–

za Ligue des droits humains ASBL in BA C. Forget, avocate,

–

za Organe de contrôle de l’information policière (OCIP) J. Bosquet in J.‑F. De Bock, advocaten,

–

za belgijsko vlado P. Cottin, J.‑C. Halleux, C. Pochet in A. Van Baelen, agenti, skupaj z N. Cariatom, C. Fischerjem, B. Lombaertom in J. Simba, avocats,

–

za češko vlado O. Serdula, M. Smolek in J. Vláčil, agenti,

–

za francosko vlado J. Illouz, agent,

–

za Evropski parlament S. Alonso de León, O. Hrstková Šolcová, P. López‑Carceller in M. Thibault, agenti,

–

za Evropsko komisijo A. Bouchagiar, H. Kranenborg, A.‑C. Simon in F. Wilman, agenti,

1

Predlog za sprejetje predhodne odločbe se nanaša, na eni strani, na razlago člena 8(3) in člena 47 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina) in, na drugi strani, na veljavnost člena 17 Direktive (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL 2016, L 119, str. 89, in popravek v UL 2018, L 127, str. 20) glede na zgoraj navedeni določbi Listine.

2

Ta predlog je bil vložen v okviru spora med Ligue des droits humains ASBL in osebo BA, na eni strani, ter Organe de contrôle de l’information policière (OCIP) (nadzorni organ za policijske informacije, Belgija), na drugi strani, zaradi uresničevanja – prek tega organa – pravic osebe BA v zvezi z osebnimi podatki, ki se nanašajo nanjo in ki jih obdelujejo belgijske policijske službe ter na podlagi katerih je Autorité nationale de sécurité (nacionalni varnostni organ, Belgija) zavrnil prošnjo za izdajo potrdila o varnostnem preverjanju, ki jo je vložila ta oseba.

3

V uvodnih izjavah 7, 10, 43, 46, 48, 75, 82, 85 in 86 Direktive 2016/680 je navedeno:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

4

Člen 1 te direktive, naslovljen „Predmet urejanja in cilji“, v odstavkih 1 in 2 določa:

„1.   V tej direktivi so določena pravila o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.

2.   Države članice v skladu s to direktivo:

5

Navedena direktiva vsebuje poglavje III, naslovljeno „Pravice posameznika, na katerega se nanašajo osebni podatki“, ki med drugim vsebuje člene od 13 do 17 te direktive. Ta člen 13, naslovljen „Informacije, ki se dajo na voljo ali zagotovijo posamezniku, na katerega se nanašajo osebni podatki“, v odstavku 1 določa obveznost držav članic, da določijo, da upravljavec posamezniku, na katerega se nanašajo osebni podatki, da na voljo nekatere minimalne informacije, kot so med drugim identiteta in kontaktni podatki upravljavca. Poleg tega so v odstavku 2 tega člena naštete dodatne informacije, za katere morajo države članice z zakonom določiti, da jih mora upravljavec zagotoviti posamezniku, na katerega se nanašajo osebni podatki, s čimer se mu omogoči uresničevanje njegovih pravic. Isti člen v odstavkih 3 in 4 določa:

„3.   Države članice lahko sprejmejo zakonodajne ukrepe za zadržanje, omejitev ali opustitev zagotovitve informacij posamezniku, na katerega se nanašajo osebni podatki, na podlagi odstavka 2, če in dokler je takšen ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

4.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, za katere se lahko v celoti ali delno uporablja katera koli točka iz odstavka 3.“

6

Člen 14 iste direktive, naslovljen „Pravica do dostopa posameznika, na katerega se nanašajo osebni podatki“, določa:

„Države članice v skladu s členom 15 določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da od upravljavca pridobi potrditev, da se v zvezi z njim obdelujejo osebni podatki, in da se mu v tem primeru zagotovi dostop do osebnih podatkov […].“

7

Člen 15 Direktive 2016/680, naslovljen „Omejitve pravice do dostopa“, določa:

„1.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi posamezniku, na katerega se nanašajo osebni podatki, popolnoma ali delno omejijo pravico do dostopa, in sicer če in dokler je taka delna ali popolna omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

2.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, za katere se lahko v celoti ali delno uporabljajo točke (a) do (e) odstavka 1.

3.   Države članice v primerih iz odstavkov 1 in 2 določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa in razlogih zanju. Te informacije se lahko izpustijo, če bi njihova zagotovitev ogrozila namen iz odstavka 1. Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri nadzornem organu ali o obstoju pravnega sredstva.

4.   Države članice določijo, da upravljavec dokumentira dejansko stanje ali pravne razloge, na katerih temelji odločitev. Ti podatki so na voljo nadzornim organom.“

8

Člen 16 te direktive, naslovljen „Pravica do popravka ali izbrisa osebnih podatkov in omejitev obdelave“, določa:

1.   Države članice določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže popravek netočnih osebnih podatkov v zvezi z njim. Države članice ob upoštevanju namena obdelave določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico do dopolnitve nepopolnih osebnih podatkov […].

2.   Države članice od upravljavca zahtevajo, da brez nepotrebnega odlašanja izbriše osebne podatke, in posamezniku, na katerega se nanašajo osebni podatki, zagotovijo pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže izbris osebnih podatkov v zvezi z njim, če obdelava krši predpise, sprejete na podlagi členov 4, 8 ali 10, ali če je treba osebne podatke izbrisati za izpolnitev s pravne obveznosti, ki velja za upravljavca.

3.   Upravljavec namesto izbrisa omeji obdelavo, kadar:

[…]

4.   Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi popravka ali izbrisa osebnih podatkov ali omejitve obdelave ter o razlogih za zavrnitev. Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi popolnoma ali delno omejijo obveznost zagotavljanja teh informacij, v kolikor je taka omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri nadzornem organu ali o obstoju pravnega sredstva.

[…]“

9

Člen 17 navedene direktive, naslovljen „Uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, in preverjanje, ki ga izvede nadzorni organ“, določa:

„1.   Države članice v primerih iz členov 13(3), 15(3) in 16(4) sprejmejo ukrepe, s katerimi se zagotovi, da lahko posameznik, na katerega se nanašajo osebni podatki, svoje pravice uresničuje tudi prek pristojnega nadzornega organa.

2.   Države članice določijo, da upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, da lahko svoje pravice uresničuje prek nadzornega organa v skladu z odstavkom 1.

3.   Kadar posameznik, na katerega se nanašajo osebni podatki, uresničuje pravico iz odstavka 1, ga nadzorni organ obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja oziroma opravil pregled. Nadzorni organ tudi obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovi pravici do vložitve pravnega sredstva.“

10

Člen 42 iste direktive, naslovljen „Neodvisnost“, v odstavku 1 določa:

„Vsaka država članica določi, da vsak nadzorni organ pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to direktivo ravna popolnoma neodvisno.“

11

Člen 46 Direktive 2016/680, naslovljen „Naloge“, v odstavku 1 določa:

„Vsaka država članica določi, da na njenem ozemlju vsak nadzorni organ:

[…]

[…]“

12

Člen 47 te direktive, naslovljen „Pooblastila“, določa:

„1.   Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska preiskovalna pooblastila. Ta pooblastila vključujejo vsaj pooblastilo, da od upravljavca in obdelovalca pridobi dostop do vseh osebnih podatkov, ki se obdelujejo, in vseh informacij, ki jih potrebuje za opravljanje svojih nalog.

2.   Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska popravljalna pooblastila, kot na primer:

[…]

4.   Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in držav članic, v skladu z Listino.

[…]“

13

Člen 52 navedene direktive, naslovljen „Pravica do vložitve pritožbe pri nadzornem organu“, v odstavku 1 določa:

„Države članice brez poseganja v katero koli drugo upravno ali pravno sredstvo določijo, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo samo pri enem nadzornem organu, če meni, da obdelava v zvezi z njim krši predpise, sprejete na podlagi te direktive.“

14

Člen 53 iste direktive, naslovljen „Pravica do učinkovitega pravnega sredstva zoper nadzorni organ“, v odstavku 1 določa:

„Države članice brez poseganja v katero koli drugo upravno ali izvensodno sredstvo določijo, da ima fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.“

15

Člen 54 Direktive 2016/680, naslovljen „Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca“, določa:

„Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 52, države članice določijo, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni da so bile njegove pravice iz predpisov, sprejetih na podlagi te direktive, kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu z navedenimi predpisi.“

16

Direktiva 2016/680 je bila prenesena v naslov 2 loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (zakon o varstvu posameznikov pri obdelavi osebnih podatkov) z dne 30. julija 2018 (Moniteur belge, 5. september 2018, str. 68616; v nadaljevanju: LPD). Pravice iz členov od 13 do 16 te direktive so določene v poglavju III navedenega naslova, natančneje v členih od 37 do 39 navedenega zakona.

17

Člen 42 LPD določa:

„Zahteva za uveljavljanje pravic iz tega poglavja zoper policijske službe ali Inspection générale de la police fédérale et de la police locale [(generalni inšpektorat zvezne in lokalne policije)] se predloži nadzornemu organu iz člena 71.

V primerih iz členov 37(2), 38(2) [in] 39(4) […] nadzorni organ iz člena 71 posameznika, na katerega se nanašajo osebni podatki, zgolj obvesti, da je opravil vsa potrebna preverjanja.

Ne glede na drugi odstavek lahko nadzorni organ iz člena 71 posamezniku, na katerega se nanašajo osebni podatki, posreduje nekatere spremne informacije.

Kralj po pridobitvi mnenja nadzornega organa iz člena 71 določi vrsto spremnih informacij, ki jih ta organ lahko posreduje posamezniku, na katerega se nanašajo osebni podatki.“

18

Po navedbah cour d'appel de Bruxelles (višje sodišče v Bruslju, Belgija), ki je predložitveno sodišče, za izvajanje člena 42, četrti odstavek, LPD ni bil sprejet noben kraljevi odlok.

19

Člen 71(1) LPD določa:

„V okviru predstavniškega doma se ustanovi neodvisen nadzorni organ za policijske informacije, imenovan Organe de contrôle de l’information policière [(nadzorni organ za policijske informacije)].

[…]

[Pristojen] je za:

1. nadzor nad izvajanjem tega naslova […]

2. nadzor obdelave informacij in osebnih podatkov iz členov od 44/1 do 44/11/13 loi du 5 août 1992 sur la fonction de police (zakon z dne 5. avgusta 1992 o delovanju policije), vključno s tistimi, ki so vključeni v podatkovne zbirke iz člena 44/2 istega zakona;

3. vse druge naloge, urejene z drugimi zakoni ali na njihovi podlagi.“

20

Poglavje I iz naslova 5 LPD je naslovljeno „Opustitvena tožba“. Člen 209 iz tega poglavja določa:

„Brez poseganja v katero koli drugo sodno, upravno ali izvensodno pravno sredstvo lahko predsednik sodišča prve stopnje po postopku za izdajo začasne odredbe ugotovi, da so bile pri obdelavi kršene zakonske ali podzakonske določbe o varstvu posameznikov v zvezi z obdelavo njihovih osebnih podatkov, in odredi, naj se s kršitvijo preneha.

Predsednik sodišča prve stopnje po postopku za izdajo začasne odredbe obravnava vse zahtevke v zvezi s pravico do dostopa do osebnih podatkov v skladu z zakonom ali na njegovi podlagi ter vse zahtevke za popravek, izbris ali prepoved uporabe osebnih podatkov, ki so nepravilni ali glede na namen obdelave nepopolni ali neupoštevni ali katerih zapisovanje, sporočanje ali shranjevanje je prepovedano ali obdelavi katerih posameznik, na katerega se podatki nanašajo, ugovarja, ali ki se hranijo po poteku predpisanega roka.“

21

Člen 240(4) LPD določa:

„[OCIP]

[…]

4. obravnava pritožbe, po potrebi opravi preiskavo v zvezi s predmetom pritožbe ter pritožnika v razumnem roku obvesti o poteku in izidu preiskave, zlasti če je potrebna nadaljnja preiskava ali sodelovanje z drugim nadzornim organom. […]“

22

Leta 2016 je oseba BA, ki je bila takrat zaposlena s krajšim delovnim časom pri nepridobitni organizaciji, pri Autorité nationale de sécurité (nacionalni varnostni organ) zaprosila za potrdilo o varnostnem preverjanju, da bi lahko sodelovala pri postavitvi in demontaži opreme za desete „Evropske razvojne dneve“ v Bruslju (Belgija).

23

Ta organ je z dopisom z dne 22. junija 2016 zavrnil izdajo potrdila o varnostnem preverjanju osebi BA, ker je bilo iz osebnih podatkov, ki so mu bili na voljo, razvidno, da se je ta oseba med letoma 2007 in 2016 udeležila desetih protestnih shodov, zaradi česar ji v okviru veljavne ureditve ni bilo mogoče izdati takega potrdila, zlasti iz razlogov državne varnosti in trajnosti ustavne demokratične ureditve. Zoper to odločitev ni bilo vloženo pravno sredstvo.

24

Pravni svetovalec osebe BA je 4. februarja 2020 OCIP pozval, naj opredeli upravljavce zadevnih osebnih podatkov in jim odredi, naj njeni stranki zagotovijo dostop do vseh informacij, ki se nanašajo nanjo, da bi se ji omogočilo uresničevanje njenih pravic v ustreznih rokih.

25

OCIP je z elektronskim sporočilom z dne 6. februarja 2020 potrdil prejem te zahteve. Navedel je, da ima oseba BA le posredno pravico do dostopa do teh podatkov, hkrati pa zagotovil, da bo sam preveril zakonitost morebitne obdelave podatkov v Banque de données nationale générale (splošna nacionalna podatkovna zbirka), in sicer podatkovni zbirki, ki jo uporabljajo vse nacionalne policijske službe. OCIP je poleg tega pojasnil, da lahko policiji po potrebi odredi izbris ali spremembo podatkov in da bo oseba BA po koncu tega nadzora obveščena o tem, da so bila opravljena potrebna preverjanja.

26

OCIP je z elektronskim sporočilom z dne 22. junija 2020 pravnemu svetovalcu osebe BA sporočil:

„[…]

V skladu s členom 42 [LPD] vas obveščamo, da je [OCIP] opravil potrebna preverjanja.

To pomeni, da so bili osebni podatki vaše stranke preverjeni v policijskih podatkovnih zbirkah, da se zagotovi zakonitost kakršne koli obdelave.

Osebni podatki so bili po potrebi spremenjeni ali izbrisani.

Kot že pojasnjeno v elektronskem sporočilu z dne 2. junija 2015, člen 42 LPD [OCIP] ne dovoljuje, da bi posredoval kakršne koli dodatne informacije.“

27

Ligue des droits humains in oseba BA sta 2. septembra 2020 pri tribunal de première instance francophone de Bruxelles (prvostopenjsko sodišče v Bruslju za postopke v francoščini, Belgija) na podlagi člena 209, drugi odstavek, LPD vložili predlog za izdajo začasne odredbe.

28

Na prvem mestu, tožeči stranki iz postopka v glavni stvari sta temu sodišču predlagali, naj ugotovi dopustnost njunega predloga za izdajo začasne odredbe in, podredno, naj Sodišču v bistvu postavi vprašanje, ali člen 47(4) Direktive 2016/680 v povezavi z uvodnima izjavama 85 in 86 te direktive ter členom 8(3) in členom 47 Listine nasprotuje členoma 42 in 71 LPD, ker ta ne določata nobenega pravnega sredstva zoper odločitve, ki jih sprejme OCIP.

29

Na drugem mestu, z vsebinskega vidika sta zahtevali dostop do vseh osebnih podatkov, ki se nanašajo na osebo BA, prek OCIP ter opredelitev upravljavcev in morebitnih prejemnikov teh podatkov s strani tega organa.

30

Če bi sodišče, ki mu je zadeva predložena, menilo, da člen 42(2) LPD omogoča sistematično omejevanje dostopa do osebnih podatkov, ki jih obdelujejo policijske službe, sta podredno zahtevali, naj se Sodišču v bistvu predloži vprašanje, ali je treba člene 14, 15 in 17 Direktive 2016/680 v povezavi s členi 8, 47 in 52(1) Listine razlagati tako, da nasprotujejo nacionalni zakonodaji, ki dovoljuje splošno in sistematično odstopanje od pravice do dostopa do osebnih podatkov, če se, prvič, ta pravica uresničuje prek nadzornega organa, in drugič, če se lahko ta organ omeji na to, da posamezniku, na katerega se nanašajo osebni podatki, navede, da je opravil vsa potrebna preverjanja, ne da bi ga – neodvisno od zastavljenega cilja – obvestil o osebnih podatkih, ki so predmet obdelave, in o prejemnikih.

31

Tribunal de première instance francophone de Bruxelles (prvostopenjsko sodišče v Bruslju za postopke v francoščini) se je s sklepom z dne 17. maja 2021 izreklo za „nepristojno“ za odločanje o tem predlogu za izdajo začasne odredbe.

32

Tožeči stranki iz postopka v glavni stvari sta 15. junija 2021 pri cour d’appel de Bruxelles (višje sodišče v Bruslju) zoper ta sklep vložili pritožbo. V bistvu sta ponovili zahtevke, ki sta jih podali na prvi stopnji.

33

V tem okviru predložitveno sodišče med drugim v bistvu navaja, da če oseba nima pravice do osebnega uveljavljanja pravic iz Direktive 2016/680, opustitvene tožbe iz člena 209 in naslednjih LPD ni mogoče vložiti. Najprej, tako tožbo je namreč mogoče vložiti zoper upravljavca, ne pa zoper sam nadzorni organ. Dalje, ta oseba, v obravnavanem primeru oseba BA, take tožbe ne more vložiti niti proti upravljavcu, saj je za uresničevanje njenih pravic pristojen navedeni organ. Nazadnje, izjemno skope informacije, ki jih je OCIP predložil osebi BA, niti tej niti sodišču ne omogočajo, da bi presodila, ali je ta nadzorni organ zagotovil pravilno uresničevanje pravice te osebe. Dodaja, da čeprav LPD določa, da ta opustitvena tožba ne posega v katero koli drugo sodno, upravno ali izvensodno pravno sredstvo, bi tako drugo pravno sredstvo, ki bi ga vložila oseba BA, naletelo na iste ovire.

34

V teh okoliščinah je cour d’appel de Bruxelles (višje sodišče v Bruslju) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ti vprašanji:

35

Najprej je iz predloga za sprejetje predhodne odločbe razvidno, da se predložitveno sodišče sprašuje o tem, ali na podlagi člena 53(1) Direktive 2016/680 v povezavi s členom 47 Listine obstaja obveznost držav članic, da določijo pravico do učinkovitega pravnega sredstva zoper pristojni nacionalni nadzorni organ, kadar se izvaja določba nacionalnega prava, s katero je prenesen člen 17 te direktive, v skladu s katerim se lahko v primerih iz členov 13(3), 15(3) in 16(4) navedene direktive pravice posameznika, na katerega se nanašajo osebni podatki, uresničujejo prek takega nadzornega organa.

36

Poleg tega je treba navesti, da je odgovor na to vprašanje odvisen od narave in obsega nalog in pooblastil nadzornega organa v okviru uresničevanja pravic posameznika, na katerega se nanašajo osebni podatki, iz člena 17 Direktive 2016/680. Ta pa so natančneje določena v členu 46(1)(g) ter členu 47(1) in (2) te direktive in jih je treba analizirati ob upoštevanju člena 8(3) Listine, ki zahteva, da spoštovanje pravil o varstvu osebnih podatkov iz odstavkov 1 in 2 tega člena 8 nadzira neodvisen organ.

37

Zato je treba domnevati, da predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba člen 17 Direktive 2016/680 v povezavi s členom 46(1)(g), členom 47(1) in (2) in členom 53(1) te direktive ter členom 8(3) in členom 47 Listine razlagati tako, da mora imeti oseba – kadar se njene pravice na podlagi navedenega člena 17 uresničujejo prek pristojnega nadzornega organa – na voljo učinkovito pravno sredstvo zoper navedeni organ.

38

Najprej je treba opozoriti, da morajo države članice na podlagi člena 53(1) Direktive 2016/680 določiti, da ima fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.

39

Ugotoviti je torej treba, ali nadzorni organ sprejme tako odločitev, kadar se na podlagi člena 17 te direktive pravice posameznikov, na katere se nanašajo osebni podatki, iz navedene direktive uresničujejo prek tega nadzornega organa.

40

V zvezi s tem je treba navesti, da morajo države članice v skladu s členom 17(1) Direktive 2016/680 „v primerih iz členov 13(3), 15(3) in 16(4)“ te direktive sprejeti ukrepe, „s katerimi se zagotovi, da lahko posameznik, na katerega se nanašajo osebni podatki, svoje pravice uresničuje tudi prek pristojnega nadzornega organa“.

41

Kot je razvidno iz uporabe prislova „tudi“ in kot je v bistvu navedla generalna pravobranilka v točkah 41 in 42 sklepnih predlogov, je posredno uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, prek pristojnega nadzornega organa iz te določbe dodatno jamstvo, ki se zagotavlja temu posamezniku, da se njegovi osebni podatki obdelujejo zakonito, kadar nacionalna zakonodaja omejuje neposredno uresničevanje pri upravljavcu pravice do prejema dodatnih informacij iz člena 13(2) Direktive 2016/680, pravice do dostopa do teh podatkov iz člena 14 te direktive ali pravice do popravka teh podatkov, njihovega izbrisa ali omejitve obdelave pod pogoji iz člena 16, od (1) do (3), navedene direktive.

42

Glede na posebno naravo namenov, za katere se obdelujejo podatki, zajeti z isto direktivo, ki so med drugim poudarjeni v njeni uvodni izjavi 10, namreč člen 13(3) in člen 15(1) Direktive 2016/680 nacionalnemu zakonodajalcu dovoljuje, da omeji neposredno uresničevanje pravice do zagotovitve informacij na eni strani in pravice do dostopa na drugi strani, „če in dokler je takšen ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi“ za „preprečitev oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov“, „preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij“, „zaščito javne varnosti“ ali „zaščito pravic in svoboščin drugih“. Poleg tega člen 15(3) te direktive določa, da ima upravljavec možnost, da posameznika, na katerega se nanašajo osebni podatki, ne obvesti o vsaki zavrnitvi ali omejitvi dostopa in o razlogih za naju, če bi razkritje teh informacij lahko ogrozilo katerega koli od zgoraj navedenih ciljev v javnem interesu.

43

Prav tako člen 16(4) navedene direktive nacionalnemu zakonodajalcu dovoljuje, da omeji obveznost upravljavca, da „posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi popravka ali izbrisa osebnih podatkov ali omejitve obdelave ter o razlogih za zavrnitev“ zaradi istih ciljev v javnem interesu, „v kolikor je taka omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družb“.

44

Zato je treba v tem okviru, kot je razvidno iz uvodne izjave 48 te direktive, posredno uresničevanje pravic iz točke 41 te sodbe prek pristojnega nadzornega organa šteti za nujno za varstvo teh pravic, saj se njihovo neposredno uresničevanje pri upravljavcu kaže za težavno ali celo nemogoče.

45

V tem smislu člen 46(1)(g) Direktive 2016/680 zahteva, da ima vsak pristojni nacionalni organ dolžnost preverjanja zakonitosti obdelave v skladu s členom 17 te direktive, in sicer na podlagi zahteve, ki temelji na zadnjenavedeni določbi.

46

Poleg tega zlasti iz člena 47(1) in (2) navedene direktive izhaja, da mora imeti vsak nadzorni organ v skladu z nacionalno zakonodajo ne le „dejanska preiskovalna pooblastila“, ampak tudi „dejanska popravljalna pooblastila“.

47

Te določbe je treba razlagati ob upoštevanju zahteve iz člena 8(3) Listine, v skladu s katero mora spoštovanje pravil v zvezi s pravico vsake osebe do varstva osebnih podatkov iz odstavkov 1 in 2 tega člena „nadzor[ovati] neodvisen organ“, in zlasti zahteve iz drugega stavka navedenega odstavka 2, v skladu s katerim ima „[v]sakdo […] pravico dostopa do podatkov, zbranih o njem, in pravico zahtevati, da se ti podatki popravijo“. Kot je potrjeno z ustaljeno sodno prakso, je namreč cilj ustanovitve neodvisnega nadzornega organa zagotoviti učinkovit in zanesljiv nadzor nad spoštovanjem določb na področju varstva posameznikov pri obdelavi osebnih podatkov, zaradi česar ga je treba tudi razlagati glede na ta cilj (glej v tem smislu mnenje 1/15 (Sporazum PNR med EU in Kanado) z dne 26. julija 2017, EU:C:2017:592, točka 229 in navedena sodna praksa).

48

Kadar torej tak nadzorni organ ukrepa, da bi zagotovil uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, na podlagi člena 17 Direktive 2016/680, njegova naloga v celoti ustreza opredelitvi njegove vloge iz primarnega prava Unije, saj ta opredelitev med drugim vključuje nadzor nad spoštovanjem pravic posameznika, na katerega se nanašajo osebni podatki, do dostopa in popravka. Iz tega sledi, da mora imeti nadzorni organ pri opravljanju te posebne naloge tako kot pri vsaki drugi nalogi možnost, da pooblastila, ki so mu podeljena na podlagi člena 47 te direktive, v skladu z Listino in kot je navedeno v uvodni izjavi 75 navedene direktive izvaja popolnoma neodvisno.

49

Poleg tega mora pristojni nadzorni organ po preverjanju zakonitosti obdelave v skladu s členom 17(3), prvi stavek, iste direktive posameznika, na katerega se nanašajo osebni podatki, obvestiti „vsaj“ o tem, „da je izvedel vsa potrebna preverjanja oziroma opravil pregled“.

50

Kot je generalna pravobranilka v bistvu navedla v točki 65 sklepnih predlogov, je treba iz vseh teh določb izpeljati, da kadar pristojni nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvesti o rezultatih opravljenih preverjanj, ga seznani z odločitvijo o končanju postopka preverjanja, sprejeto v zvezi z njim, pri čemer ta odločitev nujno vpliva na pravni položaj tega posameznika. Ta odločitev je torej zanj „pravno zavezujoča odločitev“ v smislu člena 53(1) Direktive 2016/680, ne glede na to, ali in v kolikšnem obsegu je ta organ ugotovil, da je obdelava podatkov v zvezi z navedenim posameznikom zakonita, in sprejel popravne ukrepe.

51

Poleg tega je v uvodni izjavi 86 te direktive navedeno, da je treba pojem „pravno zavezujoča odločitev“ v smislu navedene direktive razumeti kot odločitev, ki ima pravne učinke za posameznika, na katerega se nanašajo osebni podatki, zlasti odločitev, ki se nanaša na izvajanje preiskovalnih pooblastil nadzornega organa, njegovih pooblastil za sprejemanje popravljalnih ukrepov in pooblastil v zvezi z odobritvami ali v zvezi z zavrženimi ali zavrnjenimi pritožbami.

52

Zato mora imeti posameznik, na katerega se nanašajo osebni podatki, na podlagi člena 53(1) Direktive 2016/680 možnost doseči sodni nadzor nad utemeljenostjo take odločitve in zlasti nad tem, kako je nadzorni organ izpolnil svojo obveznost – ki izhaja iz člena 17 te direktive in na katero napotuje njen člen 46(1)(g) – da „izvede […] vsa potrebna preverjanja“ in po potrebi izkoristi svoja pooblastila za sprejetje popravljanih ukrepov.

53

V prid tej ugotovitvi govori tudi uvodna izjava 85 Direktive 2016/680, iz katere izhaja, da bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva zoper nadzorni organ, če ta „ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki“.

54

Nazadnje, taka razlaga je v skladu s členom 47 Listine, saj je treba, kot izhaja iz ustaljene sodne prakse, to pravico priznati vsaki osebi, ki se sklicuje na pravice ali svoboščine, zagotovljene s pravom Unije, zoper odločbo, ki posega v njen položaj in ki lahko posega v te pravice ali svoboščine (glej v tem smislu sodbo z dne 26. januarja 2023, Ministerstvo na vatreshnite raboti (Vpis biometričnih in genetskih podatkov v evidenco, ki ga izvaja policija), C‑205/21, EU:C:2023:49, točka 87 in navedena sodna praksa).

55

Glede na vse zgornje preudarke je treba na prvo vprašanje odgovoriti, da je treba člen 17 Direktive 2016/680 v povezavi s členom 46(1)(g), členom 47(1) in (2) ter členom 53(1) te direktive ter členom 8(3) in členom 47 Listine razlagati tako, da kadar so se pravice osebe na podlagi navedenega člena 17 uresničevale prek pristojnega nadzornega organa in je ta organ navedeno osebo obvestil o izidu opravljenih preverjanj, mora imeti ta oseba zoper odločitev navedenega organa o zaključku postopka preverjanja na voljo učinkovito pravno sredstvo.

56

Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali je člen 17(3) Direktive 2016/680, ker nadzornemu organu zgolj nalaga, naj posameznika, na katerega se nanašajo osebni podatkov, obvesti, na eni strani, o tem, da je izvedel vsa potrebna preverjanja oziroma opravil pregled, in, na drugi strani, o tem, da ima ta oseba pravico do vložitve pravnega sredstva, veljaven glede na člen 8(3) in člen 47 Listine, ker tako obveščanje ne omogoča sodnega nadzora nad sprejetimi ukrepi nadzornega organa in njegovo presojo glede na obdelane podatke in obveznosti upravljavca.

57

V zvezi s tem je na eni strani treba opozoriti, da je treba v skladu s splošnim načelom razlage akt Unije, kolikor je le mogoče, razlagati tako, da se ne vzbuja dvom o njegovi veljavnosti, in v skladu z vsem primarnim pravom ter predvsem z določbami Listine. Tako je treba, kadar se določba sekundarnega prava Unije lahko razlaga na več načinov, dati prednost tisti razlagi, na podlagi katere je določba v skladu s primarnim pravom, ne pa tisti, ki bi pripeljala do ugotovitve njene nezdružljivosti s tem pravom (sodba z dne 21. junija 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, točka 86 in navedena sodna praksa).

58

Na drugi strani pravica do učinkovitega pravnega sredstva, zagotovljena s členom 47 Listine, načeloma zahteva, da je zadevni osebi omogočeno, da se seznani z razlogi, na katerih temelji odločitev, sprejeta v zvezi z njo, da bi lahko branila svoje pravice v najboljših mogočih pogojih in se ob popolnem poznavanju zadeve odločila, ali je zadevo smiselno predložiti pristojnemu sodišču, in da se zadnjenavedenemu sodišču v celoti omogoči nadzor nad zakonitostjo te odločitve (glej v tem smislu sodbo z dne 4. junija 2013, ZZ, C‑300/11, EU:C:2013:363, točka 53 in navedena sodna praksa).

59

Čeprav ta pravica ni absolutna in se lahko v skladu s členom 52(1) Listine določijo omejitve te pravice, morajo biti te omejitve določene z zakonom, spoštovati morajo bistveno vsebino zadevnih pravic in svoboščin ter morajo biti ob upoštevanju načela sorazmernosti potrebne in dejansko ustrezati ciljem splošnega interesa, ki jih priznava Unija, ali biti potrebne zaradi zaščite pravic in svoboščin drugih (sodba z dne 26. januarja 2023, Ministerstvo na vatreshnite raboti (Vpis biometričnih in genetskih podatkov v evidenco, ki ga izvaja policija), C‑205/21, EU:C:2023:49, točka 89 in navedena sodna praksa).

60

V obravnavani zadevi je treba navesti, da v zvezi z odločitvijo pristojnega nadzornega organa, opredeljeno v točki 50 te sodbe, člen 17(3) Direktive 2016/680 uvaja minimalno obveznost obveščanja, ki jo ima ta nadzorni organ, pri čemer določa, da mora ta organ posameznika, na katerega se nanašajo osebni podatki, obvestiti „vsaj“ o tem, „da je izvedel vsa potrebna preverjanja ali oziroma opravil pregled“ in o „njegovi pravici do uporabe pravnega sredstva“.

61

Iz tega izhaja, da ta določba, ker ne nasprotuje temu, da ima lahko nadzorni organ v nekaterih primerih v skladu s pravili, ki jih je nacionalni zakonodajalec sprejel za izvajanje te določbe, možnost ali celo obveznost, da se brez dodatnih pojasnil omeji na minimalne informacije iz prejšnje točke, zlasti kadar je namen teh pravil izogniti se ogrožanju ciljev v javnem interesu, naštetih v členu 13(3), členu 15(1) in členu 16(4) navedene direktive ter kot je bilo navedeno v točkah 42 in 43 te sodbe, lahko povzroči omejitev pravice do učinkovitega pravnega sredstva, zagotovljene s členom 47 Listine.

62

Pri tem je treba na prvem mestu ugotoviti, da je taka omejitev izrecno določena z Direktivo 2016/680 in da je s tem izpolnjen pogoj iz člena 52(1) Listine, v skladu s katerim mora biti kakršno koli omejevanje uresničevanja temeljne pravice „predpisano z zakonom“.

63

Na drugem mestu, dejstvo, da člen 17(3) Direktive 2016/680 državam članicam dovoljuje, da v nekaterih primerih omejijo obrazložitev te odločitve na minimalne elemente, navedene v tej določbi, ne pomeni, kot je generalna pravobranilka v bistvu navedla v točki 89 sklepnih predlogov, da je mogoče informacije posameznika, na katerega se nanašajo osebni podatki, v vseh okoliščinah omejiti le na te elemente.

64

To določbo je namreč treba razlagati ob upoštevanju člena 52(1) Listine, tako da so druga merila, navedena v tem členu, izpolnjena. To pomeni, da se z njo od držav članic zahteva, da zagotovijo, da določbe nacionalnega prava, s katerimi se ta določba izvaja, na eni strani spoštujejo bistveno vsebino njene pravice do učinkovitega sodnega varstva, in na drugi strani temeljijo na uravnoteženju ciljev v javnem interesu, ki upravičujejo omejitev teh informacij, ter temeljnih pravic in legitimnih interesov te osebe v skladu z načeloma nujnosti in sorazmernosti, podobno kot mora nacionalni zakonodajalec opraviti uravnoteženje pri uporabi omejitev iz člena 13(3), člena 15(3) in člena 16(4) navedene direktive.

65

Natančneje, kadar na eni strani varstvo pravice posameznika, na katerega se nanašajo osebni podatki, do učinkovitega pravnega sredstva zoper odločitev o zaključku postopka preverjanja to zahteva in na drugi strani cilji v javnem interesu iz člena 13(3), člena 15(3) in člena 16(4) Direktive 2016/680 temu ne nasprotujejo, morajo države članice določiti, da lahko obveščanje posameznika, na katerega se nanašajo osebni podatki, presega minimalne informacije iz člena 17(3) te direktive, da se mu omogoči obramba njegovih pravic in da se lahko ob popolnem poznavanju zadeve odloči, ali je zadevo smiselno predložiti pristojnemu sodišču.

66

Prav tako morajo nacionalni ukrepi, s katerimi se izvaja ta zadnjenavedena določba, kolikor je mogoče pristojnemu nadzornemu organu – v skladu z neodvisnostjo, ki mu je priznana na podlagi člena 8(3) Listine – pustiti določeno polje proste presoje pri ugotavljanju, ali okvir, opredeljen z nacionalno zakonodajo v skladu z zahtevami, navedenimi v točki 65 te sodbe, ne nasprotuje temu, da tega posameznika vsaj na kratko obvesti o izidu svojih preverjanj in, kadar je to upoštevno, o popravnih ukrepih, ki jih je izvedel. V zvezi s tem, kot je generalna pravobranilka v bistvu navedla v točkah 73 in 74 sklepnih predlogov, mora ta organ ob upoštevanju tega nacionalnega zakonodajnega okvira vzpostaviti zaupni dialog z upravljavcem in po zaključku tega dialoga odločiti, katere informacije – ki so potrebne, da lahko posameznik, na katerega se nanašajo osebni podatki, uresničuje pravico do učinkovitega pravnega sredstva – mu lahko razkrije, ne da bi se ogrozili cilji v javnem interesu iz točke 65 te sodbe.

67

Poleg tega morajo države članice v primerih, v katerih navedeni okvir nalaga, da morajo biti informacije, ki jih zagotovi nadzorni organ, omejene na to, kar določa člen 17(3) Direktive 2016/680, v okviru svoje procesne avtonomije izvesti ukrepe, potrebne za zagotovitev – v skladu s členom 53(1) te direktive – učinkovitega sodnega nadzora tako nad obstojem in utemeljenostjo razlogov za omejitev teh informacij, kot nad tem, ali nadzorni organ pravilno izvaja svojo nalogo preverjanja zakonitosti obdelave. V zvezi s tem je treba pojem „učinkovito pravno sredstvo“ iz zadnjenavedene določbe razlagati ob upoštevanju uvodne izjave 86 navedene direktive, v skladu s katero bi morala sodišča, ki odločajo o tožbah zoper nadzorni organ, „izvajati polno pristojnost, ki bi morala vključevati pristojnost za preučitev vseh vprašanj, ki se nanašajo na dejstva in zakonodajo v zvezi z zadevnim sporom“.

68

Natančneje, države članice morajo zagotoviti, da ima pristojno sodišče na voljo in da uporabi tehnike in pravila postopkovnega prava, ki omogočajo uskladitev na eni strani legitimnih preudarkov v zvezi s cilji v javnem interesu iz člena 13(3), člena 15(3) in člena 16(4) Direktive 2016/680, pri čemer so v nacionalni zakonodaji ti cilji upoštevani zaradi omejitve informacij, ki se posredujejo posamezniku, na katerega se nanašajo osebni podatki, in na drugi strani potrebe po tem, da se posamezniku v zadostni meri zagotovi spoštovanje njegovih procesnih pravic, kot sta pravica do izjave in načelo kontradiktornosti (glej v tem smislu sodbo z dne 4. junija 2013, ZZ, C‑300/11, EU:C:2013:363, točka 57 in navedena sodna praksa).

69

V okviru sodnega nadzora, ali je nadzorni organ pravilno uporabil člen 17 te direktive, morajo države članice določiti pravila, ki pristojnemu sodišču omogočajo, da se seznani z vsemi razlogi in z njimi povezanimi dokazi, s katerimi je ta organ v tem okviru utemeljil preverjanje zakonitosti zadevne obdelave podatkov in ugotovitve, ki jih je iz njih izpeljal (glej v tem smislu sodbo z dne 4. junija 2013, ZZ, C‑300/11, EU:C:2013:363, točka 59 in navedena sodna praksa).

70

V zvezi s tem člen 15(4) Direktive 2016/680, kot je Evropski parlament navedel v svojem stališču, določa, da upravljavec dokumentira dejansko stanje ali pravne razloge, na katerih temelji njegova odločitev, s katero je delno ali popolnoma omejil pravico posameznika, na katerega se nanašajo osebni podatki, do dostopa, in da so ti podatki na voljo nadzornim organom. Kot je navedla ta institucija, ta določba v povezavi s členoma 17 in 53 te direktive ter ob upoštevanju člena 47 Listine, kot se razlaga v sodni praksi, navedeni v točkah 68 in 69 te sodbe, pomeni, da morajo biti te informacije na voljo tudi sodišču, ki odloča o pravnem sredstvu zoper nadzorni organ zaradi nadzora nad pravilno uporabo navedenega člena 17.

71

Tako je iz točk od 63 do 70 te sodbe razvidno, da se z omejitvijo iz člena 17 Direktive 2016/680 spoštuje vsebina pravice posameznika, na katerega se nanašajo osebni podatki, do učinkovitega pravnega sredstva zoper odločitev nadzornega organa o zaključku postopka iz te določbe ter načeli nujnosti in sorazmernosti v skladu s členom 52(1) Listine.

72

Glede na vse zgoraj navedene preudarke je treba skleniti, da pri preučitvi drugega vprašanja ni bil ugotovljen noben element, ki bi lahko vplival na veljavnost člena 17(3) Direktive 2016/680.

73

Ker je ta postopek za stranke v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (peti senat) razsodilo: