1.

Direktiva (EU) 2016/680, ( 2 ) bolj znana kot „Direktiva o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj“, določa posebna pravila o varstvu osebnih podatkov in prostem pretoku osebnih podatkov na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja ter je v bistvu izraz „posebne narave […] teh področ[ij]“ ( 3 ). Direktiva 2016/680 je namenjena uresničevanju dveh ciljev politike. Na eni strani naj bi prispevala k dokončnemu oblikovanju območja svobode, varnosti in pravice ( 4 ) ter tako omogočala lažji prost pretok osebnih podatkov med pristojnimi organi za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ( 5 ). Na drugi strani pa je namenjena zagotavljanju visoke ravni varstva takih podatkov. Pravna podlaga za to direktivo je člen 16(2) PDEU, v skladu s katerim se v zakonodaji Unije določijo pravila o varstvu osebnih podatkov.

2.

„Usklajevanje“ teh dveh političnih ciljev, ki se uresničujeta z Direktivo 2016/680, pa je težka naloga. ( 6 ) Sodišče ima v obravnavani zadevi priložnost, da v okviru uresničevanja pravic posameznikov, na katere se nanašajo osebni podatki, preuči konkreten primer tehtanja med cilji preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter cilji varstva podatkov. Navedena direktiva v primerjavi s prejšnjo ureditvijo, ki se je vzpostavila na podlagi Okvirnega sklepa Sveta 2008/977/PNZ ( 7 ), krepi pravice posameznikov, na katere se nanašajo osebni podatki. Ta okrepitev se nanaša zlasti na priznanje neposredne pravice posameznika, na katerega se nanašajo osebni podatki, do dostopa, ki je bistven element temeljne pravice do varstva podatkov. Iz strokovne literature je razvidno, da so pravice, ki jih imajo posamezniki, na katere se nanašajo osebni podatki, na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, „bistveno orodje za odpravo asimetrije informacij in nezakonitih dejanj obdelave podatkov“. ( 8 ) Zato je zagotavljanje učinkovitega uresničevanja teh pravic bistvenega pomena.

3.

Člen 3 Direktive 2016/680 vsebuje naslednje opredelitve pojmov:

„(8)   ‚upravljavec‘ pomeni pristojni organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva takšne obdelave določa pravo Unije ali države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali države članice;

[…]

(15)   ,nadzorni organ‘ pomeni neodvisen javni organ, ki ga v skladu s členom 41 ustanovi država članica“.

4.

Poglavje III Direktive 2016/680 je naslovljeno „Pravice posameznika, na katerega se nanašajo osebni podatki“. V tem poglavju člen 13, naslovljen „Informacije, ki se dajo na voljo ali zagotovijo posamezniku, na katerega se nanašajo osebni podatki“, v odstavkih 3 in 4 določa:

„3.   Države članice lahko sprejmejo zakonodajne ukrepe za zadržanje, omejitev ali opustitev zagotovitve informacij posamezniku, na katerega se nanašajo osebni podatki, na podlagi odstavka 2, če in dokler je takšen ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

4.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, za katere se lahko v celoti ali delno uporablja katera koli točka iz odstavka 3.“

5.

Člen 14 Direktive 2016/680, naslovljen „Pravica do dostopa posameznika, na katerega se nanašajo osebni podatki“, določa:

„Države članice v skladu s členom 15 določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da od upravljavca pridobi potrditev, da se v zvezi z njim obdelujejo osebni podatki, in da se mu v tem primeru zagotovi dostop do osebnih podatkov ter naslednje informacije:

[…]“.

6.

Člen 15 Direktive 2016/680, naslovljen „Omejitve pravice do dostopa“, določa:

„1.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi posamezniku, na katerega se nanašajo osebni podatki, popolnoma ali delno omejijo pravico do dostopa, in sicer če in dokler je taka delna ali popolna omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

2.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, za katere se lahko v celoti ali delno uporabljajo točke (a) do (e) odstavka 1.

3.   Države članice v primerih iz odstavkov 1 in 2 določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa in razlogih zanju. Te informacije se lahko izpustijo, če bi njihova zagotovitev ogrozila namen iz odstavka 1. Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri nadzornem organu ali o obstoju pravnega sredstva.

4.   Države članice določijo, da upravljavec dokumentira dejansko stanje ali pravne razloge, na katerih temelji odločitev. Ti podatki so na voljo nadzornim organom.“

7.

Člen 16 Direktive 2016/680, naslovljen „Pravica do popravka ali izbrisa osebnih podatkov in omejitve obdelave“, v odstavku 4 določa:

„Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi popravka ali izbrisa osebnih podatkov ali omejitve obdelave ter o razlogih za zavrnitev. Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi popolnoma ali delno omejijo obveznost zagotavljanja teh informacij, v kolikor je taka omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri nadzornem organu ali obstoju pravnega sredstva.“

8.

Člen 17 Direktive 2016/680, naslovljen „Uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, in preverjanje, ki ga izvede nadzorni organ“, določa:

„1.   Države članice v primerih iz členov 13(3), 15(3) in 16(4) sprejmejo ukrepe, s katerimi se zagotovi, da lahko posameznik, na katerega se nanašajo osebni podatki, svoje pravice uresničuje tudi prek pristojnega nadzornega organa.

2.   Države članice določijo, da upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, da lahko svoje pravice uresničuje prek nadzornega organa v skladu z odstavkom 1.

3.   Kadar posameznik, na katerega se nanašajo osebni podatki, uresničuje pravico iz odstavka 1, ga nadzorni organ obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja oziroma opravil pregled. Nadzorni organ tudi obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovi pravici do uporabe pravnega sredstva.“

9.

Direktiva 2016/680 je bila v belgijsko pravo prenesena z Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (zakon o varstvu posameznikov pri obdelavi osebnih podatkov) z dne 30. julija 2018 (Moniteur belge, 5. september 2018, str. 68616) (v nadaljevanju: LPD). Poglavje III naslova 2 LPD ureja pravice posameznika, na katerega se nanašajo osebni podatki, ki v bistvu zajemajo pravico do obveščenosti, pravico do dostopa do podatkov in pravico do popravka podatkov.

10.

Člen 42 LPD določa:

„Zahteva za uveljavljanje pravic iz tega poglavja zoper policijske službe […] ali Inspection générale de la police fédérale et de la police locale [(generalni inšpektorat zvezne in lokalne policije, Belgija)] se predloži nadzornemu organu iz člena 71.

V primerih iz členov 37(2), 38(2), 39(4) in 62(1) nadzorni organ iz člena 71 posameznika, na katerega se nanašajo osebni podatki, zgolj obvesti, da je opravil vsa potrebna preverjanja.

Ne glede na drugi odstavek lahko nadzorni organ iz člena 71 posamezniku, na katerega se nanašajo osebni podatki, posreduje nekatere spremne informacije.

Kralj po pridobitvi mnenja nadzornega organa iz člena 71 določi vrsto spremnih informacij, ki jih ta organ lahko posreduje posamezniku, na katerega se nanašajo osebni podatki.“

11.

Predložitveno sodišče navaja, da „spremne informacije“, ki jih lahko nadzorni organ za policijske informacije razkrije posamezniku, na katerega se nanašajo osebni podatki, še niso bile podrobneje opredeljene s kraljevo uredbo, predvideno v četrtem odstavku člena 42 LPD.

12.

Člen 71 LPD določa:

„1.   V okviru predstavniškega doma se ustanovi neodvisen nadzorni organ za policijske informacije, imenovan Organe de contrôle de l’information policière [(nadzorni organ za policijske informacije, Belgija)].

[…]

[Pristojen] je za: 1. nadzor nad izvajanjem tega naslova […]“.

13.

V naslovu 5 LPD je poglavje I naslovljeno „Opustitvena tožba“. Člen 209 iz navedenega poglavja določa:

„Brez poseganja v katero koli drugo sodno, upravno ali izvensodno pravno sredstvo lahko predsednik sodišča prve stopnje po postopku za izdajo začasne odredbe ugotovi, da so bile pri obdelavi kršene zakonske ali podzakonske določbe o varstvu posameznikov v zvezi z obdelavo njihovih osebnih podatkov, in odredi, naj se kršitev preneha.

Predsednik sodišča prve stopnje po postopku za izdajo začasne odredbe obravnava vse zahtevke v zvezi s pravico do dostopa do osebnih podatkov v skladu z zakonom ali na njegovi podlagi ter vse zahtevke za popravek, izbris ali prepoved uporabe osebnih podatkov, ki so nepravilni ali glede na namen obdelave nepopolni ali neupoštevni ali katerih zapisovanje, sporočanje ali shranjevanje je prepovedano ali obdelavi katerih posameznik, na katerega se podatki nanašajo, ugovarja, ali ki se hranijo po poteku predpisanega roka.“

14.

Člen 240 LPD določa, da nadzorni organ za policijske informacije:

„4. obravnava pritožbe, po potrebi opravi preiskavo v zvezi s predmetom pritožbe ter pritožnika v razumnem roku obvesti o poteku in izidu preiskave, zlasti če je potrebna nadaljnja preiskava ali sodelovanje z drugim nadzornim organom […]“.

15.

BA je želel leta 2016 sodelovati pri postavitvi in demontaži opreme za desete „Evropske razvojne dneve“ v Bruslju (Belgija). V ta namen je moral pridobiti „potrdilo o varnostnem preverjanju“.

16.

Autorité nationale de sécurité (nacionalni varnostni organ, Belgija) je z dopisom z dne 22. junija 2016 zavrnil izdajo zahtevanega potrdila o varnostnem preverjanju. Navedel je, da je iz informacij, ki so mu na voljo, razvidno, da se je zadevni posameznik med letoma 2007 in 2016 udeležil desetih protestnih shodov, zaradi česar mu tega potrdila ni mogoče izdati. BA te odločitve nacionalnega varnostnega organa ni izpodbijal.

17.

LPD, s katerim je bil ustanovljen nadzorni organ za policijske informacije, je začel veljati 5. septembra 2018.

18.

Pravni svetovalec BA je 4. februarja 2020 nadzorni organ za policijske informacije pozval, naj mu sporoči, kdo so upravljavci, odgovorni za zadevno obdelavo, in jim odredi, naj BA zagotovijo dostop do vseh informacij, ki se nanašajo nanj.

19.

Nadzorni organ za policijske informacije je v elektronskem sporočilu z dne 6. februarja 2020 odgovoril, da ima BA zgolj posredno pravico do dostopa, hkrati pa navedel, da bo preveril osebne podatke, ki se nanašajo na BA, da bi tako zagotovil zakonitost obdelave podatkov v Banque de données nationale générale (BNG – splošna nacionalna zbirka podatkov). Nadzorni organ za policijske informacije je pojasnil, da lahko policiji po potrebi odredi izbris ali spremembo podatkov in da bo BA po koncu pregleda obveščen o tem, da „je opravil potrebna preverjanja“.

20.

Nadzorni organ za policijske informacije je 22. junija 2020 sporočil:

„[…] v skladu s členom 42 [LPD] vas obveščamo, da je nadzorni organ opravil potrebna preverjanja.

To pomeni, da so bili osebni podatki vaše stranke preverjeni v policijskih podatkovnih zbirkah, da se zagotovi zakonitost kakršne koli obdelave.

Osebni podatki so bili po potrebi spremenjeni ali izbrisani.

Kot smo pojasnili v elektronskem sporočilu z dne 2. junija 2015, člen 42 LPD nadzornemu organu ne dovoljuje, da bi zagotovil kakršne koli dodatne informacije.“

21.

Tožeči stranki v postopku v glavni stvari sta 2. septembra 2020 pri predsedniku tribunal de première instance francophone de Bruxelles (prvostopenjsko sodišče v Bruslju za postopke v francoščini, Belgija) na podlagi drugega stavka člena 209 LPD vložili tožbo zoper nadzorni organ za policijske informacije. Predlagali sta, naj se njuna tožba zoper nadzorni organ razglasi za dopustno. Podredno sta temu sodišču postavilia vprašanje, ali je člen 42 LPD v nasprotju s členoma 47(4) in 17(3) Direktive 2016/680. V zvezi s tem sta BA in združenje Ligue des droits humains navedla, da člen 42 LPD ne določa pravnega sredstva zoper odločitve, ki jih sprejme neodvisni nadzorni organ, prav tako pa temu organu ne nalaga, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o pravici do uporabe pravnega sredstva.

22.

Glede vsebine tožbe sta pritožnika zahtevala dostop do vseh osebnih podatkov, ki se nanašajo na BA, in predlagala, naj se nadzornemu organu za policijske informacije odredi, naj opredeli upravljavce in vse osebe, ki so morda prejele te podatke. Podredno sta predlagala, naj se Sodišče v bistvu vpraša, ali je člen 42(2) LPD združljiv s členi 14, 15 in 17 Direktive 2016/680 v povezavi s členi 8, 47 in 52(1) Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina). V zvezi s tem sta navedla, da člen 42(2) LPD določa splošno in sistematično odstopanje od pravice do dostopa do osebnih podatkov.

23.

Tribunal de première instance francophone de Bruxelles (prvostopenjsko sodišče v Bruslju za postopke v francoščini) se je s sklepom z dne 17. maja 2021 izreklo za nepristojno v zvezi s tožbo pritožnikov.

24.

S pritožbo z dne 15. junija 2021 se je pri cour d’appel de Bruxelles (višje sodišče v Bruslju, Belgija) začel postopek v glavni stvari. Pritožnika sta v bistvu ponovila očitke, ki sta jih v zvezi s členom 42(2) LPD že navedla, in predloge, ki sta jih že podala v postopku na prvi stopnji.

25.

Nadzorni organ za policijske informacije je predlagal zavrnitev pritožbe.

26.

Predložitveno sodišče navaja, da v belgijskem pravu za podatke, ki jih obdelujejo policijski organi, veljajo posebna pravila. V skladu s členom 42 LPD naj bi bilo treba vse zahteve, povezane s pravicami, ki se nanašajo na take osebne podatke, vložiti pri nadzornem organu za policijske informacije. Ta organ pa naj bi posameznika, na katerega se nanašajo osebni podatki, zgolj obvestil, da „je opravil potrebna preverjanja“.

27.

Predložitveno sodišče navaja, da člen 17(3) Direktive 2016/680 v nacionalno pravo ni bil pravilno prenesen. Prvič, člen 42 LPD naj ne bi določal, da mora nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvestiti o pravici do uporabe pravnega sredstva. Drugič, LPD naj ne bi omogočal uveljavljanja pravice do pravnega sredstva zoper nadzorni organ za policijske informacije.

28.

Predložitveno sodišče v zvezi s tem na prvem mestu navaja, da je treba pravno sredstvo iz člena 240 LPD, ki posamezniku, na katerega se nanašajo osebni podatki, omogoča vložitev pritožbe pri nadzornem organu, uveljavljati zoper upravljavca.

29.

Na drugem mestu pa navaja, da opustitvena tožba, ki jo urejajo člen 209 in naslednji LPD, BA ne zagotavlja učinkovitega pravnega sredstva zoper nadzorni organ za policijske informacije. Predložitveno sodišče v zvezi s tem pojasnjuje, da iz navedenih določb izhaja, prvič, da je treba tožbo vložiti zoper upravljavca. Zato naj BA tožbe ne bi mogel vložiti zoper nadzorni organ za policijske informacije. Drugič, člen 42 LPD naj BA ne bi omogočal vložitve take tožbe zoper upravljavca, ker naj bi bil za uresničevanje njegovih pravic pristojen nadzorni organ za policijske informacije. Tretjič, zaradi izjemno skopih informacij, ki jih je na podlagi člena 42 LPD zagotovil nadzorni organ za policijske informacije, naj niti BA niti sodišče v okviru naknadnega nadzora ne bi mogla ugotoviti, ali je nadzorni organ za policijske informacije zagotovil pravilno uresničevanje pravic BA.

30.

Nazadnje, čeprav LPD v zvezi z opustitveno tožbo določa, da se ta lahko vloži „[b]rez poseganja v katero koli drugo sodno, upravno ali izvensodno pravno sredstvo“, in ne omejuje „pristojnosti sodišča prve stopnje in predsednika sodišča prve stopnje, ki odloča po postopku za izdajo začasne odredbe“ (člena 209 in 219 LPD), pa predložitveno sodišče meni, da bi vsako drugo pravno sredstvo, ki bi ga BA lahko uporabil, naletelo na iste ovire.

31.

V teh okoliščinah je cour d’appel de Bruxelles (višje sodišče v Bruslju) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ti vprašanji:

32.

Pisne pripombe so predložili tožeči stranki iz postopka v glavni stvari, belgijska vlada, Češka republika, Evropska komisija in Evropski parlament. Sodišče je belgijski vladi postavilo številna pisna vprašanja, na katera je morala ta odgovoriti pisno. Belgijska vlada je odgovorila 13. marca 2023. Tožeči stranki in tožena stranka iz postopka v glavni stvari, francoska vlada ter Evropska komisija in Evropski parlament so sodelovali na ustni obravnavi, ki je potekala 29. marca 2023.

33.

Vprašanji za predhodno odločanje se v bistvu nanašata na sodni nadzor nad ukrepom nadzornega organa ter nad obsegom in učinki take odločitve ali ukrepa v položaju, v katerem ta nadzorni organ v imenu posameznika, na katerega se nanašajo osebni podatki, uresničuje njegove pravice, to je v položaju, v katerem se te pravice uresničujejo posredno. Predložitveno sodišče sicer ni izrazilo dvomov glede same strukture belgijske ureditve, ki določa posredni dostop posameznikov, na katere se nanašajo osebni podatki, do teh podatkov. Vendar sistem, v katerem je dostop posameznikov, na katere se nanašajo osebni podatki, v praksi onemogočen ali pretirano otežen, neizogibno vpliva na pravico do učinkovitega pravnega sredstva. Zato je treba uvodoma na kratko opisati strukturo pravic, ki jih imajo posamezniki, na katere se nanašajo osebni podatki, na podlagi Direktive 2016/680, in šele nato preučiti, kako se belgijska ureditev posrednega dostopa umešča v to strukturo.

34.

Pravica do dostopa do zbranih podatkov in pravica do popravka teh podatkov sta temeljni element pravice do varstva osebnih podatkov, kot je določena v členu 8(2) Listine. Pravica do dostopa je praviloma namenjena doseganju dveh glavnih ciljev, in sicer „povečanju preglednosti in lajšanju nadzora“. ( 9 ) Ta pravica, kot je izpostavljeno v strokovni literaturi, namreč povečuje preglednost, saj zagotavlja „vpogled v drugo, temeljitejšo in podrobnejšo plast informacij, ki ga lahko pridobi posameznik, na katerega se nanašajo osebni podatki“. ( 10 ) Pravica do dostopa lajša nadzor, saj je predhodni pogoj za uresničevanje drugih pravic, in sicer pravice do popravka ali izbrisa osebnih podatkov ali pravice do uporabe pravnega sredstva. ( 11 )

35.

Iz uvodne izjave 7 Direktive 2016/680 izhaja, da je ta direktiva namenjena zagotavljanju učinkovitega varstva osebnih podatkov v celotni Evropski uniji, za kar ni potrebna le krepitev pravic posameznikov, na katere se nanašajo osebni podatki, ter dolžnosti tistih, ki takšne podatke obdelujejo, temveč so potrebna tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili o varstvu osebnih podatkov v državah članicah. To je v primerjavi s prejšnjo ureditvijo, ki se je vzpostavila na podlagi Okvirnega sklepa 2008/977/PNZ, precejšen napredek. Področje uporabe navedenega okvirnega sklepa je bilo namreč omejeno na čezmejno obdelavo podatkov. Poleg tega je ta okvirni sklep odražal „posebnosti stebrne strukture EU pred Lizbonsko pogodbo“ ( 12 ) in „držav[am] članic[am] […] pušča[l] veliko manevrskega prostora“ ( 13 ). V poglavju III Direktive 2016/680 je v primerjavi s to prejšnjo ureditvijo določena „nova struktura pravic posameznikov, na katere se nanašajo osebni podatki, njeno bistvo pa je, da imajo ti posamezniki pravico do obveščenosti, dostopa, popravka ali izbrisa podatkov ali omejitve obdelave, razen če so te pravice omejene“. ( 14 )

36.

Natančneje, člen 13 Direktive 2016/680 določa, da upravljavci posameznikom, na katere se nanašajo osebni podatki, zagotovijo nekatere informacije (v nadaljevanju: pravica do informacij). Člen 14 določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da od upravljavca pridobi potrditev, ali se v zvezi z njim obdelujejo podatki, ki se nanašajo nanj, in, če je tako, da se mu zagotovi dostop do osebnih podatkov in nekaterih informacij (v nadaljevanju: pravica do dostopa). Člen 16 določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da pri upravljavcu doseže popravek netočnih osebnih podatkov v zvezi z njim, in pravico do izbrisa osebnih podatkov ali, kadar je to ustrezno, omejitve obdelave (v nadaljevanju: pravica do popravka ali izbrisa osebnih podatkov in omejitve obdelave). Posameznik, na katerega se nanašajo osebni podatki, lahko te pravice načeloma uveljavlja neposredno.

37.

Direktiva 2016/680 državam članicam omogoča, da sprejmejo zakonodajne ukrepe, s katerimi v celoti ali delno omejijo pravice posameznikov, na katere se nanašajo osebni podatki, če so izpolnjeni pogoji iz členov 13(3), 15 in 16(4) te direktive. Taki ukrepi so v bistvu dovoljeni, „če in dokler“ te omejitve, „ki mora[jo] spoštovati temeljne pravice in zakonite interese zadevnega posameznika, [pomenijo] nujen in sorazmeren ukrep v demokratični družbi“ za doseganje določenega cilja v javnem interesu, in sicer za preprečevanje oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov, za preprečevanje poseganja v preprečevanje, odkrivanje, preiskovanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, za zaščito javne varnosti in varnosti države ali za zaščito pravic in svoboščin drugih. Države članice lahko v skladu s členom 13(4) in členom 15(2) Direktive 2016/680 sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, ki lahko v celoti ali delno spadajo v okvir enega od teh ciljev.

38.

Upravljavec mora posameznika, na katerega se nanašajo osebni podatki, v primeru omejitve pravice do dostopa v skladu s členom 15(3) Direktive 2016/680 brez nepotrebnega odlašanja pisno obvestiti o vsaki zavrnitvi ali omejitvi dostopa in o razlogih zanju. Te informacije se lahko izpustijo, če bi njihova zagotovitev ogrozila cilj v javnem interesu iz člena 15(1) Direktive. Upravljavec mora posameznika, na katerega se nanašajo osebni podatki, obvestiti o možnosti za vložitev pritožbe pri nadzornem organu ali o obstoju pravnega sredstva. Poleg tega mora upravljavec v primeru omejitve ali zavrnitve pravice do dostopa v skladu s členom 15(4) Direktive 2016/680 dokumentirati dejansko stanje ali pravne razloge, na katerih temelji ta odločitev, in te informacije dati na voljo nadzornim organom.

39.

Iz strukture pravic posameznika, na katerega se nanašajo osebni podatki, določene v poglavju III Direktive 2016/680, izhaja splošno pravilo, v skladu s katerim velja, da imajo ti posamezniki na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj pravice v zvezi z varstvom podatkov in da lahko te pravice uveljavljajo neposredno. Vsaka omejitev teh pravic je namreč izjema. Izjemo od splošnega pravila pa je treba v skladu z ustaljeno sodno prakso razlagati ozko. ( 15 ) Poleg tega obstajajo v zvezi z omejevanjem pravic določene ovire, ki izhajajo iz obveznosti navedbe razlogov za take omejitve in zahtev po ustreznem obveščanju posameznika, na katerega se nanašajo osebni podatki. Tako obveščanje se namreč lahko opusti le izjemoma.

40.

Enako razmerje med splošnim pravilom in izjemo velja tudi v zvezi s tem, da lahko države članice določijo „vrste obdelave“, za katere se lahko v celoti ali delno šteje, da spadajo med cilje v javnem interesu, zaradi česar je mogoče v skladu s členom 13(3) ali členom 15(1) Direktive 2016/680 omejiti uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki. Delovna skupina iz člena 29 ( 16 ) je v mnenju o Direktivi 2016/680 v bistvu izpostavila, da možnost, da države članice določijo take vrste obdelave, ne omogoča „splošnih omejitev“ pravic posameznika, na katerega se nanašajo osebni podatki, do informacij in dostopa ( 17 ). Take splošne omejitve bi pomenile, da bi izjema prevladala nad pravilom, s čimer bi se določbam, ki zagotavljajo pravice posameznikom, na katere se nanašajo osebni podatki, v veliki meri odvzel pomen. ( 18 )

41.

Pravica posameznika, na katerega se nanašajo osebni podatki, da se zaradi uresničevanja svojih pravic obrne neposredno na upravljavca, je pomemben element Direktive 2016/680. Ta direktiva „na načelni ravni“ zagotavlja neposredno uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki. ( 19 ) Posamezniki, na katere se nanašajo osebni podatki, imajo pravico do neposrednega dostopa, razen če je ta pravica omejena. Če je pravica do neposrednega dostopa omejena in je zato ni več mogoče uveljavljati, pa lahko posamezniki, na katere se nanašajo osebni podatki, svoje pravice v skladu s členom 17(1) Direktive 2016/680 posredno uresničujejo prek pristojnega nadzornega organa.

42.

Kot pojasnjujeta francoska vlada in Komisija in kot je v mnenju o Direktivi 2016/680 izpostavila tudi delovna skupina iz člena 29, je posredno uresničevanje pravic prek pristojnega organa dodatno jamstvo, ki se posameznikom, na katere se nanašajo osebni podatki, zagotavlja v okoliščinah, v katerih se uporabljajo omejitve. ( 20 ) To, da se posredno uresničevanje pravic obravnava kot dodatno jamstvo, pomeni precejšen napredek v primerjavi s prejšnjo ureditvijo, ki se je vzpostavila na podlagi Okvirnega sklepa 2008/977/PNZ. ( 21 ) Na podlagi navedenega okvirnega sklepa se je namreč posreden dostop obravnaval enako kot neposreden dostop. ( 22 ) Če bi države članice kljub razvoju, do katerega je v Direktivi 2016/680 prišlo v zvezi s strukturo pravic posameznikov, na katere se nanašajo osebni podatki, določile, da zagotavljanje posrednega dostopa ni dodatna možnost, ki je na voljo zadevnim posameznikom, ampak edina možnost, ki jo imajo ti posamezniki na voljo, bi bilo to povsem v nasprotju s ciljem harmonizacije, ki se uresničuje s to direktivo.

43.

Člen 17 Direktive 2016/680 je bil v belgijsko pravo prenesen s členom 42 LPD. Prvi stavek člena 42 LPD določa, da morajo posamezniki, na katere se nanašajo osebni podatki, vse zahteve za uveljavljanje pravic, povezane s policijskimi organi, predložiti nadzornemu organu za policijske informacije. Drugi stavek člena 42 LPD določa, da ta nadzorni organ v primeru, da upravljavec omeji ali zavrne dostop do podatkov, posameznika, na katerega se nanašajo osebni podatki, zgolj obvesti, da je opravil vsa potrebna preverjanja.

44.

Zdi se mi, da je bila s členom 42 LPD vzpostavljena ureditev, ki odstopa od načela neposrednega uveljavljanja pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z vsemi podatki, ki jih obdelujejo policijski organi. V tej ureditvi se namreč glede na izjemno širok obseg podatkov, za katere se uporablja to odstopanje, vzpostavlja splošna izjema od neposredne pravice do dostopa. Kot sem pojasnila v uvodnih ugotovitvah, ni mogoče šteti, da je tako široka in splošna izjema od pravice do neposrednega dostopa združljiva z Direktivo 2016/680. ( 23 ) Conseil d'État (državni svet, Belgija) je v mnenju, ki ga je podal v zvezi s predlogom LPD, v bistvu navedel, da je preskok s položaja, v katerem je imel posameznik, na katerega se nanašajo osebni podatki, možnost posrednega uresničevanja svojih pravic, na položaj, v katerem lahko zakonodajalec zahteva, da se te pravice uresničujejo posredno, v nasprotju s členom 17 Direktive 2016/680. ( 24 )

45.

Nadomestitev neposrednega dostopa s posrednim dostopom, ki jo določa člen 42 LPD, je še toliko bolj problematična, če jo obravnavamo z vidika omejenih pristojnosti, ki jih ima nadzorni organ za policijske informacije. Zagovornik tega organa je, ko mu je bilo na obravnavi v zvezi s tem vidikom postavljeno vprašanje, potrdil, da lahko nadzorni organ za policijske informacije v okviru posrednega uresničevanja pravic posameznika, na katerega se nanašajo osebni podatki, zadevnega posameznika zgolj obvesti o tem, da so bila opravljena vsa potrebna preverjanja. Vendar je treba opozoriti, da je ureditev posrednega dostopa izjema, ki temelji na predpostavki, da so pravice posameznikov, na katere se nanašajo osebni podatki, omejene v skladu s pogoji, določenimi v Direktivi 2016/680. V belgijski ureditvi pa mora posameznik, na katerega se nanašajo osebni podatki, zahtevo za uveljavljanje pravic v zvezi s podatki, ki jih obdelujejo policijski organi, predložiti nadzornemu organu. Ta posameznik torej nima dostopa do podatkov, ki se nanašajo nanj, in lahko pridobi le potrditev, da so bila opravljena vsa potrebna preverjanja. Zdi se, da je nacionalni zakonodajalec izoblikoval temeljno predpostavko, ki odstopa od Direktive 2016/680 in v skladu s katero – v zvezi z vsemi podatki, ki jih obdeluje policija – velja, da so pravice posameznikov, na katere se nanašajo osebni podatki, vselej omejene in da neposreden dostop sploh ni mogoč.

46.

Glede na navedeno menim, da je bila na podlagi člena 42 LPD vzpostavljena ureditev posrednega uresničevanja pravic, ki ni združljiva z načinom, na katerega je uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki, določeno v Direktivi 2016/680. Vprašanji za predhodno odločanje bom preučila ob upoštevanju te ugotovitve.

47.

Najprej je treba opozoriti, da mora Sodišče v skladu z ustaljeno sodno prakso v okviru postopka sodelovanja med nacionalnimi sodišči in Sodiščem, določenega v členu 267 PDEU, nacionalnemu sodišču podati koristen odgovor, ki mu omogoča rešitev spora, o katerem odloča. Ob upoštevanju tega lahko Sodišče po potrebi preoblikuje vprašanja, ki so mu bila predložena. Sodišče lahko v ta namen iz vseh elementov, ki jih je predložilo predložitveno sodišče, zlasti iz obrazložitve predložitvene odločbe, izlušči elemente navedenega prava, ki jih je treba razložiti ob upoštevanju predmeta spora o glavni stvari. ( 25 )

48.

V obravnavani zadevi je iz predložitvene odločbe razvidno, da predložitveno sodišče s prvim vprašanjem prosi za razlago člena 17 Direktive 2016/680. Predložitveno sodišče v bistvu sprašuje, ali je treba to določbo v povezavi s členoma 47 in 8(3) Listine razlagati tako, da zahteva, da mora imeti posameznik, na katerega se nanašajo osebni podatki, na voljo pravno sredstvo, ki ga lahko vloži zoper neodvisen nadzorni organ, če svoje pravice uresničuje prek nadzornega organa.

49.

Uvodoma je treba poudariti, da predložitveno sodišče to vprašanje postavlja, ker meni, da belgijsko pravo ne določa pravice do sodnega nadzora nad delom nadzornega organa, kadar ta posredno uresničuje pravice posameznika, na katerega se nanašajo osebni podatki. V zvezi s tem navaja, prvič, da navedena določba v nacionalno pravo ni bila pravilno prenesena, saj člen 42 LPD nadzornemu organu ne nalaga obveznosti, da posameznika, na katerega se nanašajo osebni podatki, obvesti o pravici do uporabe pravnega sredstva. Drugič, predložitveno sodišče meni, da posamezniku, na katerega se nanašajo osebni podatki, nobena druga določba LPD, zlasti pa člen 209 in naslednji ter člen 240, ne omogoča, da bi zoper nadzorni organ v primeru, v katerem ta posredno uresničuje njegove pravice, vložil pravno sredstvo. ( 26 )

50.

Belgijska vlada v pisnem stališču zatrjuje, da belgijski pravni sistem v okoliščinah, kakršne so te v postopku v glavni stvari, ne glede na razlago člena 209, drugi stavek, LPD zagotavlja učinkovit sodni nadzor. V zvezi s tem trdi, da posebna pravna sredstva, določena v LPD, ne posegajo v splošno pristojnost civilnih sodišč. Ne glede na navedeno pa belgijska vlada upravičeno opozarja, da je Sodišče v skladu z ustaljeno sodno prakso pristojno le, da na podlagi dejstev, ki jih je navedlo nacionalno sodišče, odloči o razlagi ali veljavnosti akta Unije. Predložitveno sodišče pa naj bi bilo izključno pristojno za razlago nacionalne zakonodaje. ( 27 )

51.

Da bi ugotovili, ali ima posameznik, na katerega se nanašajo osebni podatki, pravico do uporabe pravnega sredstva zoper nadzorni organ, ko posredno uresničuje svoje pravice, je treba najprej spomniti, da Direktiva 2016/680 v poglavju VIII določa številna pravna sredstva, ki so na voljo posameznikom, na katere se nanašajo osebni podatki. Posamezniki, na katere se nanašajo osebni podatki, imajo v skladu s členom 52 Direktive 2016/680 pravico do vložitve pritožbe pri nadzornem organu. Člen 53(1) Direktive 2016/680 določa, da imajo posamezniki, na katere se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njimi. Člen 53(2) določa, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, če nadzorni organ ne obravnava pritožbe ali če ga v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi. Poleg tega imajo posamezniki, na katere se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca, če menijo, da so bile zaradi nezakonite obdelave njihovih osebnih podatkov kršene njihove pravice. V vseh teh določbah je navedeno, da je vsako od teh pravnih sredstev na voljo „brez poseganja v katero koli drugo upravno ali izvensodno sredstvo“.

52.

V uvodni izjavi 86 Direktive 2016/680 je v zvezi s pravico do učinkovitega pravnega sredstva zoper nadzorni organ navedeno, da se lahko ta pravica uveljavlja zoper „odločitev nadzornega organa, ki ima pravne učinke za to osebo“. V tej uvodni izjavi je navedeno, da se taka odločitev nanaša zlasti na izvajanje preiskovalnih pooblastil nadzornega organa, njegovih pooblastil za sprejemanje popravljalnih ukrepov in pooblastil v zvezi z odobritvami ali na zavržene ali zavrnjene pritožbe, vendar ta pravica do učinkovitega pravnega sredstva ne zajema „drugih ukrepov nadzornih organov, ki niso pravno zavezujoči, kot so mnenja, ki jih izdajo nadzorni organi, ali njihovi nasveti“.

53.

Iz člena 53(1) Direktive 2016/680 v povezavi z uvodno izjavo 86 te direktive izhaja, da ima posameznik, na katerega se nanašajo osebni podatki, pravico do izpodbijanja odločitve ali ukrepa nadzornega organa, ki ima zavezujoče pravne učinke.

54.

V zvezi s tem je treba spomniti, da je treba pravico do učinkovitega pravnega sredstva, določeno v členu 47 Listine, priznati vsaki osebi, ki se sklicuje na pravice ali svoboščine, zagotovljene s pravom Unije, zoper odločbo, ki posega v njen položaj in ki lahko posega v te pravice ali svoboščine. ( 28 )

55.

Dalje, opozoriti je treba, da so akti, ki posegajo v položaj osebe, „akti ali ukrepi z zavezujočimi pravnimi učinki, ki lahko neposredno in takoj vplivajo na interese tožeče stranke, tako da bistveno spremenijo njen pravni položaj“. ( 29 ) V zvezi s tem se je treba osredotočiti na vsebino tega akta in te učinke presojati glede na objektivna merila, kot je vsebina navedenega akta, po potrebi ob upoštevanju okoliščin, v katerih je bil ta akt sprejet, in pristojnosti institucije, ki ga je sprejela. ( 30 )

56.

Na podlagi elementov, ki opredeljujejo akt, ki posega v položaj osebe, je treba za ugotovitev, ali je nadzorni organ, ki v skladu s členom 17 Direktive 2016/680 posredno uresničuje pravice posameznika, na katerega se nanašajo osebni podatki, sprejel pravno zavezujočo odločitev, preučiti vsebino akta nadzornega organa, pri tem pa upoštevati okvir tega akta in pristojnosti nadzornega organa.

57.

Glede, prvič, vsebine akta nadzornega organa, na samem začetku je treba pojasniti, da sposobnosti akta, da neposredno vpliva na pravni položaj fizične ali pravne osebe, ni mogoče presojati zgolj na podlagi dejstva, da je ta akt v obliki elektronske pošte (kot v obravnavani zadevi), saj bi to pomenilo, da se obliki izpodbijanega akta daje prednost pred vsebino navedenega akta. ( 31 )

58.

Člen 17(1) Direktive 2016/680 določa, da lahko posameznik, na katerega se nanašajo osebni podatki, svoje pravice uresničuje „prek“ pristojnega nadzornega organa. V uvodni izjavi 48 te direktive je navedeno, da nadzorni organ deluje „v imenu“ posameznika, na katerega se nanašajo osebni podatki. Člen 17(3) navedene direktive pa določa, da nadzorni organ posameznika, na katerega se nanašajo osebni podatki, „obvesti“ vsaj o tem, da je izvedel vsa potrebna preverjanja oziroma opravil pregled.

59.

Nadzorni organ za policijske informacije trdi, da iz besedila navedenih določb izhaja, da nadzorni organ izvršuje le pooblastilo za delovanje v imenu posameznika, na katerega se nanašajo osebni podatki, in da deluje kot „kurir“, ki temu posamezniku zgolj prenese informacije. Zato naj ne bi bilo mogoče šteti, da ima akt, ki ga sprejme ta organ, zavezujoče pravne učinke za posameznika, na katerega se nanašajo osebni podatki. Češka vlada navaja podobno trditev.

60.

Trditvi, da bi bilo mogoče besedilo, ki se uporablja v zvezi z možnostjo posameznika, na katerega se nanašajo osebni podatki, da svoje pravice uresničuje „prek“ nadzornega organa ali v zvezi z delovanjem nadzornega organa „v imenu“ tega posameznika, samo po sebi razumeti tako, da je nadzorni organ pooblaščen zgolj za posredovanje informacij, ne nasprotujem.

61.

Vendar menim, da je po preučitvi okvira tega akta in pristojnosti nadzornega organa jasno, da to besedilo ne podpira teze o obstoju zgolj pooblastila. Vloga, ki jo ima nadzorni organ v okviru posrednega uresničevanja pravic posameznika, na katerega se nanašajo osebni podatki, namreč presega vlogo „posrednika informacij“ kot „kurirja“ ali posrednika. Kot bom prikazala v nadaljevanju, je zakonodajalec Unije nadzornemu organu dodelil vodilno in dejavno vlogo pri preverjanju zakonitosti obdelave podatkov, ki jo lahko opravlja le javni organ.

62.

Natančneje, kot trdita Komisija in belgijska vlada, je treba člen 17 Direktive 2016/680 obravnavati v povezavi z določbami iz oddelka 2 poglavja VI te direktive, ki določa pravila o pristojnosti, nalogah in pooblastilih neodvisnih nadzornih organov. Člen 46(1)(g) navedene direktive določa, da nadzorni organ „preverja zakonitost obdelave v skladu s členom 17 ter posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvesti o izidu pregleda v skladu z odstavkom 3 navedenega člena ali o razlogih, zaradi katerih pregled ni bil izveden“.

63.

Belgijska vlada je v odgovoru na pisno vprašanje Sodišča pravilno poudarila, da posebna naloga preverjanja zakonitosti obdelave dokazuje, da vloga nadzornega organa ni omejena na to, da ta organ v razmerju med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem deluje zgolj kot „kurir“. Ta organ naj bi namreč opravil ustrezno pravno presojo zakonitosti obdelave.

64.

Poleg tega so posameznemu nadzornemu organu za to, da bi lahko izvajal neodvisno preverjanje zakonitosti obdelave, v skladu s členom 47 Direktive 2016/680 podeljena določena izvršilna pooblastila. Ta pooblastila so „dejanska preiskovalna pooblastila“, ki vključujejo vsaj „pooblastilo, da od upravljavca in obdelovalca pridobi dostop do vseh osebnih podatkov, ki se obdelujejo“, in „popravljalna“ pooblastila, ki zajemajo pooblastilo za odreditev popravka ali izbrisa osebnih podatkov ali omejitve obdelave. Poleg tega ima nadzorni organ v skladu s členom 47(5) pooblastilo, da sodeluje v sodnih postopkih, da bi tako zagotovil izvajanje pravil o varstvu podatkov, sprejetih na podlagi Direktive 2016/680. Strinjam se s Komisijo, ki je v zvezi s tem poudarila, da lahko nadzorni organ ta pooblastila izvaja le v svojem imenu in kot javni organ, ne pa kot navaden posrednik ali v imenu posameznika, na katerega se nanašajo osebni podatki.

65.

Ko nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvesti o izidu pregleda, ki ga je opravil v skladu s členom 17(3) in členom 46(1)(g) Direktive 2016/680, to nedvomno pomeni, da je prišel do konca postopka odločanja v zvezi z zakonitostjo obdelave. Na pravni položaj posameznika, na katerega se nanašajo osebni podatki, torej vplivata (i) ugotovitev, ali je nadzorni organ pravilno opravil nalogo „preverja[nja] zakonitost[i] obdelave v skladu s členom 17“, za katero je zadolžen, in (ii) ugotovitev, do katere je ta organ prišel po koncu tega postopka.

66.

To, da ima nadzorni organ na podlagi člena 17 Direktive 2016/680 samostojno vlogo, ne pa zgolj vloge posrednika, potrjuje tudi razlaga te direktive ob upoštevanju Listine. V skladu s členom 8(3) Listine je za nadziranje spoštovanja pravil o varstvu podatkov in, natančneje, pravice do dostopa do podatkov pristojen neodvisen organ. Vloga, ki jo imajo organi za varstvo podatkov, je torej ustavnopravnega pomena, saj je navedena v Listini. Nadzorni organ ima namreč vlogo spremljanja in zagotavljanja uporabe Direktive 2016/680. Razlaga, v skladu s katero ta organ v okviru posrednega uresničevanja pravic posameznika, na katerega se nanašajo osebni podatki, deluje ločeno od tega posameznika, torej podpira ustavnopravno vlogo nadzornega organa.

67.

Poleg tega, če bi namreč sprejeli tezo, da nadzorni organ deluje kot „posrednik“ posameznika, na katerega se nanašajo osebni podatki, potem bi moral ta organ poročati posamezniku, na katerega se nanašajo osebni podatki, to je svojemu naročniku. Vendar nadzorni organ za policijske informacije trdi, da za posredovanje nadaljnjih informacij posamezniku, na katerega se nanašajo osebni podatki, sploh ni pristojen. Tak pristop bi torej privedel do posebnega položaja, v katerem bi posrednik imel več informacij kot njegov naročnik.

68.

Francoska vlada je na obravnavi v bistvu trdila, da v nasprotju s položajem, v katerem nadzorni organ v skladu s členom 46(1)(f) Direktive 2016/680 obravnava pritožbe, ta organ na podlagi člena 46(1)(g) nima nobenih pooblastil, ki bi jih lahko izvajal v razmerju do upravljavca. Francoska vlada meni, da posameznik, na katerega se nanašajo osebni podatki, v okviru neposrednega uresničevanja pravic nima pooblastil, ki bi jih lahko uporabil zoper upravljavca, zato takih pooblastil ne more imeti niti v okviru posrednega uresničevanja teh pravic prek nadzornega organa. Francoska vlada zatrjuje, da se člen 47 Direktive 2016/680 nanaša le na pooblastila, ki jih nadzorni organ izvaja v svojem imenu, ne pa tudi na pooblastila, ki jih izvaja v imenu posameznika, na katerega se nanašajo osebni podatki.

69.

To stališče francoske vlade v bistvu temelji na teoriji, da nadzorni organ deluje zgolj kot posrednik posameznika, na katerega se nanašajo osebni podatki. Iz razlogov, ki sem jih že predstavila, se ne strinjam z zelo poenostavljeno razlago vloge, ki jo ima nadzorni organ. Posredno uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, mora imeti dodano vrednost ter pomeniti dodatno jamstvo in zaščitni ukrep za posameznika, na katerega se nanašajo osebni podatki. Če bi moral organ v vseh okoliščinah zgolj potrditi, da so bila opravljena potrebna preverjanja, pri tem pa ne bi mogel izvajati svojih pooblastil, bi bila dodana vrednost njegove vloge pri preverjanju zakonitosti obdelave omejena.

70.

Člen 17 Direktive 2016/680 v zvezi s tem vidikom določa, da nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvesti „vsaj“ o tem, da je izvedel vsa potrebna preverjanja. To pomeni, da lahko obstajajo okoliščine, v katerih lahko nadzorni organ preseže ali mora preseči take minimalne informacije. Tako razlago podpira člen 46(1)(g) Direktive 2016/680, v skladu s katerim ima nadzorni organ nalogi preverjanja zakonitosti obdelave v skladu s členom 17 te direktive in obveščanja posameznika, na katerega se nanašajo osebni podatki, o izidu pregleda v skladu z odstavkom 3 navedenega člena. „Izid pregleda“ sicer zajema minimalne informacije, vendar ni vselej omejen na zagotavljanje takih informacij.

71.

Komisija poudarja, da člen 17 Direktive 2016/680 nadzornemu organu daje določeno diskrecijsko pravico. Države članice pa naj v skladu s tem členom ne bi imele diskrecijske pravice, na podlagi katere bi lahko vlogo nadzornega organa omejile na vlogo kurirja ali s tem, da bi določile, da mora ta organ zagotavljati le minimalne informacije, v celoti odpravile njegovo diskrecijsko pravico. Če bi namreč država članica lahko odstopala od Direktive 2016/680 in nadzornim organom podelila manj pooblastil, naj bi to resno ogrozilo cilj krepitve pravic posameznikov, na katere se nanašajo osebni podatki, in harmonizacije pooblastil za spremljanje in zagotavljanje skladnosti s pravili o varstvu podatkov v državah članicah. Prav tako naj bi bila zaradi tega ogrožena tudi cilja povečanja preglednosti in nadzora, ki se uresničujeta s to direktivo.

72.

Nadzorni organ za policijske informacije je na obravnavi izrazil pomislek glede tega, da bi se nadzornemu organu priznala vloga, ki presega vlogo zgolj izvrševanja pooblastila na račun posameznika, na katerega se nanašajo osebni podatki. Trdil je, da nadzorni organ v okviru člena 17 Direktive 2016/680 ne sme odločati o smiselnosti ravnanja upravljavca in ne sme tehtati interesov, povezanih s posredovanjem upoštevnih informacij. Ta organ je trdil, da bi moral v nasprotnem primeru prevzeti vlogo upravljavca, kar pa bi bilo v nasprotju z njegovo neodvisnostjo.

73.

V zvezi s tem vidikom menim, da diskrecijske pravice, ki jo ima nadzorni organ na podlagi člena 17 Direktive 2016/680, ne gre razumeti kot pooblastilo, ki temu organu omogoča, da prevzame vlogo upravljavca in zagotovi samodejni dostop do informacij, katerih razkritje je upravljavec zavrnil. Nadzorni organ zaradi svoje neodvisnosti vzpostavi zaupen dialog z upravljavcem, da bi preveril zakonitost obdelave. Kot je v bistvu trdila Komisija, je o tem dialogu mogoče sklepati iz obveznosti upravljavca iz člena 15(4) Direktive 2016/680, da nadzornemu organu da na voljo podatke o dejanskem stanju ali pravnih razlogih, na katerih temelji odločitev o omejitvi pravice do dostopa.

74.

Če nadzorni organ v okviru tega dialoga meni, da omejitve pravic posameznika, na katerega se nanašajo osebni podatki, niso upravičene, mora upravljavcu omogočiti, da ta položaj popravi. V skladu s členom 17(3) navedene direktive ima nadzorni organ po koncu tega dialoga diskrecijsko pravico glede obsega informacij, ki jih lahko v zvezi z izidom opravljenih preverjanj razkrije posamezniku, na katerega se nanašajo osebni podatki. Določitev obsega informacij, ki jih lahko razkrije, je treba v skladu z načelom sorazmernosti presojati v vsakem primeru posebej. Poleg tega mora imeti nadzorni organ možnost, da zagotovi skladnost s pravili Direktive 2016/680 in izvaja pooblastila, ki jih ima na podlagi člena 47 te direktive. Ta določba pa z ničemer ne omejuje izvajanja zadevnih pooblastil v okviru člena 17 navedene direktive. Ravno nasprotno, učinkovita pooblastila, ki jih ima nadzorni organ, so nujna in močna protiutež omejitvi pravice posameznika, na katerega se nanašajo osebni podatki, do dostopa.

75.

Nazadnje, nadzorni organ za policijske informacije in češka vlada sta navedla tudi trditev, ki se nanaša na hierarhijo pravnih sredstev. V bistvu trdita, da je treba pravico do uporabe pravnega sredstva v okviru posrednega uresničevanja pravic prek nadzornega organa v skladu s členom 54 Direktive 2016/680 uveljavljati zoper upravljavca, ne pa zoper nadzorni organ, razen če ta ne ravna tako, kot bi moral.

76.

V zvezi s tem je treba ugotoviti, da iz nobene določbe Direktive 2016/680 ne izhaja, da se pravna sredstva, ki jih določa ta direktiva, medsebojno izključujejo. Nasprotno, iz besedila členov 52, 53 in 54 Direktive 2016/680, na katero sem se že sklicevala, ( 32 ) izhaja, da te določbe osebam, ki se sklicujejo na kršitev te direktive, ponujajo različna pravna sredstva, pri čemer mora biti mogoče vsako od teh pravnih sredstev uveljavljati „brez poseganja“ v druga pravna sredstva ( 33 ). Opozoriti je treba, da je Sodišče glede razmerja med pravnimi sredstvi, določenimi v Uredbi 2016/679, ( 34 ) v sodbi Nemzeti razsodilo, da ta uredba „ne določa [niti] prednostne ali izključne pristojnosti niti nobenega pravila o prednosti presoje, ki jo opravi organ ali sodišča, na katere se nanaša, glede obstoja kršitve pravic, podeljenih s to uredbo“ ( 35 ).

77.

V nasprotju s stališčem francoske vlade in nadzornega organa za policijske informacije menim, da se razlogovanje, podano v sodbi Nemzeti, po analogiji uporablja tudi za pravna sredstva, ki jih določa Direktiva 2016/680. Prvič, pravna sredstva, ki jih lahko posameznik, na katerega se nanašajo osebni podatki, na podlagi Uredbe 2016/679 in Direktive 2016/680 uporabi zoper nadzorni organ in upravljavca, so podobna. Drugič, v uvodni izjavi 7 Direktive 2016/680 je navedeno, da je za učinkovito varstvo osebnih podatkov v celotni Uniji potrebna okrepitev pravic posameznikov, na katere se nanašajo osebni podatki. ( 36 ) Dajanje na voljo več pravnih sredstev krepi tudi cilj, naveden v uvodni izjavi 85 Direktive 2016/680, da se vsakemu posamezniku, na katerega se nanašajo osebni podatki, ki meni, da so pravice, ki jih ima na podlagi določb, sprejetih v skladu s to direktivo, kršene, zagotovi pravica do učinkovitega pravnega sredstva v skladu s členom 47 Listine.

78.

Prav tako je treba poudariti, da se pravno sredstvo zoper nadzorni organ in pravno sredstvo zoper upravljavca razlikujeta glede na svoj namen. Na eni strani velja, kot pravilno ugotavlja Komisija, da je namen tožbe, vložene zoper odločitev upravljavca, s katero ta omeji pravice posameznika, na katerega se nanašajo osebni podatki, doseči sodni nadzor nad pravilnostjo uporabe člena 13(3), člena 15(3) in člena 16(4) Direktive 2016/680. Na drugi strani pa je namen tožbe, vložene zoper nadzorni organ, doseči sodni nadzor nad pravilnostjo uporabe člena 17 in člena 46(1)(g) Direktive 2016/680, kar zajema tudi presojo, ali je ta nadzorni organ pravilno opravil nalogo, ki jo ima v zvezi s preverjanjem zakonitosti obdelave.

79.

Ugotoviti je treba tudi, da sistem sodnega varstva ne bi bil dosleden in popoln, če bi lahko posameznik, na katerega se nanašajo osebni podatki, izpodbijal le opustitev ukrepanja nadzornega organa, medtem ko bi bili ukrepi tega organa in način, na katerega je izpolnil svoje obveznosti, izvzeti iz sodnega nadzora.

80.

V obravnavani zadevi se vsekakor zdi, da tožbe zoper upravljavca sploh ni mogoče vložiti. Iz predložitvene odločbe izhaja, da posamezniki, na katere se nanašajo osebni podatki, ne morejo vložiti tožbe zoper upravljavca, ker je za uresničevanje vseh njihovih pravic pristojen nadzorni organ za policijske informacije. Združenje Ligue des droits humains poleg tega trdi, da posameznik, na katerega se nanašajo osebni podatki, v belgijskem sistemu podatkovnih zbirk policije zelo težko sploh ugotovi, kdo je upravljavec. V takih okoliščinah naj bi obstajala nevarnost, da bi bilo posamezniku, na katerega se nanašajo osebni podatki, povsem odvzeto vsakršno učinkovito sodno varstvo, saj naj sploh ne bi vedel, kdo je upravljavec, in naj tudi v primeru, v katerem bi bil upravljavec znan, ne bi imel pravice, da se obrne neposredno na upravljavca. Poleg tega naj ne bi mogel izpodbijati ukrepov, ki jih sprejme nadzorni organ za policijske informacije. Zdi se mi, da se posameznik, na katerega se nanašajo osebni podatki, spopada s sistemom, v katerem so mu „zaprta vsa vrata“, kar je v nasprotju z Direktivo 2016/680.

81.

Glede na navedeno menim, da je treba člen 17 Direktive 2016/680 v povezavi s členom 46(1)(g) te direktive ter ob upoštevanju členov 47 in 8(3) Listine razlagati tako, da zahteva, da mora imeti posameznik, na katerega se nanašajo osebni podatki, ki svoje pravice uresničuje prek neodvisnega nadzornega organa, na voljo pravno sredstvo, ki ga lahko vloži zoper ta nadzorni organ, če se to pravno sredstvo nanaša na nalogo preverjanja zakonitosti obdelave podatkov, ki jo ima ta nadzorni organ.

82.

Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali je člen 17 Direktive 2016/680 v delu, v katerem nadzornemu organu nalaga, naj posameznika, na katerega se nanašajo osebni podatkov, zgolj obvesti (i) „o tem, da je izvedel vsa potrebna preverjanja oziroma opravil pregled“, in (ii) „o njegovi pravici do uporabe pravnega sredstva“, čeprav tako obveščanje ne omogoča naknadnega nadzora nad sprejetimi ukrepi nadzornega organa in presojo, ki jo je ta organ ob upoštevanju obveznosti upravljavca opravil v zvezi s tem posameznikom, skladen s členoma 8(3) in 47 Listine.

83.

Najprej je treba opozoriti, da se v skladu s splošnim načelom razlage akt Unije, kolikor je le mogoče, razlaga tako, da se ne vzbuja dvom o njegovi veljavnosti, in v skladu z vsem primarnim pravom ter zlasti z določbami Listine. Tako je treba, kadar je mogoče določbo sekundarnega prava Unije razlagati na več načinov, dati prednost tisti razlagi, na podlagi katere je določba skladna s primarnim pravom, ne pa tisti, ki bi pripeljala do ugotovitve njene nezdružljivosti s tem pravom. ( 37 )

84.

Kot sem pojasnila v okviru uvodnih ugotovitev in analize prvega vprašanja za predhodno odločanje, člen 17 Direktive 2016/680 določa, da je mogoče pravice posameznika, na katerega se nanašajo osebni podatki, posredno uresničevati prek pristojnega nadzornega organa, če so pravice tega posameznika omejene v skladu s členom 13(3), členom 15(3) in členom 16(4) te direktive. Omejitve pravic posameznika, na katerega se nanašajo osebni podatki, so dovoljene le, če je tak ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za varstvo posebnega cilja v javnem interesu, ki izhaja iz navedenih določb.

85.

Vprašanje ki se v zvezi s tem postavlja, se nanaša na to, v kolikšni meri vsebina informacij, ki jih zagotovi nadzorni organ, ki posredno uresničuje pravice posameznika, na katerega se nanašajo osebni podatki, temu posamezniku sploh dopušča uresničevanje pravice do učinkovitega pravnega sredstva iz prvega odstavka člena 47 Listine.

86.

V zvezi s tem sem v okviru analize prvega vprašanja že opozorila, da je treba pravico do učinkovitega pravnega sredstva, določeno v členu 47 Listine, priznati vsaki osebi, ki se sklicuje na pravice ali svoboščine, zagotovljene s pravom Unije, zoper odločbo, ki posega v njen položaj in ki lahko posega v te pravice ali svoboščine. ( 38 )

87.

Vendar je treba spomniti, da pravica do učinkovitega sodnega varstva ni absolutna pravica in da se lahko v skladu s členom 52(1) Listine določijo omejitve te pravice, prvič, če so te omejitve predpisane z zakonom, drugič, če spoštujejo bistveno vsebino zadevnih pravic in svoboščin in, tretjič, če so ob upoštevanju načela sorazmernosti potrebne in če dejansko ustrezajo ciljem splošnega interesa, ki jih priznava Unija, ali če so potrebne zaradi zaščite pravic in svoboščin drugih. ( 39 )

88.

V zvezi s posrednim uresničevanjem pravic prek nadzornega organa je treba poudariti, da je možnost takega posrednega uresničevanja posledica omejitve pravic posameznika, na katerega se nanašajo osebni podatki. Nadzorni organ mora ukrepati v položaju, v katerem je pravica izjemoma omejena, glede na okoliščine pa tudi v položaju, v katerem upravljavec opusti navedbo informacij v zvezi z razlogi za tako omejitev. ( 40 ) Nadzorni organ ima pri izvajanju te naloge vlogo, v skladu s katero, kot sem podrobno ponazorila v okviru analize prvega vprašanja, ne deluje zgolj kot „kurir“, ampak zagotavlja zakonitost obdelave.

89.

Obseg informacij, ki jih lahko nadzorni organ razkrije posamezniku, na katerega se nanašajo osebni podatki, je nujno odvisen od razlogov, ki so povzročili omejitev pravice do dostopa. Resnejši ko so razlogi za tako omejitev, pa tudi za morebitno opustitev informacij, manj informacij bo lahko nadzorni organ dejansko zagotovil. V nasprotju s predpostavko, na kateri temelji besedilo vprašanja za predhodno odločanje, iz člena 17(3) Direktive 2016/680 ne izhaja, da lahko nadzorni organ „le“ in v vseh okoliščinah potrdi, da so bila opravljena vsa potrebna preverjanja. Nadzorni organ mora namreč v skladu s to določbo navesti „vsaj“ to, da je izvedel vsa potrebna preverjanja oziroma opravil pregled.

90.

Iz tega sledi, da informacij, ki jih mora predložiti nadzorni organ, ni mogoče vnaprej določiti. Povedano drugače, minimalna vsebina informacij, ki jo določa člen 17(3) navedene direktive, ni edina možna vsebina. Kot je poudarila Komisija, je treba obseg informacij določiti v vsakem primeru posebej, ta pa se lahko spreminja glede na okoliščine in je odvisen od tehtanja zadevnih interesov, ki ga je treba izvesti ob upoštevanju načela sorazmernosti. V ponazoritev lahko navedem, da se zdi, kot je bilo pravilno ugotovljeno v strokovni literaturi, ( 41 ) da primer, v katerem bi nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvestil, da se je njegovo ime zaradi napake pri zapisu znašlo v podatkovni zbirki policije, ne bi bil problematičen.

91.

Opozoriti je treba, da je bilo v predlogu Komisije za Direktivo o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj predvideno, da morajo nadzorni organi poleg minimalnih informacij, ki jih zagotovijo posamezniku, na katerega se nanašajo osebni podatki, tega posameznika obvestiti tudi „o izidu v zvezi z zakonitostjo zadevne obdelave“. ( 42 ) Ta zadnjenavedena informacija (to je izid v zvezi z zakonitostjo obdelave) pa v besedilo člena 17 Direktive 2016/680 ni bila vključena. Vendar to ne pomeni, da je mogoče morebitne kršitve pravil o varstvu podatkov preprosto dopustiti. V okviru analize, ki sem jo opravila v zvezi s prvim vprašanjem, sem izpostavila, da nadzorni organ vzpostavi zaupen dialog z upravljavcem. Če nadzorni organ meni, da je obdelava nezakonita, mora upravljavcu omogočiti, da ta položaj popravi. Če pa do poprave nastalega položaja ne pride, ima nadzorni organ v skladu s členom 47 Direktive 2016/680 pooblastila za izvrševanje, ki jih mora izvajati. Menim, da v takem primeru ne zadostuje, da nadzorni organ poroča nacionalnemu parlamentu, kot je na obravnavi navedel nadzorni organ za policijske informacije. Ta organ mora namreč izvajati pooblastilo, ki ga ima v skladu s členom 47(5) Direktive 2016/680, da sodne organe opozori na kršitve pravil o varstvu podatkov in da po potrebi začne sodne postopke ali v njih drugače sodeluje.

92.

Razlago, v skladu s katero imajo nadzorni organi pri posrednem uresničevanju pravic posameznika, na katerega se nanašajo osebni podatki, določeno diskrecijsko pravico, potrjuje tudi ustavnopravni pomen vloge, ki jo neodvisnim nadzornim organom zagotavlja člen 8(3) Listine.

93.

Ne glede na navedeno pa lahko obstajajo okoliščine, v katerih nadzorni organ meni, da ne sme preseči razkritja minimalnih informacij, to je informacij o tem, da so bila opravljena vsa potrebna preverjanja. V takih okoliščinah namreč izvajanje sodnega nadzora sploh ne bi bilo mogoče, razen če bi lahko sodišče, ki je pristojno za nadzor nad odločitvijo nadzornega organa, preučilo vse razloge, na katerih temelji ta odločitev, in odločitev upravljavca glede omejitve dostopa.

94.

V zvezi s tem je treba poudariti, prvič, da člen 15(4) Direktive 2016/680 določa, da mora upravljavec dokumentirati dejansko stanje ali pravne razloge, na katerih temelji odločitev glede omejitve pravice do dostopa, in te podatke dati na voljo nadzornim organom. Če namreč posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico do sodnega nadzora nad odločitvijo upravljavca in/ali odločitvijo nadzornega organa, je treba ugotoviti, kot je poudaril Evropski parlament, da se morajo podatki, če se dajo na voljo nadzornemu organu, dati na voljo tudi sodnemu organu.

95.

Drugič, v izjemnih primerih, v katerih upravljavec ne zagotovi informacij o razlogih za zavrnitev ali omejitev pravic posameznika, na katerega se nanašajo osebni podatki, in nadzorni organ zagotovi le minimalne informacije, in sicer da so bila opravljena vsa potrebna preverjanja, mora pristojno sodišče države članice imeti na voljo in uporabiti tehnike in pravila postopkovnega prava, ki omogočajo upoštevanje legitimnih preudarkov javne varnosti ali javnega interesa glede narave in virov podatkov, ki so se upoštevali pri sprejetju take določbe, na eni strani ter nujnosti, da se zadevni osebi zagotovi spoštovanje njenih procesnih pravic, kot sta pravica do izjave in načelo kontradiktornosti, na drugi strani. ( 43 )

96.

Za to morajo države članice v skladu z razlogovanjem, podanim v sodni praksi, ki izhaja iz sodbe z dne 4. junija 2013, ZZ (C‑300/11, EU:C:2013:363), vzpostaviti, prvič, učinkovit sodni nadzor nad obstojem in utemeljenostjo razlogov, ki jih uveljavlja nacionalni organ, ter, drugič, tehnike in pravila zvezi z nadzorom, kot so navedene v prejšnji točki teh sklepnih predlogov. ( 44 )

97.

Francoska vlada je na obravnavi trdila, da se okoliščine iz sodbe ZZ razlikujejo od okoliščin iz postopka v glavni stvari, saj se je sodba ZZ nanašala na odločbo o prepovedi vstopa državljanu Evropske unije v državo članico iz razlogov javne varnosti. V zvezi s tem je treba poudariti, da je razlogovanje, ki ga je Sodišče podalo v sodni praksi, ki izhaja iz sodbe ZZ, in v katerem se je oprlo na sodbo Kadi, ( 45 ) temeljilo na potrebi po ustreznem tehtanju zahtev, ki izhajajo iz državne varnosti, in zahtev, ki izhajajo iz pravice do učinkovitega sodnega varstva. Zagovornik francoske vlade se je v odgovoru na vprašanje, ki mu je bilo postavljeno na obravnavi, strinjal, da iz te sodne prakse v bistvu izhaja, da v postopku pred sodiščem ne sme biti nobenih skrivnosti. Zato menim, da bi se morala navedena sodna praksa po analogiji uporabljati tudi v okviru Direktive 2016/680, če pristojni organi menijo, da razlogi nacionalne varnosti ali kateri koli drug razlog v splošnem interesu, s katerimi je mogoče upravičiti omejitev pravic posameznika, na katerega se nanašajo osebni podatki, ovirajo natančno in celovito obveščanje o razlogih za sprejetje take odločitve o omejitvi pravic.

98.

Iz navedenega izhaja, da je člen 17 Direktive 2016/680 skladen s členoma 8(3) in 47 Listine, če (i) lahko nadzorni organ glede na okoliščine zagotovi informacije, ki presegajo navedbo, da so bila opravljena vsa potrebna preverjanja, in (ii) je posamezniku, na katerega se nanašajo osebni podatki, na voljo sodni nadzor nad ukrepanjem nadzornega organa in presojo, ki jo je ta organ ob upoštevanju obveznosti upravljavca opravil v zvezi s tem posameznikom.

99.

Na podlagi navedenega ugotavljam, da veljavnost člena 17 Direktive 2016/680 ni sporna.

100.

Glede na navedeno Sodišču predlagam, naj cour d’appel de Bruxelles (višje sodišče v Bruslju, Belgija) odgovori: