T-70/23
WyrokTSUE2025-01-29CELEX: 62023TJ0070ECLI:EU:T:2025:116
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Europejska Rada Ochrony Danych (EROD) ma kompetencję, na podstawie art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679, do zobowiązania wiodącego organu nadzorczego do rozszerzenia zakresu postępowania wyjaśniającego i opracowania uzupełniającego projektu decyzji?Ratio decidendi
Sąd uznał, że EROD ma kompetencję do nakazania wiodącemu organowi nadzorczemu rozszerzenia zakresu postępowania wyjaśniającego i przedstawienia nowego projektu decyzji. Wykładnia literalna, kontekstowa i celowościowa art. 65 ust. 1 lit. a) w związku z art. 4 pkt 24 rozporządzenia 2016/679 wskazuje, że "mający znaczenie dla sprawy i uzasadniony sprzeciw" może dotyczyć braku lub niewystarczającego charakteru oceny danego aspektu sprawy w projekcie decyzji. W konsekwencji, wiążąca decyzja EROD może zawierać nakaz uzupełnienia tego braku, w tym pogłębienia lub rozszerzenia postępowania wyjaśniającego. Sąd podkreślił, że zakres postępowania wyjaśniającego należy do meritum sprawy, a nie jedynie do kwestii proceduralnych, i że mechanizm współpracy i spójności ma na celu zapewnienie spójnego stosowania RODO i ochrony praw podstawowych.Stan faktyczny
Data Protection Commission (DPC), irlandzki organ nadzorczy, wydał projekty decyzji dotyczące przetwarzania danych przez sieci społecznościowe Facebook i Instagram oraz komunikator WhatsApp. Inne organy nadzorcze zgłosiły sprzeciwy wobec tych projektów. Ponieważ nie osiągnięto konsensusu, DPC zwróciła się do Europejskiej Rady Ochrony Danych (EROD) w ramach mechanizmu spójności. EROD wydała wiążące decyzje, w których uznała większość sprzeciwów za mające znaczenie i uzasadnione, a także zobowiązała DPC do przeprowadzenia nowych postępowań wyjaśniających i opracowania uzupełniających projektów decyzji.Rozstrzygnięcie
1) Skargi w sprawach T‑70/23, T‑84/23 i T‑111/23 zostają oddalone.
2) Data Protection Commission zostaje obciążona kosztami postępowania.Pełny tekst orzeczenia
WYROK SĄDU (dziesiąta izba w składzie powiększonym)
z dnia 29 stycznia 2025 r. (
*1
)
Ochrona danych osobowych – Artykuł 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679 – Wiążąca decyzja nakazująca wiodącemu organowi nadzorczemu rozszerzenie zakresu postępowania wyjaśniającego i opracowanie uzupełniającego projektu decyzji – Kompetencja Europejskiej Rady Ochrony Danych
W sprawach połączonych T‑70/23, T‑84/23 i T‑111/23
Data Protection Commission, z siedzibą w Dublinie (Irlandia), którą reprezentowali D. Young, A. Bateman, R. Minch, M. Delargy, K. Donnelly, solicitors, B. Kennelly, SC, D. Fennelly, E. Synnott i R. Costello, barristers,
strona skarżąca,
przeciwko
Europejskiej Radzie Ochrony Danych, którą reprezentowały I. Vereecken, C. Foglia i M. Gufflet, w charakterze pełnomocników, które wspierali G. Ryelandt, E. de Lophem i P. Vernet, adwokaci,
strona pozwana,
SĄD (dziesiąta izba w składzie powiększonym),
w składzie: O. Porchia, prezes, M. Jaeger, L. Madise (sprawozdawca), P. Nihoul i S. Verschuur, sędziowie,
sekretarz: M. Zwozdziak-Carbonne, administratorka,
uwzględniając pisemny etap postępowania,
po przeprowadzeniu rozprawy w dniu 16 kwietnia 2024 r.,
wydaje następujący
Wyrok ( )
W skargach opartych na art. 263 TFUE skarżąca, Data Protection Commission, irlandzki organ nadzorczy w dziedzinie ochrony danych osobowych, wnosi o stwierdzenie częściowej nieważności wiążących decyzji 3/2022, 4/2022 i 5/2022 Europejskiej Rady Ochrony Danych (zwanej dalej „EROD”) z dnia 5 grudnia 2022 r. dotyczących sporów między organami nadzorczymi, których sprawa dotyczy, wynikających z projektów decyzji skarżącej dotyczących, odpowiednio, sieci społecznościowej Facebook, sieci społecznościowej Instagram i komunikatora WhatsApp, w zakresie, w jakim te wiążące decyzje zobowiązują skarżącą do przeprowadzenia nowych postępowań wyjaśniających w sprawie przetwarzania danych związanego z używaniem tych aplikacji oraz do opracowania na tej podstawie uzupełniających projektów decyzji.
Okoliczności faktyczne i przebieg postępowania
[…]
Po wymianie korespondencji z innymi organami nadzorczymi, których sprawa dotyczy, skarżąca stwierdziła, że nie osiągnięto konsensusu co do sprzeciwów zgłoszonych wobec jej projektów decyzji, i zwróciła się do EROD w ramach mechanizmu spójności ustanowionego w rozporządzeniu 2016/679, zgodnie z jego art. 60 ust. 4.
Po zbadaniu trzech dokumentacji EROD w dniu 5 grudnia 2022 r. na podstawie art. 65 ust. 1 lit. a) rozporządzenia 2016/679 wydała wiążące decyzje 3/2022, 4/2022 i 5/2022. W tych trzech wiążących decyzjach EROD przede wszystkim uznała, że większość sprzeciwów zgłoszonych wobec projektów decyzji skarżącej to sprzeciwy mające znaczenie dla sprawy i uzasadnione w rozumieniu art. 4 pkt 24 rozporządzenia 2016/679 oraz że może zająć stanowisko w przedmiocie podniesionych kwestii. W tym względzie EROD zatwierdziła co do meritum szereg tych sprzeciwów uznanych przez nią za mające znaczenie dla sprawy i uzasadnione.
[…]
Żądania stron
Strona skarżąca wnosi do Sądu o:
–
w sprawie T‑70/23 – stwierdzenie nieważności zdania drugiego w pkt 198 i 487 wiążącej decyzji EROD nr 3/2022;
–
w sprawie T‑84/23 – stwierdzenie nieważności zdania drugiego w pkt 203 i 454 wiążącej decyzji EROD nr 4/2022;
–
w sprawie T‑111/23 – stwierdzenie nieważności pkt 222 i 326.8 wiążącej decyzji EROD nr 5/2022;
–
we wszystkich trzech sprawach – obciążenie EROD poniesionymi przez nią kosztami.
EROD we wszystkich trzech sprawach wnosi do Sądu o:
–
oddalenie skargi;
–
tytułem żądania ewentualnego – ograniczenie stwierdzenia nieważności zaskarżonych decyzji do ich części mających znaczenie dla sprawy;
–
obciążenie skarżącej kosztami postępowania.
Co do prawa
Skarżąca podnosi we wszystkich trzech sprawach jedyny zarzut dotyczący tego, że EROD przekroczyła kompetencje przyznane jej w art. 65 ust. 1 lit. a) rozporządzenia 2016/679, zobowiązując skarżącą w każdej z rozpatrywanych wiążących decyzji, po pierwsze, do przeprowadzenia nowego postępowania wyjaśniającego w kwestiach, które nie zostały jeszcze zbadane, a po drugie, do przedstawienia uzupełniającego projektu decyzji, zgodnie z art. 60 ust. 3 tego rozporządzenia, na podstawie wyników tego nowego postępowania.
[…]
W przedmiocie jedynego zarzutu, dotyczącego braku kompetencji EROD do przyjęcia zaskarżonych przepisów
[…]
Po przedstawieniu tych wyjaśnień należy przypomnieć, że z utrwalonego orzecznictwa wynika, iż co do zasady przy dokonywaniu wykładni przepisu prawa Unii należy uwzględniać nie tylko jego brzmienie, lecz także jego kontekst oraz cele regulacji, której część ten przepis stanowi (zob. podobnie wyrok z dnia 29 listopada 2018 r., Mensing, C‑264/17, EU:C:2018:968, pkt 24 i przytoczone tam orzecznictwo). W niniejszym przypadku niektóre argumenty skarżącej wynikają również z rozważań lub zasad wykraczających poza samo rozporządzenie 2016/679. Sąd rozstrzygnie zatem w przedmiocie zakresu kompetencji EROD na podstawie art. 65 ust. 1 lit. a) rozporządzenia 2016/679, badając w razie potrzeby najpierw argumenty skarżącej przedstawione w ramach literalnej, kontekstowej, celowościowej i historycznej analizy tego rozporządzenia, a następnie argumenty dotyczące przesłanek przyznania kompetencji organowi Unii, cech kontroli sądowej przeprowadzanej na szczeblu krajowym oraz niezależności organów nadzorczych odpowiedzialnych za ochronę danych osobowych.
W sprawie argumentów dotyczących zakresu kompetencji EROD na podstawie art. 65 ust. 1 lit. a) rozporządzenia 2016/679 przedstawionych w ramach literalnej, kontekstowej, teleologicznej i historycznej analizy tego rozporządzenia
Skarżąca powołuje się na brzmienie art. 65 ust. 1 lit. a), art. 65 ust. 6 oraz art. 4 pkt 24 rozporządzenia 2016/679 na poparcie twierdzenia, że EROD nie ma kompetencji, aby nakazać wiodącemu organowi nadzorczemu, w wiążącej decyzji przyjętej na podstawie pierwszego z tych przepisów, rozszerzenie zakresu postępowania wyjaśniającego i przedstawienie nowego projektu decyzji w celu wyciągnięcia wniosków z tego uzupełniającego postępowania. Przywołuje ona również motywy 126 i 136 tego rozporządzenia.
Artykuł 65 ust. 1 lit. a) rozporządzenia 2016/679 stanowi:
„Aby w poszczególnych sytuacjach zapewnić właściwe i spójne stosowanie niniejszego rozporządzenia, [EROD] przyjmuje […] wiążące decyzje […] jeżeli […] organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy nie przychylił się do tego sprzeciwu lub odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony. Wiążąca decyzja dotyczy wszystkich spraw, które są przedmiotem mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, w szczególności dotyczy tego, czy doszło do naruszenia niniejszego rozporządzenia”.
Artykuł 4 pkt 24 rozporządzenia 2016/679 definiuje mający znaczenie dla sprawy i uzasadniony sprzeciw jako:
„sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia lub czy planowane działanie wobec administratora lub podmiotu przetwarzającego jest zgodne z niniejszym rozporządzeniem, który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma to zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii”.
Artykuł 65 ust. 6 rozporządzenia 2016/679 stanowi, co następuje:
„Bez zbędnej zwłoki i najpóźniej w terminie miesiąca po notyfikowaniu przez [EROD] swojej decyzji wiodący organ nadzorczy lub w stosownym przypadku organ nadzorczy, do którego wniesiono skargę, przyjmuje ostateczną decyzję na podstawie decyzji, o której mowa w ust. 1 niniejszego artykułu […]. Ostateczna decyzja organów nadzorczych, których sprawa dotyczy, zostaje przyjęta w trybie art. 60 ust. 7, 8 i 9. Ostateczna decyzja zawiera informacje o decyzji, o której mowa w ust. 1 niniejszego artykułu, i wskazuje, że decyzja, o której mowa w tym ustępie, zostanie opublikowana na stronie internetowej [EROD] zgodnie z ust. 5 niniejszego artykułu. Do ostatecznej decyzji załączona zostaje decyzja, o której mowa w ust. 1 niniejszego artykułu”.
Zdaniem skarżącej trzy przepisy przytoczone w pkt 31–33 powyżej ograniczają zakres wiążącej decyzji EROD przyjętej na podstawie art. 65 ust. 1 lit. a) rozporządzenia 2016/679 do zakresu ocen dokonanych w projekcie decyzji wiodącego organu nadzorczego przekazanym innym organom nadzorczym, których sprawa dotyczy. Jej zdaniem taka wiążąca decyzja może bowiem jedynie stanowić odpowiedź na mający znaczenie dla sprawy i uzasadniony sprzeciw, który powinien dotyczyć treści projektu decyzji, nie zaś tego, co nie jest w nim zawarte. Według niej skutek prawny wiążącej decyzji ogranicza się do zmian, które zgodnie z art. 65 ust. 6 owego rozporządzenia właściwy organ nadzorczy powinien wprowadzić, w terminie jednego miesiąca od jej notyfikowania, w ostatecznej decyzji w stosunku do projektu decyzji. Wiążąca decyzja może zatem jej zdaniem dotyczyć jedynie prawidłowej wykładni rozporządzenia 2016/679 w stosunku do tego, co jest zawarte w projekcie decyzji wiodącego organu nadzorczego, a przedmiotowe przepisy nie przyznają EROD żadnych uprawnień do wydawania temu organowi instrukcji dotyczących innej kwestii, na przykład w celu zobowiązania go do przeprowadzenia postępowania wyjaśniającego lub przedłożenia nowego projektu decyzji.
Taka wykładnia jest jednak zawężająca w świetle brzmienia przepisów przytoczonych w pkt 31–33 powyżej. Należy bowiem przypomnieć, że art. 4 pkt 24 rozporządzenia 2016/679 włącza do pojęcia „mającego znaczenie dla sprawy i uzasadnionego sprzeciwu”„sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia […], który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą”. O ile zaś art. 65 ust. 1 lit. a) rozporządzenia 2016/679 przewiduje, że wiążąca decyzja wydana na jego podstawie „dotyczy wszystkich spraw, które są przedmiotem mającego znaczenie dla sprawy i uzasadnionego sprzeciwu”, o tyle nic nie stoi na przeszkodzie, aby taki sprzeciw dotyczył braku w projekcie decyzji wiodącego organu nadzorczego oceny danego aspektu sprawy lub niewystarczającego charakteru tej oceny, uniemożliwiających ustalenie, czy doszło do naruszenia tego rozporządzenia w tej kwestii. Wbrew temu, co twierdzi skarżąca, wyrażenie „sprzeciw wobec projektu decyzji” nie ogranicza się do sprzeciwu wobec rozważań zawartych w projekcie decyzji. W konsekwencji, ponieważ wiążąca decyzja EROD powinna dotyczyć wszystkich kwestii będących przedmiotem mających znaczenie dla sprawy i uzasadnionych sprzeciwów, nic nie stoi na przeszkodzie, aby w przypadku gdy EROD przychyla się do mającego znaczenie dla sprawy i uzasadnionego sprzeciwu dotyczącego tego rodzaju braku lub niewystarczającego charakteru, decyzja ta zawierała nakaz uzupełnienia przez wiodący organ nadzorczy tego braku oceny oraz, jeżeli okaże się to konieczne w świetle akt sprawy będących w posiadaniu EROD, pogłębienia lub rozszerzenia w tym celu przeprowadzonego do tej pory postępowania wyjaśniającego. Jeżeli bowiem okazuje się, że akta sprawy są niewystarczające do przeprowadzenia pełnej wymaganej oceny, musi to prowadzić do tego, że EROD może nakazać wiodącemu organowi nadzorczemu uzupełnienie postępowania wyjaśniającego.
Należy również stwierdzić, że brzmienie trzech przepisów przytoczonych w pkt 31–33 powyżej, rozpatrywanych łącznie, nie ogranicza zakresu wiążącej decyzji jedynie do natychmiastowych zmian w projekcie decyzji przedłożonym przez wiodący organ nadzorczy w celu przyjęcia ostatecznej decyzji na warunkach określonych w art. 65 ust. 6 rozporządzenia 2016/679, to znaczy jedynie do zmian dotyczących treści projektu decyzji, a nie tego, co nie jest w nim zawarte. W tym względzie, wbrew temu, co twierdzi skarżąca, ten ostatni przepis ma na celu jedynie doprecyzowanie zasad przyjmowania ostatecznej decyzji, jeżeli może ono nastąpić od razu po wiążącej decyzji EROD, w szczególności gdy nie ma potrzeby wznowienia postępowania wyjaśniającego lub szerszej bądź pogłębionej oceny niektórych kwestii w danej sprawie. Nie stanowi on przepisu dotyczącego możliwej treści wiążącej decyzji, określonej przez podstawę prawną, w oparciu o którą decyzja ta została przyjęta, w niniejszym przypadku art. 65 ust. 1 lit. a) rozporządzenia 2016/679, który należy interpretować w związku z art. 4 pkt 24 tego rozporządzenia w odniesieniu do definicji pojęcia „mającego znaczenie dla sprawy i uzasadnionego sprzeciwu”. Należy podkreślić w tym względzie, że art. 65 ust. 1 rozporządzenia 2016/679 przewiduje różne rodzaje wiążących decyzji EROD, niekoniecznie oznaczające natychmiastowe wydanie ostatecznej decyzji organu nadzorczego.
[…]
Literalnej analizy trzech przytoczonych w pkt 31–33 powyżej przepisów przeprowadzonej w pkt 35 i 36 powyżej nie może podważyć brzmienie motywów 126 i 136 rozporządzenia 2016/679, wbrew temu, co twierdzi skarżąca. W istocie w pierwszym z tych motywów prawodawca – wskazując, że „[d]ecyzja powinna być uzgadniana wspólnie przez wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy” – w żaden sposób nie wyłącza kwestii zakresu oceny, jaką taka decyzja powinna obejmować w konkretnym przypadku, z oceny dokonywanej przez organy nadzorcze, których sprawa dotyczy, inne niż wiodący organ nadzorczy, a wręcz przeciwnie, jako że „decyzja” przejawia się nie tylko w ocenach w niej zawartych, lecz również w zakresie objętych nią kwestii. W związku z tym jeżeli organy nadzorcze, których sprawa dotyczy, nie osiągną porozumienia w tej kwestii i zostanie ona skierowana do EROD, brzmienie tego motywu nie wyklucza tego, że EROD może nakazać rozszerzenie oceny oraz, w razie potrzeby, postępowania wyjaśniającego. Również motyw 136 rozporządzenia 2016/679 wskazuje, że EROD „powinna wydawać […] prawnie wiążące decyzje w jasno określonych przypadkach, gdy wśród organów nadzorczych panują sprzeczne opinie – w szczególności w ramach mechanizmu współpracy między wiodącym organem nadzorczym a organami nadzorczymi, których sprawa dotyczy – co do meritum sprawy, w szczególności tego, czy doszło do naruszenia niniejszego rozporządzenia”. Wbrew temu, co twierdzi skarżąca, zakres postępowania wyjaśniającego nie stanowi kwestii proceduralnej, lecz należy do meritum sprawy, ponieważ określa on zakres tego, co należy zbadać w celu dokonania oceny, czy rozpatrywane przetwarzanie danych jest zgodne z rozporządzeniem 2016/679.
W tym kontekście można już teraz oddalić inny argument skarżącej, zgodnie z którym wykładnia pojęcia „mającego znaczenie dla sprawy i uzasadnionego sprzeciwu” przyjęta w pkt 35 powyżej dawałaby EROD możliwość skierowania do wiodącego organu nadzorczego nakazów dotyczących ogółu uprawnień przysługujących temu organowi pod wyłącznym warunkiem, że kwestia podniesiona przez organ nadzorczy, którego sprawa dotyczy, zostanie uznana za mający znaczenie dla sprawy i uzasadniony sprzeciw w takim rozumieniu. Jak wskazano w art. 4 pkt 24 rozporządzenia 2016/679, mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego może dotyczyć jedynie kwestii odnoszącej się do tego, czy owo rozporządzenie jest przestrzegane lub czy środki naprawcze przewidziane wobec administratora lub podmiotu przetwarzającego są z nim zgodne. Taki sprzeciw może zatem dotyczyć wyłącznie meritum sprawy i ostatecznych uprawnień decyzyjnych wiodącego organu nadzorczego, w szczególności przewidzianych w art. 58 ust. 2 tego rozporządzenia, które również dotyczą meritum sprawy. W konsekwencji taki sprzeciw nie może dotyczyć samego prowadzenia postępowania wyjaśniającego (w odróżnieniu od zakresu postępowania wyjaśniającego), które opiera się na przysługujących organom nadzorczym uprawnieniach w zakresie prowadzenia postępowania wyjaśniającego, o których mowa w art. 58 ust. 1 rozporządzenia 2016/679.
Literalna analiza art. 65 ust. 1 lit. a) rozporządzenia 2016/679, dokonana z uwzględnieniem brzmienia art. 4 pkt 24, art. 65 ust. 6 oraz motywów 126 i 136 tego rozporządzenia, przemawia zatem za kompetencją EROD do przyjęcia przepisów, takich jak zaskarżone przepisy, nakazujących skarżącej przeprowadzenie nowego postępowania wyjaśniającego w przedmiocie niektórych kwestii rozpatrywanych spraw, a następnie przyjęcie w tym względzie nowych projektów decyzji. Należy zbadać, czy argumenty skarżącej podniesione w ramach jej wykładni kontekstowej i celowościowej rozporządzenia 2016/679 są w stanie podważyć wyniki tej pierwszej analizy.
[…]
W tym względzie, wbrew temu, co twierdzi skarżąca, procedura współpracy między organami nadzorczymi, których dana sprawa dotyczy, opisana w art. 60 rozporządzenia 2016/679, mogąca obejmować uruchomienie mechanizmu spójności zapewnianego przez EROD, o którym mowa w ust. 4, nie jest procedurą „jednokierunkową”, w ramach której etapy zawsze następują po sobie w kolejności przepisów je przewidujących, bez możliwości powrotu do poprzedniego etapu lub tymczasowego pozostania na tym samym etapie. Tak więc na przykład w oparciu o przedstawioną przez skarżącą sytuację przewidzianą w ust. 5, w której wiodący organ nadzorczy zamierzał sam przychylić się do sprzeciwów innych organów nadzorczych, których sprawa dotyczy, zgłoszonych wobec projektu decyzji przedłożonego na podstawie ust. 3 i w której przedstawił on tym organom zmieniony projekt decyzji, procedura może ewoluować na wiele sposobów. Jeżeli organy te nie zgłoszą sprzeciwu wobec zmienionego projektu, ostateczną decyzję lub ostateczne decyzje przyjmuje się bezpośrednio zgodnie z ust. 6–9. W przeciwnym razie, a mianowicie w przypadku wystąpienia sprzeciwów wobec zmienionego projektu, jeżeli wiodący organ nadzorczy zaakceptuje je w całości lub w części, etap, o którym mowa w ust. 5, zostaje przedłużony, przy czym wiodący organ nadzorczy musi przedstawić nowy zmieniony projekt uwzględniający zaakceptowane przez niego sprzeciwy. Jeżeli wiodący organ nadzorczy nie zaakceptuje całości lub części sprzeciwów do zmienionego projektu, powinien zgodnie z ust. 4 uruchomić mechanizm spójności, zwracając się do EROD na podstawie najbardziej dopracowanego zmienionego projektu decyzji.
W swojej odpowiedzi na skargę EROD przedstawia inny przykład ilustrujący, że przewidziana w art. 60 rozporządzenia 2016/679 procedura współpracy między organami nadzorczymi, których sprawa dotyczy, niekoniecznie jest „jednokierunkowa”. W następstwie sprzeciwów innych organów nadzorczych, których sprawa dotyczy, zgłoszonych wobec projektu decyzji przedstawionego na podstawie ust. 3 tego artykułu, wiodący organ nadzorczy może sam uznać, że zamiast przedkładać od razu zmieniony projekt decyzji lub uruchamiać mechanizm spójności, należy cofnąć się i pogłębić procedurę sprawdzającą przed przedstawieniem nowego projektu decyzji na podstawie tego samego ust. 3. EROD wskazuje, że francuski organ nadzorczy postąpił w ten sposób w pewnej sprawie.
Podobnie w przypadku interwencji EROD na podstawie ust. 4 tego artykułu i wydania wiążącej decyzji możliwych jest kilka przypadków. Jeżeli wszystkie kwestie mające znaczenie dla sprawy zostały w wystarczającym stopniu uwzględnione w projekcie decyzji wiodącego organu nadzorczego, organ ten lub, w stosownych przypadkach, organ nadzorczy, do którego wniesiono skargę, może przyjąć, zgodnie z ust. 6–9 tego artykułu, ostateczną decyzję lub ostateczne decyzje zamykające sprawę, uwzględniając w szczególności wiążącą decyzję EROD. Jeżeli natomiast w wiążącej decyzji EROD, w następstwie zgłoszonych w tym względzie sprzeciwów, zostanie stwierdzone, że projekt decyzji wiodącego organu nadzorczego nie zajmuje się w wystarczającym stopniu wszystkimi kwestiami mającymi znaczenie dla sprawy i – w stosownym wypadku – konieczne jest wznowienie postępowania, wówczas wiodący organ nadzorczy lub organ nadzorczy, do którego wniesiono skargę, mogą ewentualnie podjąć częściową ostateczną decyzję lub decyzje, zgodnie z wyżej wymienionymi przepisami, ale wiodący organ nadzorczy musi jednocześnie uzupełnić swoją ocenę, po przeprowadzeniu w stosownych przypadkach nowego postępowania wyjaśniającego, w celu przedstawienia innym organom nadzorczym, których sprawa dotyczy, uzupełniającego projektu decyzji, zgodnie z ust. 3 tegoż artykułu.
Skarżąca podnosi w ramach wykładni kontekstowej drugi argument, zgodnie z którym w świetle motywu 141 rozporządzenia 2016/679 art. 57 ust. 1 lit. f) tego rozporządzenia, wskazujący, że organ nadzorczy rozpatruje skargi i w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg, świadczy o tym, że zakres postępowania wyjaśniającego, jakie należy przeprowadzić w następstwie skargi, należy do oceny krajowych organów nadzorczych, z zastrzeżeniem – wyłącznie – krajowej kontroli sądowej.
W motywie 141 rozporządzenia 2016/679 wskazano, co następuje:
„Każda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do jednego organu nadzorczego oraz prawo do skutecznego środka ochrony prawnej przed sądem […] jeżeli uzna, że jej prawa wynikające z niniejszego rozporządzenia są naruszane, lub jeżeli organ nadzorczy nie reaguje na skargę, częściowo lub w całości ją odrzuca lub oddala lub nie podejmuje działania, choć jest to niezbędne do ochrony praw tej osoby. Postępowanie wyjaśniające na podstawie skargi powinno być prowadzone – z zastrzeżeniem kontroli sądowej – w zakresie odpowiadającym konkretnej sprawie […]”.
Artykuł 57 ust. 1 lit. f) rozporządzenia 2016/679 i rozważania przedstawione przez skarżącą nie prowadzą jednak do wyłączenia kwestii odpowiedniego charakteru postępowania wyjaśniającego z mechanizmu współpracy między organami nadzorczymi, których sprawa dotyczy, i z mechanizmu spójności stosowanego przez EROD.
Artykuł 57 rozporządzenia 2016/679, który dotyczy wszystkich zadań organów nadzorczych, w ust. 1 lit. a) jako pierwsze zadanie przewiduje bowiem monitorowanie i egzekwowanie stosowania tego rozporządzenia. Zatem wbrew temu, co w istocie podniosła skarżąca na rozprawie, ocena warunków, w jakich odbywa się przetwarzanie danych osobowych, i zgodności tego przetwarzania z tym rozporządzeniem nie powinna ograniczać się do tego, co wskazał w skardze podmiot ją składający.
Przede wszystkim zapewnienie pełnej realizacji zadań przewidzianych w art. 57 ust. 1 lit. a) i f) rozporządzenia 2016/679, polegających na monitorowaniu i egzekwowaniu stosowania tego rozporządzenia oraz na rozpatrywaniu skarg w niezbędnym zakresie, wymaga przyjęcia odpowiedniego zakresu oceny akt w odniesieniu do skargi, która zapoczątkowała leżącą u ich podstaw sprawę, ale również w świetle innych elementów, które mogą ją uzupełniać. Ocena ta powinna prowadzić – jako że rozpatrywane przetwarzanie danych osobowych ma charakter transgraniczny – do przyjęcia decyzji będących przedmiotem procedury współpracy przewidzianej w art. 60 tego rozporządzenia. W ramach tej procedury kryterium, jakie należy spełnić, aby dana sprawa mogła być przedmiotem wiążącej decyzji EROD przyjętej na podstawie art. 65 ust. 1 lit. a) wspomnianego rozporządzenia, stanowi to, by była ona przedmiotem mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, zdefiniowanego w art. 4 pkt 24 tego rozporządzenia. Tymczasem mający znaczenie dla sprawy i uzasadniony sprzeciw, zgodnie ze swoją definicją, dotyczy kwestii, których ocena wchodzi w zakres dwóch wyżej wymienionych zadań. W konsekwencji okoliczność, że istotny i uzasadniony sprzeciw dotyczy zakresu oceny i, w stosownych przypadkach, zakresu postępowania wyjaśniającego oraz że EROD na niego reaguje, w żaden sposób nie zagraża tym zadaniom. Ponadto okoliczność, że decyzje pośrednie organów nadzorczych wydane w następstwie skargi mogą być przedmiotem odwołania do sądów krajowych, nie stoi na przeszkodzie temu, by projekt decyzji wiodącego organu nadzorczego mógł ze swej strony być przedmiotem – w granicach materialnych wyznaczonych mechanizmowi spójności ustanowionemu w rozporządzeniu 2016/679 – kontroli ze strony EROD.
Argumenty skarżącej przedstawione w ramach wykładni kontekstowej nie pozwalają zatem na poparcie jej stanowiska w przedmiocie braku kompetencji EROD do przyjęcia zaskarżonych przepisów.
Przeciwnie, ogólny kontekst obowiązku współpracy między organami nadzorczymi, których sprawa dotyczy, ustanowionego w rozporządzeniu 2016/679, potwierdza kompetencję EROD w tym zakresie. Artykuł 60 ust. 1 tego rozporządzenia stanowi bowiem w szczególności, że „[w]iodący organ nadzorczy współpracuje z innymi organami nadzorczymi, których sprawa dotyczy, zgodnie z niniejszym artykułem, w celu osiągnięcia porozumienia”. W art. 60 ust. 3 tego rozporządzenia uściślono, że „[w]iodący o organ nadzorczy niezwłocznie przekazuje innym organom nadzorczym, których sprawa dotyczy, stosowne informacje dotyczące danej sprawy” i że „[n]iezwłocznie przedkłada [im] projekt decyzji w celu uzyskania ich opinii i należytego uwzględnienia ich uwag”.
Wynika z tego, że współpraca między organami nadzorczymi, których sprawa dotyczy, odnosi się w szczególności do oceny sprawy jako całości i do opracowania decyzji oraz że wiodący organ nadzorczy powinien dążyć do uzyskania zgody innych organów nadzorczych, których sprawa dotyczy. Nic we wspomnianych przepisach nie pozwala na wyłączenie z tego obowiązku współpracy kwestii zakresu oceny, jaką należy przeprowadzić, ani w stosownym wypadku kwestii zakresu wstępnego postępowania wyjaśniającego, które należy przeprowadzić. W wyroku z dnia 15 czerwca 2021 r., Facebook Ireland i in. (C‑645/19, EU:C:2021:483, pkt 63, 64) Trybunał przypomniał o niezbędnym charakterze dialogu i lojalnej i skutecznej współpracy między organami nadzorczymi, których sprawa dotyczy.
Z pkt 41–53 powyżej wynika, że badanie kontekstu wynikającego z przepisów rozporządzenia 2016/679 potwierdza dokonaną wcześniej literalną analizę.
W ramach wykładni celowościowej skarżąca podnosi przede wszystkim, że przyznanie EROD uprawnienia do nakazania wiodącemu organowi nadzorczemu opracowania projektu decyzji uzupełniającej i uprzedniego rozszerzenia w tym celu zakresu prowadzonego przez niego postępowania wyjaśniającego jest niezgodne z celami mechanizmu „kompleksowej współpracy” zamierzonego przez prawodawcę przy przyjmowaniu rozporządzenia 2016/679. Ustanowienie jednego organu nadzorczego dla zainteresowanych miało w szczególności na celu uniknięcie niepotrzebnych kosztów i nadmiernych niedogodności, na co wskazuje motyw 129 tego rozporządzenia. Wznowienie postępowania wyjaśniającego z powodu zwykłej rozbieżności między organami nadzorczymi naruszałoby ten cel, zmuszając składających skargę i odnośne przedsiębiorstwa do zmierzenia się ze wznowieniem postępowania wyjaśniającego, wraz z kosztami i niedogodnościami, chociaż etap ten powinien być zakończony.
Jednakże, bez konieczności wypowiadania się w przedmiocie intencji prawodawcy, wystarczy stwierdzić, że kompleksowa współpraca odpowiada celowi, jakim jest uproszczenie o charakterze proceduralnym, który to cel nie może mieć pierwszeństwa przed zasadniczym celem rozporządzenia 2016/679, jakim jest zapewnienie poszanowania podstawowego prawa osób fizycznych do ochrony ich danych osobowych. W motywie pierwszym wspomnianego rozporządzenia przypomniano, że art. 8 ust. 1 Karty praw podstawowych oraz art. 16 ust. 1 TFUE stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Rozszerzenie zakresu postępowania wyjaśniającego, żądane w sposób konieczny przez co najmniej połowę organów nadzorczych w ramach EROD, nie ma na celu – wbrew temu, co twierdzi skarżąca – skomplikowania zadania osoby, która złożyła skargę, lub zadania administratora danych, którego skarga dotyczy, lecz stanowi środek obrony przysługujących im, odpowiednio, praw. Ponadto objęcie postępowaniem wyjaśniającym i oceną wiodącego organu nadzorczego od początku wszystkich kwestii niezbędnych do opracowania kompletnej ostatecznej decyzji dotyczącej danego przypadku pozwala uniknąć niedogodności wymienionych przez skarżącą.
Argument skarżącej, zgodnie z którym wznowienie postępowania wyjaśniającego opóźnia ostateczne rozstrzygnięcie kwestii już przeanalizowanych i rozstrzygniętych, również należy oddalić.
W istocie, jak uczyniła to zresztą skarżąca w niniejszym przypadku, w takiej sytuacji właściwy organ powinien raczej przyjąć ostateczną decyzję w przedmiocie ocenionych i rozstrzygniętych kwestii merytorycznych po wiążącej decyzji EROD w terminie przewidzianym w art. 65 ust. 6 rozporządzenia 2016/679. Nie stoi to na przeszkodzie przeprowadzeniu dodatkowego postępowania wyjaśniającego i oceny tych kwestii dotyczących danego przypadku, które nie zostały jeszcze zbadane.
Skarżąca podnosi ponadto, że brak interwencji EROD w określenie zakresu oceny, jakiej powinien podlegać dany przypadek, co stanowi jej zdaniem kwestię wstępną lub proceduralną, nie stoi na przeszkodzie funkcjonowaniu mechanizmu współpracy między organami nadzorczymi.
Mechanizm współpracy zostaje jednak ograniczony, w sytuacji gdy organy nadzorcze, których sprawa dotyczy, nie osiągną konsensusu. To właśnie w tej sytuacji, wyraźnie przewidzianej w art. 60 ust. 4 rozporządzenia 2016/679, sprawa, co do której nie ma zgody, powinna zostać przekazana przez wiodący organ nadzorczy w ramach mechanizmu spójności, który prowadzi do wydania wiążącej decyzji EROD, jak wskazuje ten przepis.
Skarżąca twierdzi wreszcie, że taki brak konsensusu znajduje rozwiązanie w postaci odwołania się do krajowej kontroli sądowej. Przypomina ona, że art. 58 ust. 4 i motyw 141 rozporządzenia 2016/679 wskazują, iż postępowanie wyjaśniające podlega skutecznej kontroli sądowej.
Prawdą jest, że gdyby EROD nie mogła rozstrzygnąć kwestii związanej z zakresem oceny dokonywanej przez wiodący organ nadzorczy, sąd krajowy mógłby w tym względzie interweniować. Rozporządzenie 2016/679 przewiduje jednak, że kwestie podniesione w ramach mającego znaczenie dla sprawy i uzasadnionego sprzeciwu organu nadzorczego, którego sprawa dotyczy, w rozumieniu art. 4 pkt 24 tego rozporządzenia, rozstrzygane są w ramach mechanizmu współpracy i, w stosownych przypadkach, mechanizmu spójności między organami nadzorczymi. Jak zostało to zaś już wcześniej przeanalizowane, kwestia dotycząca zakresu analizy oraz, w stosownym przypadku, zakresu postępowania wyjaśniającego prowadzonego przez wiodący organ nadzorczy może być przyczyną mającego znaczenie dla sprawy i uzasadnionego sprzeciwu w powyższym rozumieniu. W konsekwencji możliwość zwrócenia się do sądu krajowego w kwestii tego rodzaju, które zresztą niekoniecznie byłoby bezproblemowe dla składającego skargę zamieszkałego w innym państwie niż państwo wiodącego organu nadzorczego, nie może oznaczać, że utrzymujące się rozbieżności między organami nadzorczymi, których sprawa dotyczy, dotyczące spraw będących przedmiotem mających znaczenie dla sprawy i uzasadnionych sprzeciwów, nie mogą zostać rozstrzygnie w ramach EROD.
Z pkt 55–62 powyżej wynika, że badanie celów rozporządzenia 2016/679 potwierdza dokonaną wcześniej analizę literalną.
[…]
W przedmiocie argumentów dotyczących przesłanek przyznania kompetencji organowi Unii, cech kontroli sądowej przeprowadzanej na szczeblu krajowym oraz niezależności organów nadzorczych odpowiedzialnych za ochronę danych osobowych
W pierwszej kolejności skarżąca twierdzi w istocie, że zasady regulujące przyznanie kompetencji organowi Unii nie pozwalają na interpretowanie rozporządzenia 2016/679 w sposób wywiedziony z poprzednich analiz, a mianowicie w ten sposób, że przyznaje ono EROD kwestionowaną kompetencję.
Skarżąca powołuje się na art. 5 TUE w celu przypomnienia, że Unia może działać wyłącznie w granicach przyznanych jej kompetencji. Zasada ta ma zastosowanie do instytucji i organów Unii, takich jak EROD. Jej zdaniem te ostatnie podlegają ponadto „doktrynie Meroni” wynikającej z wyroku z dnia 13 czerwca 1958 r., Meroni/Wysoka Władza (9/56, EU:C:1958:7), mającej zastosowanie do organów Unii, jak orzekł Trybunał w odniesieniu do Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych (ESMA) w wyroku z dnia 22 stycznia 2014 r.,Zjednoczone Królestwo/Parlament i Rada (C‑270/12, EU:C:2014:18, pkt 53, 54). Według skarżącej doktryna ta nakazuje, aby uprawnienia organów Unii były ściśle ograniczone i podlegały kontroli sądowej w świetle celów wyznaczonych danemu organowi. W szczególności w pkt 45 drugiego z ww. wyroków stwierdzono, że uprawnienia ESMA omawiane w tej sprawie, ostatecznie potwierdzone przez Trybunał, uzależnione są od spełnienia licznych kryteriów i przesłanek, które określają zakres działania tego organu. W wyroku z dnia 15 lipca 2021 r., FBF (C‑911/19, EU:C:2021:599, pkt 67, 75), dotyczącym Europejskiego Urzędu Nadzoru Bankowego (EUNB), Trybunał wyjaśnił, że uprawnienie organu Unii powinno być wyraźnie przewidziane przez prawodawcę i że kontrola sądowa tego uprawnienia powinna być ścisła.
Owe zasady stosowane w orzecznictwie dotyczą w istocie EROD, która została ustanowiona jako organ Unii w art. 68 rozporządzenia 2016/679.
Należy zatem przede wszystkim zbadać, czy wykładnia przyjęta wcześniej w niniejszym wyroku pozwala uznać, że wykonywanie uprawnienia EROD, w sytuacji gdy nakazuje ona wiodącemu organowi nadzorczemu rozszerzenie jego oceny i, w stosownym przypadku, postępowania wyjaśniającego, „uzależnione jest od spełnienia licznych kryteriów i przesłanek, które określają zakres [jej] działania”, jak stwierdził Trybunał w odniesieniu do uprawnienia ESMA, które zostało zakwestionowane w sprawie, w której zapadł wyrok z dnia 22 stycznia 2014 r., Zjednoczone Królestwo/Parlament i Rada (C‑270/12, EU:C:2014:18).
W tym względzie, jak wynika z art. 65 ust. 1 lit. a) rozporządzenia 2016/679 w związku z art. 4 pkt 24 tego rozporządzenia, to uprawnienie do nakazania wiodącemu organowi nadzorczemu rozszerzenia jego oceny i, w stosownych przypadkach, postępowania wyjaśniającego może być wykonywane wyłącznie w następstwie wniesienia przez organ nadzorczy, którego sprawa dotyczy, mającego znaczenie dla sprawy i uzasadnionego sprzeciwu wobec projektu decyzji wiodącego organu nadzorczego w danej sprawie, dotyczącego braku oceny kwestii, czy „doszło do naruszenia […] rozporządzenia [2016/679] lub czy planowane działanie w odniesieniu do administratora lub podmiotu przetwarzającego jest zgodne z [tym] rozporządzeniem”, który to sprzeciw musi „jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma to zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii”.
Ponadto zgodnie z art. 65 ust. 2 i 3 rozporządzenia 2016/679 wykonanie wyżej wymienionego uprawnienia wymaga, aby w ramach EROD większość dwóch trzecich lub co najmniej połowa jej członków w pewnych okolicznościach, w tym – jeżeli głosy rozkładają się po równo – przewodniczący, w istocie zatwierdziła ów mający znaczenie dla sprawy i uzasadniony sprzeciw oraz dalsze działania, jakie mają zostać podjęte w jego następstwie. Konieczne jest zatem, aby znaczna liczba organów nadzorczych potwierdziła brak lub niewystarczający charakter oceny ważnej kwestii dotyczącej rozpatrywanego przypadku i uzgodniła dalsze działania, jakie mają zostać podjęte przez wiodący organ nadzorczy, aby temu zaradzić. W tym względzie należy wziąć pod uwagę, że sama EROD składa się ze znacznej liczby niezależnych organów wyspecjalizowanych w tej dziedzinie, i że w konsekwencji ich zbieżna opinia w ramach EROD stanowi gwarancje co do wykonywania tego uprawnienia. Ponadto o ile pojęcie „mającego znaczenie dla sprawy i uzasadnionego sprzeciwu”, przypomniane w pkt 69 powyżej, pozostawia co prawda miejsce dla pewnego zakresu uznania, w szczególności w celu ustalenia, czy doszło do naruszenia rozporządzenia 2016/679 przez danego administratora lub podmiot przetwarzający lub czy taką kwestię należy zbadać, aby to stwierdzić, o tyle wszystkie te pytania odsyłają do konkretnych przepisów prawnych zawartych w tym rozporządzeniu, co nie pozwala skorzystać z „szerokiego zakresu uznania”.
Podsumowując, w odniesieniu do kwestionowanej przez skarżącą kwestii ram uprawnienia EROD należy zatem stwierdzić, po pierwsze, że uprawnienie to jest wykonywane jedynie w przypadku wyraźnie zidentyfikowanego niewystarczającego charakteru oceny dokonanej przez wiodący organ nadzorczy przy rozpatrywaniu sprawy, mogącego mieć istotne konsekwencje, jak wynika z definicji mającego znaczenie dla sprawy i uzasadnionego sprzeciwu zawartej w art. 4 pkt 24 rozporządzenia 2016/679, a po drugie, że uprawnienie to wynika ze zbiorowej oceny dokonanej przez organy nadzorcze wchodzące w skład EROD, która to ocena zostaje dokonana w warunkach wskazanych w pkt 70 powyżej.
Co się tyczy kwestii, czy rozpatrywane uprawnienie zostało „wyraźnie” przewidziane przez prawodawcę, należy podkreślić, że przysłówek „wyraźnie” oraz przysłówki „bezpośrednio” i „jasno”, będące synonimami i odnoszące się odpowiednio do przymiotników „wyraźny”, „bezpośredni” i „jasny”, oznaczają, że nie ma wątpliwości co do zakresu tego, co zostało wyrażone. Z wykładni literalnej, kontekstowej i celowościowej dokonanej powyżej wynika zaś, że nie ma wątpliwości co do tego, że EROD posiada kwestionowaną kompetencję, a zatem co do tego, że kompetencja ta została wyraźnie przewidziana przez prawodawcę. Można zauważyć, że w wyroku z dnia 15 lipca 2021 r., FBF (C‑911/19, EU:C:2021:599), dotyczącym EUNB, wytyczne tego organu, co do których zakwestionowano, że ma on kompetencję do ich przyjęcia, dotyczyły „zasad nadzoru nad produktami i ustaleń zarządczych dla produktów bankowości detalicznej”. Żaden z aktów mających zastosowanie do tego organu nie wskazywał w dosłownym brzmieniu, że może on wydać wytyczne w tym przedmiocie. To w drodze analizy całości tych aktów, czyli rozporządzenia ustanawiającego EUNB, które przewidywało w sposób ogólny jego kompetencję do wydawania wytycznych w określonych celach, oraz różnych dyrektyw dotyczących instytucji i produktów finansowych, Trybunał uznał, że sporne wytyczne wchodzą w zakres tej kompetencji.
Ponadto należy stwierdzić, że wykonywanie przez EROD uprawnienia do nakazania wiodącemu organowi nadzorczemu rozszerzenia jego oceny, a w razie potrzeby postępowania wyjaśniającego, podlega kontroli sądowej. Prawdą jest, że w niniejszym przypadku skarżąca postanowiła zakwestionować zaskarżone przepisy wyłącznie ze względu na brak kompetencji EROD, nie kwestionując konkretnej oceny dokonanej przez nią w przedmiocie sprzeciwów zgłoszonych przez niektóre organy nadzorcze wobec projektów decyzji, która to ocena doprowadziła do przyjęcia owych przepisów. Jednakże w granicach podniesionych przed nim zarzutów sąd Unii byłby w stanie zbadać materialną zgodność z prawem takich przepisów zależnie od okoliczności sprawy. W szczególności mógłby w pierwszej kolejności sprawdzić, czy przyjmując tego rodzaju przepisy, EROD rzeczywiście uwzględniła mający znaczenie dla sprawy i uzasadniony sprzeciw organu nadzorczego w rozumieniu art. 4 pkt 24 rozporządzenia 2016/679. W drugiej kolejności mógłby zweryfikować zgodność z prawem samej treści takich przepisów wydających zalecenia organom nadzorczym.
Tego rodzaju kontrola sądowa jest „ścisła” w rozumieniu wyroku z dnia 15 lipca 2021 r., FBF (C‑911/19, EU:C:2021:599, pkt 67). Sąd orzekający w przedmiocie zgodności z prawem jest bowiem, ogólnie rzecz ujmując, związany zarówno przez swój urząd, jak przez zasady postępowania, a dokonywana przezeń kontrola jest w sposób konieczny ścisła, jeżeli w pełni sprawuje on swój urząd w ramach tych przepisów. Jeśli chodzi o kwestie merytoryczne, to właśnie w zależności od zakresu uznania przysługującego autorowi zaskarżonego aktu sąd orzekający w przedmiocie zgodności z prawem przeprowadza zwykłą kontrolę (co do zasady w odniesieniu do kwestii prawnych, ustalenia okoliczności faktycznych i przypadków kompetencji związanej) lub kontrolę ograniczoną (co do zasady w odniesieniu do złożonych kwestii technicznych lub gdy organ dysponuje pewnym zakresem uznania, w których to przypadkach sąd orzeka sankcję jedynie z powodu oczywistego błędu w ocenie) [zob. podobnie i analogicznie w odniesieniu do sprawowanej przez sąd krajowy kontroli decyzji organów krajowych w dziedzinie ochrony danych osobowych wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu), C‑26/22 i C‑64/22, EU:C:2023:958, pkt 68, 69].
Z pkt 67–74 powyżej wynika, że przesłanki przyznania kompetencji organowi Unii nie stoją na przeszkodzie ocenie przeprowadzonej wcześniej w niniejszym wyroku.
W drugiej kolejności skarżąca przedstawia różne powody, aby wykazać, że sądy krajowe stanowią „stosowne forum” do rozpatrywania sporów związanych z postępowaniem wyjaśniającym, to znaczy że znajdują się one w najlepszej sytuacji, by to uczynić.
Jednakże, jak wskazano w pkt 62 powyżej, prawodawca Unii zdecydował, że utrzymujące się rozbieżności między organami nadzorczymi, których sprawa dotyczy, dotyczące zakresu oceny danego przypadku i, w stosownych przypadkach, zakresu postępowania wyjaśniającego prowadzonego w jego sprawie, są rozstrzygane w ramach mechanizmu spójności w ramach EROD. W konsekwencji argumenty skarżącej zmierzające do wykazania, że sądy krajowe stanowią „stosowne forum” do rozpatrywania sporów związanych z postępowaniem wyjaśniającym, są bezskuteczne.
Należy dodać, w zakresie, w jakim zarówno sąd krajowy, jak i EROD mogą zostać wezwane do wypowiedzenia się w przedmiocie zakresu oceny i postępowania wyjaśniającego, że w dziedzinie stosowania reguł konkurencji ustanowionych w art. 101 i 102 TFUE, gdzie odpowiedzialność za realizację polityki Unii jest również dzielona między szczebel krajowy i szczebel Unii, w orzecznictwie Trybunału wypracowano szereg zasad, aby koordynować działania sądów krajowych i jednostki organizacyjnej Unii odpowiedzialnej za zapewnienie spójności w stosowaniu danej polityki, mianowicie Komisji (wyroki: z dnia 28 lutego 1991 r., Delimitis, C‑234/89, EU:C:1991:91; z dnia 14 grudnia 2000 r., Masterfoods i HB, C‑344/98, EU:C:2000:689). Chociaż nie jest wykluczone, że na podstawie tych zasad sąd krajowy uzna, że lepiej zawiesić postępowanie do czasu wydania decyzji przez właściwą jednostkę organizacyjną Unii lub że może on, jeżeli decyzja ta została wydana, być nią związany, chyba że ma wątpliwości co do jej ważności i zwróci się do Trybunału, w ramach postępowania prejudycjalnego, o jego ocenę w tym względzie, to sytuacje te są nieodłącznie związane z takim podziałem odpowiedzialności i z koniecznością zapewnienia w całej Unii spójności w stosowaniu danej polityki.
Należy również dodać, że wbrew temu, co skarżąca twierdzi w trzeciej kolejności, wydana na podstawie art. 65 ust. 1 lit. a) rozporządzenia 2016/679 wiążąca decyzja EROD nakazująca skarżącej rozszerzenie oceny i postępowania wyjaśniającego nie podważa jej zdolności do ustalenia priorytetów przy wykonywaniu przez nią poszczególnych zadań jako niezależny organ, co stanowi zadanie, którego kontrola należy wyłącznie do sądu krajowego. Nie podważa ona również, w sposób bardziej ogólny, jej niezależności zapisanej w art. 39 TUE, art. 16 ust. 2 TFUE i art. 8 ust. 3 Karty praw podstawowych.
Po pierwsze bowiem, czy to z własnej inicjatywy, na etapie współpracy między organami nadzorczymi, których sprawa dotyczy, w następstwie interwencji swoich odpowiedników w tym zakresie, czy to po wydaniu takiej wiążącej decyzji, jeżeli wiodący organ nadzorczy musi uzupełnić swoją ocenę i postępowanie wyjaśniające w danym przypadku, nie jest on zobowiązany do uczynienia tego natychmiast, z pierwszeństwem w stosunku do swoich innych zadań. Może on na przykład ogłosić, że pierwszy projekt decyzji lub pierwsza decyzja, które przyjmie, dotyczą tylko części kwestii wynikających z danego przypadku, i że później będzie przeprowadzać swoje oceny i swoje postępowanie wyjaśniające.
Jedynie w okolicznościach przewidzianych w art. 66 rozporządzenia 2016/679, jeżeli inny organ nadzorczy, którego sprawa dotyczy, uzna, że istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą, wiążąca decyzja EROD wydana w trybie pilnym może zobowiązać wiodący organ nadzorczy do niezwłocznego dokonania przeglądu kolejności priorytetów w celu rozpatrzenia danej sprawy. Prawodawca przewidział zatem taką możliwość jedynie w wyjątkowych przypadkach. Wiążące decyzje 3/2022, 4/2022 i 5/2022 nie zostały bowiem wydane na podstawie wspomnianego art. 66, a w konsekwencji nie narzucały skarżącej kolejności pierwszeństwa poszczególnych zadań.
Po drugie, przepisy prawa pierwotnego, na które powołuje się skarżąca, nie oznaczają całkowitej niezależności, w rozumieniu braku jakiejkolwiek kontroli, organów państw członkowskich odpowiedzialnych w pierwszej kolejności za zapewnienie stosowania przepisów dotyczących ochrony danych osobowych. Przepisy te wskazują jedynie, że kontrola przestrzegania tych zasad jest powierzona niezależnym organom, co w żaden sposób nie stoi na przeszkodzie istnieniu systemu wzajemnej kontroli między niezależnymi organami, takiego jak mechanizmy współpracy i spójności przewidziane w rozporządzeniu 2016/679, ani – rzecz jasna – kontroli sądowej decyzji wydanych przez różne zaangażowane organy. Ważne jest, aby niezależni byli sami kontrolerzy kontrolerów. Jest tak jest w przypadku EROD, jako że składa się ona z organów nadzorczych państw członkowskich i Europejskiego Inspektora Ochrony Danych, który jest organem niezależnym od instytucji i innych jednostek organizacyjnych Unii, nad którymi sprawuje kontrolę.
[…]
W przedmiocie kosztów
Zgodnie z art. 134 § 1 regulaminu postępowania kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę. Ponieważ skarżąca przegrała sprawę, należy – zgodnie z żądaniem EROD – obciążyć ją kosztami postępowania.
Z powyższych względów
SĄD (dziesiąta izba w składzie powiększonym)
orzeka, co następuje:
1)
Skargi w sprawach T‑70/23, T‑84/23 i T‑111/23 zostają oddalone.
2)
Data Protection Commission zostaje obciążona kosztami postępowania.
Porchia
Jaeger
Madise
Nihoul
Verschuur
Wyrok ogłoszono na posiedzeniu jawnym w Luksemburgu w dniu 29 stycznia 2025 r.
Podpisy
(
*1
) Język postępowania: angielski.
( ) Poniżej zostały odtworzone jedynie te punkty wyroku, których publikację Sąd uznał za wskazaną.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 14.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło