1

Sökanden, WhatsApp Ireland Ltd (nedan kallat WhatsApp), har genom talan enligt artikel 263 FEUF yrkat ogiltigförklaring av bindande beslut 1/2021 som meddelades av Europeiska dataskyddsstyrelsen (nedan kallad EDPB) den 28 juli 2021 avseende en tvist mellan de berörda tillsynsmyndigheterna, vilken hade sitt upphov i ett utkast till beslut rörande WhatsApp som hade utarbetats av Data Protection Commission (tillsynsmyndigheten för skydd av fysiska personers personuppgifter, Irland (nedan kallad den irländska tillsynsmyndigheten)) (nedan kallat det angripna beslutet).

2

Efter ikraftträdandet av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) mottog den irländska tillsynsmyndigheten klagomål från användare och icke-användare av meddelande- och samtalstjänsten ”WhatsApp” rörande WhatsApps behandling av personuppgifter. Dessutom begärde den tyska federala tillsynsmyndigheten bistånd av den irländska tillsynsmyndigheten i frågan huruvida WhatsApp hade iakttagit sina insynsskyldigheter i egenskap av personuppgiftsansvarig i samband med ett eventuellt utbyte av personuppgifter med andra enheter i Facebook-koncernen (vilken i september 2021 ändrade namn till Meta).

3

I december 2018 inledde den irländska tillsynsmyndigheten på eget initiativ en generell utredning av huruvida WhatsApp hade iakttagit de insyns- och informationsskyldigheter gentemot enskilda (i motsats till företag) som fastställs i artiklarna 12, 13 och 14 i förordning 2016/679, utan att detta påverkade de åtgärder som den kunde vidta till följd av de enskilda klagomål som hade ingetts till den. Den irländska tillsynsmyndigheten agerade därvid som ”ansvarig tillsynsmyndighet” i enlighet med artikel 56.1 i förordning 2016/679, eftersom WhatsApp, som var personuppgiftsansvarig för meddelande- och samtalstjänsten ”WhatsApps” behandling av personuppgifter inom Europa, hade sitt huvudsakliga verksamhetsställe i Irland och behandlingen var av gränsöverskridande karaktär.

4

Efter det att utredningen hade avslutats i september 2019 genom att utredaren lagt fram en slutrapport lade den beslutsbehörige vid den irländska tillsynsmyndigheten i december 2020, efter ett mellanliggande förfarande under vilket WhatsApp hade yttrat sig, fram ett utkast till beslut för samtliga av de andra berörda tillsynsmyndigheterna, det vill säga samtliga av de andra tillsynsmyndigheterna i medlemsstaterna, i enlighet med artikel 60.3 i förordning 2016/679, så att de kunde avge ett yttrande.

5

I januari 2021 uttryckte åtta av dessa tillsynsmyndigheter, nämligen den tyska federala tillsynsmyndigheten, tillsynsmyndigheten i Baden-Württemberg, den ungerska, den nederländska, den polska, den franska, den italienska och den portugisiska tillsynsmyndigheten invändningar mot vissa aspekter i utkastet till beslut. Dessutom lämnades kommentarer av olika tillsynsmyndigheter. Den irländska tillsynsmyndigheten svarade de andra berörda tillsynsmyndigheterna genom ett gruppsvar i vilket den föreslog kompromisslösningar. Även om en av myndigheterna drog tillbaka en av sina invändningar till följd av gruppsvaret, konstaterade den irländska tillsynsmyndigheten att samförstånd inte hade nåtts mellan de berörda tillsynsmyndigheterna om dess förslag rörande de övriga aspekter som varit föremål för invändningar och beslutade att avslå samtliga invändningar och vända sig till EDPB, för att denna skulle avgöra tvisten mellan de berörda tillsynsmyndigheterna rörande dessa aspekter i enlighet med bestämmelserna i artiklarna 60.4 och 65.1 a i förordning 2016/679.

6

I maj 2021 inhämtade den irländska tillsynsmyndigheten skriftligen synpunkter från WhatsApp om de omständigheter som hade diskuterats mellan de berörda tillsynsmyndigheterna, efter att först till WhatsApp ha överlämnat alla handlingar som hade utbytts i detta sammanhang, och överlämnade själv nämnda synpunkter till EDPB så att den skulle kunna ta del av dem inom ramen för tvistlösningsförfarandet, som inleddes i juni 2021.

7

EDPB, som enligt lydelsen i artikel 68.3 i förordning 2016/679 ska bestå av ”chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare”, antog det angripna beslutet den 28 juli 2021 med två tredjedels majoritet i enlighet med vad som föreskrivs i artikel 65.2 i förordning 2016/679. Det angripna beslutet är ett beslut riktat till den ansvariga tillsynsmyndigheten och alla de berörda tillsynsmyndigheterna och är bindande för dem, såsom det föreskrivs i sistnämnda bestämmelse, och avser ärenden som är föremål för relevanta och motiverade invändningar, såsom det föreskrivs i artikel 65.1 a i förordning 2016/679. I det angripna beslutet undersökte EDPB först huruvida var och en av de invändningar som hade uttryckts av en berörd tillsynsmyndighet var relevant och motiverad. Den tog ställning till en invändning endast om denna preliminära fråga hade besvarats jakande.

8

Efter det att den irländska tillsynsmyndigheten hade mottagit det angripna beslutet och hade erhållit synpunkter från WhatsApp på de sanktionsavgifter som den mot bakgrund av det angripna beslutet avsåg att slutligen ålägga företaget, antog den beslutsbehörige vid tillsynsmyndigheten den 20 augusti 2021 i enlighet med artikel 65.6 i förordning 2016/679 ett slutligt beslut riktat till WhatsApp (nedan kallat det slutliga beslutet). I det slutliga beslutet ansågs att WhatsApp hade åsidosatt den princip och de insynsskyldigheter som anges i artiklarna 5.1 a, 12.1, 13.1 c, d, e och f, 13.2 a, c och e och 14 i förordning 2016/679. I beslutet angavs att WhatsApp däremot hade agerat för att uppfylla de skyldigheter som anges i artikel 13.1 a och b och 13.2 b och d i förordning 2016/679. Som korrigerande åtgärder i enlighet med artikel 58.2 b, d och i) i förordning 2016/679, ålades WhatsApp i det slutliga beslutet en reprimand och ett visst antal åtgärder, vilka förtecknades i en bilaga, i syfte att inom tre månader uppfylla de skyldigheter som anges i förordning 2016/679 och som hade åsidosatts, samt fyra administrativa sanktionsavgifter motsvarande ett totalt belopp om 225 miljoner euro med anledning av de konstaterade överträdelserna av artiklarna 5.1 a, 12, 13 och 14 i förordning 2016/679.

9

I det slutliga beslutet angav den beslutsbehörige vid den irländska tillsynsmyndigheten de aspekter med avseende på vilka det, enligt det angripna beslutet, var nödvändigt att se över den bedömning som hade gjorts i det utkast till beslut som anges i punkt 4 ovan. Beträffande dessa aspekter valde den beslutsbehörige att i gråmarkerade fält direkt återge de skäl som EDPB hade angett i det angripna beslutet och att avseende varje aspekt endast dra en lämplig slutsats i en avslutande punkt. Den beslutsbehörige preciserade att i det slutliga beslutet togs inte de invändningar upp som EDPB hade betraktat som irrelevanta eller omotiverade, och som EDPB följaktligen inte hade bedömt huruvida de var välgrundade, och inte heller de invändningar som EDPB hade ansett inte krävde någon ändring av bedömningen i utkastet till beslut, samt att det i det slutliga beslutet inte heller togs ställning till dessa invändningar.

10

Det angripna beslutet fogades till den irländska tillsynsmyndighetens slutliga beslut i enlighet med artikel 65.6 i förordning 2016/679.

11

I det angripna beslutet tog EDPB i tur och ordning ställning till endast följande aspekter, vilka den ansåg hade varit föremål för relevanta och motiverade invändningar:

12

WhatsApp överklagade det slutliga beslutet till en irländsk domstol och väckte samtidigt talan vid tribunalen med yrkande om att den skulle ogiltigförklara det angripna beslutet.

13

I förevarande förfarande har Computer & Communication Industry Association ansökt om att få intervenera till stöd för sökandens yrkanden, medan Republiken Finland, Europeiska kommissionen och Europeiska datatillsynsmannen har ansökt om att få intervenera till stöd för EDPB:s yrkanden. Med anledning av dessa ansökningar har parterna begärt att vissa uppgifter i handlingarna inte ska lämnas ut till vissa intervenienter, eftersom de är av konfidentiell karaktär. Dessa ansökningar har inte ännu avgjorts.

14

I den åtgärd för processledning som antogs till följd av att svaromålet hade ingetts, i vilken parterna anmodades att inte försumma att i repliken och dupliken ta ställning till alla viktiga frågor rörande tribunalens behörighet och talans upptagande till prövning, angavs att det angripna beslutet är en rättsakt som har antagits av ett av Europeiska unionens organ och mot vilken talan kan väckas samt att sökanden har talerätt och ett berättigat intresse av att få saken prövad.

15

WhatsApp har i första hand yrkat att det angripna beslutet ska ogiltigförklaras i dess helhet och i andra hand yrkat att relevanta delar av det ska ogiltigförklaras. WhatsApp har även yrkat att EDPB ska förpliktas att ersätta rättegångskostnaderna.

16

EDPB har i första hand yrkat att talan ska avvisas, i andra hand yrkat att den ska ogillas och i tredje hand yrkat att en ogiltigförklaring av det angripna beslutet ska begränsas till relevanta delar av det. EDPB har även yrkat att sökanden ska förpliktas att ersätta rättegångskostnaderna.

17

Enligt artikel 129 i tribunalens rättegångsregler får tribunalen när som helst på eget initiativ, på förslag av referenten och efter att ha hört parterna, genom ett särskilt uppsatt beslut som är motiverat pröva om talan ska avvisas till följd av att det föreligger ett rättegångshinder som inte kan avhjälpas.

18

I förevarande fall finner tribunalen att den har tillräckligt underlag genom handlingarna i akten och beslutar med tillämpning av nämnda artikel att avgöra frågan om upptagande till prövning utan vidare handläggning.

19

Kontrollen av tribunalens behörighet och sökandens talerätt omfattas nämligen av tvingande rätt, liksom kontrollen av andra omständigheter som rör huruvida en talan kan tas upp till prövning, och parterna har i förevarande fall getts tillfälle att utveckla sina synpunkter i detta hänseende, till följd av den åtgärd för processledning som anges i punkt 14 ovan och som vidtogs sedan EDPB i sitt svaromål hade gjort gällande att talan inte kunde tas upp till prövning.

20

I förevarande fall ska det inledningsvis erinras om de tillämpliga institutionella bestämmelser mot bakgrund av vilka det angripna beslutet antogs.

21

Kapitel VI i förordning 2016/679 har rubriken ”Oberoende tillsynsmyndigheter”. I artikel 51 i detta kapitel föreskrivs att varje medlemsstat ”ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning”, att var och en av dessa myndigheter ”ska bidra till en enhetlig tillämpning av denna förordning i hela unionen” och att för detta ändamål ”ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII”.

22

I artikel 55 föreskrivs att varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt förordning 2016/679 inom sin egen medlemsstats territorium och i artikel 56 anges att utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60. Som det anges i punkt 3 ovan har den irländska tillsynsmyndigheten i förevarande fall agerat gentemot WhatsApp i egenskap av ansvarig tillsynsmyndighet.

23

I artikel 58.2 i förordning 2016/679 anges att varje tillsynsmyndighet ska ha befogenhet att vidta korrigerande åtgärder gentemot en personuppgiftsansvarig eller ett personuppgiftsbiträde och bland annat, som det anges i leden b, d och i, utfärda reprimander till dem om behandlingen bryter mot bestämmelserna i förordning 2016/679, förelägga dem att se till att behandlingen sker i enlighet med bestämmelserna i förordning 2016/679 och om så krävs på ett specifikt sätt och inom en specifik period samt påföra dem en administrativ sanktionsavgift.

24

Kapitel VII i förordning 2016/679, som följer efter de bestämmelser som anges i punkterna 21–23 ovan, har rubriken ”Samarbete och enhetlighet”.

25

I avsnittet ”Samarbete” i nämnda kapitel, föreskrivs i artikel 60, vilken har rubriken ”Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna”, bland annat följande:

”1.   Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna ska utbyta all relevant information med varandra.

…

3.   Den ansvariga tillsynsmyndigheten ska utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den relevanta informationen i ärendet. Den ska utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsynsmyndigheterna så att de kan avge ett yttrande och ta vederbörlig hänsyn till deras synpunkter.

4.   Om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats i enlighet med punkt 3 i den här artikeln uttrycker en relevant och motiverad invändning mot utkastet till beslut ska den ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses i artikel 63.

5.   Om den ansvariga tillsynsmyndigheten avser att följa den relevanta och motiverade invändningen ska den till de andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta reviderade utkast till beslut ska omfattas av det förfarande som avses i punkt 4 inom en period av två veckor.

6.   Om ingen av de andra berörda tillsynsmyndigheterna har gjort invändningar mot det utkast till beslut som den ansvariga tillsynsmyndigheten har lagt fram inom den period som avses i punkterna 4 och 5 ska den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna anses samtycka till detta utkast till beslut och ska vara bundna av det.

7.   Den ansvariga tillsynsmyndigheten ska anta och meddela beslutet till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra berörda tillsynsmyndigheterna och styrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en relevant motivering. Den tillsynsmyndighet till vilken ett klagomål har lämnats in ska underrätta den enskilde om beslutet.

…

10.   Efter att den personuppgiftsansvarige eller personuppgiftsbiträdet har meddelats om den ansvariga myndighetens beslut … ska den personuppgiftsansvarige eller personuppgiftsbiträdet vidta nödvändiga åtgärder för att se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska meddela den ansvariga tillsynsmyndigheten vilka åtgärder som har vidtagits för att efterleva beslutet, och den ansvariga tillsynsmyndigheten ska informera de andra berörda tillsynsmyndigheterna.”

26

I avsnittet ”Enhetlighet” i samma kapitel VII i förordning 2016/679 föreskrivs följande i artikel 63, som har rubriken ”Mekanism för enhetlighet”:

”För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta avsnitt.”

27

EDPB deltar i nämnda mekanism. EDPB:s ställning fastställs i det tredje och sista avsnittet i kapitel VII i förordning 2016/679, vilket har rubriken ”Europeiska dataskyddsstyrelsen”.

28

I artikel 68 i nämnda avsnitt anges följande:

”1.   Europeiska dataskyddsstyrelsen (nedan kallad styrelsen) inrättas härmed som ett unionsorgan och ska ha ställning som juridisk person.

…

3.   Styrelsen ska bestå av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare.

…”

29

I samma avsnitt föreskrivs följande i artikel 70, som har rubriken ”Styrelsens uppgifter”:

”1.   Styrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska styrelsen, på eget initiativ eller i förekommande fall på begäran av kommissionen, i synnerhet

…”

30

Samma artikel 70 innehåller vidare en detaljerad uppräkning av EDPB:s övriga uppgifter, som huvudsakligen består i rådgivning genom yttranden, riktlinjer, rekommendationer och rekommendationer om ”bästa praxis”.

31

I artikel 64 i avsnittet ”Enhetlighet”, som nämns i punkt 26 ovan, förtecknas de fall där EDPB ska avge ett yttrande och i artikel 65, som har rubriken ”Tvistlösning genom styrelsen”, föreskrivs bland annat följande:

”1.   För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett bindande beslut i följande fall:

…

2.   Det beslut som avses i punkt 1 ska antas … med två tredjedels majoritet av styrelsens ledamöter. … Det beslut som avses i punkt 1 ska vara motiverat och riktat till den ansvariga tillsynsmyndigheten och alla berörda tillsynsmyndigheter och ska vara bindande för dem.

…

5.   Styrelsens ordförande ska utan onödigt dröjsmål meddela de berörda tillsynsmyndigheterna det beslut som avses i punkt 1. Kommissionen ska informeras om detta. Beslutet ska utan dröjsmål offentliggöras på styrelsens webbplats efter att tillsynsmyndigheten har meddelat det slutliga beslut som avses i punkt 6.

6.   Den ansvariga tillsynsmyndigheten eller, allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet har ingetts ska anta sitt slutliga beslut på grundval av det beslut som avses i punkt 1 i den här artikeln, utan onödigt dröjsmål och senast en månad efter det att styrelsen har meddelat sitt beslut. … Det slutliga beslutet ska hänvisa till det beslut som avses i punkt 1 i den här artikeln och ska precisera att det beslut som avses i punkt 1 kommer att offentliggöras på styrelsens webbplats i enlighet med punkt 5 i den här artikeln. Det beslut som avses i punkt 1 i den här artikeln ska fogas till det slutliga beslutet.”

32

I kapitel VIII i förordning 2016/679, som har rubriken ”Rättsmedel, ansvar och sanktioner”, behandlas ”rätt[en] till ett effektivt rättsmedel mot tillsynsmyndighetens beslut” i artikel 78 och ”rätt[en] till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde” i artikel 79. Det innehåller inga bestämmelser om eventuella rättsmedel mot bindande beslut som EDPB har antagit i enlighet med ovannämnda artikel 65.1. I artikel 78.4 anges emellertid att ”[o]m talan väcks mot ett beslut som fattats av en tillsynsmyndighet och som föregicks av ett … beslut av styrelsen inom ramen för mekanismen för enhetlighet ska tillsynsmyndigheten vidarebefordra detta … beslut till domstolen”.

33

I skäl 143 i motiveringen till förordning 2016/679 anges följande:

”Varje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid domstolen enligt de villkor som föreskrivs i [artikel 263 FEUF]. I sin egenskap av adressater för sådana beslut måste, i enlighet med [artikel 263 FEUF], de berörda tillsynsmyndigheter som önskar överklaga dessa väcka talan inom två månader efter det att beslutet meddelats dem. Om styrelsens beslut direkt och personligen berör en personuppgiftsansvarig, ett personuppgiftsbiträde eller en enskild, kan den enskilde väcka ogiltighetstalan mot besluten inom två månader efter det att de har offentliggjorts på styrelsens webbplats, i enlighet med [artikel 263 FEUF]. Utan att det påverkar denna rätt inom ramen för [artikel 263 FEUF] bör varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en tillsynsmyndighet som har rättsliga följder för denna person. Sådana beslut avser särskilt tillsynsmyndighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål. Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten. Talan mot beslut som har fattats av en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte och bör genomföras i enlighet med den medlemsstatens nationella processrätt. Dessa domstolar bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga frågor som rör den tvist som anhängiggjorts vid dem.

Om ett klagomål avslås eller avvisas av en tillsynsmyndighet, kan den enskilde väcka talan vid domstolarna i samma medlemsstat. I samband med rättsmedel som avser tillämpningen av denna förordning kan eller, i det fall som anges i [artikel 267 FEUF], måste nationella domstolar som anser att ett beslut om ett förhandsavgörande är nödvändigt för att de ska kunna döma begära att domstolen meddelar ett förhandsavgörande om tolkningen av unionsrätten, inbegripet denna förordning. Om dessutom ett beslut av en tillsynsmyndighet om genomförande av ett beslut av styrelsen överklagas till en nationell domstol och giltigheten av styrelsens beslut ifrågasätts, har inte den nationella domstolen befogenhet att förklara styrelsens beslut ogiltigt utan måste hänskjuta frågan om giltighet till domstolen i enlighet med [artikel 267 FEUF] såsom den tolkats av domstolen, närhelst den anser att beslutet är ogiltigt. En nationell domstol får dock inte hänskjuta en fråga om giltigheten av styrelsens beslut på begäran av en fysisk eller juridisk person som haft tillfälle att väcka ogiltighetstalan mot beslutet, i synnerhet inte om denna person direkt och personligen berördes av beslutet men inte gjorde detta inom den frist som anges i [artikel 263 FEUF].”

34

Artikel 263 första, andra, fjärde och femte styckena FEUF har följande lydelse:

”Europeiska unionens domstol ska granska lagenligheten av lagstiftningsakter, sådana akter som antas av rådet, av kommissionen eller av Europeiska centralbanken och som inte är rekommendationer och yttranden, samt sådana rättsakter som antas av Europaparlamentet och av Europeiska rådet och som ska ha rättsverkan i förhållande till tredje man. Den ska även granska lagenligheten av sådana akter antagna av unionens organ eller byråer som är avsedda att ha rättsverkan i förhållande till tredje man.

För detta ändamål ska domstolen vara behörig att pröva talan som väcks av en medlemsstat, av Europaparlamentet, av rådet eller av kommissionen rörande bristande behörighet, åsidosättande av väsentliga formföreskrifter, åsidosättande av fördragen eller av någon rättsregel som gäller deras tillämpning eller rörande maktmissbruk.

…

Alla fysiska eller juridiska personer får på de villkor som anges i första och andra styckena väcka talan mot en akt som är riktad till dem eller som direkt och personligen berör dem samt mot en regleringsakt som direkt berör dem och som inte medför genomförandeåtgärder.

I de akter genom vilka unionens organ och byråer inrättas kan särskilda villkor och former föreskrivas för talan som väcks av fysiska eller juridiska personer mot akter som antas av dessa organ eller byråer och som ska ha rättsverkan i förhållande till dem.

…”

35

Av artikel 263 första stycket FEUF framgår att unionsdomstolen är behörig att granska lagenligheten av en akt som har antagits av ett unionsorgan och som är avsedd att ha rättsverkan i förhållande till tredje man. Av fjärde stycket i samma artikel framgår dessutom att för att en juridisk person ska kunna väcka talan mot en individuell akt som har antagits av ett unionsorgan, men som inte är riktad till denna person, måste vederbörande i princip vara direkt och personligen berörd av akten i fråga. Som det anges i punkt 32 ovan innehåller förordning 2016/679 ingen bestämmelse motsvarande det som föreskrivs i artikel 263 femte stycket FEUF, vilket innebär att WhatsApp i förevarande fall de facto omfattas av de villkor som föreskrivs i fjärde stycket i denna artikel, det vill säga företaget måste vara direkt och personligen berört av det angripna beslutet för att dess talan mot detta beslut ska kunna tas upp till prövning.

36

Det ska inledningsvis konstateras att det angripna beslutet, vilket har antagits av EDPB, utgör en akt som har antagits av ett unionsorgan. De institutionella bestämmelser som föreskrivs i förordning 2016/679 och som återges i punkterna 21–31 ovan, bland annat avseende de nationella tillsynsmyndigheternas exklusiva befogenhet att vidta korrigerande åtgärder gentemot personuppgiftsansvariga och personuppgiftsbiträden samt mekanismerna för samarbete och enhetlighet mellan dessa myndigheter, inbegripet inom EDPB, vilken huvudsakligen är sammansatt av företrädare för nationella tillsynsmyndigheter, skulle visserligen kunna leda till slutsatsen att EDPB endast är en samordnande instans mellan nationella myndigheter. Enligt lydelsen i artikel 68.1 i förordning 2016/679 inrättades EDPB emellertid som ett unionsorgan och är en juridisk person. I denna egenskap har EDPB dessutom enligt artiklarna 64 och 65 i förordning 2016/679 befogenhet att anta yttranden och befogenhet att inom ramen för tvistlösning mellan nationella tillsynsmyndigheter anta beslut såsom det angripna beslutet, vilka är bindande för de berörda tillsynsmyndigheterna. Dessa yttranden och beslut utgör således akter som har antagits av ett unionsorgan.

37

Vidare ska det konstateras att det angripna beslutet är avsett att ha rättsverkan i förhållande till tredje man, eftersom det är ett ”bindande beslut” i förhållande till de berörda tillsynsmyndigheterna, vilket har antagits i enlighet med artikel 65 i förordning 2016/679.

38

Av domstolens fasta praxis följder att om sökanden inte är en av de ”privilegierade” sökande som anges i artikel 263 andra stycket FEUF, måste rättsakten, för att sökanden ska kunna väcka talan mot den, ha bindande rättsverkningar som kan påverka sökandens intressen, genom att klart förändra dennes rättsliga ställning (dom av den 11 november 1981, IBM/kommissionen, 60/81, EU:C:1981:264, punkt 9; se även dom av den 18 november 2010, NDSHT/kommissionen, C‑322/09 P, EU:C:2010:701, punkt 45 och där angiven rättspraxis).

39

Domstolen har även slagit fast att när en sökande som inte befinner sig i en privilegierad ställning väcker talan mot en rättsakt som är riktad till någon annan, överlappar kravet att rättsakten klart ska förändra sökandens rättsliga ställning villkoren i artikel 263 fjärde stycket FEUF, det vill säga – när den angripna akten inte utgör en regleringsakt som inte medför genomförandeåtgärder – kravet att sökanden ska vara direkt och personligen berörd av akten i fråga (se, för ett liknande resonemang, dom av den 13 oktober 2011, Deutsche Post och Tyskland/kommissionen, C‑463/10 P och C‑475/10 P, EU:C:2011:656, punkt 38).

40

I förevarande fall ska det med hänsyn till den angripna rättsaktens art, vilken utgör en individuell rättsakt, inledningsvis påpekas att WhatsApp personligen berörs av det angripna beslutet, eftersom det avser vissa aspekter i ett utkast till slutligt beslut från den irländska tillsynsmyndigheten som specifikt rör WhatsApp. I motsats till vad EDPB har anfört i dupliken är det angripna beslutet inte begränsat till att ange principer eller tolka vissa bestämmelser i förordning 2016/679 som skulle kunna röra vilken personuppgiftsansvarig som helst. Som det anges i punkt 11 ovan uttalade sig EDPB i det angripna beslutet om huruvida WhatsApp hade iakttagit vissa av sina skyldigheter enligt förordning 2016/679, klassificerade material som erhållits genom ett förfarande kallat ”Lossy Hashing Procedure” – en behandling som endast utförs av WhatsApp – som personuppgifter och uttalade sig om vissa korrigerande åtgärder som skulle åläggas WhatsApp, bland annat vad gäller vissa aspekter av fastställandet av de administrativa sanktionsavgifter som skulle påföras. Det angripna beslutet avser således specifikt WhatsApp, även om det, såsom ofta är fallet med individuella rättsakter, innehåller uttalanden eller erinranden om principer och tolkningar av allmän art.

41

Det ska även kontrolleras huruvida det angripna beslutet har rättsverkningar som klart förändrar WhatsApps rättsliga ställning och om det direkt berör WhatsApp i den mening som avses i artikel 263 fjärde stycket FEUF.

42

Det ska härvid påpekas att som EDPB har betonat förändrar det angripna beslutet inte i sig WhatsApps rättsliga ställning. Det kan inte, till skillnad från den irländska tillsynsmyndighetens slutliga beslut, göras direkt gällande mot WhatsApp, utan utgör gentemot detta företag en förberedande eller mellankommande rättsakt i ett förfarande som enligt bestämmelserna i artiklarna 58.2, 60, 63 och 65 i förordning 2016/679, vilka citeras i punkterna 23–26 och 31 ovan, ska avslutas genom att en nationell tillsynsmyndighet antar ett slutligt beslut som riktar sig till detta företag (se, för ett liknande resonemang och analogt, dom av den 24 juni 1986, AKZO Chemie och AKZO Chemie UK/kommissionen, 53/85, EU:C:1986:256, punkt 19).

43

Det har upprepade gånger slagits fast att i förfaranden där rättsakter utarbetas i flera steg utgör de mellankommande åtgärder som syftar till att förbereda det slutliga beslutet i princip inte akter mot vilka talan kan väckas (se, för ett liknande resonemang, dom av den 11 november 1981, IBM/kommissionen, 60/81, EU:C:1981:264, punkt 10, och dom av den 26 januari 2010, Internationaler Hilfsfonds/kommissionen, C‑362/08 P, EU:C:2010:40, punkt 52 och där angiven rättspraxis).

44

Undantagen från den princip som anges i punkt 43 ovan utgörs av de fall där den mellankommande åtgärden har självständiga rättsverkningar mot vilka ett tillräckligt domstolsskydd inte kan säkerställas inom ramen för en talan mot det beslut genom vilket förfarandet avslutas (se, för ett liknande resonemang, dom av den 11 november 1981, IBM/kommissionen, 60/81, EU:C:1981:264, punkterna 11 och 12, och dom av den 13 oktober 2011, Deutsche Post och Tyskland/kommissionen, C‑463/10 P och C‑475/10 P, EU:C:2011:656, punkterna 53 och 54). Sådana undantag har identifierats till exempel inom ramen för förfarandet för kontroll av att de konkurrensregler som gäller för företag iakttas (se, för ett liknande resonemang, dom av den 24 juni 1986, AKZO Chemie och AKZO Chemie UK/kommissionen, 53/85, EU:C:1986:256, punkt 20), förfarandet för kontroll av att reglerna om statligt stöd iakttas (se, för ett liknande resonemang, dom av den 9 oktober 2001, Italien/kommissionen, C‑400/99, EU:C:2001:528, punkterna 55–63) och, när det gäller accessoriska åtgärder eller skyddsåtgärder som föregår ett slutligt beslut, förfarandet för avstängning av en tjänsteman som är föremål för ett disciplinärt förfarande (se, för ett liknande resonemang, dom av den 5 maj 1966, Gutmann/kommissionen, 18/65 och 35/65, EU:C:1966:24, s. 168).

45

I förevarande fall säkerställs emellertid ett effektivt domstolsskydd för WhatsApp gentemot det angripna beslutet genom det rättsmedel mot den irländska tillsynsmyndighetens slutliga beslut som företaget har tillgång till vid den nationella domstolen och som möjliggör en bedömning av det angripna beslutets giltighet. WhatsApp har – i enlighet med bestämmelserna i artikel 78.1 i förordning 2016/679, där det föreskrivs att varje person i varje medlemsstat ska ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet – överklagat den irländska tillsynsmyndighetens slutliga beslut till en irländsk domstol och kan inom ramen för det överklagandet göra gällande att de bindande bedömningar som gjordes i det angripna beslutet, vilka återges i det slutliga beslutet, är rättsstridiga. Det ska härvid erinras om att enligt artikel 267 FEUF är det möjligt att vid en nationell domstol ta upp frågan om giltigheten hos en rättsakt som beslutats av unionens institutioner, organ eller byråer, eftersom det där föreskrivs att om en nationell domstol anser att ett beslut i frågan är nödvändigt för att döma i saken, får eller ska den begära att Europeiska unionens domstol meddelar ett förhandsavgörande rörande giltigheten. Om EU-domstolen vid utgången av förfarandet för förhandsavgörande finner att en rättsakt som har varit förberedande inför ett beslut som fattats av en myndighet i en medlemsstat är ogiltig, ska den nationella domstolen dra konsekvenserna av detta när det gäller giltigheten av detta beslut som går den berörda personen emot (se, för ett liknande resonemang, dom av den 30 oktober 1975, Rey Soda m.fl., 23/75, EU:C:1975:142, punkt 51, och dom av den 20 mars 2018, Šroubárna Ždánice/rådet, T‑442/16, ej publicerad, EU:T:2018:159, punkt 34).

46

Det angripna beslutet har dessutom inte någon självständig rättsverkan gentemot WhatsApp jämfört med den irländska tillsynsmyndighetens slutliga beslut: samtliga bedömningar i det första beslutet återges nämligen i det andra beslutet och det förstnämnda beslutet har inte några verkningar som är oberoende av innehållet i det andra beslutet, i motsats till vad som var fallet i de situationer som gav upphov till domen av den 5 maj 1966, Gutmann/kommissionen (18/65 och 35/65, EU:C:1966:24), domen av den 24 juni 1986, AKZO Chemie och AKZO Chemie UK/kommissionen (53/85, EU:C:1986:256), och domen av den 9 oktober 2001, Italien/kommissionen (C‑400/99, EU:C:2001:528), vilka nämns i punkt 44 ovan.

47

Även om de principer som anges i punkterna 43 och 44 ovan har fastställts med avseende på förfaranden som, vad gäller det slutliga beslutet, omfattas av befogenheter som tillkommer unionens institutioner eller andra organ, finns det inget skäl till att det skulle förhålla sig på ett annat sätt när unionslagstiftningen, såsom i förevarande fall, överlåter övervakningen av tillämpningen av särskilda unionsregler på specifika nationella myndigheter inom ramen för förfaranden som omfattar flera skeden och det är frågan om en mellankommande åtgärd som ett unionsorgan har antagit inom ramen för ett sådant förfarande, vilket avslutas med ett beslut som fattas av en nationell myndighet.

48

WhatsApp har visserligen gjort gällande att det angripna beslutet utgörs av en slutlig ståndpunkt från EDPB som den irländska tillsynsmyndigheten måste följa i det slutliga beslutet. Detta argument ska förstås så, att det angripna beslutet därför nödvändigtvis utgör en rättsakt mot vilken talan kan väckas och att det skiljer sig från sådana mellankommande åtgärder som endast innehåller en preliminär ståndpunkt, vilka är de enda rättsakter mot vilka talan inte kan väckas.

49

För att en sökande, som inte är en av de så kallade privilegierade sökande som anges i artikel 263 andra stycket FEUF, ska kunna väcka talan mot en rättsakt, måste emellertid rättsakten i fråga, såsom det erinras om i punkt 38 ovan, bland annat klart förändra sökandens rättsliga ställning. Den omständigheten att en mellankommande rättsakt, såsom i förevarande fall, uttrycker en myndighets slutliga ståndpunkt, vilken måste återges i det slutliga beslut genom vilket förfarandet i fråga avslutas, eftersom det angripna beslutet innehåller en slutlig bedömning av vissa aspekter i det slutliga beslutet, betyder dock inte nödvändigtvis att denna mellankommande rättsakt i sig klart förändrar sökandens rättsliga ställning, såsom det i förevarande fall har visats i punkterna 42–47 ovan. I den mån som detta krav, såsom det erinras om i punkt 39 ovan, överlappar villkoren i artikel 263 fjärde stycket FEUF, det vill säga bland annat villkoret att sökanden ska vara direkt berörd av akten i fråga, kan det i förevarande fall kontrolleras om detta krav är uppfyllt genom att undersöka om WhatsApp direkt berörs av det angripna beslutet.

50

Som EDPB har betonat berörs WhatsApp dock inte direkt av det angripna beslutet.

51

Av fast rättspraxis framgår nämligen att för att en sökande ska vara direkt berörd av en rättsakt som inte riktar sig till sökanden ska rättsakten, för det första, ha en direkt inverkan på sökandens rättsliga ställning och, för det andra, inte lämna något utrymme för skönsmässig bedömning till dem som rättsakten riktar sig till och som ska genomföra den, eftersom rättsakten har en rent automatisk karaktär och endast följer av unionslagstiftningen utan att några mellanliggande regler ska tillämpas (dom av den 13 maj 1971, International Fruit Company m.fl./kommissionen, 41/70 till 44/70, EU:C:1971:53, punkterna 23–28, dom av den 5 maj 1998, Dreyfus/kommissionen, C‑386/96 P, EU:C:1998:193, punkt 43, och dom av den 17 september 2009, kommissionen/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, punkt 48).

52

När det gäller det första av dessa villkor kan det angripna beslutet, som det redan har angetts i punkt 42 ovan, inte göras gällande mot WhatsApp, så att det utan ytterligare skeden i förfarandet skulle kunna medföra skyldigheter för WhatsApp eller, i förekommande fall, rättigheter för andra personer. Det skiljer sig således från till exempel de rättsakter som var föremål för domen av den 23 april 1986, Les Verts/parlamentet (294/83, EU:C:1986:166), avseende vilka domstolen, i punkt 31 i den domen, slog fast att de direkt berörde sökandeföreningen, eftersom ”[de utgjorde] en fullständig reglering som i sig [var] tillräcklig och som inte [krävde] några genomförandebestämmelser”. I förevarande fall utgör det angripna beslutet inte det slutliga skedet i det fullständiga förfarande som föreskrivs i artiklarna 58, 60 och 65 i förordning 2016/679.

53

När det gäller det andra av dessa villkor, avseende utrymmet för skönsmässig bedömning för den myndighet som ska genomföra rättsakten i fråga, måste det konstateras att även om det angripna beslutet var bindande för den irländska tillsynsmyndigheten vad gäller de aspekter som beslutet avsåg, gav det den irländska tillsynsmyndigheten ett utrymme för skönsmässig bedömning vad gäller innehållet i det slutliga beslutet.

54

Som det framgår av en jämförelse mellan innehållet i det angripna beslutet, vilket återges i punkt 11 ovan, genom vilket anvisningar riktades till de berörda tillsynsmyndigheterna och innehållet i det slutliga beslut som riktades till WhatsApp, vilket återges i punkt 8 ovan, är innehållet i det angripna beslutet partiellt jämfört med det slutliga beslutet.

55

Gemensamt för de båda besluten är således följande: Konstaterandet att WhatsApp hade åsidosatt den öppenhetsprincip som anges i artikel 5.1 a och de skyldigheter som anges i artikel 13.1 d och 13.2 e i förordning 2016/679, klassificeringen som personuppgifter av material som hade erhållits genom ett förfarande kallat ”Lossy Hashing Procedure”, vilket tillämpas på uppgifter om ”kontakter” som inte är användare av WhatsApp men vilkas uppgifter finns i adressböcker på WhatsApp‑användarnas enheter, konstaterandet att WhatsApp mot bakgrund av denna klassificering hade åsidosatt de skyldigheter som anges i artikel 14 i förordning 2016/679, fristen på tre månader som WhatsApp beviljades för att uppfylla kraven i förordning 2016/679, vissa aspekter av de korrigerande åtgärder, det vill säga de som avsåg personuppgifterna för icke-användare av WhatsApp och skyldigheten att tillhandahålla användarna av WhatsApp den information som anges i artikel 13.2 e i förordning 2016/679, tolkningen av kriterierna för storleken på de administrativa sanktionsavgifter som skulle påföras WhatsApp och höjningen av sanktionsavgifternas belopp jämfört med det totala belopp på 30–50 miljoner euro som hade förutsetts i den irländska tillsynsmyndighetens utkast till beslut.

56

Vad gäller följande aspekter är det slutliga beslutet däremot ett resultat av den irländska tillsynsmyndighetens bedömning, utan att EDPB i det angripna beslutet hade uttryckt någon ståndpunkt i detta hänseende: konstaterandet att WhatsApp hade åsidosatt de skyldigheter som anges i artiklarna 12.1, 13.1 c, e och f och 13.2 a och c i förordning 2016/679, konstaterandet att WhatsApp hade uppfyllt de skyldigheter som anges i artikel 13.1 a och b och 13.2 b och d i förordning 2016/679, WhatsApps ställning när företaget behandlade personuppgifter avseende icke-användare av meddelande- och samtalstjänsten ”WhatsApp”, huvuddelen av innehållet i de korrigerande åtgärder som ålagts WhatsApp, det vill säga de åtgärder som syftar till att säkerställa att de skyldigheter som anges i artiklarna 12.1, 13.1 c, d, e och f och 13.2 a och c i förordning 2016/679 uppfylls, samt det konkreta fastställandet av storleken på de administrativa sanktionsavgifter som ålagts WhatsApp, vilka uppgår till totalt 225 miljoner euro.

57

Särskilt ska påpekas att den irländska tillsynsmyndigheten utövade sitt utrymme för skönsmässig bedömning för att dra konsekvenserna av de anvisningar som hade getts i det angripna beslutet vad gäller klassificeringen som personuppgifter av det material som hade erhållits genom förfarandet kallat ”Lossy Hashing Procedure” och vad gäller de administrativa sanktionsavgifterna.

58

Vad beträffar den förstnämnda aspekten, det vill säga frågan om behandlingen av personuppgifter för icke-användare av WhatsApp, särskilt det material som hade erhållits genom förfarandet kallat ”Lossy Hashing Procedure”, innebar – som det framgår av punkt 111 i det slutliga beslutet – det därpå följande skedet i förfarandet för fastställande av huruvida WhatsApp med avseende på dessa personer hade åsidosatt de skyldigheter som anges i artikel 14 i förordning 2016/679 en bedömning av huruvida WhatsApp vid behandlingen av personuppgifterna i fråga hade agerat som personuppgiftsansvarig eller endast som ett personuppgiftsbiträde som agerade på vägnarna av de användare av meddelande- och samtalstjänsten som hade aktiverat funktionen ”Kontakter”. Detta skede i bedömningen, som avslutades med ett fastställande av att WhatsApp hade agerat som personuppgiftsansvarig, genomfördes till följd av en bedömning som den irländska tillsynsmyndigheten hade gjort, utan att EDPB hade uttryckt någon ståndpunkt i detta hänseende i det angripna beslutet.

59

Vad gäller fastställandet av de administrativa sanktionsavgifterna behöll den irländska tillsynsmyndigheten sitt utrymme för skönsmässig bedömning när det gällde att konkret fastställa beloppet av de sanktionsavgifter som WhatsApp skulle åläggas, även om det angripna beslutet innehöll anvisningar om tolkningen av kriterierna för storleken på de administrativa sanktionsavgifter som skulle påföras i enlighet med förordning 2016/679 och om en höjning av det totala beloppet av de sanktionsavgifter som i förevarande fall skulle påföras WhatsApp jämfört med det som förutsetts i den irländska tillsynsmyndighetens utkast till beslut. Innan den irländska tillsynsmyndigheten antog det slutliga beslutet anmodade den, som det anges i punkt 8 ovan, WhatsApp att inkomma med synpunkter på de nya administrativa sanktionsavgifter som tillsynsmyndigheten avsåg att påföra företaget, vilket är överensstämmande med konstaterandet att tillsynsmyndigheten behöll ett utrymme för skönsmässig bedömning i detta hänseende. Det kan påpekas att i det slutliga beslutet tillämpades sist och slutligen den lägre skalan av de nya sanktionsavgifter som den irländska tillsynsmyndigheten hade förutsett.

60

Det slutliga beslutet utgör en helhet, från vilken det inte går att särskilja de delar som motsvarar anvisningarna i det angripna beslutet, så att det skulle utgöra ett slutligt ”delbeslut” avseende vilket tillsynsmyndigheten inte hade något utrymme för skönsmässig bedömning. Utredningen och den irländska tillsynsmyndighetens slutliga beslut avsåg nämligen huruvida WhatsApp hade iakttagit öppenhetsprincip och alla de konkreta skyldigheter i samband med den som anges i förordning 2016/679. Det är således WhatsApps övergripande praxis i detta hänseende som bedömdes i det slutliga beslutet, och samma aspekt av denna praxis granskades mot bakgrund av flera relevanta bestämmelser i förordning 2016/679, till exempel mot bakgrund av artiklarna 5.1 a och 12.1 och de många bestämmelserna i artikel 13 i förordning 2016/679, medan det angripna beslutet endast innehåller en bedömning mot bakgrund av vissa av dessa bestämmelser. Det är ingen mening i att från den övergripande bedömning som gjordes i det slutliga beslutet särskilja vissa särskilda delar, när det förfarande som inleddes mot WhatsApp på initiativ av den irländska tillsynsmyndigheten och under dess ansvar i egenskap av ansvarig tillsynsmyndighet avsåg en allmän bedömning av huruvida WhatsApp hade iakttagit öppenhetsprincip. Vad särskilt gäller fastställandet av sanktionsavgifterna var det mot bakgrund av samtliga konstaterade åsidosättanden av artiklarna 5.1 a, 12, 13 respektive 14 i förordning 2016/679 som den irländska tillsynsmyndigheten fastställde beloppet av de fyra administrativa sanktionsavgifterna.

61

Inget av de båda villkor som anges i punkt 51 ovan, som om de hade varit uppfyllda skulle ha gjort det möjligt att anse att WhatsApp direkt berörs av det angripna beslutet, är följaktligen uppfyllt.

62

Av det ovan anförda följer att WhatsApps talan inte kan tas upp till prövning.

63

Resultatet av denna bedömning är förenligt med vad som har konstaterats med avseende på andra förfaranden i vilka en bindande unionsrättsakt rörande företag har riktats till en medlemsstat.

64

Inom området kontroll av statligt stöd har det således slagits fast att när kommissionen antar ett beslut om att ett redan beviljat stöd är olagligt och oförenligt med den inre marknaden och förelägger den utbetalande medlemsstaten att återkräva det utbetalda stödet, berörs mottagarna av detta stöd direkt och personligen av detta beslut (se, för ett liknande resonemang, dom av den 19 oktober 2000, Italien och Sardegna Lines/kommissionen, C‑15/98 och C‑105/99, EU:C:2000:570, punkterna 33–36). I detta sammanhang har det påpekats att redan från det ögonblick när ett beslut av detta slag antas är mottagarna föremål för återkrav av de förmåner som de mottagit, och således påverkas deras rättsliga ställning (dom av den 9 juni 2011, Comitato Venezia vuole vivere m.fl./kommissionen, C‑71/09 P, C‑73/09 P och C‑76/09 P, EU:C:2011:368, punkt 56). Detta förklaras av att kontrollförfarandet är avslutat i detta skede, att det inte ska göras någon ytterligare bedömning i sak, eftersom de belopp som ska återkrävas bestäms automatiskt med utgångspunkt i kommissionens beslut och det stöd som redan betalats ut till de berörda företagen, att medlemsstaten utom under väldigt exceptionella omständigheter är skyldig att själv inleda återkravet av stödet och slutföra det (se, för ett liknande resonemang, dom av den 7 juni 1988, kommissionen/Grekland, 63/87, EU:C:1988:285, dom av den 20 september 1990, kommissionen/Tyskland, C‑5/89, EU:C:1990:320, punkterna 15 och 16, och dom av den 20 mars 1997, Alcan Deutschland, C‑24/95, EU:C:1997:163), och att tredje man på basen av kommissionens beslut kan vända sig till den berörda myndigheten eller en nationell domstol och kräva att stödet i fråga ska återbetalas, utan att själv behöva bära bevisbördan för att det beviljade stödet är olagligt (se, analogt, dom av den 12 februari 2008, CELF och Ministre de la Culture et de la Communication, C‑199/06, EU:C:2008:79, punkterna 23 och 39–41). I förevarande fall befinner sig det angripna beslutet inte i ett motsvarande skede, eftersom kontrollförfarandet inte avslutades i och med att beslutet antogs och ytterligare bedömningar avseende huruvida WhatsApp hade iakttagit bestämmelserna i förordning 2016/679 och avseende sanktionsavgifterna ännu skulle bekräftas eller vidtas av den ansvariga tillsynsmyndigheten och det angripna beslutet inte i sig kunde tjäna som en rättsligt bindande grund för att ålägga WhatsApp skyldigheter.

65

Det har även slagits fast att ett beslut av kommissionen som riktades till en medlemsstat, i vilket det angavs att finansiering från unionen till ett företag hade minskats jämfört med det som först hade förutsetts, på grund av att företaget i fråga inte var berättigat till denna finansiering för vissa av de utgifter som företaget hade redovisat, berörde företaget direkt och personligen, eftersom företaget genom beslutet i fråga fråntogs en del av det ekonomiska stöd som det ursprungligen hade beviljats, utan att medlemsstaten hade något utrymme för skönsmässig bedömning i detta hänseende (dom av den 4 juni 1992, Infortec/kommissionen, C‑157/90, EU:C:1992:243, punkt 17). I motsats till det beslut av kommissionen som föranledde denna bedömning utgör det angripna beslutet i förevarande fall emellertid, som det konstateras i punkt 52 ovan, inte det sista skedet i det fullständiga förfarandet i fråga och den irländska tillsynsmyndigheten har, som det konstateras i punkterna 56 och 57 ovan, lämnats ett utrymme för skönsmässig bedömning.

66

Att WhatsApps talan vid tribunalen mot det angripna beslutet inte kan tas upp till prövning är mer allmänt en logisk följd av det system med rättsmedel vid domstol som har inrättats genom EU-fördraget och EUF-fördraget.

67

Som det anges i artikel 2 i EU-fördraget ska unionen bland annat bygga på respekt för rättsstaten. I artikel 6.1 i EU-fördraget anges att unionen ska erkänna de rättigheter, friheter och principer som fastställs i Europeiska unionens stadga om de grundläggande rättigheterna, och i artikel 47 i nämnda stadga garanteras rätten till ett effektivt rättsmedel och rätten att få sin sak prövad införd en opartisk domstol. I artikel 19 i EU-fördraget anges att Europeiska unionens domstol ska säkerställa att lag och rätt följs vid tolkning och tillämpning av fördragen och framför allt, i enlighet med fördragen, ska avgöra ärenden där talan väcks av en medlemsstat, en institution eller fysiska eller juridiska personer och ska meddela förhandsavgöranden när en nationell domstol har begärt förhandsavgörande om tolkningen av unionsrätten eller giltigheten av akter som antagits av institutionerna samt ska besluta i de övriga fall som föreskrivs i fördragen. I samma artikel föreskrivs att medlemsstaterna ska fastställa de möjligheter till överklagande som behövs för att säkerställa ett effektivt domstolsskydd inom de områden som omfattas av unionsrätten.

68

Det har genom EUF-fördraget inrättats ett fullständigt system med rättsmedel som är avsett att säkerställa kontrollen av unionsrättsakters lagenlighet, bland annat genom att det i artikel 263 föreskrivs en möjlighet att väcka direkt talan vid Europeiska unionens domstol och i artikel 267 föreskrivs en möjlighet att begära förhandsavgörande från den, särskilt avseende giltigheten och tolkningen av rättsakter som antagits av unionens institutioner, organ eller byråer (se, för ett liknande resonemang, dom av den 25 juli 2002, Unión de Pequeños Agricultores/rådet, C‑50/00 P, EU:C:2002:462, punkt 40). I detta system deltar såväl Europeiska unionens domstol, där tribunalen ingår, som de nationella domstolarna. Inom detta system har personer, som på grund av de villkor för upptagande till sakprövning som föreskrivs i artikel 263 FEUF, inte direkt kan väcka talan mot unionsrättsakter vid Europeiska unionens domstol, möjlighet att vid en nationell domstol, genom en invändning om rättsstridighet, göra gällande att en sådan rättsakt är ogiltig, genom att vid den väcka talan mot de nationella åtgärderna för genomförande av rättsakten i fråga. I denna situation ankommer det på den nationella domstolen att begära ett förhandsavgörande från Europeiska unionens domstol, om den anser att ett beslut i frågan är nödvändigt för att döma i saken och hyser tvivel om huruvida rättsakten är giltig (se även, för ett liknande resonemang och analogt, dom av den 25 juli 2002, Unión de Pequeños Agricultores/rådet, C‑50/00 P, EU:C:2002:462, punkt 40).

69

Logiken i detta system, som bland annat förklarar tolkningen av de villkor för upptagande till sakprövning av en direkt talan som anges i artikel 263 FEUF, vilken det erinras om i bedömningen i punkterna 35–62 ovan, är att den talan som väckts vid Europeiska unionens domstol och den talan som väckts vid en nationell domstol kompletterar varandra på ett effektivt sätt och att unionsdomstolen och den nationella domstolen, i parallella förfaranden, inte behöver uttala sig samtidigt om giltigheten av en och samma unionsrättsakt, oavsett om detta sker direkt eller, när det är en nationell domstol som vill få klarhet i den aktuella rättsaktens giltighet, efter det att en fråga hänskjutits till EU-domstolen. Denna logik motiverar bland annat att en sökande som utan tvekan hade kunnat väcka talan mot ett unionsbeslut direkt vid Europeiska unionens domstol inte senare kan ifrågasätta beslutets giltighet inom ramen för ett efterföljande förfarande vid en nationell domstol (se, för ett liknande resonemang, dom av den 9 mars 1994, TWD Textilwerke Deggendorf, C‑188/92, EU:C:1994:90, punkt 17; se även, för ett liknande resonemang, dom av den 9 juni 2011, Comitato Venezia vuole vivere m.fl./kommissionen, C‑71/09 P, C‑73/09 P och C‑76/09 P, EU:C:2011:368, punkt 58 och där angiven rättspraxis). Omvänt framgår av fast rättspraxis att rättsstridigheten hos en unionsrättsakt mot vilken talan inte kan väckas och som tjänar som grund för en annan rättsakt kan åberopas i en talan mot denna andra rättsakt (dom av den 11 november 1981, IBM/kommissionen, 60/81, EU:C:1981:264, punkt 12 och e contrario ovan angiven rättspraxis).

70

Om det i förevarande fall skulle medges att WhatsApps talan mot det angripna beslutet kan tas upp till prövning, skulle det leda till att två i hög grad överlappande domstolsförfaranden skulle pågå parallellt, det ena vid tribunalen mot det angripna beslutet, det andra vid en irländsk domstol mot det slutliga beslutet, vilket delvis grundar sig på det angripna beslutet. WhatsApp har för övrigt hänvisat till den arbetsbörda som det parallella förfarandet vid den irländska domstolen medför, i syfte att beviljas en frist för ingivandet av repliken till tribunalen. Om inte en av de båda domstolarna skulle vilandeförklara det förfarande som inletts vid den, vilket kunde medföra att det krävdes längre tid för att nå en slutlig lösning av frågan om det slutliga beslutets lagenlighet, skulle dessa parallella förfaranden till och med kunna leda till en situation där EU-domstolen, till följd av en begäran om förhandsavgörande, och tribunalen, till följd av WhatsApps direkta talan, samtidigt skulle anmodas att avgöra frågan om det angripna beslutets giltighet. Med beaktande av det system med rättsmedel som det hänvisas till i punkterna 68 och 69 ovan och med beaktande av bestämmelserna i artikel 78 i förordning 2016/679 rörande rätten till ett effektivt rättsmedel inför domstol mot en tillsynsmyndighet, ankommer det på den irländska domstol vid vilken målet har anhängiggjorts, vilken ensam är behörig i detta hänseende, att vid behov kontrollera huruvida det slutliga beslut som kan göras gällande mot WhatsApp är lagenligt, genom att begära ett förhandsavgörande av Europeiska unionens domstol avseende det angripna beslutets giltighet, om den anser att detta är nödvändigt för att avgöra tvisten mellan WhatsApp och den irländska tillsynsmyndigheten. Den irländska domstol som prövar målet kan avgöra den tvist som är anhängig vid den antingen genom att, utan att vända sig till EU-domstolen, ogilla den invändning om rättsstridighet som kan framställas vid den mot det angripna beslutet, om den inte hyser tvivel om detta besluts giltighet, eller tvärtom vända sig till EU-domstolen, om den hyser sådana tvivel, eller också kan den avgöra tvisten oberoende av frågan om det angripna beslutets giltighet, med beaktande av de grunder som anförts vid den. Denna lösning är förenlig med en god rättsskipning, med beaktande av de risker som parallella domstolsförfaranden av det slag som nämns i inledningen av denna punkt skulle innebära.

71

Slutligen, vad gäller skäl 143 i förordning 2016/679, som citeras i punkt 33 ovan och som skulle kunna föranleda slutsatsen att den talan som WhatsApp har väckt vid tribunalen kan tas upp till prövning, ska det påpekas att skälen i en förordning visserligen kan tjäna som tolkningsdata för en rättsregel, men inte i sig kan utgöra en sådan regel, och att ingressen till en unionsrättsakt inte är juridiskt bindande (se dom av den 26 oktober 2017, Marine Harvest/kommissionen, T‑704/14, EU:T:2017:753, punkt 150 och där angiven rättspraxis; se även, för ett liknande resonemang, dom av den 24 november 2005, Deutsches Milch-Kontor, C‑136/04, EU:C:2005:716, punkt 32 och där angiven rättspraxis). I förevarande fall utgör det nämnda skälet inte stöd för någon bestämmelse i förordning 2016/679, som det har påpekats i punkterna 32 och 35 ovan. En förklaring som anges i skälen i en förordning kan dessutom inte ha företräde framför tillämpliga primärrättsliga regler som anges i fördragen, i förevarande fall reglerna i artikel 263 första och fjärde styckena FEUF, vilkas innehåll för övrigt delvis återges i det nämnda skälet, eftersom det i dess första mening anges att ”[v]arje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid domstolen enligt de villkor som föreskrivs i [artikel 263 FEUF]”.

72

Av det ovan anförda följer att talan ska avvisas.

73

Enligt artikel 142.2 i rättegångsreglerna är interventionen accessorisk till huvudtvisten, och ändamålet med interventionen förfaller bland annat om talan avvisas.

74

Det finns följaktligen inte längre någon anledning att pröva interventionsansökningarna och inte heller de ansökningar om konfidentiell behandling av vissa uppgifter i ärendehandlingarna som har föranletts av dem.

75

Enligt artikel 134.1 i rättegångsreglerna ska tappande part förpliktas att ersätta rättegångskostnaderna, om detta har yrkats. EDPB har yrkat att WhatsApp ska förpliktas att ersätta rättegångskostnaderna. Eftersom WhatsApp har tappat målet, ska EDPB:s yrkande bifallas, med förbehåll för vad som anges i punkt 76 nedan.

76

Enligt artikel 144.10 i rättegångsreglerna ska interventionssökandena och parterna bära sina rättegångskostnader i den mån de hänför sig till interventionsansökan, om målet avgörs slutligt innan interventionsansökningarna har prövats. I förevarande fall ska WhatsApp, EDPB, Republiken Finland, kommissionen, Europeiska datatillsynsmannen och Computer & Communication Industry Association bära sina rättegångskostnader för interventionsansökningarna.

Mot denna bakgrund beslutar

TRIBUNALEN (fjärde avdelningen i utökad sammansättning)

följande: