatňovania GDPR teda nie sú vyňaté osoby ako také, ale len niektoré činnosti, ktoré vykonávajú.

85.

Sekundárny význam inštitucionálnych kritérií potvrdzuje aj spôsob vymedzenia čiastočných výnimiek, ktoré obmedzujú oblasť pôsobnosti osobitných ustanovení GDPR. Na ilustráciu, ( 30 ) ak sú súdy vyňaté z právomoci vnútroštátnych dozorných orgánov podľa článku 55 ods. 3 nariadenia GDPR platí to len v rozsahu, v akom vykonávajú ich súdnu právomoc. Rozsah tejto výnimky teda nie je určený postavením súdnych orgánov, ale osobitnou povahou ich činnosti.

86.

Keďže GDPR neobsahuje žiadne ustanovenie, ktoré by bolo osobitne zamerané na parlamentné orgány, je podľa môjho názoru uplatniteľnosť tohto nariadenia daná nie postavením parlamentných orgánov podľa rakúskeho práva, ale povahou ich činností.

– O povahe činností vyšetrovacieho výboru vo veci samej

87.

Vzhľadom na všetky skutočnosti, s ktorými bol Súdny dvor oboznámený sa domnievam, že úlohy zverené tomuto výboru možno kvalifikovať ako činnosti verejnej kontroly, ktoré zahŕňajú výkon verejnej moci.

88.

Táto kvalifikácia vyplýva zo samotného znenia prvej a druhej prejudiciálnej otázky, ktoré sa týkajú činností vykonávaných v rámci kontroly výkonnej moci. V súlade s vysvetleniami poskytnutými vnútroštátnym súdom „cieľom vyšetrovacích výborov je objasniť procesy na politické účely…. V tejto súvislosti prináleží vyšetrovacím výborom, aby plnili kontrolnú funkciu, ktorá im bola zverená ústavou“ ( 31 ).

89.

Túto kvalifikáciu potvrdzujú písomné pripomienky predložené Súdnemu dvoru. ( 32 )

90.

Vzhľadom na vysvetlenia, ktoré na pojednávaní poskytol Präsident des Nationalrates (predseda Národnej rady), je okrem toho nesporné, že predmetný vyšetrovací výbor disponuje určitými právomocami orgánu verejnej moci, ako je právo predvolať svedkov alebo právo na prístup k dokumentom týkajúcim sa predmetu jeho činnosti, ktoré sú spojené s právomocou ukladať finančné sankcie s cieľom zabezpečiť riadny priebeh vyšetrovania.

91.

Podľa môjho názoru však existujú určité nejasnosti, pokiaľ ide o legislatívnu povahu činností tohto výboru a jej prípadné dôsledky pre uplatniteľnosť GDPR.

92.

Präsident des Nationalrates (predseda Národnej rady) v tejto súvislosti poznamenáva, že „vyšetrovacie výbory sú tak z organizačného, ako aj funkčného hľadiska súčasťou zákonodarnej moci. Úkony vykonávané vyšetrovacími výbormi alebo v ich mene teda patria do zákonodarnej funkcie štátu“ ( 33 ). Podľa názoru tohto orgánu z toho vyplýva, že „činnosť vyšetrovacieho výboru tak patrí do centra legislatívnej oblasti a keďže ide o (kontrolnú) činnosť výlučne parlamentnej a politickej povahy, vzťahuje sa na ňu výnimka stanovená v článku 2 ods. 2 písm. a) GDPR“ ( 34 ).

93.

Tieto tvrdenia si z mojej strany vyžadujú tri pripomienky.

94.

V prvom rade bez ohľadu na prípadnú účasť vyšetrovacích výborov na legislatívnej činnosti musím zdôrazniť, že legislatívne alebo parlamentné činnosti neboli vyňaté z pôsobnosti GDPR ( 35 ), na rozdiel od činností súvisiacich s výkonom súdnej právomoci, na ktoré sa vzťahuje čiastočná výnimka stanovená v článku 55 ods. 3 tohto nariadenia.

95.

V tejto súvislosti na rozdiel od niektorých zúčastnených osôb pochybujem o tom, že by bolo možné túto výnimku vykladať analogicky tak, že by sa výnimka týkajúca sa súdnej právomoci rozšírila na legislatívne funkcie. Práve naopak, ak by výnimka obsiahnutá v článku 55 ods. 3 GDPR mala byť základom pre úvahy Súdneho dvora v prejednávanej veci, mohla by viesť len k výkladu a contrario. Vzhľadom na širokú oblasť pôsobnosti GDPR nemožno výnimku týkajúcu sa súdnej právomoci vykladať extenzívne.

96.

V druhom rade podľa môjho názoru žiadna zo skutočností, s ktorými bol Súdny dvor oboznámený, neumožňuje tvrdiť, že činnosť vyšetrovacieho výboru vo veci samej mala legislatívnu funkciu.

97.

Dotknutý vyšetrovací výbor predovšetkým nie je oprávnený vyvíjať legislatívne iniciatívy a ani sa nijakým iným spôsobom nepodieľa na legislatívnej činnosti rakúskeho parlamentu. Okrem toho, hoci záverečná správa z vyšetrovania môže pre zákonodarcu predstavovať zdroj inšpirácie, nedomnievam sa, že by táto okolnosť priznávala jeho činnosti legislatívnu povahu. Práce niektorých mimoparlamentných orgánov – ako napríklad rakúskeho Dvora audítorov, ktorých správy sa predkladajú parlamentu – môžu tiež inšpirovať zákonodarcu bez toho, aby ich bolo možné z tohto dôvodu spájať s výkonom zákonodarnej moci.

98.

V treťom rade a bez ohľadu na ich prípadný význam z hľadiska rakúskeho práva nemajú inštitucionálne úvahy vplyv na uplatniteľnosť GDPR, takže organizačná väzba parlamentného vyšetrovacieho výboru nemôže byť rozhodujúca pre odpoveď na prvú prejudiciálnu otázku.

– O uplatniteľnosti nariadenia GDPR na činnosti verejnej kontroly

99.

Vzhľadom na predchádzajúce úvahy vzniká otázka, či činnosti verejnej kontroly vykonávané parlamentným vyšetrovacím výborom patria do oblasti pôsobnosti GDPR.

100.

Podľa môjho názoru na túto otázku treba odpovedať kladne, a to z troch hlavných dôvodov.

101.

V prvom rade spracúvanie osobných údajov vykonané predmetným výborom patrí pod hmotnoprávny pojem „spracúvanie“ osobných údajov podľa v článku 2 ods. 1 GDPR. Túto kvalifikáciu v prejednávanej veci nespochybňuje žiadna zo zúčastnených osôb.

102.

V druhom rade činnosti verejnej kontroly patria do oblasti pôsobnosti práva Únie v zmysle článku 16 ods. 2 ZFEÚ a článku 2 ods. 2 písm. a) GDPR, ako ich vykladá judikatúra Súdneho dvora, najmä pokiaľ ich žiadne ustanovenie tohto nariadenia nevylučuje z jeho pôsobnosti.

103.

Naopak, kontrolná činnosť je výslovne uvedená v článku 23 ods. 1 písm. h) nariadenia GDPR, ktorý stanovuje možnosť obmedziť rozsah určitých práv a povinností stanovených týmto nariadením, ak je takéto obmedzenie nevyhnutné s cieľom zaistiť „monitorovaciu, kontrolnú alebo regulačnú funkciu spojenú, hoci aj príležitostne, s výkonom verejnej moci“ v určitých prípadoch stanovených v tomto ustanovení.

104.

Z toho vyplýva, že ustanovenia GDPR majú upravovať činnosti verejnej kontroly, hoci na tento účel môžu byť stanovené osobitné úpravy. Prípadné obmedzenie ochrany vyplývajúcej z GDPR však nevedie k vylúčeniu jeho uplatnenia.

105.

Napokon po tretie vzhľadom na všeobecné rozdelenie právomocí medzi Úniou a členskými štátmi nič nenasvedčuje tomu, že činnosti verejnej kontroly sú vyhradené výlučne členským štátom.

106.

Pokiaľ ide konkrétne o príklad parlamentnej kontroly, dvojité vyšetrovanie vo veci „Dieselgate“, ktoré začali súčasne Európsky parlament ( 36 ) a nemecký Bundestag (Spolkový parlament), dobre ilustruje súbeh právomocí v tejto oblasti.

107.

Je síce možné tvrdiť, že oblasť pôsobnosti práva Únie sa vzťahuje len na tie kontrolné činnosti, ktoré súvisia s uplatňovaním ustanovení tohto práva.

108.

Takýto prístup by však viedol k opätovnému zavedeniu konkretizujúceho výkladu „oblasti pôsobnosti práva Únie“, a preto by predstavoval rovnaké riziko právnej neistoty. Vzhľadom na samotnú povahu parlamentného vyšetrovania, ktorého cieľom je objasniť predmetné okolnosti, sa mi zdá ťažké vopred určiť, či činnosti vyšetrovacieho výboru majú konkrétnu súvislosť s uplatňovaním ustanovení práva Únie. ( 37 )

109.

V tejto súvislosti treba zohľadniť cieľ právnej istoty sledovaný ustanoveniami GDPR, ktorých cieľom je zabrániť nejednotnosti pri vykonávaní ochrany údajov v Únii. ( 38 )

110.

Vzhľadom na tento cieľ a v súlade s riešením, ktoré Súdny dvor prijal v rozsudku Österreichischer Rundfunk a i. ( 39 ), vydanom vo vzťahu k smernici 95/46, by sa mala pôsobnosť GDPR vykladať tak, že zahŕňa činnosti verejnej kontroly bez ohľadu na ich súvislosť s uplatňovaním osobitných ustanovení práva Únie.

111.

Vzhľadom na uvedené skutočnosti navrhujem odpovedať na prvú prejudiciálnu otázku tak, že činnosti vyšetrovacieho výboru zriadeného parlamentom členského štátu v rámci výkonu jeho práva kontroly výkonnej moci patria do oblasti pôsobnosti práva Únie v zmysle článku 16 ods. 2 prvej vety ZFEÚ.

O druhej prejudiciálnej otázke

112.

Svojou druhou otázkou sa vnútroštátny súd pýta, či činnosť vyšetrovacieho výboru vo veci samej spadá pod výnimku uvedenú v článku 2 ods. 2 písm. a) GDPR v zmysle odôvodnenia 16 tohto nariadenia, a to vzhľadom na osobitný predmet jeho činnosti, ktorý súvisí s otázkami národnej bezpečnosti.

113.

Domnievam sa, že to tak nie je, a to z viacerých dôvodov.

114.

Po prvé vzhľadom na širokú oblasť pôsobnosti GDPR by sa výnimka vzťahujúca sa na činnosti týkajúce sa národnej bezpečnosti mala vykladať reštriktívne. Z toho vyvodzujem, že táto výnimka sa vzťahuje len na činnosti, ktorých bezprostredným cieľom je národná bezpečnosť.

115.

To zjavne nie je prípad činnosti vyšetrovacieho výboru vo veci samej, ktorý bol poverený kontrolou orgánov spolkovej vlády.

116.

Je pravda, že v rozsahu, v akom sa predmetná kontrola týka fungovania BVT, ktorého úlohou bolo zabezpečiť integritu a kontinuitu štátnych inštitúcií, mohla činnosť tohto výboru nepriamo prispieť k ochrane národnej bezpečnosti.

117.

Takýto prínos však nemení povahu činností zverených vyšetrovaciemu výboru a nemôže viesť k ich vyňatiu z pôsobnosti ustanovení GDPR. V prípade opačného riešenia by sa dalo uvažovať o tom, či by reklamná agentúra, ktorú si najalo ministerstvo obrany na propagáciu zamestnania v armáde, nemala byť vyňatá na rovnakom základe.

118.

Po druhé, ak by uplatňovanie GDPR záviselo od predmetu parlamentného vyšetrovania, bolo by to v rozpore s cieľom právnej istoty, ktorý sledoval normotvorca Únie.

119.

Predmet parlamentného vyšetrovania vzhľadom na svoju rôznorodú povahu nepredstavuje dostatočne konzistentný základ na určenie oblasti pôsobnosti GDPR. Na tento účel nemôžu slúžiť ako kritérium nepriame faktory, ako je osobná účasť ministra obrany na korupčnej kauze – ktorá môže byť odhalená (alebo popretá) v priebehu vyšetrovania.

120.

Po tretie pri výklade výnimky obsiahnutej v článku 2 ods. 2 písm. a) GDPR treba zohľadniť ratio legis tohto ustanovenia. Podľa môjho názoru to súvisí s nemožnosťou zosúladiť niektoré základné aspekty práva na rešpektovanie osobných údajov so skutočnosťou, že niektoré činnosti týkajúce sa národnej bezpečnosti musia byť nevyhnutne utajené.

121.

Na ilustráciu mi nie je jasné, ako by domáce spravodajské služby mohli zabezpečiť dodržiavanie práva na poskytnutie informácií a práva na prístup k údajom zakotvených v článkoch 14 a 15 GDPR bez toho, aby boli zároveň ohrozené činnosti dohľadu zamerané na osoby podozrivé z terorizmu. V takom prípade by boli požiadavky vyplývajúce z GDPR zrejme zásadne nezlučiteľné s požiadavkami národnej bezpečnosti.

122.

Na druhej strane sa mi zdá, že činnosť parlamentného vyšetrovacieho výboru nenaráža na žiadnu neprekonateľnú prekážku tohto druhu a nechápem, ako by dodržiavanie povinností vyplývajúcich z GDPR mohlo ohroziť jeho prípadný prínos k ochrane národnej bezpečnosti.

123.

verejnému rozmeru parlamentnej kontroly prispieva samozrejme aj publicita, ktorá zvyčajne sprevádza prácu vyšetrovacích výborov. Cieľ transparentnosti je však v rozpore s ratio legis článku 2 ods. 2 písm. a) GDPR, ktorého úlohou je chrániť utajované skutočnosti národnej bezpečnosti.

124.

Po štvrté, aj keď by riadny priebeh parlamentného vyšetrovania mohol byť v niektorých prípadoch sťažený dodržiavaním povinností vyplývajúcich z GDPR – napríklad v prípade, že výbor získa prístup k dôverným dokumentom obsahujúcim osobné údaje – pripomínam, že článok 23 ods. 1 písm. a) a h) GDPR stanovuje možnosť obmedziť práva a povinnosti zakotvené v článkoch 5, 12 až 22 a článku 34 tohto nariadenia v prípade, ak je toto obmedzenie nevyhnutné na zabezpečenie kontrolnej funkcie vzhľadom na požiadavky národnej bezpečnosti.

125.

Z toho podľa môjho názoru vyplýva, že súvislosť, ktorú môže mať predmet parlamentného vyšetrovania s otázkami národnej bezpečnosti, by nemala viesť k vyňatiu vyšetrovacieho výboru z pôsobnosti nariadenia GDPR. Vzhľadom na inštitucionálny kontext činnosti takýchto výborov, ktorých členovia sa podieľajú na práci zákonodarných orgánov parlamentu, sa mi navyše zdá pomerne jednoduché vykonať potrebné legislatívne úpravy, ktoré by umožnili zohľadniť osobitný účel niektorých parlamentných vyšetrovaní, ako to stanovuje článok 23 ods. 1 GDPR.

126.

Vzhľadom na uvedené skutočnosti navrhujem, aby Súdny dvor odpovedal na druhú prejudiciálnu otázku tak, že na činnosť parlamentného vyšetrovacieho výboru, ktorej predmetom je vyšetrovanie činnosti policajného orgánu ochrany štátu týkajúce sa ochrany národnej bezpečnosti v zmysle odôvodnenia 16 nariadenia GDPR, nespadá pod výnimku uvedenú v článku 2 ods. 2 písm. a) tohto nariadenia.

O tretej prejudiciálnej otázke

127.

Svojou treťou otázkou sa vnútroštátny súd pýta, či príslušnosť jediného dozorného orgánu zriadeného podľa článku 51 ods. 1 GDPR na prejednávanie sťažností podľa článku 77 ods. 1 tohto nariadenia môže vyplývať priamo z tohto ustanovenia v spojení s článkom 55 ods. 1 GDPR.

128.

Túto otázku, ktorá vyvstáva v prípade, že by bolo nariadenie GDPR uplatniteľné na činnosť vyšetrovacieho výboru vo veci samej, možno vysvetliť prekážkami ústavnej povahy. Podľa názoru Verwaltungsgerichtshof (Najvyšší správny súd) a niektorých zúčastnených osôb zásada deľby moci v rakúskom práve bráni tomu, aby správny orgán, v tomto prípade Datenschutzbehörde, zasahoval do činnosti parlamentu tým, že by preskúmaval sťažnosti, ktoré sa týkajú parlamentu.

129.

Cieľom tretej prejudiciálnej otázky je teda určiť rozsah priameho účinku ustanovení článku 55 ods. 1 v spojení s článkom 77 ods. 1 GDPR, keď môže byť príslušnosť jediného dozorného orgánu zriadeného členským štátom obmedzená zásadou ústavnej povahy.

130.

Keďže ide o nariadenie Únie, treba pripomenúť, že je v zásade priamo uplatniteľné v celom rozsahu v súlade so znením článku 288 druhým odsekom ZFEÚ, ako to potvrdzuje článok 99 ods. 2 druhý pododsek GDPR. ( 40 )

131.

V súlade s judikatúrou Súdneho dvora je to inak len v prípade, ak ustanovenia nariadenia vyžadujú prijatie vykonávacích opatrení, vzhľadom na mieru voľnej úvahy ponechanú členským štátom pri jeho vykonávaní. ( 41 )

132.

V tejto súvislosti sa domnievam, že ustanovenia článku 77 ods. 1 GDPR, ktorý stanovuje príslušnosť dozorných orgánov na prejednávanie sťažností, ktoré sú v ňom stanovené, a článku 55 ods. 1 tohto nariadenia, sú dostatočne jasné a bezpodmienečné na to, aby sa mohli priamo uplatniť.

133.

Dodávam, že Súdny dvor už potvrdil priamy účinok článku 58 ods. 5 GDPR keď rozhodol, že vnútroštátny dozorný orgán sa môže odvolávať na procesnú spôsobilosť, ktorú mu toto ustanovenie priznáva, začať alebo pokračovať v súdnom konaní proti jednotlivcovi, a to napriek tomu, že toto ustanovenie nebolo osobitne vykonané v právnej úprave dotknutého členského štátu. ( 42 )

134.

Okrem toho vzhľadom na okolnosti prípadu vo veci samej nepovažujem za potrebné prijať žiadne ďalšie vykonávacie opatrenia na úpravu postupu konania o sťažnosti uvedenej v článku 77 GDPR. Datenschutzbehörde takéto sťažnosti pravidelne prejednáva a jedinou otázkou, ktorá pri tom vzniká, je, či má právomoc vo vzťahu k parlamentným orgánom.

135.

Táto otázka však nebola ponechaná na úvahe členských štátov.

136.

Účinný výkon práva podať sťažnosť síce predpokladá predchádzajúce zriadenie jedného alebo viacerých dozorných orgánov v súlade s článkom 51 ods. 1 GDPR, čo si vyžaduje zásah členských štátov. To je však otázka týkajúca sa priameho účinku tohto ustanovenia, ktorá nie je predmetom konania vo veci samej.

137.

Pokiaľ ide o počet dozorných orgánov, ktoré sa majú zriadiť podľa článku 51 ods. 1 GDPR, inštitucionálna voľba ponechaná v tomto ohľade na členské štáty nemôže viesť k obmedzeniu právomocí jediného orgánu zriadeného rakúskym zákonodarcom. Opačný výklad by zbavil článok 55 ods. 1 a článok 77 ods. 1 GDPR ich priameho účinku a mohol by oslabiť užitočný účinok všetkých ostatných ustanovení tohto nariadenia, ktoré môžu byť sťažnosťou dotknuté.

138.

Napokon, pokiaľ ide o ústavné prekážky existujúce v rakúskom práve, tieto nemôžu viesť k odmietnutiu uplatnenia ustanovení GDPR. V súlade s ustálenou judikatúrou Súdneho dvora účinok aktu Únie nemožno ovplyvniť odvolávaním sa na porušenie zásad vnútroštátneho ústavného zriadenia. ( 43 )

139.

Preto navrhujem, aby Súdny dvor na tretiu prejudiciálnu otázku odpovedal tak, že ak členský štát zriadil len jeden dozorný orgán podľa článku 51 ods. 1 GDPR, jeho príslušnosť na prejednávanie sťažností v zmysle článku 77 ods. 1 tohto nariadenia vyplýva priamo z tohto ustanovenia v spojení s článkom 55 ods. 1 uvedeného nariadenia.

Návrh

140.

Vzhľadom na všetky predchádzajúce úvahy navrhujem, aby Súdny dvor odpovedal na otázky položené Verwaltungsgerichtshof (Najvyšší správny súd, Rakúsko) takto:

1.

Činnosti vyšetrovacieho výboru zriadeného parlamentom členského štátu pri výkone jeho práva na kontrolu výkonnej moci spadajú do oblasti pôsobnosti práva Únie v zmysle článku 16 ods. 2 prvej vety ZFEÚ, takže nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), je uplatniteľné na spracúvanie osobných údajov takýmto výborom.

2.

Činnosti vyšetrovacieho výboru zriadeného parlamentom členského štátu pri výkone jeho práva na kontrolu výkonnej moci, predmetom ktorých je vyšetrovanie činnosti policajného orgánu ochrany štátu, a teda činnosti týkajúce sa ochrany národnej bezpečnosti v zmysle odôvodnenia 16 nariadenia 2016/679, nespadajú pod výnimku uvedenú v článku 2 ods. 2 písm. a) tohto nariadenia.

3.

Ak členský štát zriadil len jediný dozorný orgán podľa článku 51 ods. 1 nariadenia 2016/679, jeho príslušnosť na prejednávanie sťažností v zmysle článku 77 ods. 1 tohto nariadenia vyplýva priamo z tohto posledného uvedeného ustanovenia v spojení s článkom 55 ods. 1 uvedeného nariadenia.


( 1 ) Jazyk prednesu: francúzština.

( 2 ) Nariadenie Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).

( 3 ) Rozsudok z 9. júla 2020 (C‑272/19, EU:C:2020:535).

( 4 ) Pozri návrhy, ktoré som predniesol vo veci Latvijas Republikas Saeima (Pokutové body) (C‑439/19, EU:C:2020:1054, bod 44 a nasl.).

( 5 ) Pozri rozsudky z 20. mája 2003, Österreichischer Rundfunk a i. (C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294); zo 6. novembra 2003, Lindqvist (C‑101/01, EU:C:2003:596); z 9. júla 2020, Land Hessen (C‑272/19, EU:C:2020:535), a z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body) (C‑439/19, EU:C:2021:504).

( 6 ) Rozsudky z 26. februára 2013, Åkerberg Fransson (C‑617/10, EU:C:2013:105, bod 21); z 21. decembra 2016, AGET Iraklis (C‑201/15, EU:C:2016:972, bod 62); z 21. mája 2019, Komisia/Maďarsko (Užívanie poľnohospodárskych pozemkov) (C‑235/17, EU:C:2019:432, bod 63), ako aj z 24. septembra 2020, YS (Podnikové dôchodky riadiacich pracovníkov) (C‑223/19, EU:C:2020:753, bod 78).

( 7 ) C‑465/00, C‑138/01 a C‑139/01, EU:C:2002:662.

( 8 ) C‑101/01, EU:C:2002:513.

( 9 ) Smernica Európskeho parlamentu a Rady z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355). Táto smernica bola nahradená nariadením GDPR.

( 10 ) C‑465/00, C‑138/01 a C‑139/01, EU:C:2002:662.

( 11 ) Návrhy, ktoré predniesol generálny advokát Tizzano v spojených veciach Österreichischer Rundfunk a i. (C‑465/00, C‑138/01 a C‑139/01, EU:C:2002:662, bod 43). Kurzívou zvýraznil generálny advokát.

( 12 ) Návrhy, ktoré predniesol generálny advokát Tizzano vo veci Lindqvist (C‑101/01, EU:C:2002:513, bod 36).

( 13 ) Rozsudok zo 6. novembra 2003 (C‑101/01, EU:C:2003:596).

( 14 ) Pozri v súvislosti s touto otázkou rozsudok zo 6. novembra 2003, Lindqvist (C‑101/01, EU:C:2003:596, bod 59).

( 15 ) Pozri článok 91 GDPR.

( 16 ) Na jednej strane cieľom práva Únie nie je osobitne upravovať náboženské činnosti. Na druhej strane však takéto činnosti nie sú vyňaté z dodržiavania práva Únie a jeho všeobecných zásad, ako je napríklad zásada nediskriminácie. K tejto otázke pozri návrhy, ktoré predniesol generálny advokát Tančev vo veci Egenberger (C‑414/16, EU:C:2017:851, body 4651).

( 17 ) Rozsudok z 20. mája 2003 (C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294).

( 18 ) Rozsudok zo 6. novembra 2003 (C‑101/01, EU:C:2003:596).

( 19 ) Rozsudok z 20. mája 2003, Österreichischer Rundfunk a i. (C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, body 4042). Pozri tiež rozsudok zo 6. novembra 2003, Lindqvist (C‑101/01, EU:C:2003:596, bod 40 a nasl.).

( 20 ) Rozsudok zo 6. novembra 2003, Lindqvist (C‑101/01, EU:C:2003:596, bod 44).

( 21 ) Smernica Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 2016, s. 89).

( 22 ) Rozsudok z 9. júla 2020, Land Hessen (C‑272/19, EU:C:2020:535, bod 70). Kurzívou zvýraznil generálny advokát.

( 23 ) Pripomínam, že článok 5 ods. 2 ZEÚ stanovuje, že „podľa zásady prenesenia právomocí Únia koná len v medziach právomocí, ktoré na ňu preniesli členské štáty v zmluvách na dosiahnutie cieľov v nich vymedzených. Právomoci, ktoré na Úniu neboli v zmluvách prenesené, zostávajú právomocami členských štátov“.

( 24 ) Na ilustráciu pozri rozsudok z 10. decembra 2018, Wightman a i. (C‑621/18, EU:C:2018:999, bod 47 a citovaná judikatúra).

( 25 ) Mám tým na mysli výklad založený na systematických a historických úvahách v súlade so všeobecne uznávanou typológiou metód výkladu (pozri LENAERTS, K., GUTIERREZ FONS, J. A.: Les méthodes d interprétation de la Cour de justice de l Union européenne. In: Bruxelles: Bruylant, 2020, kapitola I).

( 26 ) Návrh Zmluvy zakladajúcej Ústavu pre Európu (Ú. v. EÚ C 169, 2003, s. 1).

( 27 ) Článok 36a ods. 2 návrhu hlavy VI Zmluvy zakladajúcej Ústavu pre Európu týkajúcej sa demokratického života Únie (poznámka predsedníctva Konventu k Charte. Brusel, CONV 650/03, s. 6). Kurzívou zvýraznil generálny advokát.

( 28 ) Poznámka predsedníctva Konventu k Charte z 2. apríla 2003. Brusel, CONV 650/03, s. 3. Kurzívou zvýraznil generálny advokát.

( 29 ) Pozri judikatúru citovanú v poznámke pod čiarou 5 vyššie.

( 30 ) Pozri tiež článok 20 ods. 3, článok 49 ods. 3 a článok 79 ods. 2 GDPR.

( 31 ) Bod 25 návrhu na začatie prejudiciálneho konania. Kurzívou zvýraznil generálny advokát.

( 32 ) Na ilustráciu v bode 13 svojich písomných pripomienok Präsident des Nationalrates (predseda Národnej rady, Rakúsko) vysvetľuje, že rakúsky Parlament „má právo rozhodovať o zriadení vyšetrovacích výborov na účely vyšetrovania niektorých aktov patriacich do oblasti výkonnej moci na spolkovej úrovni. Podľa ústavy má vyšetrovací výbor kontrolnú funkciu. Účelom vyšetrovacieho výboru je objasniť na politické účely priebeh určitých udalostí, a tak zabezpečiť účinnú parlamentnú kontrolu“.

( 33 ) Bod 14 písomných pripomienok, ktoré predložil Präsident des Nationalrates (predseda Národnej rady).

( 34 ) Bod 15 písomných pripomienok, ktoré predložil Präsident des Nationalrates (predseda Národnej rady).

( 35 ) Pozri rozsudok z 9. júla 2020, Land Hessen (C‑272/19, EU:C:2020:535, bod 72).

( 36 ) Pozri rozhodnutie Európskeho parlamentu (EÚ) 2016/34 zo 17. decembra 2015 o zriadení, pôsobnosti, počte členov a dobe trvania vyšetrovacieho výboru vo veci merania emisií v automobilovom priemysle (Ú. v. EÚ L 10, 2016, s. 13).

( 37 ) Z tohto hľadiska si kladiem otázku, ako by sa malo kvalifikovať vyšetrovanie rakúskeho parlamentu vo veci „Ibizagate“ týkajúce sa nezrovnalostí, ktoré ovplyvnili verejné obstarávanie; vyšetrovanie belgického Senátu začaté v roku 1995, ktorého cieľom bolo „preskúmať organizovanú trestnú činnosť v Belgicku“, alebo aj prebiehajúce činnosti, ktoré v súčasnosti vykonáva vyšetrovací výbor francúzskeho Národného zhromaždenia, ktorý skúma „príčiny straty suverenity a energetickej nezávislosti Francúzska“.

( 38 ) Pozri odôvodnenia 9 a 13 GDPR.

( 39 ) Rozsudok z 20. mája 2003 (C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, body 4547).

( 40 ) Pozri tiež rozsudok z 15. marca 2017, Al Chodor (C‑528/15, EU:C:2017:213, bod 27 a citovaná judikatúra).

( 41 ) Pozri rozsudky z 11. januára 2001, Monte Arcosu (C‑403/98, EU:C:2001:6, bod 28), a zo 14. apríla 2011, Vlaamse Dierenartsenvereniging a Janssens (C‑42/10, C‑45/10 a C‑57/10, EU:C:2011:253, bod 48).

( 42 ) Rozsudok z 15. júna 2021, Facebook Ireland a i. (C‑645/19, EU:C:2021:483, bod 113).

( 43 ) Rozsudok zo 17. decembra 1970, Internationale Handelsgesellschaft (C‑11/70, EU:C:1970:114, bod 3).