Det här dokumentet är ett utdrag från EUR-Lex webbplats
Dokument 62019CJ0645
Judgment of the Court (Grand Chamber) of 15 June 2021.#Facebook Ireland Ltd and Others v Gegevensbeschermingsautoriteit.#Request for a preliminary ruling from the Hof van beroep te Brussel.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Charter of Fundamental Rights of the European Union – Articles 7, 8 and 47 – Regulation (EU) 2016/679 – Cross-border processing of personal data – ‘One-stop shop’ mechanism – Sincere and effective cooperation between supervisory authorities – Competences and powers – Power to initiate or engage in legal proceedings.#Case C-645/19.
Domstolens dom (stora avdelningen) av den 15 juni 2021.
Facebook Ireland Limited m.fl. mot Gegevensbeschermingsautoriteit.
Begäran om förhandsavgörande från Hof van beroep te Brussel.
Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 47 – Förordning (EU) 2016/679 – Gränsöverskridande behandling av personuppgifter – Systemet med en enda kontaktpunkt – Lojalt och effektivt samarbete mellan tillsynsmyndigheterna – Behörigheter och befogenheter – Befogenhet att inleda eller delta i rättsliga förfaranden.
Mål C-645/19.
Domstolens dom (stora avdelningen) av den 15 juni 2021.
Facebook Ireland Limited m.fl. mot Gegevensbeschermingsautoriteit.
Begäran om förhandsavgörande från Hof van beroep te Brussel.
Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 47 – Förordning (EU) 2016/679 – Gränsöverskridande behandling av personuppgifter – Systemet med en enda kontaktpunkt – Lojalt och effektivt samarbete mellan tillsynsmyndigheterna – Behörigheter och befogenheter – Befogenhet att inleda eller delta i rättsliga förfaranden.
Mål C-645/19.
ECLI-nummer: ECLI:EU:C:2021:483
DOMSTOLENS DOM (stora avdelningen)
den 15 juni 2021 ( *1 )
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 47 – Förordning (EU) 2016/679 – Gränsöverskridande behandling av personuppgifter – Systemet med en enda kontaktpunkt – Lojalt och effektivt samarbete mellan tillsynsmyndigheterna – Behörigheter och befogenheter – Befogenhet att inleda eller delta i rättsliga förfaranden”
I mål C‑645/19,
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Hof van beroep te Brussel (Appellationsdomstolen i Bryssel, Belgien) genom beslut av den 8 maj 2019, som inkom till domstolen den 30 augusti 2019, i målet
Facebook Ireland Ltd,
Facebook Inc.,
Facebook Belgium BVBA,
mot
Gegevensbeschermingsautoriteit,
meddelar
DOMSTOLEN (stora avdelningen)
sammansatt av ordföranden K. Lenaerts, vice ordföranden R. Silva de Lapuerta, avdelningsordförandena A. Arabadjiev, A. Prechal, M. Vilaras, M. Ilešič och N. Wahl samt domarna E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P.G. Xuereb och L.S. Rossi (referent),
generaladvokat: M. Bobek,
justitiesekreterare: förste handläggaren M. Ferreira,
efter det skriftliga förfarandet och förhandlingen den 5 oktober 2020,
med beaktande av de yttranden som avgetts av:
– |
Facebook Ireland Ltd, Facebook Inc. och Facebook Belgium BVBA, genom S. Raes, P. Lefebvre och D. Van Liedekerke, advocaten, |
– |
Gegevensbeschermingsautoriteit, genom F. Debusseré och R. Roex, advocaten, |
– |
Belgiens regering, genom J.-C. Halleux, P. Cottin, och C. Pochet, samtliga i egenskap av ombud, biträdda av P. Paepe, advocaat, |
– |
Tjeckiens regering, genom M. Smolek, O. Serdula och J. Vláčil, samtliga i egenskap av ombud, |
– |
Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av G. Natale, avvocato dello Stato, |
– |
Polens regering, genom B. Majczyna, i egenskap av ombud, |
– |
Portugals regering, genom L. Inez Fernandes, A.C. Guerra, P. Barros da Costa och L. Medeiros, samtliga i egenskap av ombud, |
– |
Finlands regering, genom A. Laine och M. Pere, båda i egenskap av ombud, |
– |
Europeiska kommissionen, genom H. Kranenborg, D. Nardi och P.J.O. Van Nuffel, samtliga i egenskap av ombud, |
och efter att den 13 januari 2021 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 |
Begäran om förhandsavgörande avser tolkningen av artiklarna 55.1, 56–58 och 60–66 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, samt rättelser i EUT L 127, 2018, s. 2, och EUT L 74, 2021, s. 35), jämförda med artiklarna 7, 8 och 47 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan). |
2 |
Begäran har framställts i ett mål mellan å ena sidan Facebook Ireland Ltd, Facebook Inc. och Facebook Belgium BVBA och å andra sidan Gegevensbeschermingsautoriteit (dataskyddsmyndigheten, Belgien), som efterträtt Commissie ter bescherming van de persoonlijke levenssfeer (rådet för skydd av privatlivet, Belgien) (nedan kallat skyddsrådet). Målet rör den talan om förbudsföreläggande som dataskyddsmyndighetens ordförande väckt för att få till stånd ett upphörande av den behandling av internetanvändares personuppgifter som, med hjälp av kakor (cookies), sociala insticksprogram (social plug-ins) och pixlar (pixels) genomförs i Belgien av det sociala närverket Facebook. |
Tillämpliga bestämmelser
Unionsrätt
3 |
I skälen 1, 4, 10, 11, 13, 22, 123, 141 och 145 i förordning 2016/679 anges följande:
…
…
…
…
…
…
…
|
4 |
Artikel 3 i förordningen har rubriken ”Territoriellt tillämpningsområde”. I artikel 3.1 föreskrivs följande: ”Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen, oavsett om behandlingen utförs i unionen eller inte.” |
5 |
I artikel 4 i nämnda förordning definieras, i led 16, begreppet ”huvudsakligt verksamhetsställe” och, i led 23, begreppet ”gränsöverskridande behandling” enligt följande: ”16) huvudsakligt verksamhetsställe:
… 23) gränsöverskridande behandling:
|
6 |
I artikel 51 i samma förordning, med rubriken ”Tillsynsmyndighet”, föreskrivs följande: ”1. Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen … 2. Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII. …” |
7 |
Artikel 55 i förordning 2016/679, med rubriken ”Behörighet”, ingår i kapitel VI i denna förordning, som i sin tur har rubriken ”Oberoende tillsynsmyndigheter”. Artikel 55 innehåller följande bestämmelser: ”1. Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium. 2. Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.” |
8 |
I förordningens artikel 56, som har rubriken ”Den ansvariga tillsynsmyndighetens behörighet”, föreskrivs följande: ”1. Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60. 2. Genom undantag från punkt 1 ska varje tillsynsmyndighet vara behörig att behandla ett klagomål som lämnats in till denna eller en eventuell överträdelse av denna förordning, om sakfrågan i ärendet endast rör ett verksamhetsställe i medlemsstaten eller i väsentlig grad påverkar registrerade endast i medlemsstaten. 3. I de fall som avses i punkt 2 i den här artikeln ska tillsynsmyndigheten utan dröjsmål informera den ansvariga tillsynsmyndigheten om detta ärende. Inom tre veckor från det att den underrättats ska den ansvariga tillsynsmyndigheten besluta huruvida den kommer att behandla ärendet i enlighet med det förfarande som föreskrivs i artikel 60, med hänsyn till huruvida den personuppgiftsansvarige eller personuppgiftsbiträdet har eller inte har ett verksamhetsställe som är beläget i den medlemsstat där den tillsynsmyndighet som lämnat informationen är belägen. 4. Om den ansvariga tillsynsmyndigheten beslutar att behandla ärendet ska det ske i enlighet med det förfarande som föreskrivs i artikel 60. Den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten får lämna in ett utkast till beslut till den ansvariga tillsynsmyndigheten. Den ansvariga tillsynsmyndigheten ska ta största möjliga hänsyn till detta utkast till beslut när det utarbetar det utkast till beslut som avses i artikel 60.3. 5. Om den ansvariga tillsynsmyndigheten beslutar att inte behandla ärendet ska den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten behandla ärendet i enlighet med artiklarna 61 och 62. 6. Den ansvariga tillsynsmyndigheten ska vara den personuppgiftsansvariges eller personuppgiftsbiträdets enda motpart när det gäller den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling.” |
9 |
I artikel 57 i förordning 2016/679, med rubriken ”Uppgifter”, föreskrivs följande i punkt 1: ”Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:
…
…” |
10 |
I artikel 58 i samma förordning, med rubriken ”Befogenheter”, föreskrivs följande i punkterna 1, 4 och 5: ”1. Varje tillsynsmyndighet ska ha samtliga följande utredningsbefogenheter
…
… 4. Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan. 5. Varje medlemsstat ska i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och vid behov att inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i denna förordning.” |
11 |
Kapitel VII i förordning 2016/679 har rubriken ”Samarbete och enhetlighet”. Däri ingår ett avsnitt I med rubriken ”Samarbete”, och detta avsnitt innehåller artiklarna 60–62. I artikel 60, som har rubriken ”Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna”, föreskrivs följande: ”1. Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna ska utbyta all relevant information med varandra. 2. Den ansvariga tillsynsmyndigheten får när som helst begära att andra berörda tillsynsmyndigheter ger ömsesidigt bistånd i enlighet med artikel 61 och får genomföra gemensamma insatser i enlighet med artikel 62, i synnerhet för att utföra utredningar eller övervaka genomförandet av en åtgärd som avser en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i en annan medlemsstat. 3. Den ansvariga tillsynsmyndigheten ska utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den relevanta informationen i ärendet. Den ska utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsynsmyndigheterna så att de kan avge ett yttrande och ta vederbörlig hänsyn till deras synpunkter. 4. Om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats i enlighet med punkt 3 i den här artikeln uttrycker en relevant och motiverad invändning mot utkastet till beslut ska den ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses i artikel 63. 5. Om den ansvariga tillsynsmyndigheten avser att följa den relevanta och motiverade invändningen ska den till de andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta reviderade utkast till beslut ska omfattas av det förfarande som avses i punkt 4 inom en period av två veckor. 6. Om ingen av de andra berörda tillsynsmyndigheterna har gjort invändningar mot det utkast till beslut som den ansvariga tillsynsmyndigheten har lagt fram inom den period som avses i punkterna 4 och 5 ska den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna anses samtycka till detta utkast till beslut och ska vara bundna av det. 7. Den ansvariga tillsynsmyndigheten ska anta och meddela beslutet till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra berörda tillsynsmyndigheterna och [Europeiska dataskyddsstyrelsen] om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en relevant motivering. Den tillsynsmyndighet till vilken ett klagomål har lämnats in ska underrätta den enskilde om beslutet. 8. Om ett klagomål avvisas eller avslås ska den tillsynsmyndighet till vilken klagomålet lämnades in, genom undantag från punkt 7, anta beslutet och meddela den enskilde samt informera den personuppgiftsansvarige. 9. Om den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna är överens om att avvisa eller avslå delar av ett klagomål och att vidta åtgärder beträffande andra delar av klagomålet ska ett separat beslut antas för var och en av dessa delar av frågan. … 10. Efter att den personuppgiftsansvarige eller personuppgiftsbiträdet har meddelats om den ansvariga myndighetens beslut i enlighet med punkterna 7 och 9 ska den personuppgiftsansvarige eller personuppgiftsbiträdet vidta nödvändiga åtgärder för att se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska meddela den ansvariga tillsynsmyndigheten vilka åtgärder som har vidtagits för att efterleva beslutet, och den ansvariga tillsynsmyndigheten ska informera de andra berörda tillsynsmyndigheterna. 11. Om en berörd tillsynsmyndighet under exceptionella omständigheter har skäl att anse att det finns ett brådskande behov av att agera för att skydda registrerades intressen ska det skyndsamma förfarande som avses i artikel 66 tillämpas. …” |
12 |
Artikel 61 i nämnda förordning har rubriken ”Ömsesidigt bistånd”. I artikel 61.1 anges följande: ”Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.” |
13 |
Artikel 62 i samma förordning har rubriken ”Tillsynsmyndigheters gemensamma insatser” och innehåller följande bestämmelser: ”1. Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter deltar. 2. Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma insatserna. … …” |
14 |
I kapitel VII i förordning 2016/679 finns ett avsnitt 2, som har rubriken ”Enhetlighet”. Det innehåller artiklarna 63–67 i denna förordning. Artikel 63, som har rubriken ”Mekanism för enhetlighet”, lyder enligt följande: ”För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta avsnitt.” |
15 |
I artikel 64.2 i nämnda förordning föreskrivs följande: ”Varje tillsynsmyndighet, [Europeiska dataskyddsstyrelsens] ordförande eller kommissionen får i syfte att erhålla ett yttrande begära att [Europeiska dataskyddsstyrelsen] granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61 eller i fråga om gemensamma insatser i enlighet med artikel 62.” |
16 |
Artikel 65 i samma förordning har rubriken ”Tvistlösning genom styrelsen”. I artikel 65.1 föreskrivs följande: ”För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska [Europeiska dataskyddsstyrelsen] anta ett bindande beslut i följande fall:
…” |
17 |
Artikel 66 i förordning 2016/679 har rubriken ”Skyndsamt förfarande”. I artikel 66.1 och 66.2 föreskrivs följande: ”1. Under exceptionella omständigheter får en berörd tillsynsmyndighet med avvikelse från den mekanism för enhetlighet som avses i artiklarna 63, 64 och 65 eller det förfarande som avses i artikel 60 omedelbart vidta provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter. Tillsynsmyndigheten ska utan dröjsmål underrätta de andra berörda tillsynsmyndigheterna, [Europeiska dataskyddsstyrelsen] och kommissionen om dessa åtgärder och om skälen till att de vidtas. 2. Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 och anser att definitiva åtgärder skyndsamt måste antas, får den begära ett brådskande yttrande eller ett brådskande bindande beslut från [Europeiska dataskyddsstyrelsen]; den ska då motivera varför den begär ett sådant yttrande eller beslut.” |
18 |
I artikel 77 i denna förordning, med rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet”, föreskrivs följande: ”1. Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks. 2. Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.” |
19 |
Artikel 78 i nämnda förordning har rubriken ”Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut”, och där föreskrivs följande: ”1. Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet. 2. Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med det klagomål som ingetts med stöd av artikel 77 fortskrider eller om dess resultat. 3. Talan mot en tillsynsmyndighet ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte. 4. Om talan väcks mot ett beslut som fattats av en tillsynsmyndighet och som föregicks av ett yttrande från eller beslut av [Europeiska dataskyddsstyrelsen] inom ramen för mekanismen för enhetlighet ska tillsynsmyndigheten vidarebefordra detta yttrande eller beslut till domstolen.” |
20 |
I artikel 79 i förordningen, med rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, föreskrivs följande: ”1. Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel. 2. Talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet i en medlemsstat som agerar inom ramen för sina offentliga befogenheter.” |
Belgisk rätt
21 |
Wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (lag om skydd för privatlivet vid behandling av personuppgifter) av den 8 december 1992 (Belgisch Staatsblad, den 18 mars 1993, s. 5801), i dess lydelse enligt lagen av den 11 december 1998 (Belgisch Staatsblad, den 3 februari 1999, s. 3049) (nedan kallad lagen av den 8 december 1992), innebar att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31) införlivades med belgisk rätt. |
22 |
Genom lagen av den 8 december 1992 inrättades skyddsrådet, ett oberoende organ vars uppgift var att säkerställa att denna lag efterlevdes vid behandlingen av personuppgifter, och därigenom slå vakt om medborgarnas privatliv. |
23 |
I artikel 32 § 3 i lagen av den 8 december 1992 föreskrevs följande: ”Utan att det påverkar de allmänna domstolarnas behörighet avseende tillämpningen av allmänna principer om skydd för privatlivet får ordföranden för [skyddsrådet] hänskjuta en tvist om tillämpningen av denna lag och dess genomförandebestämmelser till domstol i första instans.” |
24 |
Genom Wet tot oprichting van de Gegevensbeschermingsautoriteit (lag om inrättande av dataskyddsmyndigheten) av den 3 december 2017 (Belgisch Staatsblad, den 10 januari 2018, s. 989) (nedan kallad lagen av den 3 december 2017), vilken trädde i kraft den 25 maj 2018, inrättades dataskyddsmyndigheten, vilken gavs rollen som tillsynsmyndighet i den mening som avses i förordning 2016/679. |
25 |
I artikel 3 i lagen av den 3 december 2017 föreskrivs följande: ”Vid parlamentet inrättas en ’dataskyddmyndighet’. Den efterträder [skyddsrådet].” |
26 |
I artikel 6 i lagen av den 3 december 2017 anges följande: ”Dataskyddsmyndigheten har befogenhet att upplysa de rättsliga myndigheterna om överträdelser av de grundläggande principerna om skydd för personuppgifter inom ramen för denna lag, och andra lagar som innehåller bestämmelser om skydd för behandling av personuppgifter, och vid behov att inleda eller delta i rättsliga förfaranden, för att se till att dessa grundläggande principer efterlevs.” |
27 |
Det finns inte någon särskild bestämmelse som reglerar de domstolsförfaranden som den 25 maj 2018 redan hade inletts av skyddsrådets ordförande med stöd av artikel 32 § 3 i lagen av den 8 december 1992. Vad gäller sådana klagomål och ansökningar som endast lämnats in till dataskyddsmyndigheten föreskrivs följande i artikel 112 i lagen av den 3 december 2017: ”Kapitel VI ska inte tillämpas på klagomål eller ansökningar som fortfarande handläggs vid dataskyddsmyndigheten när denna lag träder i kraft. De klagomål och ansökningar som avses i första stycket ska handläggas av dataskyddsmyndigheten, i egenskap av rättslig efterträdare till skyddsrådet, i enlighet med det förfarande som gällde innan denna lag trädde i kraft.” |
28 |
Lagen av den 8 december 1992 upphävdes genom Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (lag om skydd för fysiska personer med avseende på behandling av personuppgifter) av den 30 juli 2018 (Belgisch Staatsblad, den 5 september 2018, s. 68616) (nedan kallad lagen av den 30 juli 2018). Sistnämnda lag syftar till att i belgisk rätt genomföra de bestämmelser i förordning 2016/679 som ålägger eller tillåter medlemsstaterna att anta mer detaljerade regler, som komplement till denna förordning. |
Målet vid den nationella domstolen och tolkningsfrågorna
29 |
Den 11 september 2015 väckte skyddsrådets ordförande talan om förbudsföreläggande mot Facebook Ireland, Facebook Inc. och Facebook Belgium vid Nederlandstalige rechtbank van eerste aanleg Brussel (Nederländskspråkiga förstainstansdomstolen i Bryssel, Belgien). Eftersom skyddsrådet inte var ett rättssubjekt, ankom det på dess ordförande att väcka talan för att säkerställa att lagstiftningen om personuppgiftsskydd följdes. Emellertid ansökte skyddsrådet som sådant om att få intervenera i det mål som dess ordförande hade inlett. |
30 |
Syftet med talan om förbudsföreläggande var att få till stånd ett upphörande av det som av skyddsrådet bland annat beskrevs som ”Facebooks allvarliga och storskaliga åsidosättande av lagstiftningen om skydd för privatlivet” och som bestod i att Facebook med hjälp av olika tekniker, såsom kakor, sociala insticksprogram (social plug-ins) (exempelvis knapparna ”Gilla” och ”Dela”) och pixlar, samlade in information om surfvanorna hos såväl personer som innehar ett Facebook-konto som personer som inte använder sig av några Facebook-tjänster. När en internetanvändare besöker en webbsida som innehåller nämnda typ av element gör dessa att Facebook kan erhålla information om exempelvis webbsidans adress, besökarens ip-adress samt datum och klockslag för det aktuella besöket. |
31 |
I sin dom av den 16 februari 2018 förklarade Nederlandstalige rechtbank van eerste aanleg Brussel (Nederländskspråkiga förstainstansdomstolen i Bryssel) att den var behörig att pröva talan om förbudsföreläggande i den del den avsåg Facebook Ireland, Facebook Inc. och Facebook Belgium. Samtidigt avvisade den skyddsrådets interventionsansökan. |
32 |
I sak fann nämnda domstol att det sociala nätverket inte gav de belgiska internetanvändarna tillräcklig information om insamlingen av de berörda uppgifterna och användningen av dessa uppgifter. Internetanvändarnas samtycke till insamlingen och behandlingen av uppgifterna ansågs för övrigt vara ogiltigt. Facebook Ireland, Facebook Inc. och Facebook Belgium ålades således, för det första, att i förhållande till varje internetanvändare som var etablerad inom belgiskt territorium upphöra med att utan dennes samtycke på den utrustning som personen använder när han eller hon surfar på en webbsida tillhörande Facebook.com-domänen eller på en webbplats som tillhör tredje man placera ut kakor som är aktiva under två år, samt upphöra med att på tredje mans webbplatser placera ut kakor och – med hjälp av sociala insticksprogram, pixlar eller liknande tekniska metoder – samla in uppgifter i en omfattning som är orimlig i förhållande till det sociala nätverket Facebooks målsättningar. För det andra ålades bolagen att upphöra med att lämna sådan information som enligt ett rimligt antagande kunde ge de berörda personerna en felaktig uppfattning om den verkliga innebörden av de mekanismer som tillhandahålls av detta sociala nätverk för användningen av kakor. För det tredje ålades de att utplåna alla personuppgifter som erhållits med hjälp av kakor och sociala insticksprogram. |
33 |
Den 2 mars 2018 överklagade Facebook Ireland, Facebook Inc. och Facebook Belgium domen till Hof van beroep te Brussel (Appellationsdomstolen i Bryssel, Belgien). I målet vid appellationsdomstolen för dataskyddsmyndigheten talan såväl i egenskap av rättslig efterträdare till skyddsrådets ordförande – vilken väckt talan om förbudsföreläggande – som i egenskap av rättslig efterträdare till skyddsrådet som sådant. |
34 |
Den hänskjutande domstolen har förklarat sig endast vara behörig att pröva överklagandet i den del det avser Facebook Belgium. Den har däremot förklarat sig sakna behörighet att pröva överklagandet såvitt det avser Facebook Ireland och Facebook Inc. |
35 |
Innan den avgör det nationella målet i sak, vill den hänskjutande domstolen få klarhet i huruvida dataskyddsmyndigheten har talerätt och ett berättigat intresse av att få saken prövad. Facebook Belgium anser att talan om förbudsföreläggande inte kan tas upp till sakprövning såvitt avser de faktiska omständigheterna före den 25 maj 2018, eftersom artikel 32.3 i lagen av den 8 december 1992, som utgör den rättsliga grunden för att väcka en sådan talan, upphävdes till följd av att lagen av den 3 december 2017 och förordning 2016/679 trädde i kraft. När det gäller de omständigheter som inträffade efter den 25 maj 2018 har Facebook Belgium gjort gällande att dataskyddsmyndigheten saknar behörighet och inte har någon rätt att väcka denna talan med hänsyn till systemet med en enda kontaktpunkt som numera föreskrivs med tillämpning av bestämmelserna i förordning 2016/679. Enligt dessa bestämmelser är det nämligen endast Data Protection Commissioner (Dataskyddskommissionären, Irland) som är behörig att väcka talan om förbudsföreläggande mot Facebook Ireland, vilket ensamt ansvarar för den behandling av personuppgifter som sker inom unionen avseende det berörda sociala nätverkets användare. |
36 |
Den hänskjutande domstolen finner att dataskyddsmyndigheten inte har något berättigat intresse av att få talan om förbudsföreläggande prövad, i den del talan avser omständigheter som inträffade före den 25 maj 2018. Vad gäller de omständigheter som inträffat efter detta datum finner den hänskjutande domstolen emellertid att det råder osäkerhet om vilken inverkan ikraftträdandet av förordning 2016/679, särskilt tillämpningen av det system med ”en enda kontaktpunkt” som föreskrivs i förordningen, har på dataskyddsmyndighetens behörighet och på dess möjlighet att väcka en sådan talan om förbudsföreläggande som här är aktuell. |
37 |
Närmare bestämt menar den hänskjutande domstolen att den fråga som nu uppkommer är huruvida dataskyddsmyndigheten, vad gäller de faktiska omständigheterna efter den 25 maj 2018, kan väcka talan mot Facebook Belgium, när det har konstaterats att det är Facebook Ireland som är ansvarig för behandlingen av de aktuella uppgifterna. Det förefaller som att det sedan det datumet och i enlighet med principen ”en enda kontaktpunkt” – enligt ordalydelsen i artikel 56 i förordning 2016/679 – endast är Dataskyddskommissionären som är behörig att väcka en sådan talan och att talan endast kan prövas i irländsk domstol. |
38 |
Den hänskjutande domstolen erinrar om att EU-domstolen i domen av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388) slog fast att ”den tyska tillsynsmyndigheten” var behörig att uttala sig angående en tvist om personuppgiftsskydd, trots att den ansvarige för behandlingen av de aktuella uppgifterna hade sitt säte i Irland och trots att dess dotterbolag med säte i Tyskland, det vill säga Facebook Germany GmbH, endast skötte försäljning av reklamplats och annan marknadsföring inom Tysklands territorium. |
39 |
I det mål i vilket den domen meddelades hade EU-domstolen emellertid att ta ställning till en begäran om förhandsavgörande avseende tolkningen av bestämmelserna i direktiv 95/46, vilket upphävdes genom förordning 2016/679. Den hänskjutande domstolen frågar sig i vilken mån EU-domstolens tolkning i nämnda dom fortfarande är relevant för tillämpningen av förordning 2016/679. |
40 |
Den hänskjutande domstolen har även nämnt ett beslut meddelat av Bundeskartellamt (den federala konkurrensmyndigheten, Tyskland) den 6 februari 2019 (det så kallade Facebook-beslutet). I detta beslut fann konkurrensmyndigheten i huvudsak att det berörda företaget missbrukade sin ställning genom att sammanställa uppgifter från olika källor, vilket hädanefter endast ska kunna ske med användarnas uttryckliga samtycke, varvid den användare som inte samtycker till detta inte får uteslutas från Facebook-tjänsterna. Den hänskjutande domstolen har påpekat att konkurrensmyndigheten uppenbarligen har ansett sig vara behörig, trots systemet med ”en enda kontaktpunkt”. |
41 |
Dessutom bedömer den hänskjutande domstolen att artikel 6 i lagen av den 3 december 2017, som i princip tillåter dataskyddsmyndigheten att, i förekommande fall, föra talan vid domstol, inte innebär att myndigheten under alla omständigheter får föra talan vid belgisk domstol. Systemet med ”en enda kontaktpunkt” tycks nämligen innebära att en sådan talan ska föras vid domstolen på den ort där behandlingen av uppgifterna utförs. |
42 |
Mot denna bakgrund beslutade Hof van beroep te Brussel (Appellationsdomstolen i Bryssel) att vilandeförklara målet och ställa följande tolkningsfrågor till EU‑domstolen:
|
Prövning av tolkningsfrågorna
Den första frågan
43 |
Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artiklarna 55.1, 56–58 och 60–66 i förordning 2016/679, jämförda med artiklarna 7, 8 och 47 i stadgan, ska tolkas så, att en medlemsstats tillsynsmyndighet som, enligt den nationella lagstiftning som har antagits för att genomföra artikel 58.5 i nämnda förordning, har befogenhet att upplysa en domstol i den medlemsstaten om överträdelser av denna förordning, och att vid behov inleda eller delta i rättsliga förfaranden, kan utöva denna befogenhet i samband med gränsöverskridande uppgiftsbehandling trots att den inte är ”ansvarig tillsynsmyndighet” i den mening som avses i artikel 56.1 i förordningen, när det gäller sådan uppgiftsbehandling. |
44 |
EU-domstolen erinrar inledningsvis, för det första, om att till skillnad från vad som var fallet med direktiv 95/46, som antogs med stöd av artikel 100 A i EG‑fördraget, om harmoniseringen av den gemensamma marknaden, utgörs den rättsliga grunden för förordning 2016/679 av artikel 16 FEUF, i vilken det föreskrivs att var och en har rätt till skydd av personuppgifter, och att Europaparlamentet och Europeiska unionens råd får fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av dessa uppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. För det andra erinrar domstolen om att det i skäl 1 i förordningen anges att ”[s]kyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet” och om att det i artikel 8.1 i stadgan och artikel 16.1 FEUF anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. |
45 |
Det betyder att unionens institutioner, organ och byråer samt medlemsstaternas behöriga myndigheter genom förordning 2016/679 ges i uppgift – vilket följer av artikel 1.2 jämförd med skälen 10, 11 och 13 i förordningen – att säkerställa en hög skyddsnivå för de rättigheter som garanteras i artikel 16 FEUF och artikel 8 i stadgan. |
46 |
Vidare konstaterar domstolen att förordningen, såsom framgår av skäl 4, respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan. |
47 |
Det är mot denna bakgrund som det i artikel 55.1 i förordning 2016/679 fastställs en principiell behörighet för varje tillsynsmyndighet att utföra de uppgifter och utöva de befogenheter som den har tilldelats i enlighet med denna förordning inom den medlemsstat till vilken den hör (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 147). |
48 |
Bland dessa tillsynsmyndigheters uppgifter ingår bland annat att övervaka och verkställa tillämpningen av förordning 2016/679, enligt vad som föreskrivs i artikel 57.1 a i förordningen, samt att samarbeta – inbegripet att utbyta information – med och ge ömsesidigt bistånd till andra tillsynsmyndigheter för att se till att nämnda förordning tillämpas och verkställs på ett enhetligt sätt, enligt vad som föreskrivs i artikel 57.1 g i samma förordning. Bland de befogenheter som tillsynsmyndigheterna ges för att dessa ska kunna utföra sina uppgifter ingår olika utredningsbefogenheter (artikel 58.1 i förordning 2016/679), samt befogenheten att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att vid behov inleda eller delta i rättsliga förfaranden, för att verkställa bestämmelserna i nämnda förordning (artikel 58.5 i förordningen). |
49 |
Utförandet av dessa uppgifter och utövandet av dessa befogenheter förutsätter emellertid att en tillsynsmyndighet har behörighet i fråga om en viss behandling av uppgifter. |
50 |
Utan att det påverkar tillämpningen av behörighetsregeln i artikel 55.1 i förordning 2016/679, föreskrivs i artikel 56.1 i denna förordning att för ”gränsöverskridande behandling” i den mening som avses i artikel 4.23 i förordningen, ska man tillämpa ett system med ”en enda kontaktpunkt” som bygger på en behörighetsfördelning mellan en ”ansvarig tillsynsmyndighet” och övriga berörda tillsynsmyndigheter. Systemet innebär att tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe ska vara behörig att agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60 i nämnda förordning. |
51 |
Genom den sistnämnda artikeln inrättas ett förfarande för samarbete mellan den ansvariga tillsynsmyndigheten och övriga berörda tillsynsmyndigheter. Inom ramen för detta förfarande är den ansvariga tillsynsmyndigheten bland annat skyldig att sträva efter att uppnå samförstånd. För detta ändamål ska den ansvariga tillsynsmyndigheten, enligt artikel 60.3 i förordning 2016/679, utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsynsmyndigheterna så att de kan avge ett yttrande, och ta vederbörlig hänsyn till deras synpunkter. |
52 |
Det framgår närmare bestämt av artiklarna 56 och 60 i förordning 2016/679 att de berörda nationella tillsynsmyndigheterna, när det gäller ”gränsöverskridande behandling” i den mening som avses i artikel 4.23 i förordningen, och med förbehåll för vad som anges i artikel 56.2 i förordningen, ska samarbeta i enlighet med det förfarande som föreskrivs i dessa bestämmelser, för att uppnå ett samförstånd och ett enda beslut. Beslutet är bindande för samtliga av dessa myndigheter och den personuppgiftsansvarige ska se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i unionen. Vidare anges i artikel 61.1 i förordningen att tillsynsmyndigheterna bland annat ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt inom hela unionen. I artikel 63 i förordning 2016/679 preciseras att det är för detta ändamål som man har infört mekanismen för enhetlighet enligt artiklarna 64 och 65 i samma förordning (dom av den 24 september 2019, Google (Territoriell räckvidd för borttagande av länkar), C‑507/17, EU:C:2019:772, punkt 68). |
53 |
Tillämpningen av systemet med ”en enda kontaktpunkt” kräver således, såsom bekräftas i skäl 13 i förordning 2016/679, ett lojalt och effektivt samarbete mellan den ansvariga tillsynsmyndigheten och övriga berörda tillsynsmyndigheter. Såsom generaladvokaten har påpekat i punkt 111 i sitt förslag till avgörande kan den ansvariga tillsynsmyndigheten därför inte bortse från de övriga berörda tillsynsmyndigheternas synpunkter, och varje relevant och motiverad invändning från en av dessa myndigheter får till följd att den ansvariga tillsynsmyndighetens antagande av utkastet till beslut hindras, åtminstone tillfälligt. |
54 |
I artikel 60.4 i förordning 2016/679 föreskrivs att om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats uttrycker en sådan relevant och motiverad invändning mot utkastet till beslut, ska den ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses i artikel 63 i förordningen, i syfte att utverka ett bindande beslut från Europeiska dataskyddsstyrelsen med stöd av artikel 65.1 a i förordningen. |
55 |
Enligt artikel 60.5 i förordning 2016/679 ska den ansvariga tillsynsmyndigheten, om den tvärtom avser att följa den relevanta och motiverade invändningen, till de andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta reviderade utkast till beslut ska omfattas av det förfarande som avses i artikel 60.4 i samma förordning inom en period av två veckor. |
56 |
Enligt artikel 60.7 i förordningen ankommer det i princip på den ansvariga tillsynsmyndigheten att anta och meddela ett beslut beträffande den gränsöverskridande behandlingen till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra berörda tillsynsmyndigheterna och Europeiska dataskyddsstyrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en relevant motivering. |
57 |
EU-domstolen understryker emellertid att det i förordning 2016/679 anges att det finns undantag från principen om den ansvariga tillsynsmyndighetens beslutsbehörighet inom ramen för det system med ”en enda kontaktpunkt” som föreskrivs i artikel 56.1 i förordningen. |
58 |
Bland dessa undantag ingår för det första artikel 56.2 i förordning 2016/679, där det anges att en tillsynsmyndighet som inte är ansvarig tillsynsmyndighet är behörig att behandla ett klagomål som den fått in, och som rör gränsöverskridande behandling av personuppgifter, eller en eventuell överträdelse av denna förordning, om sakfrågan i ärendet endast rör ett verksamhetsställe i medlemsstaten eller i väsentlig grad påverkar registrerade endast i medlemsstaten. |
59 |
För det andra, med avvikelse från de mekanismer för enhetlighet som avses i artiklarna 60 och 63–65 i förordning 2016/679, införs genom artikel 66 i förordningen ett skyndsamt förfarande. Detta skyndsamma förfarande gör det möjligt för den berörda tillsynsmyndigheten att, under exceptionella omständigheter, omedelbart vidta provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter. Dessutom anges i artikel 66.2 i förordning 2016/679 att en tillsynsmyndighet som har vidtagit en åtgärd enligt punkt 1 och anser att definitiva åtgärder skyndsamt måste antas, får begära ett brådskande yttrande eller ett brådskande bindande beslut från Europeiska dataskyddsstyrelsen. Den ska då motivera varför den begär ett sådant yttrande eller beslut. |
60 |
När en tillsynsmyndighet utövar denna behörighet måste det emellertid ske inom ramen för ett lojalt och effektivt samarbete med den ansvariga tillsynsmyndigheten, i enlighet med det förfarande som avses i artikel 56 punkterna 3–5 i förordning 2016/679. Tillsynsmyndigheten måste nämligen i detta fall, med tillämpning av artikel 56.3, utan dröjsmål informera den ansvariga tillsynsmyndigheten om ärendet, varefter den ansvariga tillsynsmyndigheten, inom tre veckor från det att den underrättats, ska besluta huruvida den kommer att behandla ärendet eller inte. |
61 |
I artikel 56.4 i förordning 2016/679 anges att om den ansvariga tillsynsmyndigheten beslutar att behandla ärendet, ska det ske i enlighet med det samarbetsförfarande som föreskrivs i artikel 60 i denna förordning. I detta sammanhang får den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten lämna in ett utkast till beslut till den ansvariga tillsynsmyndigheten, och den sistnämnda myndigheten ska ta största möjliga hänsyn till detta utkast till beslut när den utarbetar det utkast till beslut som avses i artikel 60.3 i nämnda förordning. |
62 |
Om den ansvariga tillsynsmyndigheten tvärtom beslutar att inte behandla ärendet, gäller enligt artikel 56.5 i förordning 2016/679 att den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten ska behandla ärendet i enlighet med artiklarna 61 och 62 i förordningen. Enligt dessa bestämmelser är tillsynsmyndigheterna skyldiga att tillämpa reglerna om ömsesidigt bistånd och samarbete inom ramen för gemensamma insatser, i syfte att säkerställa ett effektivt samarbete mellan de berörda myndigheterna. |
63 |
Av det ovan anförda följer att, när det gäller gränsöverskridande behandling av personuppgifter, är huvudregeln att det är den ansvariga tillsynsmyndigheten som är behörig att anta ett beslut i vilket det konstateras att en sådan behandling strider mot bestämmelserna om skydd för fysiska personers rättigheter med avseende på behandling av personuppgifter i förordning 2016/679, medan andra berörda tillsynsmyndigheters behörighet att anta ett sådant beslut, om än ett preliminärt sådant, utgör ett undantag. Därav följer likaså att även om den ansvariga tillsynsmyndighetens principiella behörighet bekräftas i artikel 56.6 i förordning 2016/679 – enligt vilken den ansvariga tillsynsmyndigheten ska vara den personuppgiftsansvariges eller personuppgiftsbiträdets ”enda motpart” när det gäller den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling – måste denna myndighet utöva sin behörighet i nära samarbete med de andra berörda tillsynsmyndigheterna. I synnerhet gäller att den ansvariga tillsynsmyndigheten, såsom framgår ovan av punkt 53, vid utövandet av sin behörighet inte får göra avkall på den oumbärliga dialogen eller det lojala och effektiva samarbetet med de andra berörda tillsynsmyndigheterna. |
64 |
Det framgår av skäl 10 i förordning 2016/679 att förordningen bland annat syftar till att säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter i hela unionen och att undanröja hindren för flödena av personuppgifter inom unionen. |
65 |
Detta syfte – och den ändamålsenliga verkan av systemet med ”en enda kontaktpunkt” – skulle riskera att äventyras om en tillsynsmyndighet som, i fråga om gränsöverskridande uppgiftsbehandling, inte är ansvarig tillsynsmyndighet kunde utöva den befogenhet som avses i artikel 58.5 i förordning 2016/679 i andra fall än när där denna myndighet är behörig att anta ett sådant beslut som avses ovan i punkt 63. En sådan befogenhet utövas nämligen med sikte på att det ska utmynna i ett bindande rättsligt avgörande, och ett sådant avgörande kan undergräva både detta syfte och detta system i lika hög grad som ett beslut som fattas av en tillsynsmyndighet som inte är ansvarig tillsynsmyndighet. |
66 |
Det är, i motsats till vad dataskyddsmyndigheten har hävdat, förenligt med artiklarna 7, 8 och 47 i stadgan att en tillsynsmyndighet i en medlemsstat som inte är ansvarig tillsynsmyndighet endast får utöva befogenheten enligt artikel 58.5 i förordning 2016/679 under förutsättning att den följer de regler om fördelning av beslutsbefogenheter som, bland annat, föreskrivs i artiklarna 55 och 56, jämförda med artikel 60, i samma förordning. |
67 |
Vad för det första gäller argumentet att artiklarna 7 och 8 i stadgan har åsidosatts gör domstolen följande bedömning. Denna artikel 7 stadgar att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer, och artikel 8.1 i stadgan tillerkänner uttryckligen, precis som artikel 16.1 FEUF, var och en rätt till skydd av de personuppgifter som rör honom eller henne. Det framgår särskilt av artikel 51.1 i förordning 2016/679 att tillsynsmyndigheterna har till uppgift att övervaka tillämpningen av denna förordning, bland annat i syfte att skydda fysiska personers grundläggande rättigheter i samband med behandling av deras personuppgifter. I enlighet med vad som angetts ovan i punkt 45 följer härav att förordningens bestämmelser om fördelning av beslutsbefogenheter mellan den ansvariga tillsynsmyndigheten och övriga tillsynsmyndigheter inte påverkar det ansvar som var och en av dessa myndigheter har för att bidra till en hög skyddsnivå för dessa rättigheter, med iakttagande av dessa bestämmelser samt de krav på samarbete och ömsesidigt bistånd som det erinras om ovan i punkt 52. |
68 |
Detta innebär i synnerhet att systemet med ”en enda kontaktpunkt” inte i något fall får leda till att en nationell tillsynsmyndighet, i synnerhet den ansvariga tillsynsmyndigheten, inte fullgör det ansvar som den har enligt förordning 2016/679 för att bidra till ett effektivt skydd för fysiska personer mot sådana kränkningar av deras grundläggande rättigheter som det erinrats om ovan i föregående punkt. Risken är annars att bland annat personuppgiftsansvariga uppmuntras till forum shopping i syfte att kringgå dessa grundläggande rättigheter samt den effektiva tillämpningen av förordningens bestämmelser om genomförande av dessa rättigheter. |
69 |
För det andra kan domstolen inte heller godta argumentet att rätten till ett effektivt rättsmedel, som garanteras i artikel 47 i stadgan, har åsidosatts. Gränserna för möjligheten för en annan tillsynsmyndighet än den ansvariga tillsynsmyndigheten att utöva den befogenhet som ges i artikel 58.5 i förordning 2016/679 när det gäller gränsöverskridande behandling av personuppgifter, vilka gränser det redogörs för ovan i punkterna 64 och 65, påverkar nämligen inte den rätt som alla personer, enligt artikel 78 punkterna 1 och 2 i förordningen, har till ett effektivt rättsmedel mot bland annat rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet, eller mot underlåtenhet att behandla ett klagomål som den tillsynsmyndighet som åtnjuter beslutsbefogenhet enligt artiklarna 55 och 56, jämförda med artikel 60, i förordningen har gjort sig skyldig till. |
70 |
Så är bland annat fallet i den situation som anges i artikel 56.5 i förordning 2016/679, som innebär att den tillsynsmyndighet som har lämnat information med stöd av artikel 56.3 i förordningen, såsom anges ovan i punkt 62, får behandla ärendet i enlighet med artiklarna 61 och 62, om den ansvariga tillsynsmyndigheten beslutar att inte själv behandla ärendet efter att ha underrättats om det. Vid en sådan behandling kan det för övrigt inte uteslutas att den berörda tillsynsmyndigheten i förekommande fall kan besluta att utöva sin befogenhet enligt artikel 58.5 i förordning 2016/679. |
71 |
Det ska understrykas att det inte kan uteslutas att en tillsynsmyndighet i en medlemsstat utövar sin befogenhet att vända sig till domstolarna i den egna medlemsstaten när den, efter att ha begärt ömsesidigt bistånd från den ansvariga tillsynsmyndigheten i enlighet med artikel 61 i förordning 2016/679, av sistnämnda myndighet inte har tillhandahållits den begärda informationen. I ett sådant fall har den berörda tillsynsmyndigheten, enligt artikel 61.8 i förordningen, möjlighet att vidta en provisorisk åtgärd på sin medlemsstats territorium och, om den anser att definitiva åtgärder skyndsamt måste vidtas, får den enligt artikel 66.2 i nämnda förordning begära ett brådskande yttrande eller ett brådskande bindande beslut från Europeiska dataskyddsstyrelsen. Dessutom får varje tillsynsmyndighet, enligt artikel 64.2 i samma förordning, i syfte att erhålla ett yttrande begära att Europeiska dataskyddsstyrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61. När ett sådant yttrande eller ett sådant beslut har antagits, och i den mån Europeiska dataskyddsstyrelsen efter att ha beaktat samtliga relevanta omständigheter är positiv därtill, måste den berörda tillsynsmyndigheten kunna vidta nödvändiga åtgärder för att säkerställa att bestämmelserna om skydd för fysiska personers rättigheter med avseende på behandling av personuppgifter i förordning 2016/679 iakttas, och för detta ändamål utöva den befogenhet som myndigheten har enligt artikel 58.5 i förordningen. |
72 |
Fördelningen mellan tillsynsmyndigheterna av befogenheter och ansvar bygger nämligen med nödvändighet på premissen att det råder ett lojalt och effektivt samarbete dessa myndigheter emellan samt mellan myndigheterna och kommissionen, för att säkerställa en korrekt och enhetlig tillämpning av förordningen, vilket bekräftas av förordningens artikel 51.2. |
73 |
I förevarande fall ankommer det på den hänskjutande domstolen att avgöra huruvida reglerna om fördelning av behörighet och relevanta förfaranden och mekanismer som föreskrivs i förordning 2016/679 har tillämpats på ett korrekt sätt i det nationella målet. Särskilt ankommer det på den att pröva huruvida den aktuella uppgiftsbehandlingen, i den mån den avser det sociala nätverket Facebooks agerande efter den 25 maj 2018, även om dataskyddsmyndigheten inte är ansvarig tillsynsmyndighet i detta mål, bland annat är att betrakta som en sådan situation som den som avses ovan i punkt 71. |
74 |
EU-domstolen noterar att Europeiska dataskyddsstyrelsen i yttrande 5/2019 av den 12 mars 2019 om samspelet mellan direktivet om integritet och elektronisk kommunikation och den allmänna dataskyddsförordningen, särskilt när det gäller dataskyddsmyndigheternas behörighet, uppgifter och befogenheter, förklarade att registrering och läsning av personuppgifter med hjälp av kakor omfattades av tillämpningsområdet för Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EUT L 201, 2002, s. 37) och inte av systemet med ”en enda kontaktpunkt”. Alla tidigare åtgärder och all senare verksamhet för behandling av personuppgifter med hjälp av andra tekniker omfattas däremot av tillämpningsområdet för förordning 2016/679 och följaktligen av systemet med ”en enda kontaktpunkt”. Eftersom dataskyddsmyndighetens begäran om ömsesidigt bistånd avsåg senare åtgärder för behandling av personuppgifter, begärde dataskyddsmyndigheten i april 2019 att Dataskyddskommissionären snarast möjligt skulle efterkomma dess begäran. Denna begäran förblev obesvarad. |
75 |
Mot bakgrund av det ovan anförda ska den första frågan besvaras på följande sätt. Artiklarna 55.1, 56–58 och 60–66 i förordning 2016/679, jämförda med artiklarna 7, 8 och 47 i stadgan, ska tolkas så, att en medlemsstats tillsynsmyndighet som, enligt den nationella lagstiftning som har antagits för att genomföra artikel 58.5 i nämnda förordning, har befogenhet att upplysa en domstol i den medlemsstaten om överträdelser av denna förordning, och att vid behov inleda eller delta i rättsliga förfaranden, kan utöva denna befogenhet i samband med gränsöverskridande uppgiftsbehandling trots att den inte är ”ansvarig tillsynsmyndighet” i den mening som avses i artikel 56.1 i förordningen, när det gäller denna uppgiftsbehandling, under förutsättning att det är fråga om en av de situationer där förordning 2016/679 ger denna tillsynsmyndighet behörighet att anta ett beslut i vilket det konstateras att behandlingen strider mot förordningens bestämmelser och förutsatt att förordningens förfaranden för samarbete och enhetlighet iakttas. |
Den andra frågan
76 |
Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 58.5 i förordning 2016/679 ska tolkas så, att det för att en tillsynsmyndighet i en medlemsstat som inte är ansvarig tillsynsmyndighet ska ha befogenhet att inleda eller delta i rättsliga förfaranden i den mening som avses i denna bestämmelse, vid gränsöverskridande behandling av personuppgifter, krävs att den ansvarige för den gränsöverskridande behandlingen av personuppgifterna som förfarandet har inletts mot innehar ett ”huvudsakligt verksamhetsställe”, i den mening som avses i artikel 4.16 i förordning 2016/679, eller ett annat verksamhetsställe, i den medlemsstat där tillsynsmyndigheten finns. |
77 |
Enligt artikel 55.1 i förordning 2016/679 ska varje tillsynsmyndighet vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt förordningen inom sin egen medlemsstats territorium. |
78 |
I artikel 58.5 i förordning 2016/679 föreskrivs dessutom att varje tillsynsmyndighet ska ha befogenhet att upplysa en domstol i dess medlemsstat om påstådda överträdelser av denna förordning och att vid behov inleda eller delta i rättsliga förfaranden, för att verkställa bestämmelserna i nämnda förordning. |
79 |
Det ska framhållas att artikel 58.5 i förordning 2016/679 är formulerad i allmänna ordalag och att unionslagstiftaren inte som villkor för att en tillsynsmyndighet i en medlemsstat ska få utöva denna befogenhet har uppställt något krav på att myndigheten riktar sin talan mot en personuppgiftsansvarig som har ett ”huvudsakligt verksamhetsställe”, i den mening som avses i artikel 4.16 i förordningen, eller ett annat verksamhetsställe i den medlemsstat där myndigheten finns. |
80 |
En tillsynsmyndighet i en medlemsstat kan dock utöva sin befogenhet enligt artikel 58.5 i förordning 2016/679 endast om det är fastställt att denna befogenhet omfattas av förordningens territoriella tillämpningsområde. |
81 |
I artikel 3 i förordning 2016/679, som reglerar förordningens territoriella tillämpningsområde, anges i punkt 1 att förordningen ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen, oavsett om behandlingen utförs i unionen eller inte. |
82 |
I skäl 22 i förordning 2016/679 preciseras att ett sådant verksamhetsställe innebär det faktiska och reella utförandet av verksamhet med hjälp av en stabil struktur, och att den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterföretag med status som juridisk person, inte bör vara den avgörande faktorn i detta avseende. |
83 |
Av detta följer att det territoriella tillämpningsområdet för förordning 2016/679, i enlighet med förordningens artikel 3.1 och med förbehåll för de fall som avses i artikel 3.2 och 3.3, bestäms av villkoret att den personuppgiftsansvarige eller personuppgiftsbiträdet, för den gränsöverskridande behandlingen, har ett verksamhetsställe inom unionen. |
84 |
Den andra frågan ska således besvaras enligt följande. Artikel 58.5 i förordning 2016/679 ska tolkas så, att det för att en tillsynsmyndighet i en medlemsstat som inte är ansvarig tillsynsmyndighet ska ha befogenhet att väcka talan i den mening som avses i denna bestämmelse, i ett fall som rör gränsöverskridande behandling av personuppgifter, inte krävs att den personuppgiftsansvarige eller personuppgiftsbiträdet som talan har väckts mot, för den gränsöverskridande behandlingen av personuppgifterna, innehar ett huvudsakligt verksamhetsställe eller ett annat verksamhetsställe i den medlemsstat där tillsynsmyndigheten finns. |
Den tredje frågan
85 |
Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida artikel 58.5 i förordning 2016/679 ska tolkas så, att en tillsynsmyndighet i en medlemsstat som inte är ansvarig tillsynsmyndighet, i ett fall som rör gränsöverskridande behandling av personuppgifter, för att kunna utöva sin befogenhet att upplysa en domstol i den medlemsstaten om påstådda överträdelser av denna förordning och att vid behov inleda eller delta i rättsliga förfaranden, i den mening som avses i denna bestämmelse, måste inleda det rättsliga förfarandet mot den personuppgiftsansvariges huvudsakliga verksamhetsställe eller mot verksamhetsstället i den egna medlemsstaten. |
86 |
Det framgår av beslutet om hänskjutande att denna fråga har uppkommit inom ramen för en diskussion mellan parterna om huruvida den hänskjutande domstolen är behörig att pröva talan om förbudsföreläggande i den del den har väckts mot Facebook Belgium, med beaktande av dels att Facebook-koncernens huvudkontor inom unionen är beläget i Irland och att Facebook Ireland ensamt är ansvarigt för insamlingen och behandlingen av personuppgifter inom hela unionens territorium, dels att verksamhetsstället i Belgien, till följd av en intern uppgiftsfördelning inom koncernen, i första hand ska ha inrättats för att underhålla koncernens relationer med unionens institutioner och, i andra hand, för att stärka den del av koncernens annonserings- och marknadsföringsverksamhet som riktar sig till invånarna i Belgien. |
87 |
Såsom har framhållits ovan i punkt 47 fastställs det i artikel 55.1 i förordning 2016/679 en principiell behörighet för varje tillsynsmyndighet att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt förordningen inom den egna medlemsstatens territorium. |
88 |
När det gäller befogenheten för en tillsynsmyndighet i en medlemsstat att väcka talan i domstol, i den mening som avses i artikel 58.5 i förordning 2016/679, erinrar domstolen om att denna bestämmelse, precis som generaladvokaten har påpekat i punkt 150 i sitt förslag till avgörande, är utformad i allmänna ordalag och utan någon precisering av vilka enheter det är som tillsynsmyndigheterna bör eller kan väcka talan mot med anledning av en eventuell överträdelse av denna förordning. |
89 |
Nämnda bestämmelse begränsar följaktligen inte utövandet av befogenheten att inleda eller delta i rättsliga förfaranden så till vida att en sådan talan endast skulle kunna väckas mot den personuppgiftsansvariges ”huvudsakliga verksamhetsställe” eller mot ett annat av dennes ”verksamhetsställen”. Tvärtom framgår det av denna bestämmelse att om tillsynsmyndigheten i en medlemsstat har den behörighet som krävs för detta, i enlighet med artiklarna 55 och 56 i förordning 2016/679, får den utöva de befogenheter den har enligt förordningen inom sitt nationella territorium, oavsett i vilken medlemsstat den personuppgiftsansvarige eller personuppgiftsbiträdet har sitt verksamhetsställe. |
90 |
Utövandet av den befogenhet som varje tillsynsmyndighet har enligt artikel 58.5 i förordning 2016/679 förutsätter emellertid att förordningen är tillämplig. Såsom angetts ovan i punkt 81 föreskrivs det i artikel 3.1 i nämnda förordning att denna ska tillämpas på behandlingen av personuppgifter ”inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen, oavsett om behandlingen utförs i unionen eller inte”. |
91 |
Mot bakgrund av det mål som eftersträvas med förordning 2016/679, nämligen att säkerställa ett effektivt skydd av fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd för privatlivet och skydd av personuppgifter, kan villkoret att behandlingen av personuppgifter ska utföras ”inom ramen för den verksamhet” som bedrivs på det berörda verksamhetsstället inte tolkas restriktivt (se, analogt, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 56 och där angiven rättspraxis). |
92 |
I förevarande fall framgår det av beslutet om hänskjutande och av det skriftliga yttrande som ingetts av Facebook Belgium att bolaget i första hand har till uppgift att underhålla relationerna med unionens institutioner och, i andra hand, att stärka den del av koncernens annonserings- och marknadsföringsverksamhet som riktar sig till invånarna i Belgien. |
93 |
Den behandling av personuppgifter som är aktuell i det nationella målet, som utförs inom unionen uteslutande av Facebook Ireland och som består i insamling av information – med hjälp av olika tekniker såsom bland annat sociala insticksprogram och pixlar – om surfvanorna hos såväl personer som innehar ett Facebook-konto som personer som inte använder sig av Facebook-tjänster, syftar just till att göra det möjligt för det berörda sociala nätverket att effektivisera sitt annonseringssystem genom att sprida meddelanden på ett riktat sätt. |
94 |
Det ska för det första påpekas att ett sådant socialt nätverk som Facebook genererar en väsentlig del av sina intäkter genom den reklam som sprids där, och att den verksamhet som bedrivs av verksamhetsstället i Belgien syftar till att i denna medlemsstat, om än endast accessoriskt, säkerställa marknadsföringen och försäljningen av annonsplatser, som gör Facebook-tjänsterna lönsamma. För det andra konstaterar domstolen att Facebook Belgiums huvudsakliga verksamhet, bestående i att underhålla relationerna med unionens institutioner och att fungera som en kontaktpunkt med dessa, bland annat syftar till att etablera Facebook Irelands policy för behandling av personuppgifter. |
95 |
Under dessa omständigheter måste verksamheten vid Facebook-koncernens verksamhetsställe i Belgien anses vara oupplösligt förbunden med den behandling av personuppgifter som är i fråga i det nationella målet och för vilken Facebook Ireland är ansvarigt när det gäller unionens territorium. En sådan behandling ska således anses utföras ”inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas … verksamhetsställen” i den mening som avses i artikel 3.1 i förordning 2016/679. |
96 |
Med hänsyn till det ovan anförda ska den tredje frågan besvaras enligt följande. Artikel 58.5 i förordning 2016/679 ska tolkas så, att en tillsynsmyndighet i en medlemsstat som inte är ansvarig tillsynsmyndighet, vid utövandet av sin befogenhet att upplysa en domstol i den medlemsstaten om påstådda överträdelser av denna förordning och att vid behov inleda eller delta i rättsliga förfaranden, i den mening som avses i denna bestämmelse, får rikta sig mot såväl den personuppgiftsansvariges huvudsakliga verksamhetsställe som är beläget i samma medlemsstat som myndigheten, som mot ett annat av den personuppgiftsansvariges verksamhetsställen, förutsatt att det rättsliga förfarandet avser en uppgiftsbehandling som utförs inom ramen för verksamheten vid det verksamhetsstället, och att myndigheten har rätt att utöva denna befogenhet enligt vad som angetts i svaret på den första frågan. |
Den fjärde frågan
97 |
Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida artikel 58.5 i förordning 2016/679 ska tolkas så, att när en tillsynsmyndighet i en medlemsstat, som inte är ”ansvarig tillsynsmyndighet” i den mening som avses i artikel 56.1 i förordningen, före den 25 maj 2018 har väckt talan vid domstol avseende en gränsöverskridande behandling av personuppgifter, det vill säga före den tidpunkt då förordningen blev tillämplig, så kan denna omständighet påverka villkoren för att tillsynsmyndigheten i medlemsstaten ska kunna utöva sin befogenhet att inleda eller delta i rättsliga förfaranden enligt artikel 58.5. |
98 |
Facebook Ireland, Facebook Inc. och Facebook Belgium har nämligen vid den hänskjutande domstolen gjort gällande att tillämpningen, från och med den 25 maj 2018, av förordning 2016/679 får som effekt att ett yrkande om vidhållande av en före detta datum väckt talan ska avvisas eller ogillas. |
99 |
I artikel 99.1 i förordning 2016/679 anges att denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning. Förordningen offentliggjordes i EUT den 4 maj 2016 och trädde sålunda i kraft den 25 maj samma år. I artikel 99.2 i förordningen föreskrivs vidare att den ska tillämpas från och med den 25 maj 2018. |
100 |
I det avseendet ska det erinras om att en ny rättsregel ska tillämpas från och med den tidpunkt då den rättsakt genom vilken den införs träder i kraft och att en sådan rättsregel, även om den inte är tillämplig på rättsförhållanden som uppkommit och blivit slutligt etablerade innan den nya rättsakten trädde i kraft, är tillämplig på framtida verkningar av sådana rättsförhållanden, liksom på nya rättsförhållanden. Det förhåller sig annorlunda endast, och med förbehåll för principen om att rättsakter inte har retroaktiv verkan, när den nya rättsregeln åtföljs av specialbestämmelser som särskilt reglerar dess tillämpning i tiden. Särskilt handläggningsregler anses i allmänhet vara tillämpliga från och med den dag då de träder i kraft, i motsats till materiella bestämmelser som vanligtvis inte anses avse rättsförhållanden som har etablerats innan bestämmelserna har trätt i kraft, såvida det inte av bestämmelsernas lydelse, syfte eller systematik klart framgår att de ska tillerkännas sådan verkan (dom av den 25 februari 2021, Caisse pour l’avenir des enfants (Krav på anställning vid barnets födelse), C‑129/20, EU:C:2021:140, punkt 31 och där angiven rättspraxis). |
101 |
Förordning 2016/679 innehåller varken någon övergångsbestämmelse eller någon annan bestämmelse som reglerar ställningen för domstolsförfaranden som inletts innan förordningen blev tillämplig och som fortfarande pågick vid den tidpunkt då den blev tillämplig. I synnerhet föreskrivs det inte i någon bestämmelse i denna förordning att den får till följd att handläggningen av alla per den 25 maj 2018 anhängiga mål avseende påstådda åsidosättanden av bestämmelserna i direktiv 95/46 om behandlingen av personuppgifter, ska avslutas, även om de handlingar som påstås utgöra sådana åsidosättanden fortgår även efter detta datum. |
102 |
I det aktuella fallet kan det konstateras att artikel 58.5 i förordning 2016/679 innehåller regler som styr en tillsynsmyndighets befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att vid behov inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i nämnda förordning. |
103 |
Under dessa omständigheter ska åtskillnad göras mellan, å ena sidan, de fall där en tillsynsmyndighet i en medlemsstat har väckt talan på grund av överträdelser av bestämmelserna om skydd av personuppgifter som den påstår har begåtts av personuppgiftsansvariga eller personuppgiftsbiträden före den tidpunkt då förordning 2016/679 blev tillämplig och, å andra sidan, de fall där talan väckts på grund av överträdelser som begåtts efter detta datum. |
104 |
I det första fallet kan, unionsrättsligt sett, en sådan talan som den i det nationella målet vidhållas på grundval av bestämmelserna i direktiv 95/46, som fortsätter att vara tillämpligt på överträdelser som begåtts före den dag då direktivet upphävdes, det vill säga den 25 maj 2018. I det andra fallet kan en sådan talan, med stöd av artikel 58.5 i förordning 2016/679, endast väckas under förutsättning att det – såsom har framhållits vid besvarandet av den första tolkningsfrågan – rör sig om en sådan situation där denna förordning, undantagsvis, ger en tillsynsmyndighet i en medlemsstat, som inte är ”ansvarig tillsynsmyndighet”, befogenhet att anta ett beslut i vilket det konstateras att den aktuella behandlingen av uppgifter strider mot förordningens bestämmelser om skydd för fysiska personers rättigheter med avseende på behandling av personuppgifter, och förutsatt att de förfaranden som föreskrivs i förordningen iakttas. |
105 |
Med hänsyn till det ovan anförda ska den fjärde frågan besvaras enligt följande. Artikel 58.5 i förordning 2016/679 ska tolkas så, att när en tillsynsmyndighet i en medlemsstat, som inte är ”ansvarig tillsynsmyndighet” i den mening som avses i artikel 56.1 i förordningen, före den 25 maj 2018 har väckt talan vid domstol avseende en gränsöverskridande behandling av personuppgifter, det vill säga före den tidpunkt då förordningen blev tillämplig, så kan denna talan, unionsrättsligt sett, vidhållas på grundval av bestämmelserna i direktiv 95/46, som fortsätter att vara tillämpligt på sådana överträdelser av direktivets bestämmelser som begåtts före den dag då direktivet upphävdes. En sådan talan kan dessutom, med stöd av artikel 58.5 i förordning 2016/679, väckas av nämnda myndighet avseende överträdelser som begåtts efter detta datum, under förutsättning att det sker i en av de situationer där denna förordning, undantagsvis, ger en tillsynsmyndighet i en medlemsstat, som inte är ”ansvarig tillsynsmyndighet”, befogenhet att anta ett beslut i vilket det konstateras att den aktuella behandlingen av uppgifter strider mot förordningens bestämmelser om skydd för fysiska personers rättigheter med avseende på behandling av personuppgifter, och förutsatt att förordningens förfaranden för samarbete och enhetlighet iakttas, vilket det ankommer på den hänskjutande domstolen att kontrollera. |
Den femte frågan
106 |
Den hänskjutande domstolen har ställt den femte frågan för att, för det fall den första frågan besvaras jakande, få klarhet i huruvida artikel 58.5 i förordning 2016/679 ska tolkas så, att denna bestämmelse har direkt effekt, med följden att en nationell tillsynsmyndighet kan åberopa nämnda bestämmelse för att väcka eller återuppta en talan mot enskilda, även om bestämmelsen inte i särskild ordning har genomförts i den berörda medlemsstatens lagstiftning. |
107 |
Enligt artikel 58.5 i förordning 2016/679 ska varje medlemsstat i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att vid behov inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i denna förordning. |
108 |
Domstolen konstaterar inledningsvis att artikel 58.5 i förordning 2016/679, precis som den belgiska regeringen har anfört, har genomförts i den belgiska rättsordningen genom artikel 6 i lagen av den 3 december 2017. Enligt nämnda artikel 6, vars lydelse i huvudsak är identisk med den i artikel 58.5 i förordning 2016/679, har dataskyddsmyndigheten nämligen befogenhet att upplysa de rättsliga myndigheterna om överträdelser av de grundläggande principerna om skydd för personuppgifter inom ramen för denna lag, och andra lagar som innehåller bestämmelser om skydd för behandling av personuppgifter, och att vid behov inleda eller delta i rättsliga förfaranden, för att verkställa dessa principer. Följaktligen ska dataskyddsmyndigheten anses kunna grunda sig på en bestämmelse i nationell rätt, såsom artikel 6 i lagen av den 3 december 2017, genom vilken artikel 58.5 i förordning 2016/679 genomförs i belgisk rätt, för att vidta rättsliga åtgärder för att se till att förordningen efterlevs. |
109 |
För fullständighetens skull ska det dessutom påpekas att enligt artikel 288 andra stycket FEUF är en förordning till alla delar bindande och direkt tillämplig i varje medlemsstat, vilket innebär att förordningens bestämmelser i princip inte kräver någon tillämpningsåtgärd från medlemsstaternas sida. |
110 |
Enligt domstolens fasta rättspraxis har bestämmelser i förordningar – enligt artikel 288 FEUF och på grund av förordningarnas beskaffenhet och deras funktion i unionens rättskällesystem – i allmänhet omedelbara verkningar i de nationella rättsordningarna, utan att det krävs att de nationella myndigheterna vidtar tillämpningsåtgärder. Icke desto mindre kan vissa av dessa bestämmelser erfordra att medlemsstaterna vidtar tillämpningsåtgärder för att genomföra dem (dom av den 15 mars 2017, Al Chodor, C‑528/15, EU:C:2017:213, punkt 27 och där angiven rättspraxis). |
111 |
Såsom generaladvokaten har påpekat i punkt 167 i sitt förslag till avgörande innehåller artikel 58.5 i förordning 2016/679 en särskild och direkt tillämplig regel enligt vilken tillsynsmyndigheterna ska ha partshabilitet i nationella domstolar och ha befogenhet att inleda eller delta i rättsliga förfaranden enligt nationell rätt. |
112 |
Det framgår inte av artikel 58.5 i förordning 2016/679 att medlemsstaterna i en uttrycklig bestämmelse måste ange under vilka omständigheter de nationella tillsynsmyndigheterna får inleda eller delta i rättsliga förfaranden i den mening som avses i denna bestämmelse. Det är tillräckligt att tillsynsmyndigheten, i enlighet med nationell lagstiftning, har möjlighet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att vid behov inleda eller delta i rättsliga förfaranden eller på annat sätt inleda ett förfarande som syftar till att se till att förordningens bestämmelser tillämpas. |
113 |
Med hänsyn till det ovan anförda ska den femte frågan besvaras enligt följande. Artikel 58.5 i förordning 2016/679 ska tolkas så, att denna bestämmelse har direkt effekt, med följden att en nationell tillsynsmyndighet kan åberopa nämnda bestämmelse för att väcka eller återuppta en talan mot enskilda, även om bestämmelsen inte i särskild ordning har genomförts i den berörda medlemsstatens lagstiftning. |
Den sjätte frågan
114 |
Den hänskjutande domstolen har ställt den sjätte frågan för att, för det fall den första till och med den femte frågan ska besvaras jakande, få klarhet i huruvida utgången av ett domstolsförfarande som inletts av en tillsynsmyndighet i en medlemsstat avseende gränsöverskridande behandling av personuppgifter, kan hindra den ansvariga tillsynsmyndigheten från att anta ett beslut i vilket den kommer fram till en motsatt slutsats, för det fall den myndigheten utreder samma eller liknande gränsöverskridande behandling, i enlighet med det system som föreskrivs i artiklarna 56 och 60 i förordning 2016/679. |
115 |
Det ska erinras om att enligt fast rättspraxis presumeras frågor som rör unionsrätten vara relevanta. En tolknings- eller giltighetsfråga från en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av en unionsregel inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är hypotetisk eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den (dom av den 16 juni 2015, Gauweiler m.fl., C‑62/14, EU:C:2015:400, punkt 25, och dom av den 7 februari 2018, American Express, C‑304/16, EU:C:2018:66, punkt 32). |
116 |
Enligt fast rättspraxis är EU-domstolens uppgift rörande en begäran om förhandsavgörande dessutom att bidra till den faktiska lösningen av en tvist och inte att uttala sig om allmänna eller hypotetiska frågor (dom av den 10 december 2018, Wightman m.fl., C‑621/18, EU:C:2018:999, punkt 28 och där angiven rättspraxis). |
117 |
EU-domstolen konstaterar att i det nu aktuella fallet, precis som den belgiska regeringen har påpekat, har det ingalunda visats att det scenario som den sjätte frågan grundar sig på är för handen i det nationella målet, det vill säga att det med avseende på den gränsöverskridande behandling som det nationella målet handlar om skulle finnas en ansvarig tillsynsmyndighet som utreder samma, eller en liknande, gränsöverskridande behandling av personuppgifter som den som är föremål för det domstolsförfarande som inletts av tillsynsmyndigheten i den berörda medlemsstaten, och att den ansvariga tillsynsmyndigheten dessutom planerar att anta ett beslut som innehåller en motsatt slutsats. |
118 |
Under dessa omständigheter konstaterar EU-domstolen att den sjätte frågan inte har något samband med de verkliga omständigheterna eller saken i det nationella målet samt att denna fråga avser en hypotetisk frågeställning. Den sjätte frågan ska följaktligen avvisas. |
Rättegångskostnader
119 |
Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla. |
Mot denna bakgrund beslutar domstolen (stora avdelningen) följande: |
|
|
|
|
|
Underskrifter |
( *1 ) Rättegångsspråk: nederländska.