1.

Ali je s Splošno uredbo o varstvu podatkov ( 2 ) (v nadaljevanju: Splošna uredba o varstvu podatkov) nadzornemu organu države članice dovoljeno, da začne postopek pred sodiščem te države zaradi domnevne kršitve te uredbe v zvezi s čezmejno obdelavo podatkov, čeprav ta organ ni vodilni nadzorni organ v zvezi s to obdelavo?

2.

Oziroma ali novi mehanizem „vse na enem mestu“, ki se naznanja kot ena večjih novosti, ki jih je prinesla Splošna uredba o varstvu podatkov, preprečuje, da bi se to zgodilo? Če bi bil upravljavec pozvan, naj se brani pred tožbo v zvezi s čezmejno obdelavo podatkov, ki bi jo vložil nadzorni organ pri sodišču, ki ne bi bilo v kraju upravljavčevega glavnega sedeža, ali bi to pomenilo „korak preveč“ in torej ne bi bilo združljivo z novim mehanizmom Splošne uredbe o varstvu podatkov?

3.

V preambuli k Splošni uredbi o varstvu podatkov je med drugim navedeno, da: „[c]ilji in načela Direktive 95/46/ES še vedno veljajo, vendar to ni preprečilo razdrobljenosti izvajanja varstva osebnih podatkov v Uniji[ in] pravne negotovosti“ (uvodna izjava 9); bi bilo v vsej Uniji treba zagotoviti dosledno in enotno uporabo pravil za varstvo podatkov (uvodna izjava 10); bi morali nadzorni organi spremljati uporabo pravil in prispevati k njihovi dosledni uporabi, da bi varovali posameznike in olajšali prosti pretok osebnih podatkov na notranjem trgu (uvodna izjava 123); v primerih, ko gre za čezmejno obdelavo, „bi moral nadzorni organ za glavni sedež upravljavca ali obdelovalca ali za edini sedež upravljavca ali obdelovalca delovati kot vodilni organ“ in da bi moral ta organ „sodelovati […] z drugimi zadevnimi organi“ (uvodna izjava 124).

4.

V skladu s členom 51(1) Splošne uredbe o varstvu podatkov „[v]saka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (v nadaljnjem besedilu: nadzorni organ)“.

5.

V skladu s členom 55(1) Splošne uredbe o varstvu podatkov je „[v]sak nadzorni organ na ozemlju svoje države članice pristojen za opravljanje dodeljenih nalog in izvajanje prenesenih pooblastil v skladu s to uredbo“.

6.

Člen 56 Splošne uredbe o varstvu podatkov se nanaša na pristojnosti vodilnega nadzornega organa. V prvem odstavku te določbe je navedeno:

„Nadzorni organ glavnega ali edinega sedeža upravljavca ali obdelovalca je brez poseganja v člen 55 pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom iz člena 60.“

7.

Člen 56, od (2) do (5), določa, da je z odstopanjem od odstavka 1 „vsak nadzorni organ pristojen za obravnavo pritožbe, vložene pri njem, ali morebitne kršitve te uredbe, če se vsebina nanaša zgolj na sedež v njegovi državi članici ali znatno vpliva na posameznike, na katere se nanašajo osebni podatki, samo v njegovi državi članici“. Te zadeve lahko obravnavajo vodilni nadzorni organi v skladu s postopkom iz člena 60 Splošne uredbe o varstvu podatkov ali pa, kadar vodilni nadzorni organ odloči, da zadeve ne bo obravnaval, lokalni nadzorni organ, ki deluje v skladu s členoma 61 in 62 te uredbe.

8.

Člen 56(6) določa, da je „[v]odilni nadzorni organ […] edini sogovornik upravljavca ali obdelovalca za njune obdelave na čezmejni ravni“.

9.

Člen 58(5) Splošne uredbe o varstvu podatkov, ki se nanaša na pooblastila vodilnega nadzornega organa, določa:

„Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.“

10.

Poglavje VII Splošne uredbe o varstvu podatkov, naslovljeno „Sodelovanje in skladnost“, vsebuje člene od 60 do 76. Člen 60, naslovljen „Sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi“, določa podroben postopek, ki mu morajo vodilni nadzorni organi slediti, ko obravnavajo čezmejno obdelavo podatkov.

11.

Člen 61(2) Splošne uredbe o varstvu podatkov, ki se nanaša na medsebojno pomoč, pa zahteva, da vsak nadzorni organ sprejme „vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa, brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve“. Člen 61(8) Splošne uredbe o varstvu podatkov določa, da kadar nadzorni organ zahtevanih informacij ne zagotovi, lahko nadzorni organ, ki je zahtevo poslal, sprejme začasen ukrep na ozemlju države članice, za katero je pristojen, pri čemer se domneva nujna potreba po ukrepanju v skladu s členom 66(1).

12.

Člen 65(1)(a) Splošne uredbe o varstvu podatkov, naslovljen „Reševanje sporov s strani odbora“, določa, da zato, da se zagotovi pravilna in dosledna uporaba te uredbe v posameznih primerih, Evropski odbor za varstvo podatkov (v nadaljevanju: Odbor) sprejme zavezujočo odločitev med drugim takrat, kadar je zadevni nadzorni organ podal ustrezen in utemeljen ugovor zoper osnutek odločitve vodilnega organa ali če je vodilni organ zavrnil tak ugovor kot neustrezen ali neutemeljen.

13.

Člen 66(1), ki se nanaša na nujni postopek, določa, da lahko v izjemnih okoliščinah, kadar zadevni nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, z odstopanjem od mehanizmov za doslednost in skladnost „brez odlašanja sprejme začasne ukrepe, katerih namen je doseči pravne učinke na ozemlju, na katerem deluje, z določenim obdobjem veljavnosti, ki ni daljše od treh mesecev“.

14.

Poglavje VIII Splošne uredbe o varstvu podatkov, naslovljeno „Pravna sredstva, odgovornost in kazni“, vsebuje člene od 77 do 84. Člen 77(1) daje vsakemu posamezniku, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu vloži pritožbo v zvezi z morebitnimi kršitvami uredbe, kar zadeva obdelavo osebnih podatkov, ki se nanašajo nanj, „zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve“. Člen 78(1) in (2) Splošne uredbe o varstvu podatkov pa vsaki fizični ali pravni osebi podeljuje pravico do učinkovitega pravnega sredstva zoper, med drugim, pravno zavezujočo odločitev nadzornega organa v zvezi z njo in zoper nadzorni organ, ki pritožbe ne obravnava.

15.

Z Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (zakon z dne 8. decembra 1992 o varstvu zasebnosti pri obdelavi osebnih podatkov, v nadaljevanju: WVP), kakor je bil spremenjen, je bila prenesena Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ( 3 ). Med drugim je bila s tem zakonom ustanovljena belgijska komisija za zasebnost. V skladu s členom 32(3) tega zakona „lahko brez poseganja v pristojnost rednih sodišč za uporabo splošnih načel varstva zasebnosti predsednik [komisije za zasebnost] sodišču prve stopnje predloži vsak spor, ki se nanaša na uporabo tega zakona in njegovih izvedbenih aktov“.

16.

V skladu s členom 3 Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (zakon z dne 3. decembra 2017 o ustanovitvi organa za varstvo podatkov, v nadaljevanju: zakon o OVP), ki je začel veljati 25. maja 2018, je bil ustanovljen organ za varstvo podatkov (v nadaljevanju: OVP), ki je nadomestil komisijo za zasebnost. V skladu s členom 6 tega zakona je OVP „pristojen, da z vsako kršitvijo temeljnih načel varstva osebnih podatkov v okviru tega zakona in zakonov, ki vsebujejo določbe o varstvu obdelave osebnih podatkov, seznani sodne organe in po potrebi začne sodni postopek, da bi se uporabila ta temeljna načela“.

17.

Zakon o OVP ni vključeval nobenih konkretnih določb glede sodnih postopkov, ki so se začeli na podlagi člena 32(3) WVP in ki so 25. maja 2018 še potekali.

18.

WVP je bil razveljavljen z Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (zakon z dne 30. julija 2018 o varstvu posameznikov pri obdelavi osebnih podatkov). S tem zakonom se izvajajo določbe Splošne uredbe o varstvu podatkov, ki državam članicam nalagajo ali dovoljujejo, da poleg splošnih pravil sprejmejo podrobnejša pravila.

19.

Predsednik belgijske komisije za zasebnost, ki je pozneje postala OVP, je 11. septembra 2015 pred Nederlandstalige rechtbank van eerste aanleg Brussel (nizozemsko govoreče prvostopenjsko sodišče v Bruslju, Belgija) začel postopek proti družbam Facebook Inc., Facebook Ireland Ltd. in Facebook Belgium BVBA (v nadaljevanju skupaj: Facebook). Ta postopek se nanaša na zatrjevane kršitve zakonodaje o varstvu podatkov s strani družbe Facebook, in sicer, med drugim, na nezakonito zbiranje in uporabo informacij o zasebnih brskalnih navadah uporabnikov interneta v Belgiji s tehnologijami, kot so „piškotki“, „socialni vtičniki“ in „piksli“.

20.

OVP v bistvu zatrjuje, da družba Facebook uporablja več tehnologij za „opazovanje in sledenje osebam“, ko te brskajo po spletnih straneh, ter zbrane informacije nato uporablja za profiliranje njihovih brskalnih navad in jim na podlagi tega prikazuje ciljno usmerjene oglase, ne da bi zadevne osebe zadostno informirala ali pridobila njihovo veljavno privolitev. OVP trdi, da družba Facebook te prakse izvaja ne glede na to, ali je zadevna oseba ustvarila račun na družbenem omrežju Facebook.

21.

OVP je predlagal, da se družbi Facebook odredi, naj v zvezi z vsakim uporabnikom interneta, ki ima prebivališče na belgijskem ozemlju, preneha brez njegovega soglasja nameščati piškotke, ki so še dve leti aktivni na napravi, ki jo ti posamezniki uporabljajo, ko brskajo po spletni strani, ki ima domeno Facebook.com, ali ko so na spletnem mestu tretje osebe, in da preneha pretirano zbirati podatke prek socialnih vtičnikov in pikslov na spletnih mestih tretjih oseb. Poleg tega je predlagal uničenje vseh s piškotki in socialnimi vtičniki pridobljenih osebnih podatkov vseh uporabnikov interneta, ki imajo prebivališče na belgijskem ozemlju.

22.

Predsednik Nederlandstalige rechtbank van eerste aanleg Brussel (nizozemsko govoreče prvostopenjsko sodišče v Bruslju) je z začasno odredbo z dne 9. novembra 2015 ugotovil, da je navedeno sodišče pristojno za obravnavo zadeve in da je tožba dopustna v zvezi z vsemi tremi toženimi strankami. To sodišče je prav tako toženim strankam začasno odredilo, naj prenehajo izvajati določena dejanja v zvezi z uporabniki interneta na belgijskem ozemlju.

23.

Družba Facebook je 2. marca 2016 vložila pritožbo zoper to odredbo pri Hof van beroep te Brussel (pritožbeno sodišče v Bruslju, Belgija). To sodišče je s sodbo z dne 29. junija 2016 spremenilo odredbo prve stopnje. Natančneje, navedeno sodišče je razsodilo, da ni pristojno za tožbe proti družbama Facebook Inc. in Facebook Ireland Ltd., da pa je pristojno za tožbo proti družbi Facebook Belgium BVBA. Spor o glavni stvari se je zato omejil na tožbo proti družbi Facebook Belgium. To sodišče je prav tako razglasilo, da zadeva ni nujna.

24.

Kot razumem, se trenutno zadeva, ki jo obravnava Hof van beroep te Brussel (pritožbeno sodišče v Bruslju), nanaša na pritožbo zoper naknadno vsebinsko odločitev, ki jo je izdalo sodišče prve stopnje. V pritožbenem postopku družba Facebook Belgium med drugim trdi, da odkar je postal novi mehanizem „vse na enem mestu“ iz Splošne uredbe o varstvu podatkov operativen, OVP ni več pristojen za nadaljevanje postopka v glavni stvari, ker ni vodilni nadzorni organ. V zvezi s sporno čezmejno obdelavo bi bil vodilni nadzorni organ Irish Data Protection Commission (irska komisija za varstvo podatkov). Glavni sedež upravljavca v Uniji je na Irskem (družba Facebook Ireland Ltd.).

25.

V teh okoliščinah je Hof van beroep te Brussel (pritožbeno sodišče v Bruslju) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

26.

Družba Facebook, OVP, belgijska, češka, italijanska, poljska, portugalska in finska vlada ter Evropska komisija so predložili pisna stališča. Družba Facebook, OVP in Komisija so prav tako podali ustne navedbe na obravnavi 5. oktobra 2020.

27.

Na kratko, ključno vprašanje, ki se je pojavilo v postopku v glavni stvari, je, ali lahko OVP nadaljuje sodni postopek proti družbi Facebook Belgium v zvezi s čezmejno obdelavo osebnih podatkov, do katere je prišlo po tem, ko se je Splošna uredba o varstvu podatkov začela uporabljati, glede na to, da je subjekt, ki obdeluje podatke, družba Facebook Ireland Ltd.

28.

Da bi bilo mogoče odgovoriti na to vprašanje, je treba presoditi obseg in delovanje tega, kar sama Splošna uredba o varstvu podatkov v uvodni izjavi 127 poimenuje kot mehanizem „vse na enem mestu“. Ta mehanizem sestavlja vrsta pravil, zaradi katerih v primeru čezmejne obdelave podatkov postane osrednja točka izvrševanja vodilni nadzorni organ (v nadaljevanju: VNO), umeščen v sistem postopkov za skladnost in sodelovanje z zadevnimi nadzornimi organi (v nadaljevanju: ZNO), zasnovan za zagotavljanje sodelovanja vseh zainteresiranih nadzornih organov.

29.

V skladu s členom 56(1) Splošne uredbe o varstvu podatkov deluje nadzorni organ kot VNO v zvezi s čezmejno obdelavo, ki jo izvajajo upravljavci in obdelovalci, ki imajo svoj glavni sedež ali edini sedež na njegovem ozemlju. V skladu s členom 4(22) Splošne uredbe o varstvu podatkov nadzorni organ deluje kot ZNO, če je izpolnjen eden od naslednjih alternativnih pogojev: „(a) ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa; (b) obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali (c) je bila vložena pritožba pri tem nadzornem organu“.

30.

Pred vsebinsko obravnavo predloženih vprašanj so potrebna nekatera uvodna pojasnila (A). Nato bom preučil pravna vprašanja, ki jih je postavilo predložitveno sodišče. Zlasti se bom osredotočil na prvo vprašanje za predhodno odločanje, saj je to vprašanje jedro spora pred predložitvenim sodiščem (B). V nadaljevanju bom ostala predložena vprašanja obravnaval samo na kratko, glede na to, da – če je odgovor na prvo vprašanje odgovor, predlagan v teh sklepnih predlogih – postane odgovor na ta ostala vprašanja bodisi nepotreben bodisi precej jasen (C).

31.

Na začetku naj pripomnim, da obstajajo nekateri elementi v postopku v glavni stvari, ki jih težko razumem v celoti.

32.

Prvič, moram priznati, da mi pomembnost vprašanj, postavljenih med postopkom v glavni stvari, ni popolnoma očitna, glede na dejstvo, da je od strank, proti katerim je OVP ukrepal, kot tožena stranka v postopku v glavni stvari očitno ostala samo še družba Facebook Belgium. ( 4 ) Iz spisa pred tem Sodiščem izhaja, da ta družba ne pomeni niti „glavnega sedeža“ upravljavca v smislu člena 4(16) Splošne uredbe o varstvu podatkov niti morebitnega „skupnega upravljavca“ v smislu člena 26 navedene uredbe glede na to, da očitno predstavlja sedež istega podjetja. ( 5 )

33.

Vendar velja za vprašanja, predložena v predhodno odločanje, domneva upoštevnosti. Zato Sodišče odloči, da ne bo odločalo, le v omejenih okoliščinah, zlasti če zahteve iz člena 94 Poslovnika Sodišča niso izpolnjene ali če je očitno, da zadevna razlaga prava Unije nima nobene zveze z dejstvi, oziroma če so vprašanja (popolnoma) hipotetična. ( 6 ) Ta zadeva po mojem mnenju ni tak primer. „Kdo je kdo“ in „koga se lahko za kaj preganja“ ni samo dejanska presoja, za katero je nazadnje pristojno nacionalno sodišče, ampak tudi na nek način ena od razsežnosti vprašanj, postavljenih Sodišču.

34.

Drugič, tudi časovni vidik postopka v glavni stvari ni povsem razumljiv. Tožba je bila vložena, ko je veljala Direktiva 95/46. Ko je začela veljati Splošna uredba o varstvu podatkov, se je pri tožbi še naprej vztrajalo. Vendar se zdaj postopek očitno nanaša samo na ravnanje po tem, ko se je začel uporabljati nov pravni okvir. Dejansko je vprašanje, ali je to, da je OVP nadaljeval postopek, v skladu z določbami Splošne uredbe o varstvu podatkov, kar je izpostavljeno v četrtem vprašanju. Vendar bi bila ta vprašanja upoštevna v postopku v glavni stvari samo, če bi nacionalni organ poskušal končati postopek v zvezi z zatrjevanimi kršitvami, ki so se zgodile, preden se je začel uporabljati novi pravni okvir. Če pa bi se tekoči postopek na tej točki nanašal samo na zatrjevano nezakonitost, ki se je dogajala po datumu začetka uporabe Splošne uredbe o varstvu podatkov, po možnosti skupaj s predlogom (ki je nujno bodoči) sodne prepovedi takih praks, ni enostavno razumeti, zakaj OVP, če se šteje za pristojnega za posredovanje, ni končal tekočega postopka in nadaljeval v skladu z upoštevnimi določbami Splošne uredbe o varstvu podatkov.

35.

Tretjič, na obravnavi se je OVP skliceval na izmenjavo z irskim nadzornim organom in Odborom v zvezi z eno od tehnologij, ki jo uporablja Facebook za zbiranje podatkov (piškotki). Navedeno je bilo, da se nadzorna organa nista strinjala glede tega, ali je navedena tehnologija dejansko spadala na področje uporabe Splošne uredbe o varstvu podatkov ratione materiae.

36.

V zvezi s tem in kar zadeva ta primer, bi bilo treba poudariti, da nekatere dejavnosti obdelave podatkov lahko dejansko spadajo na vsebinsko področje uporabe več kot enega zakonodajnega instrumenta Unije, kar pomeni, da se vsi ti instrumenti, razen če ni določeno drugače, uporabijo hkrati. ( 7 ) V drugih primerih pa, na primer, če dejavnosti obdelave ne zajemajo osebnih podatkov v smislu člena 4(1) Splošne uredbe o varstvu podatkov, ta uredba očitno ne velja.

37.

Če torej zatrjevana nezakonitost nekaterih vrst obdelave podatkov izvira iz drugih določb prava Unije ali nacionalnega prava, se torej postopki in mehanizmi, določeni v Splošni uredbi o varstvu podatkov, ne uporabijo. Splošne uredbe o varstvu podatkov ni mogoče uporabiti kot poti, da se v mehanizem „vse na enem mestu“ vključijo oblike ravnanja, ki – čeprav zajemajo določen pretok ali celo obdelavo podatkov – niso v navzkrižju z nobeno od v njem določenih obveznosti.

38.

Za odločitev, ali zadeva dejansko spada na področje uporabe Splošne uredbe o varstvu podatkov ratione materiae ali ne, bi se moralo nacionalno sodišče, vključno z vsakim predložitvenim sodiščem, pozanimati o točnem viru pravne obveznosti, ki jo ima gospodarski subjekt in ki naj bi jo ta kršil. Če vir te obveznosti ni Splošna uredba o varstvu podatkov, potem niti postopkov, začetih s tem instrumentom in vezanih na stvarno veljavnost tega instrumenta, seveda ni mogoče uporabiti.

39.

S prvim vprašanjem predložitveno sodišče v bistvu sprašuje, ali določbe Splošne uredbe o varstvu podatkov v povezavi s členi 7, 8 in 47 Listine Evropske unije o temeljih pravicah (v nadaljevanju: Listina) nadzornemu organu države članice dovolijo, da začne postopek pred sodiščem te države zaradi zatrjevane kršitve te uredbe v zvezi s čezmejno obdelavo podatkov, tudi če ta organ ni „vodilni nadzorni organ“.

40.

V zvezi s tem OVP ter belgijska, italijanska, poljska in portugalska vlada predlagajo, naj Sodišče odgovori pritrdilno, medtem ko družba Facebook, češka in finska vlada ter Komisija menijo nasprotno.

41.

V nadaljevanju bom pojasnil, zakaj se mi razlaga Splošne uredbe o varstvu podatkov, ki jo predlagajo OVP ter belgijska, italijanska, poljska in portugalska vlada, ne zdi prepričljiva: tako jezikovna in sistematična (1) kot tudi teleološka in zgodovinska (2) razlaga gredo očitno v nasprotno smer. Poleg tega niti razlaga Splošne uredbe o varstvu podatkov, skladna z Listino (3), niti zatrjevana tveganja morebitnega nezadostnega zagotavljanja izvajanja navedene uredbe (4) niso taka, da bi pod vprašaj postavljala po mojem mnenju pravilno razlago te uredbe, zagotovo pa ne zdaj.

42.

Glede na to posledice tega posebnega razumevanja Splošne uredbe o varstvu podatkov po mojem mnenju niso tako skrajne kot te, ki jih predlagajo družba Facebook, češka in finska vlada ter Komisija. Zato bom pojasnil, zakaj mora biti odgovor predložitvenemu sodišču nekje vmes med dvema stališčema, ki se zagovarjata v tem postopku: nadzorni organ države članice je upravičen začeti postopek pred sodiščem te države zaradi zatrjevane kršitve Splošne uredbe o varstvu podatkov v zvezi s čezmejno obdelavo podatkov, kljub temu da ni VNO, če to stori v primerih, določenih v navedeni uredbi, in v skladu s postopki, določenimi v njej (5).

43.

Prvič, zdi se mi, da besedilo upoštevnih določb, zlasti če se berejo skupaj s sobesedilom, podpira razlago Splošne uredbe o varstvu podatkov, v skladu s katero ima VNO splošno pristojnost v zvezi s čezmejno obdelavo, zaradi česar imajo ZNO le omejeno pristojnost za ukrepanje v tem smislu.

44.

Člen 56(1) Splošne uredbe o varstvu podatkov določa, da je „[n]adzorni organ glavnega ali edinega sedeža upravljavca ali obdelovalca […] pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom iz člena 60“. ( 8 ) V skladu s členom 56(6) te uredbe je „[v]odilni nadzorni organ […] edini sogovornik upravljavca ali obdelovalca za njune obdelave na čezmejni ravni“. ( 9 ) Uvodna izjava 124 je odraz teh določb, saj v bistvu določa, da bi pri čezmejni obdelavi „moral nadzorni organ za glavni sedež upravljavca ali obdelovalca ali za edini sedež upravljavca ali obdelovalca delovati kot vodilni organ“. ( 10 )

45.

Splošno pristojnost VNO za čezmejno obdelavo podatkov dalje potrjuje dejstvo, da so primeri, v katerih je pristojnost za čezmejno obdelavo podeljena drugim nadzornim organom, opisani kot izjeme od splošnega pravila. Zlasti člen 55(2) Splošne uredbe o varstvu podatkov izključuje pristojnost VNO v zvezi z določeno obdelavo podatkov, kadar jo „izvajajo javni organi“. Poleg tega člen 56(2) te uredbe določa, da je z odstopanjem od načela, da pristojnost pripada VNO, „vsak nadzorni organ pristojen za obravnavo pritožbe, vložene pri njem, ali morebitne kršitve te uredbe, če se vsebina nanaša zgolj na sedež v njegovi državi članici ali znatno vpliva na posameznike, na katere se nanašajo osebni podatki, samo v njegovi državi članici“.

46.

Poleg tega člen 66 Splošne uredbe o varstvu podatkov, ki se nanaša na „nujni postopek“, vsak ZNO „v izjemnih okoliščinah“ pooblašča, da kadar obstaja nujna potreba po ukrepanju zaradi varstva pravic in svoboščin posameznikov, brez odlašanja sprejme začasne ukrepe, katerih namen je doseči pravne učinke na ozemlju, na katerem deluje, z določenim obdobjem veljavnosti, ki ni daljše od treh mesecev, „z odstopanjem“ od mehanizma za skladnost iz členov 60, 63, 64 in 65 Splošne uredbe o varstvu podatkov.

47.

Zato se mi zdi, da iz besedila Splošne uredbe o varstvu podatkov precej jasno izhaja, da je glede čezmejne obdelave pristojnost VNO pravilo, pristojnosti drugih nadzornih organov pa izjema. ( 11 )

48.

Vendar OVP in nekatere vlade izpodbijajo to razumevanje Splošne uredbe o varstvu podatkov. Po njihovem mnenju besedilo upoštevnih določb kaže na (skoraj neomejeno) pravico vsakega nadzornega organa, da začne sodni postopek proti morebitnim kršitvam, ki vplivajo na njegovo ozemlje, ne glede na to, ali je obdelava čezmejna. Večinoma se opirajo na dva argumenta.

49.

Prvič, trdijo, da izraz „brez poseganja v člen 55“, s katerim se začne člen 56(1), pomeni, da pristojnost, podeljena VNO z zadnjenavedeno določbo, ne more posegati ali omejevati pooblastil, podeljenih s prvonavedeno določbo vsakemu nadzornemu organu, vključno s pristojnostjo, da začne sodni postopek.

50.

Ta argument me ne prepriča.

51.

Člen 55(1) določa načelo, da je vsak nadzorni organ „na ozemlju svoje države članice pristojen za opravljanje dodeljenih nalog in izvajanje prenesenih pooblastil v skladu s to uredbo“. Te naloge so nato naštete v členu 57 Splošne uredbe o varstvu podatkov. Pooblastila pa so nato našteta v njenem členu 58. Med dodeljenimi nalogami je očitno naloga spremljanja in zagotavljanja uporabe navedene uredbe (člen 57(1)(a)). V skladu s členom 58 ima nadzorni organ številna preiskovalna (odstavek 1) in popravljalna pooblastila (odstavek 2), pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi (odstavek 3) ter pooblastilo začeti sodne postopke (odstavek 5).

52.

Te določbe – na katere se člen 55 posredno sklicuje – v bistvu obsegajo vse naloge in pooblastila, ki jih ima nadzorni organ na podlagi Splošne uredbe o varstvu podatkov. Če bi sledili razlagi OVP in nekaterih vlad, skoraj nič ne bi ostalo v splošni pristojnosti VNO, s čimer bi bil členu 56 odvzet vsak pomen. VNO ne bi bil niti „edini“ sogovornik niti ne bi „vodil“ ostalih nadzornih organov na kakršen koli način. Njegova vloga bi bila očitno omejena na vlogo „informacijske točke“ brez jasno opredeljene naloge.

53.

Pomen vloge, dane VNO in posledično mehanizmu „vse na enem mestu“, postane še bolj izrazit, če se vse te določbe berejo skupaj in ob upoštevanju sobesedila.

54.

Prvi znak tega je pomembnost, ki jo ima člen 56 v sistemu Splošne uredbe o varstvu podatkov. Člen 56 je druga določba v upoštevnem oddelku te uredbe (poglavje VI, „Neodvisni nadzorni organi“, oddelek 2, „Pristojnost, naloge in pooblastila“) in neposredno sledi splošni določbi o „pristojnosti“ ter je pred drugimi splošnimi določbami o „nalogah“ in „pooblastilih“. Torej se je zakonodajalec Unije odločil, da se poudari osrednja vloga pristojnosti VNO, še preden se nato navedejo konkretne naloge in pooblastila vseh nadzornih organov.

55.

Še bolj bistveno je, da je pomembnost vloge VNO potrjena tudi z določbami v poglavju VII Splošne uredbe o varstvu podatkov (naslovljenem „Sodelovanje in skladnost“), ki določa številne postopke in mehanizme, ki jih morajo nadzorni organi upoštevati, da zagotovijo skladno uporabo te uredbe. Zlasti člen 60, s katerim se poglavje začne in na katerega se sklicuje člen 56(1), določa postopek „[s]odelovanj[a] med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi“.

56.

Jasno je, da to pomeni, da je ta postopek tisti, ki se mu sledi, ko je treba ukrepati proti čezmejni obdelavi. Ta postopek, tako kot drugi postopki, določeni v poglavju VII Splošne uredbe o varstvu podatkov, ni fakultativen. Uporabljeni velelni izrazi, zlasti v členu 51(2) in členu 63 te uredbe, nedvomno kažejo na to, da morajo nadzorni organi sodelovati in da morajo sodelovati prek (obvezne) uporabe postopkov in mehanizmov, določenih v ta namen.

57.

Zato imajo besede „brez poseganja v člen 55“ v členu 56(1) drugačen pomen, in ne tak, kot ga predlaga OVP. Po mojem mnenju te besede glede na sobesedilo, v katero so umeščene, preprosto pomenijo, da tudi če je v skladu s členom 56 Splošne uredbe o varstvu podatkov v posameznem primeru VNO pristojen za ta primer, ki vključuje čezmejno obdelavo, vsi nadzorni organi ohranijo splošna pooblastila, ki jim jih podeljuje člen 55 (in člen 58) te uredbe.

58.

V skladu s členom 55(1) Splošne uredbe o varstvu podatkov morajo države članice nadzornemu organu omogočiti, da izvaja naloge in pooblastila, določena v tej uredbi. Ta določba torej vsakemu nadzornemu organu podeli splošno pooblastilo (ali pristojnost), da ukrepa v zvezi s svojim ozemljem, in to je tako ne glede na to („brez poseganja“), ali gre za čezmejno obdelavo ali ne, in če gre za tako obdelavo, zadevni organ ukrepa kot VNO ali ZNO. ( 12 ) Kljub temu člen 55 navedene uredbe ne ureja okoliščin in načina, kako se to pooblastilo za ukrepanje izvaja v posameznem primeru. Ti vidiki so namreč urejeni z drugimi določbami navedene uredbe, zlasti s tistimi iz njenega poglavja VII. V skladu s temi določbami sta to, ali nadzorni organ lahko izvaja splošno pooblastilo za ukrepanje, in način, kako to stori, med drugim odvisna od tega, ali je ta organ v zvezi z določenim upravljavcem ali obdelovalcem VNO ali ZNO. ( 13 )

59.

V zvezi s tem in v zvezi z izidom se torej strinjam s stališčem Odbora, ki se je v nedavnem mnenju skliceval na člen 56(1) Splošne uredbe o varstvu podatkov kot na „prednostno pravilo“ in kot „lex specialis“: ta določba „ima prednost [pred splošnim pravilom iz člena 55 Uredbe], kadar se pojavi kakršenkoli primer obdelave, ki izpolnjuje v njej navedene pogoje“. ( 14 )

60.

Zato menim, da OVP in nekatere vlade narobe razlagajo člena 55 in 56(1) Splošne uredbe o varstvu podatkov. Ti intervenienti vzamejo prvi del stavka v členu 56(1) iz konteksta, da bi obrnili razmerje med pravilom in izjemo. S tem se omili normativna vsebina več določb te uredbe in ovira cilj, ki je med drugim poudarjen v uvodni izjavi 10 te uredbe, in sicer da se zagotovi bolj skladna in enotna uporaba pravil o varstvu podatkov. V bistvu bi se s tem vrnili k prejšnji ureditvi Direktive 95/46.

61.

Drugič, OVP in nekatere vlade trdijo, da iz samega besedila člena 58(5) Splošne uredbe o varstvu podatkov sledi, da morajo imeti vsi nadzorni organi možnost začeti sodni postopek zoper vsako morebitno kršitev pravil o varstvu podatkov, ki zadeva njihovo ozemlje, ne glede na naravo obdelave (lokalno ali čezmejno). Po njihovem mnenju je posledica, da bi te omejitve, tudi če bi se mehanizem „vse na enem mestu“ razlagal tako, da omejuje pooblastila drugih nadzornih organov v zvezi s čezmejno obdelavo, lahko zadevale samo upravno ukrepanje, ne pa sodnega.

62.

Ta drugi argument je po mojem mnenju prav tako neutemeljen. Izvira iz istega „greha“ kot prejšnji argument: neka določba Splošne uredbe o varstvu podatkov se bere „klinično izolirana“ od ostale uredbe, hkrati pa se razlaga preveč po svoje.

63.

Člen 58(5) Splošne uredbe o varstvu podatkov določa: „Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.“

64.

Ta določba od držav članic zahteva, na eni strani, da nadzornim organom omogočijo sodelovanje s sodnimi organi (celo morebiti z organi kazenskega pregona) in, na drugi strani, da nadzornim organom (ne samo pasivnim, ampak tudi aktivnim) priznajo aktivno legitimacijo pred njihovimi nacionalnimi sodišči. Povedano drugače, nadzorni organi bi načeloma morali imeti možnost sodelovati s sodnimi organi in po potrebi začeti sodni postopek. Mislim, da je zakonodajalec Unije menil, da je taka izrecna določba potrebna, saj so kljub besedilu člena 28(3) Direktive 95/46 ( 15 ) med zakonodajami držav članic obstajale razlike v zvezi s tem, zaradi česar je potem prišlo do premajhnega izvrševanja. ( 16 ) Ta postopek, ki se je začel, ko je navedena direktiva še veljala, ponazarja točno to: zadeva je zaradi nacionalne zakonodaje porajala vprašanja aktivne legitimacije komisije za zasebnost in primernosti pravne podlage za tožbo, ki jo je vložil predsednik te komisije.

65.

Vendar podobno, kot je bilo že navedeno zgoraj, ( 17 ) člen 58(5) Splošne uredbe o varstvu podatkov določa pooblastila, ki jih je treba brez izjem dati vsem nadzornim organom, na tisti stopnji seveda ne glede na ugotovitev (ali pred njo), ali bi bil ta organ v posameznem primeru pristojni VNO ali ZNO oziroma se zadeva sploh ne bi nanašala nanj. Člen 58(5) navedene uredbe ne ureja okoliščin in načina, kako se to pooblastilo za začetek postopka izvaja. Verjetno zato ta določba vsebuje besedi „po potrebi“. To je predmet drugih določb te uredbe.

66.

Poleg tega niti besedilo niti struktura člena 58 Splošne uredbe o varstvu podatkov ne nakazujeta, da je mogoče razlikovati – kot trdi OVP – med upravnimi pooblastili organov (ki bi bila predmet omejitev, ki izhajajo iz mehanizma „vse na enem mestu“) in pooblastilom začeti sodne postopke (za katero te omejitve ne bi veljale). V tej določbi so v odstavkih, ki si sledijo, našteta različna pooblastila, ki jih je treba podeliti nadzornim organom, pri čemer so ta pooblastila združena po namenu (preiskovalna, popravljalna, svetovalna pooblastila in tako naprej). Besedilo teh odstavkov je precej podobno in je v njem v bistvu navedeno, da ima vsak nadzorni organ tam določena pooblastila.

67.

Zato ne vidim nobene podlage za to, da bi se odstavek 5 člena 58 razlagal drugače od odstavkov 1, 2 in 3 te določbe. Samo ena od teh dveh hipotez je lahko resnična: bodisi vsak nadzorni organ uživa vsa ta pooblastila, ki jih ne omejuje mehanizem „vse na enem mestu“, bodisi se morajo vsa ta pooblastila izvajati v skladu s postopkom in v okviru omejitev, določenih v Splošni uredbi o varstvu podatkov.

68.

Iz razlogov, pojasnjenih v točkah 51 in 52 zgoraj, prve hipoteze ni mogoče sprejeti. Če se člen 58 Splošne uredbe o varstvu podatkov bere ob upoštevanju sobesedila, namreč postane jasno, da – če že – dejansko velja ravno obratno od tega, kar trdijo OVP in nekatere vlade.

69.

Vsak nadzorni organ pravzaprav mora prispevati k pravilni in skladni uporabi Splošne uredbe o varstvu podatkov. V ta namen mora vsak nadzorni organ – ne glede na to, ali ima v konkretnem primeru vlogo VNO ali ZNO – na primer preučiti pritožbe, ki se vložijo pri njem, in mora to storiti s potrebno skrbnostjo. ( 18 ) Tudi če se zatrjevane kršitve nanašajo na čezmejno obdelavo in organ ni VNO, bi morali drugi nadzorni organi namreč imeti možnost preučiti zadevo, zato da lahko zagotovijo pomembne informacije, ko so k temu pozvani v okviru mehanizmov sodelovanja in skladnosti, ( 19 ) ali da sprejmejo nujne ukrepe. Vendar je potem naloga VNO, da na splošno sprejmejo zavezujoče odločitve za zagotovitev izvajanja navedene uredbe v razmerju do upravljavca ali obdelovalca. ( 20 ) Natančneje, kot izhaja iz nedavne sodbe v zadevi Facebook Ireland in Schrems, mora imeti „pristojni nacionalni nadzorni organ [možnost] […] po potrebi na nacionalna sodišča vložiti tožbo“. ( 21 ) Zato trditve, da lahko nadzorni organi ne upoštevajo mehanizmov skladnosti in sodelovanja, če želijo začeti postopek, ni mogoče uskladiti z besedilom Splošne uredbe o varstvu podatkov in sodno prakso Sodišča.

70.

Z bolj praktičnega vidika bi bilo poleg tega nelogično preprečiti organu, da začne upravni postopek, zato da bi z zadevnimi gospodarskimi subjekti razpravljal o domnevni kršitvi pravil o varstvu podatkov, hkrati pa istemu organu dovoliti, da v isti zadevi takoj začne postopek pred sodiščem. Pravda je pogosto instrument, ki se uporabi v skrajnem primeru in ki ga bo organ verjetno uporabil, če težave ne more učinkovito rešiti s (formalnimi ali neformalnimi) pogovori in odločanjem na upravni ravni.

71.

Razlikovanje, ki ga predlaga OVP in ki nadzornemu organu ne bi dopuščalo, da (upravno) razišče, pripravi, obdela in odloči, bi mu pa dovolilo, da namesto tega neposredno sproži postopek pri sodišču, se nevarno približa temu, da bi bili upravni organi spremenjeni v precej vprašljive like iz vesternov, ki najprej streljajo in se nato (morda) pogovarjajo, če sploh („ko moraš streljati, streljaj, ne govori“ ( 22 )). Nisem prepričan, da bi bil to razumen ali primeren način, na katerega upravni organi rešujejo domnevne kršitve pravil o varstvu podatkov.

72.

Poleg tega, in kar je še bolj pomembno, bi se s tem, da bi se nadzornim organom v primeru, da ne morejo uporabiti svojih upravnih pooblastil, dovolilo, da svobodno začnejo postopke pred nacionalnimi sodišči, ne da bi šli skozi mehanizme sodelovanja in skladnosti, določene v Splošni uredbi o varstvu podatkov, utrla pot lahkemu izogibanju tema mehanizmoma. Zlasti bi lahko tako VNO kot tudi (vsak) ZNO v primeru nesoglasja glede osnutka odločitve „vzel zadevo v svoje roke“ in začel postopek pred nacionalnimi sodišči, s čimer bi zaobšel postopek, določen v členu 60(4) in členu 65 Splošne uredbe o varstvu podatkov.

73.

S tem pa bi se prav tako razvrednotila ena od glavnih funkcij Odbora – organ, ustanovljen s Splošno uredbo o varstvu podatkov – ki ga sestavljajo vodje enega nadzornega organa iz vsake države članice in Evropski nadzornik za varstvo podatkov. ( 23 ) Ena od nalog Odbora je ravno spremljanje in zagotavljanje pravilne uporabe Splošne uredbe o varstvu podatkov, če pride do nesoglasja med različnimi nadzornimi organi. ( 24 ) V teh primerih Odbor deluje kot forum za reševanje sporov in organ odločanja. Če bi se sledilo razlagi, ki jo zagovarjajo OVP in nekatere vlade, bi bilo mogoče mehanizem iz člena 65 Splošne uredbe o varstvu podatkov v celoti zaobiti: vsako organ bi lahko delal po svoje in zaobšel Odbor.

74.

Kot bo pojasnjeno v naslednjem razdelku, bi bil položaj, ki bi pri tem nastal, očitno nasprotje tega, kar je zakonodajalec Unije nameraval doseči z novim sistemom.

75.

Kot izhaja iz uvodne izjave 9 Splošne uredbe o varstvu podatkov, je zakonodajalec Unije menil, da čeprav „[c]ilji in načela Direktive 95/46/ES še vedno veljajo“, ta instrument „ni preprečil[…] razdrobljenosti izvajanja varstva osebnih podatkov v Uniji, pravne negotovosti ali razširjenega javnega mnenja, da so precejšnja tveganja za varstvo posameznikov“.

76.

Potreba zagotoviti skladnost je torej postala poglavitni namen pravnega instrumenta, ki naj bi zamenjal Direktivo 95/46. Ta cilj se je štel za pomemben z dvojnega vidika: na eni strani, da se zagotovi enotno varstvo fizičnih oseb na visoki ravni in, na drugi strani, da se odstranijo ovire za prenos osebnih podatkov v Uniji ob zagotavljanju pravne varnosti in preglednosti gospodarskim subjektom. ( 25 )

77.

Ta zadnji vidik je treba poudariti. V skladu z Direktivo 95/46 se je od gospodarskih subjektov, ki so dejavnost opravljali po vsej Uniji, zahtevalo, da ravnajo v skladu s številnimi sklopi nacionalnih pravil za izvajanje direktive in da hkrati sodelujejo z vsemi nacionalnimi organi za varstvo podatkov. Za gospodarske subjekte to stanje ni bilo samo drago, obremenilno in zamudno, ampak je bilo tudi neizbežen vir negotovosti in sporov med temi subjekti in njihovimi strankami. ( 26 )

78.

Omejitve sistema, določenega z Direktivo 95/46, so prav tako postale očitne v številnih sodbah Sodišča. V zadevi Weltimmo je Sodišče odločilo, da so bila pooblastila organov za varstvo podatkov strogo omejena z načelom teritorialnosti: ti organi so lahko ukrepali samo proti kršitvam, ki so se dogajale na njihovem ozemlju, v vseh ostalih primerih pa so morali prositi organe drugih držav članic, da posredujejo. ( 27 ) V zadevi Wirtschaftsakademie Schleswig-Holstein je Sodišče razsodilo, da lahko v primeru čezmejne obdelave vsak organ za varstvo podatkov izvaja svoja pooblastila v zvezi z subjektom, ki ima sedež na njegovem ozemlju, ne glede na stališča in ukrepe organa za varstvo podatkov države članice, kjer ima subjekt, odgovoren za to obdelavo, svoj sedež. ( 28 )

79.

Vendar je v virtualnem svetu obdelave podatkov delitev pristojnosti več organov po ozemeljskih mejah pogosto problematična. ( 29 ) Poleg tega je bilo pomanjkanje jasnih mehanizmov usklajevanja med nacionalnimi organi vir nedoslednosti in negotovosti.

80.

Z uvedbo mehanizma „vse na enem mestu“ s pomembno vlogo, ki je bila dana VNO in mehanizmov sodelovanja, vzpostavljenih za to, da se vključijo drugi nadzorni organi, naj bi se torej lotili ravno teh težav. ( 30 ) Sodišče je v zadevi Google (Ozemeljski obseg odstranitve povezav) poudarilo pomen mehanizmov sodelovanja in skladnosti za pravilno in koherentno uporabo Splošne uredbe o varstvu podatkov in njihovo zavezujočo naravo. ( 31 ) Bolj nedavno je generalni pravobranilec H. Saugmandsgaard Øe v zadevi Facebook Ireland in Schrems prav tako poudaril, da so mehanizmi sodelovanja in skladnosti, določeni v poglavju VII Splošne uredbe o varstvu podatkov, zasnovani tako, da preprečijo tveganje, da bi številni nadzorni organi imeli različne pristope v zvezi s čezmejno obdelavo. ( 32 )

81.

Res je, da sta – kot poudarja OVP – med zakonodajnim postopkom tako Svet kot Parlament poskušala omejiti pristojnosti VNO, kot si jih je prvotno zamislila Komisija. Vendar spremembe, ki so bile nazadnje uvedene v končno besedilo Splošne uredbe o varstvu podatkov, ne mečejo sence dvoma glede zgoraj opisane razlage te uredbe, temveč jo potrjujejo.

82.

Glede na prvotni predlog Komisije je mehanizem „vse na enem mestu“ pomenil, da mora biti pri čezmejni obdelavi en sam nadzorni organ (VNO) odgovoren za spremljanje dejavnosti upravljavca ali obdelovalca po vsej Evropski uniji in za sprejemanje odločitev v zvezi s tem. ( 33 ) Ta predlog pa je sprožil razprave v Svetu in Parlamentu.

83.

Svet se je nazadnje strinjal z besedilom iz predloga, ki ga je dalo predsedstvo. ( 34 ) V tem predlogu se nikakor ni podvomilo o mehanizmu „vse na enem mestu“ kot takem, Svet pa ga je označil kot „enega od osrednjih stebrov“ novega pravnega okvira. ( 35 ) Predlog predsedstva je nazadnje pripeljal predvsem do dveh vrst precej posebnih sprememb.

84.

Prvič, Svet je želel uvesti nekatere izjeme od splošne pristojnosti VNO: v zvezi z obdelavo, ki jo izvajajo javni organi, in v zvezi z lokalnimi primeri. Svet je torej predlagal, da se dodata dve določbi, ki ju ni bilo v predlogu Komisije ( 36 ) in ki sta zdaj člen 55(2) in člen 56(2) Splošne uredbe o varstvu podatkov. ( 37 )

85.

Drugič, Svet je nameraval omiliti vlogo in pristojnost VNO, tako da je naredil postopek bolj vključujoč. Besedilo predloga Komisije se je štelo za nekoliko dvoumno v zvezi s tem in bi verjetno pripeljalo do izključne pristojnosti VNO v zvezi s čezmejno obdelavo podatkov. V besedilo je bilo dodanih nekaj popravkov, zato da se poveča „bližina“ med posamezniki, na katere se nanašajo osebni podatki, in nadzornimi organi. ( 38 ) Med drugim se je precej povečalo sodelovanje drugih nadzornih organov v postopku odločanja.

86.

Po drugi strani je Evropski parlament prav tako podprl vzpostavitev mehanizma „vse na enem mestu“ z večjo vlogo VNO, vendar je predlagal, naj se okrepi sistem sodelovanja med nadzornimi organi. Tako obrazložitev k osnutku poročila Parlamenta ( 39 ) kot tudi zakonodajna resolucija Evropskega parlamenta z dne 12. marca 2014 ( 40 ) sta v zvezi s tem precej jasni.

87.

S posredovanjem Sveta in Evropskega parlamenta se je mehanizem „vse na enem mestu“, ki se je prej močno nagibal k VNO, spremenil v bolj uravnotežen mehanizem z dvema stebroma: vodilna vloga VNO v zvezi s čezmejno obdelavo je ohranjena, vendar jo zdaj spremlja okrepljena vloga drugih nadzornih organov, ki dejavno sodelujejo v postopku prek mehanizmov sodelovanja in skladnosti, ter vloga Odbora kot razsodnika in vodnika v primeru nesoglasja.

88.

Teleološka in zgodovinska razlaga Splošne uredbe o varstvu podatkov torej potrjujeta pomen mehanizma „vse na enem mestu“ in torej splošno pristojnost VNO v zvezi s čezmejno obdelavo podatkov. Razlage določb navedene uredbe, ki so jo podali OVP in nekatere vlade, ni mogoče uskladiti z namenom zakonodajalca Unije, kakor ga je mogoče izpeljati iz preambule in določb te uredbe ter iz pripravljalnih gradiv.

89.

Zato ugotavljam, da jezikovni, sistematični, teleološki in zgodovinski pristop k razlagi upoštevnih določb Splošne uredbe o varstvu podatkov potrjujejo, da morajo nadzorni organi upoštevati pravila o pristojnosti ter o mehanizmih in postopkih sodelovanja in skladnosti, določenih v tej uredbi. Ti organi morajo, ko se srečajo s čezmejno obdelavo, ukrepati v okviru, ki ga določa ta uredba.

90.

Vendar so OVP in nekatere vlade navedli dve vrsti dodatnih argumentov, ki so po njihovem mnenju v prid krepitvi pooblastil vseh nadzornih organov, da ukrepajo enostransko, celo v zvezi s čezmejno obdelavo. V naslednjih razdelkih bom pojasnil, zakaj se zaradi teh argumentov ne sme podvomiti o razlagi Splošne uredbe o varstvu podatkov, ki sem jo predlagal zgoraj, zagotovo pa ne v tem trenutku.

91.

OVP vztraja pri stališču, da je neomejeno pooblastilo nadzornih organov, da začnejo postopek proti obdelovalcem in upravljavcem, tudi če gre za čezmejno obdelavo, nujno za zagotavljanje skladnosti s členi 7, 8 in 47 Listine. Zdi se, da obstajata dva glavna pomisleka, na katerih temeljijo argumenti OVP v zvezi s tem, čeprav nobeden od pomislekov ni bil v celoti izražen v njegovem stališču. ( 41 )

92.

Zdi, se, da se prvi pomislek OVP nanaša na zmanjšanje števila organov, ki lahko ukrepajo v zvezi z danim ravnanjem. Zdi se, da je v tej trditvi tiha domneva, in sicer da visoka raven varstva zahteva številčnost organov, ki lahko zagotavljajo skladnost s Splošno uredbo o varstvu podatkov, celo z vzporednim ukrepanjem. Preprosto povedano, več ko je organov pregona, večja je raven varstva.

93.

Menim, da to ni nujno tako, vsaj kar zadeva raven varstva.

94.

Res je, da – kot je navedlo Sodišče – zakonodaja Unije v zvezi z varstvom podatkov v povezavi s členoma 7 in 8 Listine poskuša zagotoviti visoko raven varstva, med drugim, temeljne pravice do spoštovanja zasebnega življenja v zvezi z obdelavo osebnih podatkov. ( 42 )

95.

Kljub temu je zakonodajalec Unije zavzel stališče, da je za zagotovitev „visoke ravni varstva fizičnih oseb“ potreben „trden in skladnejši okvir varstva podatkov“. ( 43 ) V ta namen naj bi okvir, vzpostavljen s Splošno uredbo o varstvu podatkov, zagotovil doslednost na vseh ravneh: za fizične osebe, gospodarske subjekte, upravljavce in obdelovalce, pa tudi za nadzorne organe. ( 44 ) V zvezi z zadnjenavedenimi poskuša ta uredba, kot je potrjeno v uvodni izjavi 116, spodbujati „tesnejše sodelovanje“ med njimi. ( 45 )

96.

Zato je – drugače, kot je trdil OVP – prizadevanje za visoko raven varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki – z vidika zakonodajalca Unije – popolnoma v skladu z delovanjem zgoraj opisanega mehanizma „vse na enem mestu“. Mehanizma sodelovanja in skladnosti, določena v Splošni uredbi o varstvu podatkov, bi morala s tem, da omogočata skladnejši, učinkovitejši in preglednejši pristop k zadevi, prispevati k odločnejšemu zavzemanju za pravice, ki so med drugim določene v členih 7 in 8 Listine, in k njihovemu varovanju.

97.

Povedano drugače, skladna in enotna raven varstva zagotovo ne preprečuje, da bi bilo varstvo zagotovljeno na visoki ravni. Gre preprosto za vprašanje, kam naj se postavi to enotno merilo. Navsezadnje je vprašljivo, ali bi soobstoj več nepovezanih in morebiti nasprotujočih si ukrepov nadzornih organov resnično pomagal pri cilju zagotavljanja visoke ravni varstva posameznikovih pravic. Lahko bi rekli, da skladnost in jasnost, ki ju zagotavljajo usklajeni nadzorni organi, bolje služita temu cilju.

98.

Drugi pomislek, ki ga izraža OVP, sproža vprašanja glede bližine med posamezniki, ki vložijo pritožbo, in organi, ki bodo na koncu ukrepali v odgovor na to pritožbo. V bistvu gre za vprašanje, ali lahko posamezniki dejansko začnejo postopek zaradi ukrepanja ali neukrepanja nadzornih organov v zvezi z njihovimi pritožbami.

99.

Člen 78 Splošne uredbe o varstvu podatkov namreč potrjuje pravico fizičnih ali pravnih oseb do učinkovitega pravnega sredstva zoper nadzorni organ. Da bi bila pravna sredstva, določena v Splošni uredbi o varstvu podatkov, v skladu s členom 47 Listine, tudi ne smejo od posameznikov, na katere se nanašajo osebni podatki, zahtevati, da ravnajo v skladu s podrobnimi pravili, ki lahko glede na to, da imajo status fizičnih oseb, nesorazmerno vplivajo na njihovo pravico do pravnega sredstva (na primer z večanjem stroškov ali prelaganjem tožbe). ( 46 )

100.

Vendar nobeden od (precej nedoločnih) argumentov, ki jih je navedla vsaka stranka v zvezi s tem, ne pojasnjuje nedvoumno, zakaj bi bila razlaga Splošne uredbe o varstvu podatkov, ki so jo navedle družba Facebook, češka in finska vlada ter Komisija, v nasprotju s členom 47 Listine.

101.

Za začetek Splošna uredba o varstvu podatkov izrecno določa pravico posameznikov, na katere se nanašajo osebni podatki, da začnejo postopek proti upravljavcem in obdelovalcem ter nadzornim organom. V strukturnem smislu torej ni očitno, zakaj navedena uredba ne bi bila v skladu s členom 47 Listine.

102.

Kar zadeva pravico posameznikov, na katere se nanašajo osebni podatki, da začnejo postopek proti upravljavcem in obdelovalcem, imajo ti na izbiro, da začnejo postopek pred sodišči države članice, v kateri ima upravljavec ali obdelovalec sedež ali v kateri prebivajo posamezniki, na katere se nanašajo osebni podatki. ( 47 ) To pravilo se zdi precej v prid posameznikom, na katere se nanašajo osebni podatki, ali pa je zanje vsaj neproblematično. ( 48 )

103.

Kar zadeva pravico posameznikov, na katere se nanašajo osebni podatki, da začnejo postopek proti nadzornim organom, je položaj bolj zapleten. Prvič, posameznikom, na katere se nanašajo osebni podatki, je dana pravica, da izpodbijajo tako ukrepanje kot tudi neukrepanje nadzornih organov. Zlasti lahko ukrepajo proti vsakemu nadzornemu organu, ki „ne obravnava pritožbe, jo v celoti ali deloma zavrže ali zavrne ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki“. ( 49 )

104.

Vendar je treba tožbe proti nadzornim organom, drugače kot v primeru tožbe proti upravljavcem in obdelovalcem, vložiti pri sodiščih države članice, v kateri ima nadzorni organ sedež. ( 50 ) Čeprav se za to pravilo lahko zdi, da je manj v prid posameznikom, je treba upoštevati, da v skladu s členom 60(8) in (9) Splošne uredbe o varstvu podatkov, kadar se pritožba, ki jo je vložil posameznik, na katerega se nanašajo osebni podatki, v celoti ali deloma zavrže ali zavrne, upoštevno odločbo sprejme nadzorni organ, pri katerem je ta posameznik vložil pritožbo, in ta organ tega posameznika o njej uradno obvesti. Tako je ne glede na to, ali je ta organ VNO ali ne, s čimer se posamezniku, na katerega se nanašajo osebni podatki, (po potrebi) omogoči, da začne postopek v svoji državi članici.

105.

Zdi se, da je poseben namen teh mehanizmov za prehod pristojnosti za sprejemanje odločitev in po potrebi morebiti za sprejemanje dvostopenjskih odločitev (VNO v razmerju do upravljavca ali obdelovalca in lokalni organ v razmerju do pritožnika) preprečiti, da bi posamezniki, na katere se nanašajo osebni podatki, morali „krožiti“ po sodnih dvoranah Evropske unije, da bi začeli postopek proti nedejavnim nadzornim organom.

106.

Kljub temu priznam, da lahko taka rešitev sproži številna praktična vprašanja. Kakšna bo pravzaprav vsebina vsake od teh odločitev? Ali bi bila vsebina enaka ( 51 ) ali drugačna? Ali bi se posamezniku, na katerega se nanašajo osebni podatki, dovolilo, da izpodbija vsa vprašanja, za katera meni, da se nanašajo na njegov primer, celo tista, o katerih dejansko odloča VNO? Ali pa bi bila odločitev nadzornega organa, pri katerem je posameznik, na katerega se nanašajo osebni podatki, vložil pritožbo, v glavnem prazna lupina, ki bi posameznikovo pritožbo obravnavala zgolj formalno, celotna dejanska vsebina pa bi bila vsebovana v odločbi VNO? Ali bi v tem primeru moral posameznik, na katerega se nanašajo osebni podatki, da bi imel dostop do dejansko „učinkovitega pravnega sredstva“ v smislu člena 78 Splošne uredbe o varstvu podatkov in člena 47 Listine, v vsakem primeru začeti postopek pri sodiščih države članice, v kateri ima VNO sedež? Kako bi pravila o dostopu do učinkovitega pravnega sredstva delovala v zvezi s preverjanjem vseh osnovnih odločitev bodisi na horizontalni ravni (med nadzornimi organi, ki ukrepajo skupaj) bodisi na vertikalni ravni (kar zadeva preverjanje mnenja ali odločitve Odbora v okviru mehanizma za skladnost pred končno odločbo nadzornega organa, na katero ima dejansko verjetno vpliv)? ( 52 )

107.

Kočljivih vprašanj ne manjka. Praktične izkušnje lahko nekega dne razkrijejo resnične težave s kakovostjo ali celo stopnjo zakonskega varstva, ki so del tega novega sistema. Vendar so trenutno te težave na ravni ugibanja. Na tej stopnji in zagotovo v tem postopku Sodišču niso bili predloženi nobeni dokazi, ki bi kazali na dejanske težave v tem smislu.

108.

OVP v bistvu trdi, da zagotavljanja izvajanja Splošne uredbe o varstvu podatkov v čezmejnih primerih ni mogoče prepustiti skoraj samo VNO in posameznikom, na katere se nanašajo osebni podatki in ki jih obdelava lahko prizadene. Naloga prav vsakega nadzornega organa naj bi bila, da ukrepa z namenom varstva pravic posameznikov, ki jih obdelava podatkov lahko prizadene. Zlasti naj nadzorni organ ne bi mogel dobro izpolnjevati svoje naloge, če bi bila na vsaki stopnji odločitev, ali naj ukrepa proti domnevni kršitvi in na kakšen način, v diskreciji drugega organa.

109.

Menim, da ta argument v bistvu pomeni neposredno izpodbijanje novega mehanizma sodelovanja, uvedenega s Splošno uredbo o varstvu podatkov. Moj odgovor na to je dvoplasten: na eni strani, kar zadeva plast obstoječega prava, bi bilo mogoče reči, da navedena uredba vsebuje mehanizme, usmerjene v preprečevanje takih scenarijev. Na drugi strani, kar zadeva resnično delovanje in učinke novih sistemov, so taki strahovi na tej stopnji preuranjeni in hipotetični.

110.

Prvič, že na začetku bi bilo treba pojasniti, da dejstvo, da nadzorni organ v zvezi z določenim upravljavcem ali obdelovalcem ni VNO, nikakor ne pomeni – kot trdi OVP – da kršitev Splošne uredbe o varstvu podatkov, ki pomenijo kaznivo dejanje, ni mogoče ustrezno preganjati. Pooblastilo za „seznanitev sodnih organov s temi kršitvami“, določeno v členu 58(5), očitno vključuje pooblastilo, da se poveže z organi kazenskega pregona, kot je na primer državno tožilstvo. To pooblastilo je v skladu z nalogo nadzornih organov, da spremljajo in izvajajo uporabo navedene uredbe na svojem ozemlju, ter ne posega v dejansko delovanje mehanizmov za sodelovanje in skladnost, določenih v poglavju VII te uredbe. V zvezi s tem skorajda ni treba poudariti, da čeprav sta ta mehanizma obvezna za nadzorne organe, se ne uporabljata za organe drugih držav članic, zlasti tistih, katerih naloga je pregon kaznivih dejanj.

111.

Drugič in še pomembneje, če se sistem, vzpostavljen s Splošno uredbo o varstvu podatkov, gleda v celoti, je precej jasno, da VNO ni edini, ki zagotavlja izvajanje te uredbe v čezmejnih primerih. VNO je bolj primus inter pares. Na splošno bo VNO lahko ukrepal (upravno ali sodno) samo s soglasjem ZNO. V postopku, določenem s členom 60 Splošne uredbe o varstvu podatkov, mora VNO pridobiti soglasje. ( 53 ) Mnenj ZNO ne more ignorirati. Ne samo, da je VNO dolžan „ustrezno upoštevati“ ta mnenja, ampak ima tudi vsak formalni ugovor ZNO učinek začasne blokade sprejetja osnutka odločitve VNO. Nazadnje vsako vztrajno razhajanje mnenj organov razrešuje poseben organ (Odbor), ki ga sestavljajo predstavniki vseh nadzornih organov Unije. Torej položaj VNO ni v zvezi s tem nič močnejši od položaja katerega koli drugega organa. ( 54 )

112.

Kot je navedel nekdanji Evropski nadzornik za varstvo podatkov P. Hustinx, se v shemi Splošne uredbe o varstvu podatkov vloga VNO „ne bi smela šteti za izključno pristojnost, ampak za strukturiran način sodelovanja z drugimi krajevno pristojnimi nadzornimi organi“. ( 55 ) Splošna uredba o varstvu podatkov določa deljeno odgovornost za spremljanje uporabe te uredbe in zagotavljanje njene skladne uporabe. V ta namen so nadzornim organom dodeljene naloge in določena pooblastila; podeljene so jim določene pravice, hkrati pa so jim naložene določene obveznosti. Med temi obveznostmi je predvsem obveznost, da sledijo določenim postopkom in mehanizmom, zasnovanim za zagotavljanje skladnosti. Želje organa po „solističnem“ pristopu ( 56 ) v zvezi s (sodnim) izvrševanjem Splošne uredbe o varstvu podatkov, ne da bi sodeloval z drugimi organi, ni mogoče uskladiti niti z besedilom niti z namenom te uredbe.

113.

Kot je omenjeno v točkah 76 in 77 zgoraj, je Splošna uredba o varstvu podatkov zgrajena na občutljivem ravnotežju med potrebo po zagotavljanju visoke ravni varstva fizičnih oseb in potrebo po odpravljanju ovir za pretok osebnih podatkov v Uniji. Ta dva cilja sta, kot je očitno zlasti iz uvodne izjave 10 in člena 1(1) Splošne uredbe o varstvu podatkov, neločljivo povezana. Kot Sodišče vedno znova poudarja že od prvih sodb na področju varstva podatkov, morajo nacionalni nadzorni organi torej zagotavljati dobro ravnotežje med njima. ( 57 ) Člen 51(1) Splošne uredbe o varstvu podatkov pri opredelitvi naloge nadzornih organov izraža ta pristop. ( 58 )

114.

Tretjič, Splošna uredba o varstvu podatkov ne določa samo mehanizmov, za ureditev razhajanj v zvezi z načinom izvrševanja, torej s posredovanjem med pozitivnimi nasprotnimi stališči in mnenji nadzornih organov. Prav tako vključuje mehanizme za premagovanje primerov upravne pasivnosti. To so zlasti primeri, v katerih VNO – zaradi pomanjkanja strokovnosti in/ali kadra ali iz katerega koli drugega razloga – enostavno ne sprejme nobenih resnih ukrepov, da bi preiskal morebitne kršitve Splošne uredbe o varstvu podatkov in po potrebi zagotovil izvajanje njenih pravil.

115.

Načeloma Splošna uredba o varstvu podatkov v primerih čezmejne obdelave zahteva, da VNO ukrepa takoj. Natančneje, VNO mora v skladu s členom 60(3) navedene uredbe „brez odlašanja posred[ovati] ustrezne informacije o zadevi drugim zadevnim nadzornim organom [in jim] brez odlašanja predloži[ti] osnutek odločitve, s čimer jih zaprosi za mnenje, ki ga ustrezno upošteva“. ( 59 )

116.

Če VNO ne ravna v skladu s to obveznostjo ali če na splošno ne ukrepa, ko bi moral, se postavi vprašanje, ali obstaja kakšno sredstvo za ZNO, ki so pripravljeni nadaljevati preiskavo in po možnosti izvršilne ukrepe. ( 60 ) Menim, da obstajata vsaj dve različni poti, ki jima ti organi lahko sledijo, pri čemer se ti med seboj ne izključujeta.

117.

Na eni strani lahko v skladu s členom 61(1) in (2) Splošne uredbe o varstvu podatkov nadzorni organ od drugega nadzornega organa zahteva, da zagotovi „informacije in medsebojno pomoč, da dosledno izvaja[..] in uporablja[…] to uredbo“. ( 61 ) Ta zahteva ima lahko obliko zahteve za informacije, vključno z informacijami „o poteku preiskave“, ali druge ukrepe pomoči (na primer izvajanje pregledov in preiskav ali uvedba ukrepov za učinkovito sodelovanje). Vsak nadzorni organ mora odgovoriti na tako zahtevo „brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve“.

118.

V skladu s členom 61(5) in (8) Splošne uredbe o varstvu podatkov, če v navedenem roku ni odgovora ali če se zahteva zavrne, lahko nadzorni organ, ki je zahtevo poslal, „v skladu s členom 55(1) sprejme začasen ukrep na ozemlju države članice, za katero je pristojen“. V takih primerih „se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujna zavezujoča odločitev odbora“. ( 62 )

119.

Zdi se mi, da lahko ta mehanizem uporabi (in je verjetno tudi mišljeno, da ga uporabi ( 63 )) tudi ZNO v razmerju do VNO. Če VNO ne ukrepa v določenem primeru čezmejne obdelave, kljub temu da je v zvezi s tem dobil zahtevo ZNO, lahko torej zadnjemu omogoči, da sprejme nujne ukrepe, ki se štejejo za potrebne za varstvo interesov posameznikov, na katere se nanašajo osebni podatki. Obstoj izjemnih okoliščin, ki utemeljujejo nujno potrebo po ukrepanju, se dejansko domneva in ga ni treba dokazovati.

120.

Na drugi strani člen 64(2) Splošne uredbe o varstvu podatkov kateremu koli nadzornemu organu (ali predsedniku Odbora ali Komisiji) omogoča, da „zahteva, da katero koli zadevo splošne uporabe ali z učinkom v več kot eni državi članici preuči odbor, ki da mnenje, zlasti kadar pristojni nadzorni organ ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 61 […]“. ( 64 )

121.

Ni popolnoma jasno, ali bi bila odločitev Odbora za zadevni VNO zakonsko zavezujoča. ( 65 ) Vendar lahko v skladu s členom 65(1)(c) Splošne uredbe o varstvu podatkov, kadar pristojni nadzorni organ ne upošteva mnenja Odbora, izdanega na podlagi člena 64, vsak ZNO (ali Komisija) o zadevi obvesti Odbor in tako začne postopek reševanja spora, določen v ta namen. Ta zadnji postopek bi nazadnje prinesel zavezujočo odločitev. ( 66 )

122.

Glede na to je treba priznati, da sta zgoraj opisana mehanizma (člena 61 in 66 Splošne uredbe o varstvu podatkov na eni strani ter člena 64 in 65 iste uredbe na drugi) nekoliko nerodna. Njuno dejansko delovanje ni vedno kristalno jasno. Tako da, če se zgoraj navedene določbe na papirju zdijo primerne za preprečevanje teh težav, bo samo prihodnja uporaba teh določb pokazala, ali se bodo te določbe v praksi izkazale za „papirnatega tigra“.

123.

S tem se vrnem na drugo plast argumenta, ki je bil naveden v zvezi z nezadostnim zagotavljanjem izvajanja ter je, trenutno zagotovo, precej hipotetičen in neutemeljen. Moram priznati, da bi bil po mojem mnenju celoten sistem zrel za veliko revizijo, če bi se uresničile nevarnosti v zvezi z nezadostnim zagotavljanjem izvajanja Splošne uredbe o varstvu podatkov, ki so jih navedli OVP in nekateri drugi intervenienti.

124.

S strukturnega zornega kota bi to dejansko bilo tako, če bi nova struktura pripeljala do regulativnih „gnezd“ za določene subjekte, ki bi jih po tem, ko so sami dejansko izbrali svojega nacionalnega regulatorja, s tem ko so v Uniji izbrali svoj sedež, zadevni VNO dejansko varoval pred drugimi regulatorji, ne pa nadzoroval. Le peščica se ne bi strinjala, da bi bilo regulativno tekmovanje v obliki zniževanja standardov med državami članicami ravno tako nezdravo in nevarno kot regulativna nedoslednost – vrsta pomanjkanja usklajevanja in skladnosti, ki je bila značilna za prejšnji sistem. Mreža regulativnih ureditev bi lahko preprečila neskladnost in razhajanje, tako da bi spodbujala soglasje in sodelovanje. Vendar je cena za soglasje običajno blokada dejavnih organov, zlasti v sistemu, v katerem je potrebna visoka usklajenost za sprejetje kakršne koli odločitve. V takih sistemih lahko kolektivna odgovornost spodbudi kolektivno neodgovornost in nazadnje pasivnost.

125.

Vendar je v zvezi s takimi nevarnostmi pravni okvir, vzpostavljen s Splošno uredbo o varstvu podatkov, še vedno na začetku. Ni lahko napovedati – zlasti za sodišče v okviru enega oziroma dejansko precej edinstvenega postopka – kako bodo mehanizmi, vzpostavljeni s to uredbo, v praksi delovali in kako učinkoviti bodo. V takem okviru, podobno kot pri morebitnih težavah v zvezi z varstvom temeljnih pravic in razlago v skladu z Listino, ( 67 ) je potrebna previdnost.

126.

Menim, da bi bila slaba ideja, če bi Sodišče znatno spremenilo ta okvir – ki je (taktno in skrbno oblikovan) rezultat dolgega in intenzivnega zakonodajnega postopka – z razlago posameznih stavkov, iztrganih iz sobesedila ter za zdaj temelječih na domnevah in špekulacijah. To je še toliko bolj res, če gre za razlago, ki jo predlagajo nekatere stranke, in sicer da se v bistvu iz Splošne uredbe o varstvu podatkov vzamejo določeni ključni deli in se s tem de facto vrne v star sistem Direktive 95/46, ki ga je zakonodajalec Unije z institucionalnega vidika izrecno in jasno zavrgel.

127.

Ta povsem jasna zakonodajna zasnova, ki se kaže – kot izhaja iz prejšnjih razdelkov teh sklepnih predlogov – tako v besedilu kot v strukturi Splošne uredbe o varstvu podatkov ter v dokumentiranem zakonodajnem namenu, prav tako daje odgovor na druge morebitne strukturne pomisleke, kot so pomisleki glede ustreznega ravnotežja med javnim in zasebnim zagotavljanjem izvajanja pravil o varstvu podatkov in Splošne uredbe o varstvu podatkov. Ali je smiselno omejiti javno zagotavljanje izvajanja na en sam organ in torej na eno samo državo članico, do katerega bo prišlo le po dolgem in okornem upravnem postopku, medtem ko je verjetno, da se bo zasebno zagotavljanje izvajanja istih pravil zgodilo hitreje v praksi in pred (civilnimi) sodišči vseh držav članic? Ali naj imajo nacionalni nadzorni organi manj dostopa do sodišč kot vsak posamezni zasebni potrošnik? Ali ne bo večina zadev, ki se nanaša na varstvo podatkov, končala na nacionalnih sodiščih (in morebiti pred Sodiščem prek predhodnega odločanja), ko bodo postopek začele neposredno zasebne stranke, s čimer se bodo v celoti zaobšli nacionalni regulatorji, vzpostavljeni v ta namen, ker so ti nacionalni regulatorji še vedno v postopku sodelovanja in usklajevanja svojih položajev? Ali v takem sistemu ni nevarnosti, da bo zasebno zagotavljanje izvajanja v celoti nadomestilo javnega?

128.

Kakor koli že, zakonodajalec Unije je sprejel jasno institucionalno in strukturno odločitev in po mojem mnenju ni nobenega dvoma, kaj je želel doseči. V takih okoliščinah, če se izrazim metaforično, bi bilo treba vsaj za zdaj v dvomu ravnati v korist otroka. Če pa bi se to izkazalo za kvarno ter bi to dokazovali dejstva in trdni argumenti, ne verjamem, da bi Sodišče zamižalo na eno oko pri vsaki vrzeli, ki bi se zaradi tega pokazala v varstvu temeljnih pravic, zagotovljenih z Listino, in njihovem učinkovitem uveljavljanju s strani pristojnih regulatorjev. Ali bi še vedno šlo za stvar razlage določb sekundarnega prava, ki bi bila skladna z Listino, ali pa za stvar veljavnosti upoštevnih določb oziroma celo oddelkov instrumenta sekundarnega prava, je vprašanje za drugič.

129.

Vsi opisani elementi razlage torej kažejo na en in isti rezultat: VNO je splošno pristojen za čezmejno obdelavo. Vsi nadzorni organi (ne glede na svojo vlogo kot VNO ali ZNO) morajo ukrepati, zlasti v primeru čezmejne obdelave v skladu s postopki in mehanizmi, določenimi v Splošni uredbi o varstvu podatkov.

130.

Ali iz tega izhaja, da nadzorni organ, ki ni VNO, načeloma nikoli ne more ukrepati pred nacionalnimi sodišči proti upravljavcu ali obdelovalcu, kadar gre za čezmejno obdelavo?

131.

Ne, iz tega to ne izhaja.

132.

Prvič, nadzorni organi lahko seveda gredo pred nacionalno sodišče, če ukrepajo zunaj stvarne veljavnosti Splošne uredbe o varstvu podatkov, če je to dopustno v skladu z nacionalnim pravom, pravo Unije pa tega ne prepoveduje, na primer ker obdelava ne vključuje osebnih podatkov ali ker se osebni podatki obdelujejo v okviru dejavnosti, navedenih v členu 2(2) navedene uredbe. ( 68 )

133.

Drugič, kljub čezmejni naravi obdelave v primerih, določenih v členu 55(2) Splošne uredbe o varstvu podatkov (obdelava, ki jo izvajajo javni organi, pa tudi obdelava v javnem interesu ali pri izvajanju javne oblasti), je regulatorna pristojnost še naprej podeljena nadzornemu organu, ki po potrebi seveda vključuje tudi sposobnost začeti postopek pri sodišču.

134.

Tretjič, obstajajo zadeve, kjer kljub temu, da gre za čezmejno obdelavo osebnih podatkov, ki spada na področje uporabe Splošne uredbe o varstvu podatkov, noben nadzorni organ ne deluje kot VNO. Ker se mehanizem za sodelovanje in skladnost, določen v navedeni uredbi, uporablja samo za upravljavce, ki imajo en ali več sedežev v Evropski Uniji, ni nobenega VNO za čezmejno obdelavo s strani upravljavcev, ki nimajo sedeža v Evropski uniji. To pomeni, da imajo upravljavci, ki nimajo nobenega sedeža v Uniji, opravka z lokalnimi nadzornimi organi v vsaki državi članici, v kateri delujejo. ( 69 )

135.

Četrtič, vsak nadzorni organ lahko sprejme nujne ukrepe, če so izpolnjeni ustrezni pogoji. Poleg tega obstajajo primeri, v katerih se nujnost ukrepov domneva. To je lahko, na primer, v primerih, v katerih se ZNO morda sooča s trajno pasivnostjo odgovornega VNO. Ker člen 66(1) Splošne uredbe o varstvu podatkov predvideva vsesplošno situacijo poleg mehanizma za skladnost, je upravičeno domnevati, da je v taki izjemni situaciji celotna paleta pooblastil, podeljena nadzornemu organu (ki pa se v običajnih okoliščinah ne izvajajo, ker to preprečujejo posebna pravila o pristojnosti VNO za čezmejno obdelavo), obujena in jo je mogoče začasno izvajati. To torej seveda vključuje pooblastilo za začetek postopka v skladu s členom 58(5) Splošne uredbe o varstvu podatkov.

136.

Petič in zadnjič ter samo zaradi popolnosti bi bilo treba omeniti, da prav tako obstaja možnost, da nadzorni organ, ki je obvestil VNO, tudi lahko pridobi (ali bolje ohrani) pooblastilo, da gre na sodišče v primeru, v katerem se VNO odloči, da ne bo obravnaval zadeve v skladu s členom 56(5) Splošne uredbe o varstvu podatkov. Na prvi pogled bi zadnjenavedena določba lahko celo zajemala dejanski dogovor med obema nadzornima organoma glede tega, kateri je v boljšem položaju za obravnavo zadeve.

137.

Skratka, določbe Splošne uredbe o varstvu podatkov ne vključujejo nobene splošne prepovedi za druge nadzorne organe, zlasti ZNO, da začnejo postopek proti morebitnim kršitvam pravil o varstvu podatkov. Nasprotno, več primerov, v katerih imajo ti organi tako pooblastilo, je izrecno določenih v navedeni uredbi ali pa implicitno izhajajo iz nje. ( 70 )

138.

Vendar je na splošno izredno pomembno, da če se uporabijo postopki in mehanizmi, določeni v Splošni uredbi o varstvu podatkov (zlasti tisti iz poglavij VI in VII te uredbe), jih morajo tako VNO kot ZNO ustrezno upoštevati. Pravila Splošne uredbe o varstvu podatkov so zelo jasna v tem, da nobeden od organov ne more ukrepati zunaj tega pravnega okvira oziroma ob njegovem nespoštovanju.

139.

Glede na navedeno pa mora to, ali je OVP ravnal v skladu s temi postopki in mehanizmi v obravnavanem primeru ali ne – vprašanje, ki je sprožilo določeno razpravo na obravnavi, vendar ostaja nekoliko nejasno glede na posebno postopkovno ozadje te zadeve ( 71 ) – preveriti predložitveno sodišče.

140.

Torej bi moral biti odgovor na prvo vprašanje, da določbe Splošne uredbe o varstvu podatkov nadzornemu organu države članice dovoljujejo začeti postopek pred sodiščem te države zaradi zatrjevane kršitve te uredbe v zvezi s čezmejno obdelavo podatkov, kljub temu da ni VNO, če to stori v primerih, določenih v navedeni uredbi, in v skladu s postopki, določenimi v njej.

141.

Predložitveno sodišče s svojim drugim vprašanjem sprašuje, ali bi bil odgovor na prvo vprašanje drugačen, če upravljavec te čezmejne obdelave osebnih podatkov nima glavnega sedeža v tej državi članici, ima pa v njej drug sedež?

142.

Glede na odgovor, ki sem ga predlagal za prvo vprašanje, je odgovor, ki ga je treba dati na drugo vprašanje, precej jasen: načeloma ne, če je „glavni sedež“ v smislu člena 4(16) Splošne uredbe o varstvu podatkov dejansko v drugi državi članici.

143.

Dejstvo, da ima upravljavec sekundarni sedež v državi članici, načeloma ne vpliva na sposobnost lokalnega nadzornega organa, da začne sodni postopek v skladu s členom 58(5) Splošne uredbe o varstvu podatkov v zvezi z določeno čezmejno obdelavo. Povedano drugače, v primeru čezmejne obdelave podatkov obseg pooblastil, podeljenih nadzornemu organu, in način, kako bi bilo treba ta pooblastila izvajati, na splošno nista odvisna od tega, ali ima upravljavec ali obdelovalec, ki ima svoj glavni sedež v drugi državi članici, sedež tudi v državi članici tega organa.

144.

Vendar se mora podobno temu, kar je že bilo navedeno zgoraj, ( 72 ) nacionalno sodišče kot pred to ugotovitvijo najprej prepričati, kateri sedež je dejansko glavni sedež za namene določenega postopka obdelave. V zvezi s tem člen 4(16) Splošne uredbe o varstvu podatkov omogoča dinamično razumevanje, ( 73 ) kaj se šteje za glavni sedež, ki se ne ujema nujno s statično korporativno strukturo podjetja.

145.

Dalje, dejstvo, da ima upravljavec ali obdelovalec (sekundarni) sedež na ozemlju nadzornega organa, pomeni, da je ta organ ZNO v smislu člena 4(22) Splošne uredbe o varstvu podatkov. ZNO imajo pomembna pooblastila v okviru postopkov, določenih v poglavju VII navedene uredbe. ( 74 )

146.

Poleg tega člen 56(2) Splošne uredbe o varstvu podatkov določa odstopanje od splošne pristojnosti VNO v zvezi s čezmejno obdelavo: „vsak nadzorni organ [je] pristojen za obravnavo pritožbe, vložene pri njem, ali morebitne kršitve [Splošne uredbe o varstvu podatkov], če se vsebina nanaša zgolj na sedež v njegovi državi članici ali znatno vpliva na posameznike, na katere se nanašajo osebni podatki, samo v njegovi državi članici“. To pristojnost pa je treba izvajati v skladu s postopkom, določenim v odstavkih od 3 do 5 te določbe. ( 75 )

147.

S tretjim vprašanjem predložitveno sodišče sprašuje, ali bi bil odgovor na prvo vprašanje drugačen, če nacionalni nadzorni organ začne postopek proti glavnemu sedežu upravljavca ali proti sedežu, ki je v njegovi državi članici.

148.

Glede na odgovor, ki ga predlagam na prvo vprašanje in v delu, v katerem se tretje vprašanje dejansko ne prekriva z drugim vprašanjem, je treba na tretje vprašanje prav tako odgovoriti nikalno.

149.

Naj ponovim, če iz dejstev v tej zadevi dejansko izhaja, da je glavni sedež za določen postopek obdelave v skladu s členom 4(16) Splošne uredbe o varstvu podatkov dejansko v drugi državi članici, nacionalni nadzorni organ države članice, v kateri je sedež upravljavca, ni VNO, lahko pa postane ZNO. Vendar v okviru te presoje pristojnost nadzornega organa, da ukrepa, ni odvisna od tega, ali se postopek začne proti glavnemu sedežu upravljavca ali proti sedežu v državi članici tega organa. ( 76 )

150.

Zaradi celovitosti naj dodam, da je besedilo člena 58(5) Splošne uredbe o varstvu podatkov široko in ne določa natančno subjektov, proti katerim bi nadzorni organi morali ukrepati oziroma bi lahko ukrepali. To je pripeljalo do zanimive razprave v vlogah nekaterih strank v zvezi z vprašanjem, ki po mojem mnenju sicer ni nepomembno, ga pa v tej zadevi Sodišču ni treba obravnavati. Vprašanje je, ali lahko nadzorni organi, če so dejansko pristojni za to v skladu s pravili Splošne uredbe o varstvu podatkov, ukrepajo samo proti sedežu(em) upravljavca ali obdelovalca na njihovem ozemlju ali pa lahko ukrepajo tudi proti sedežem v tujini?

151.

Na eni strani belgijska, italijanska in poljska vlada poudarjajo, da člen 55(1) Splošne uredbe o varstvu podatkov omejuje teritorialno pristojnosti vsakega nadzornega organa na njegovo ozemlje. Iz tega sklepajo, da lahko nadzorni organi ukrepajo samo proti sedežem na njihovem ozemlju.

152.

Vendar menim, da besedilo ni tako jasno: nanaša se na izvajanje pooblastil, podeljenih s to uredbo, „na ozemlju svoje države članice“. Te določbe ne razumem nujno tako, da preprečuje ukrepanje proti sedežu, ki je v drugi državi članici. Element teritorialnosti, ki je vključen v člen 55(1) Splošne uredbe o varstvu podatkov v povezavi s celotnim področjem uporabe Uredbe, kakor je določeno v njenem členu 1(1) in členu 3, in ki sproži pristojnost nadzornega organa v določenem primeru, se nanaša na učinke obdelave podatkov na ozemlju države članice. Ta element ne deluje kot omejitev za ukrepe proti upravljavcem ali obdelovalcem, ki imajo sedež zunaj nacionalnih meja.

153.

Na drugi strani OVP predlaga, da ima vsak organ pooblastilo, da ukrepa zaradi vseh kršitev Splošne uredbe o varstvu podatkov, do katerih pride na njegovem ozemlju, ne glede na to, ali ima upravljavec ali obdelovalec sedež na njegovem ozemlju. To pomeni, da bi moral organ imeti možnost začeti postopek proti sedežem v tujini. V zvezi s tem se OVP sklicuje na sodbo Sodišča v zadevi Wirtschaftsakademie Schleswig-Holstein. ( 77 ) V tej sodbi je Sodišče ugotovilo, da člena 4 in 28 Direktive 95/46 nadzornim organom države članice omogočata, da izvajajo pooblastilo za začetek sodnega postopka v zvezi s sedežem tega podjetja, ki je na ozemlju te države članice. To je bilo tako, čeprav je bila ta poslovna enota zadolžena samo za prodajo oglasnega prostora in druge ukrepe trženja na ozemlju navedene države članice, medtem pa je bila za zbiranje in obdelavo osebnih podatkov za celotno ozemlje Unije izključno odgovorna poslovna enota, ki je v drugi državi članici.

154.

OVP pravilno trdi, da bi morala v delu, v katerem Splošna uredba o varstvu podatkov v zvezi s tem vključuje določbe, podobne določbam Direktive 95/46, ( 78 ) načela, ki jih je Sodišče določilo v zadevi Wirtschaftsakademie Schleswig‑Holstein, veljati mutatis mutandis tudi v zvezi z navedeno uredbo. Vendar je bilo v tej sodbi pojasnjeno samo, kdaj lahko organ toži lokalno poslovno enoto, kljub temu da je obdelavo (njen glavni del) izvajala poslovna enota, ki je bila drugje v Uniji. Ta sodba ni izrecno niti potrdila niti izključila, da bi lahko nadzorni organ ukrepal tudi proti zadnjenavedeni enoti.

155.

Kljub temu se mi zdi, da novi mehanizem „vse na enem mestu“ s tem, ko vzpostavi osrednjo točko zagotavljanja izvajanja, nujno pomeni, da lahko nadzorni organ ukrepa tudi proti subjektom, ki so v tujini. Nisem prepričan, da bi lahko novi sistem pravilno deloval, če bi se preprečila možnost, da organi, zlasti VNO, ukrepajo proti sedežu, ki je drugje. ( 79 )

156.

S četrtim vprašanjem predložitveno sodišče sprašuje, ali bi se odgovor na prvo vprašanje razlikoval, če je nacionalni nadzorni organ tožbo vložil že pred datumom, ko se je začela uporabljati Splošna uredba o varstvu podatkov.

157.

Na začetku naj poudarim, da v Splošni uredbi o varstvu podatkov ni nobenih prehodnih ali drugih določb, ki urejajo status sodnega postopka, ki že teče, ko nov pravni okvir začne veljati.

158.

Glede na zgoraj navedeno bi moral biti po mojem mnenju odgovor na to vprašanje „odvisno“.

159.

Na eni strani, če upravljavci ali obdelovalci kršijo pravila o varstvu podatkov, te kršitve pa so se zgodile pred datumom začetka uporabe Splošne uredbe o varstvu podatkov, menim, da se lahko ti postopki nadaljujejo. Ne vidim nobenega pravega razloga, zaradi katerega bi bili organi prisiljeni, da prenehajo izvajati ukrepe za zagotavljanje izvrševanja, ki se nanašajo na preteklo ravnanje, ki je bilo (domnevno) nezakonito, ko je bilo storjeno, in zoper katero so (takrat) lahko ukrepali. Drugačna rešitev bi pripeljala do neke vrste amnestije v zvezi z določenimi kršitvami zakonodaje o varstvu podatkov.

160.

Na drugi strani pa se pojavi drugačen položaj v zvezi z ukrepi, ki so bili sprejeti zoper kršitve, ki se še niso uresničile, saj se dogajajo po datumu začetka uporabe Splošne uredbe o varstvu podatkov. ( 80 ) S tega vidika se tako kot vsakič, ko se nova pravila uporabljajo za primere, ki nastajajo pod novo pravno ureditvijo, nova materialnopravna pravila uporabijo samo za dejanska stanja, ki nastanejo po začetku uporabe novega instrumenta. ( 81 )

161.

Predložitveno sodišče mora ugotoviti, kateri od obeh scenarijev dejansko odraža trenutno stanje postopka v glavni stvari. ( 82 ) V primeru prvega scenarija bi predlagal, da se tekoči postopki lahko nadaljujejo, zagotovo z vidika prava Unije, pri čemer se omejijo na morebitno ugotovitev preteklih kršitev. V primeru drugega scenarija bi bilo treba nacionalne postopke prekiniti. Novi okvir je namreč vzpostavil drugačen sistem pristojnosti in pooblastil, zaradi česar ZNO ne morejo ukrepati proti kršitvam, ki izvirajo iz čezmejne obdelave, razen v posebnih primerih ter v skladu s postopki in mehanizmi, določenimi v ta namen.

162.

Nasprotna rešitev bi pomenila de facto podaljšanje veljavnosti sistema, vzpostavljenega z Direktivo 95/46, kljub dejstvu, da sta ga tako pravo Unije kot tudi nacionalno pravo izrecno razveljavila in ga nadomestila z novim. Navsezadnje, če bi OVP dejansko lahko pridobili odredbo, s katero bi se družbi Facebook v prihodnosti (in pravzaprav za kako dolgo?) prepovedale prakse, ki so sporne v postopku v glavni stvari, ali ne bi to posegalo v pristojnost za (isto) ravnanje, ki je bila s Splošno uredbo o varstvu podatkov od 25. maja 2018 podeljena VNO in ZNO, po možnosti združeno z nasprotujočimi si odločitvami (ali sodnimi odredbami) iz različnih držav članic?

163.

Predložitveno sodišče s petim vprašanjem, ki ga je postavilo, če bi se na prvo vprašanje odgovorilo pritrdilno, poskuša razjasniti, ali ima člen 58(5) Splošne uredbe o varstvu podatkov neposredni učinek, tako da se lahko nacionalni nadzorni organ sklicuje nanj zato, da začne ali nadaljuje sodni postopek proti posameznim strankam, tudi če ta določba ni bila prenesena v nacionalno pravo.

164.

Če ponovim, člen 58(5) določa: „Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.“

165.

Družba Facebook ter češka in portugalska vlada poudarjajo, da ta določba očitno od držav članic zahteva, da nekaj storijo: da predvidijo določbe, ki organom omogočajo, da začnejo postopek. Da bi bilo pooblastilo organov, da začnejo postopek, popolnoma delujoče, bi bilo prav tako potrebnih nekaj nacionalnih pravil, s katerimi se med drugim določijo pristojna sodišča, pogoji za vložitev tožbe in postopki, ki se jim sledi.

166.

Glede na predlagani odgovor na prvo vprašanje na peto vprašanje dejansko ni treba odgovoriti. Vendar se zaradi popolnosti sam brez težav strinjam z OVP, da je normativna vsebina te konkretne določbe prava Unije precej nedvoumna in samoizvršljiva. V zvezi s tem je treba upoštevati, da ima na splošno določba prava Unije neposredni učinek, kadar koli je vsebinsko dovolj jasna, natančna in brezpogojna, da se je mogoče nanjo opreti zoper nasprotujoči nacionalni ukrep, ali kadar so z določbo opredeljene pravice, na katere se lahko posamezniki sklicujejo zoper državo. ( 83 )

167.

Poleg tega, da je določba vključena v uredbo (instrument, ki je v skladu s členom 288 PDEU „zavezujoč[…] v celoti in se neposredno uporablja v vseh državah članicah“ ( 84 )), se mi zdi, da je iz člena 58(5) Splošne uredbe o varstvu podatkov mogoče dejansko izluščiti konkretno in neposredno uporabljivo pravilo. To pravilo je zelo preprosto: nadzorni organi morajo imeti aktivno legitimacijo pred nacionalnimi sodišči, pri čemer jim je v nacionalnem pravu dana sposobnost, da začnejo sodni postopek. Tožbe, vložene pri nacionalnem sodišču, ni mogoče razglasiti za nedopustno iz razloga pomanjkanja pravne sposobnosti.

168.

Čeprav se strinjam z družbo Facebook ter češko in portugalsko vlado, da lahko države članice določijo posebna pravila, pogoje ali pristojnost za tožbe, ki jih vložijo nadzorni organi, taka pravila nikakor niso potrebna, da bi pravilo z neposrednim učinkom iz člena 58(5) Splošne uredbe o varstvu podatkov delovalo. Če se v nacionalno zakonodajo ne dodajo nobena pravila ad hoc, se bodo za vse tožbe, ki jih bodo vložili nadzorni organi, seveda uporabljala splošno veljavna pravila iz ustreznih nacionalnih postopkovnih zakonikov (pa naj bodo to zakoniki upravnega postopka ali celo splošno veljavni zakoniki civilnega postopka). Na primer, če ne bi bilo nobenih konkretnih izvedbenih pravil o pristojnosti, je tako varno domnevati, da bi se uporabilo splošno veljavno pravilo, ki se bo verjetno našlo v katerem koli zakoniku (civilnega) postopka, in sicer da je, razen če ni določeno drugače, pristojno sodišče kraja sedeža tožene stranke.

169.

S šestim in zadnjim vprašanjem predložitveno sodišče sprašuje, ali lahko v primeru, v katerem ima nacionalni nadzorni organ pooblastilo za ukrepanje, rezultat takih postopkov preprečuje vodilnemu nadzornemu organu, da ugotovi nasprotno, če vodilni nadzorni organ preiskuje enake ali podobne dejavnosti čezmejne obdelave v skladu z mehanizmom iz členov 56 in 60 Splošne uredbe o varstvu podatkov.

170.

Glede na odgovor, ki sem ga predlagal na prvo vprašanje, na to vprašanje ni treba odgovoriti.

171.

Vendar tema, ki jo odpira to vprašanje, ponovno kaže na to, zakaj bi bilo treba na prvo vprašanje odgovoriti tako, kot sem predlagal. Če bi se obvezna narava mehanizmov za skladnost in sodelovanje, določenih v Splošni uredbi o varstvu podatkov, odpravila, zaradi česar bi mehanizem „vse na enem mestu“ postal „neobvezen“ oziroma dejansko bolj neobstoječ, bi bila doslednost celotnega sistema močno prizadeta. Pravila o pristojnosti, ki so trenutno v navedeni uredbi, bi bila v bistvu nadomeščena s tem, da bi vsi nadzorni organi vzporedno „tekmovali, kdo bo prvi prišel do sodbe“. Na koncu bi potem tisti, ki bi „prvi prišel do“ pravnomočne sodbe v svoji jurisdikciji, postal dejanski VNO za preostalo Evropsko unijo, kot implicitno izhaja iz šestega vprašanja.

172.

Sodišču predlagam, naj na vprašanja, ki jih je predložilo Hof van Beroep te Brussel (pritožbeno sodišče v Bruslju, Belgija), odgovori: