T-709/21
PostanowienieTSUE2022-12-07CELEX: 62021TO0709ECLI:EU:T:2022:783
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy wiążąca decyzja Europejskiej Rady Ochrony Danych (EROD), wydana na podstawie art. 65 ust. 1 lit. a) rozporządzenia 2016/679 w ramach mechanizmu spójności, jest aktem podlegającym zaskarżeniu przez osobę prawną (administratora danych) na podstawie art. 263 TFUE, w szczególności czy dotyczy ona tej osoby bezpośrednio i indywidualnie, jeśli stanowi akt przygotowawczy do ostatecznej decyzji krajowego organu nadzorczego?Ratio decidendi
Sąd uznał skargę za niedopuszczalną, ponieważ zaskarżona decyzja EROD nie dotyczy WhatsAppa bezpośrednio w rozumieniu art. 263 akapit czwarty TFUE. Decyzja EROD jest aktem przygotowawczym, który nie zmienia samodzielnie sytuacji prawnej WhatsAppa i nie można się na nią bezpośrednio powołać wobec spółki. Irlandzki organ nadzorczy zachował pewien zakres uznania przy wydawaniu ostatecznej decyzji, co oznacza, że decyzja EROD nie wywołała automatycznych skutków prawnych dla WhatsAppa bez dalszych działań organu krajowego. Skuteczna ochrona sądowa jest zapewniona poprzez możliwość zaskarżenia ostatecznej decyzji krajowego organu nadzorczego przed sądem krajowym, który może następnie wystąpić z pytaniem prejudycjalnym do TSUE w sprawie ważności decyzji EROD.Stan faktyczny
Irlandzki organ nadzorczy wszczął postępowanie przeciwko WhatsApp Ireland Ltd w sprawie przestrzegania obowiązków przejrzystości i informacji wynikających z RODO, działając jako wiodący organ nadzorczy. Po zgłoszeniu sprzeciwów przez inne organy nadzorcze do projektu decyzji, sprawa została przekazana Europejskiej Radzie Ochrony Danych (EROD), która przyjęła wiążącą decyzję 1/2021. Następnie irlandzki organ nadzorczy wydał ostateczną decyzję wobec WhatsAppa, stwierdzając naruszenia RODO i nakładając grzywny administracyjne. WhatsApp zaskarżył decyzję EROD do Sądu Unii Europejskiej, jednocześnie zaskarżając decyzję ostateczną przed sądem irlandzkim.Rozstrzygnięcie
1) Skarga zostaje odrzucona jako niedopuszczalna.
2) Postępowanie w przedmiocie wniosków Republiki Finlandii, Komisji Europejskiej, Europejskiego Inspektora Ochrony Danych oraz Computer & Communication Industry Association o dopuszczenie do sprawy w charakterze interwenienta oraz złożonych w ich następstwie wniosków o objęcie poufnością elementów akt sprawy zostaje umorzone.
3) WhatsApp Ireland Ltd pokrywa własne koszty oraz koszty Europejskiej Rady Ochrony Danych, z wyjątkiem kosztów poniesionych przez nią w związku z wnioskiem o dopuszczenie do sprawy w charakterze interwenienta.
4) Europejska Rada Ochrony Danych, Republika Finlandii, Komisja, Europejski Inspektor Ochrony Danych oraz Computer & Communication Industry Association pokrywają, każde we własnym zakresie, koszty związane z wnioskami o dopuszczenie do sprawy w charakterze interwenienta.Pełny tekst orzeczenia
POSTANOWIENIE SĄDU (czwarta izba w składzie powiększonym)
z dnia 7 grudnia 2022 r. (
*1
)
Skarga o stwierdzenie nieważności – Ochrona danych osobowych – Projekt decyzji wiodącego organu nadzorczego – Rozstrzyganie sporów między organami nadzorczymi przez Europejską Radę Ochrony Danych – Decyzja wiążąca – Artykuł 60 ust. 4 oraz art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679 – Akt niepodlegący zaskarżeniu – Akt przygotowawczy – Brak bezpośredniego oddziaływania
W sprawie T‑709/21
WhatsApp Ireland Ltd, z siedzibą w Dublinie (Irlandia), który reprezentowali adwokaci H.-G. Kamann, F. Louis i A. Vallery, P. Nolan, B. Johnston, C. Monaghan, solicitors, P. Sreenan, D. McGrath, SC, C. Geoghegan i E. Egan McGrath, barristers,
strona skarżąca,
przeciwko
Europejskiej Radzie Ochrony Danych, którą reprezentowali I. Vereecken i G. Le Grand, w charakterze pełnomocników, których wspierali adwokaci G. Ryelandt, E. de Lophem oraz P. Vernet,
strona pozwana,
SĄD (czwarta izba w składzie powiększonym),
w składzie podczas narady: S. Gervasoni, prezes, L. Madise (sprawozdawca), P. Nihoul, R. Frendo oraz J. Martín y Pérez de Nanclares, sędziowie,
sekretarz: E. Coulon,
uwzględniając pisemny etap postępowania, a mianowicie:
– skargę złożoną w sekretariacie Sądu w dniu 1 listopada 2021 r.,
– odpowiedź na skargę złożoną w sekretariacie Sądu w dniu 1 lutego 2022 r.,
– replikę złożoną w sekretariacie Sądu w dniu 9 maja 2022 r.,
– duplikę złożoną w sekretariacie Sądu w dniu 18 lipca 2022 r.,
– środek organizacji postępowania, w którym Sąd wezwał strony, aby nie zaniechały przedstawienia w replice i duplice swoich stanowisk co do wszystkich istotnych kwestii dotyczących właściwości Sądu oraz dopuszczalności skargi,
wydaje następujące
Postanowienie
W swojej skardze, opartej na art. 263 TFUE, skarżąca, WhatsApp Ireland Ltd (zwany dalej „WhatsAppem”), wnosi o stwierdzenie nieważności wiążącej decyzji 1/2021 Europejskiej Rady Ochrony Danych (zwanej dalej „EROD”) z dnia 28 lipca 2021 r. w sprawie sporu, jaki zaistniał pomiędzy organami nadzorczymi, których sprawa dotyczy, w przedmiocie projektu decyzji dotyczącej WhatsAppa, sporządzonego przez Data Protection Commission (organ nadzorczy do spraw ochrony danych osobowych osób fizycznych, Irlandia, zwany dalej „irlandzkim organem nadzorczym”) (zwanej dalej „zaskarżoną decyzją”).
Okoliczności faktyczne poprzedzające wydanie zaskarżonej decyzji i następujące po niej oraz postępowanie
W następstwie wejścia w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1) irlandzki organ nadzorczy otrzymał zarówno od użytkowników komunikatora „WhatsApp”, jak i osób niebędących jego użytkownikami skargi dotyczące przetwarzania danych osobowych przez WhatsApp. Również niemiecki federalny organ nadzorczy zwrócił się do irlandzkiego organu nadzorczego o pomoc w zakresie przestrzegania przez WhatsApp obowiązków przejrzystości, jakie ciążą na administratorach danych osobowych w odniesieniu do ewentualnego udostępniania tych danych innym podmiotom z grupy Facebook (przemianowanej we wrześniu 2021 r. na Meta).
W grudniu 2018 r. irlandzki organ nadzorczy wszczął z urzędu postępowanie o charakterze ogólnym w sprawie przestrzegania przez WhatsApp obowiązków w zakresie przejrzystości i informacji wobec osób fizycznych (w odróżnieniu od przedsiębiorstw), które to obowiązki zostały określone w art. 12, 13 i 14 rozporządzenia 2016/679, bez uszczerbku dla działań, które organ ten mógł nadać indywidualnym sprawom, które zostały do niego skierowane. Irlandzki organ nadzorczy działał w tym zakresie jako „wiodący organ nadzorczy”, o którym mowa w art. 56 ust. 1 rozporządzenia 2016/679, ponieważ główna jednostka organizacyjna WhatsAppa – jako administratora dla operacji komunikatora „WhatsApp” – w Europie znajdowała się w Irlandii, a przetwarzanie to miało charakter transgraniczny.
Po tym, jak we wrześniu 2019 r. etap dochodzeniowy został zakończony prezentacją końcowego raportu podmiotu prowadzącego postępowanie, osoba odpowiedzialna za podejmowanie decyzji przez irlandzki organ nadzorczy, po zakończeniu pośrednich etapów postępowania, podczas których WhatsApp przekazał swoje uwagi, przedstawił w grudniu 2020 r. wszystkim pozostałym organom nadzorczym, których sprawa dotyczy, czyli wszystkim pozostałym organom nadzorczym państw członkowskich, projekt decyzji w celu uzyskania ich opinii zgodnie z art. 60 ust. 3 rozporządzenia 2016/679.
W styczniu 2021 r. osiem z powyższych organów nadzorczych, a mianowicie niemiecki organ federalny, organ kraju związkowego Badenii-Wirtembergii oraz organy węgierski, niderlandzki, polski, francuski, włoski i portugalski, wyraziło sprzeciwy wobec niektórych aspektów tego projektu decyzji. Inne organy nadzorcze zgłosiły ponadto zwykłe uwagi. Irlandzki organ nadzorczy udzielił zbiorczej odpowiedzi pozostałym organom nadzorczym, których sprawa dotyczy, proponując rozwiązania kompromisowe. Chociaż w następstwie tej odpowiedzi jeden z organów nadzorczych wycofał swój sprzeciw, irlandzki organ nadzorczy stwierdził, że konsensus, jaki miały wypracować organy nadzorcze w kwestii jego propozycji dotyczących innych aspektów będących przedmiotem sprzeciwów, nie został osiągnięty, i postanowił odrzucić wszystkie te sprzeciwy, aby wystąpić do EROD z wnioskiem o rozstrzygnięcie przez nią sporu, jaki zaistniał co do powyższych aspektów między organami nadzorczymi, których sprawa dotyczy, zgodnie z art. 60 ust. 4 oraz art. 65 ust. 1 lit. a) rozporządzenia 2016/679.
W maju 2021 r. irlandzki organ nadzorczy – po uprzednim przekazaniu WhatsAppowi wszystkich wymienionych w tym zakresie pism proceduralnych – otrzymał od WhatsAppa pisemne uwagi dotyczące kwestii dyskutowanych przez organy nadzorcze, których sprawa dotyczy, i on sam również przekazał EROD powyższe uwagi celem umożliwienia jej zapoznania się z nimi w ramach wszczętej przez nią w czerwcu 2021 r. procedury rozstrzygania sporów.
EROD, która zgodnie z art. 68 ust. 3 rozporządzenia 2016/679 składa się z „przewodnicząc[ego] jednego organu nadzorczego każdego państwa członkowskiego oraz Europejski[ego] Inspektor[a] Ochrony Danych lub ich przedstawiciel[i]”, w dniu 28 lipca 2021 r. przyjęła zaskarżoną decyzję większością dwóch trzecich głosów, zgodnie z treścią art. 65 ust. 2 rozporządzenia 2016/679. Zaskarżona decyzja jest decyzją skierowaną do wiodącego organu nadzorczego oraz do wszystkich organów nadzorczych, których sprawa dotyczy, wiążącą je w rozumieniu tego samego przepisu i dotyczy wszystkich kwestii będących przedmiotem sprzeciwów, które mają znaczenie dla sprawy i są uzasadnione, zgodnie z art. 65 ust. 1 lit. a) rozporządzenia 2016/679. W tym względzie w zaskarżonej decyzji EROD najpierw zbadała w odniesieniu do każdego ze sprzeciwów złożonych przez organy nadzorcze, których sprawa dotyczy, czy ma on znaczenie dla sprawy i czy jest uzasadniony. Stanowisko w sprawie sprzeciwu zajmowała wyłącznie wówczas, gdy odpowiedź na powyższe pytanie wstępne była twierdząca.
Po otrzymaniu przez irlandzki organ nadzorczy zaskarżonej decyzji i uwag WhatsAppa dotyczących kar pieniężnych, które ostatecznie miały zostać na niego nałożone w świetle zaskarżonej decyzji, osoba odpowiedzialna za podejmowanie decyzji przez ten organ podjęła w dniu 20 sierpnia 2021 r., zgodnie z art. 65 ust. 6 rozporządzenia 2016/679, skierowaną do WhatsAppa ostateczną decyzję (zwaną dalej „decyzją ostateczną”). W treści decyzji ostatecznej uznano, iż WhatsApp naruszył zasadę przejrzystości oraz wynikające z niej obowiązki określone w art. 5 ust. 1 lit. a), w art. 12 ust. 1, w art. 13 ust. 1 lit. c)–f), w art. 13 ust. 2 lit. a), c) oraz e), a także w art. 14 rozporządzenia 2016/679. W owej decyzji stwierdzono natomiast, że WhatsApp wypełnił obowiązki określone w art. 13 ust. 1 lit. a) oraz b), a także w art. 13 ust. 2 lit. b) oraz d) rozporządzenia 2016/679. Tytułem środków zaradczych, przyjętych na podstawie art. 58 ust. 2 lit. b), d) oraz i) rozporządzenia 2016/679, na mocy decyzji ostatecznej udzielono WhatsAppowi upomnienia, nałożono na niego obowiązek wdrożenia szeregu wymienionych w załączniku działań mających na celu doprowadzenie w terminie trzech miesięcy do przestrzegania przepisów rozporządzenia 2016/679, które zostały naruszone, jak również cztery grzywny administracyjne związane z naruszeniami, o których mowa w art. 5 ust. 1 lit. a) oraz w art. 12, 13 i 14 rozporządzenia 2016/679, na łączną kwotę 225 mln EUR.
W treści decyzji ostatecznej osoba odpowiedzialna za podejmowanie decyzji przez irlandzki organ nadzorczy wskazała aspekty, w odniesieniu do których z zaskarżonej decyzji wynikł obowiązek dokonania zmiany oceny zawartej w projekcie decyzji, o którym mowa w pkt 4 powyżej. Co do tych aspektów zdecydowała się ona umieścić w dosłownym brzmieniu, w zacienionych polach tekstowych, powody przyjęte przez EROD w zaskarżonej decyzji i po prostu wyciągnąć z nich każdorazowo w punkcie podsumowującym konsekwencje. Wyjaśniła ona, że w decyzji ostatecznej z jednej strony nie odniosła się ona do sprzeciwów, które EROD uznała za niemające znaczenia dla sprawy lub nieuzasadnione i których zasadności w związku z tym nie oceniała, ani też do sprzeciwów, które EROD uznała za niewymagające zmiany oceny zawartej w projekcie decyzji, oraz z drugiej strony nie zajęła stanowiska w sprawie tych sprzeciwów.
Zaskarżona decyzja została zgodnie z art. 65 ust. 6 rozporządzenia 2016/679 dołączona do decyzji ostatecznej irlandzkiego organu nadzorczego.
W zaskarżonej decyzji EROD ustosunkowała się jedynie do następujących kwestii, które jej zdaniem były przedmiotem mających znaczenie dla sprawy i uzasadnionych sprzeciwów:
–
popełnienia przez WhatsApp naruszenia obowiązków informacyjnych określonych w art. 13 ust. 1 lit. d) rozporządzenia 2016/679, odnoszących się do niektórych informacji, które należy podać osobom, których dane dotyczą, w przypadku pozyskiwania od nich danych osobowych. Irlandzki organ nadzorczy nie stwierdził w swoim projekcie decyzji takiego naruszenia. EROD natomiast uznała, że przepis ten został przez WhatsApp naruszony;
–
zakwalifikowania jako danych osobowych elementów z procedury zwanej „Lossy Hashing Procedure”, stosowanej do danych dotyczących „kontaktów” niebędących użytkownikami WhatsAppa, widniejących w książkach adresowych urządzeń użytkowników WhatsAppa. Irlandzki organ nadzorczy w swoim projekcie decyzji nie zakwalifikował tych elementów jako danych. EROD natomiast uznała, że stanowią one zawsze dane osobowe. Zgodnie z zaskarżoną decyzją aspekt ten mógł wywrzeć wpływ na ewentualne stwierdzenie naruszenia przez WhatsApp art. 5 ust. 1 lit. c) oraz art. 6 ust. 1 rozporządzenia 2016/679, a także wywarł wpływ na zakres naruszenia przez WhatsApp art. 14 rozporządzenia 2016/679, jak również na wysokość kary pieniężnej wymierzonej z tych tytułów;
–
popełnienia przez WhatsApp naruszenia zasady przejrzystości określonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679, którego to naruszenia irlandzki organ nadzorczy nie stwierdził w swoim projekcie decyzji. EROD natomiast uznała, że powyższa zasada została przez WhatsApp naruszona;
–
stwierdzenia naruszenia przez WhatsApp art. 13 ust. 2 lit. e) rozporządzenia 2016/679, dotyczącego niektórych informacji, które należy podać osobom, których dane dotyczą, w przypadku pozyskiwania od nich danych osobowych, które to naruszenie irlandzki organ nadzorczy uznał za niemożliwe do stwierdzenia z uwagi na okoliczność, że osoba prowadząca dochodzenie nie zajęła w trakcie dochodzenia stanowiska w tej kwestii, uznając, iż może wydać w tej kwestii jedynie zalecenia. EROD natomiast uznała, że postępowanie objęło wszystkie postanowienia art. 13 rozporządzenia 2016/679 i że należy stwierdzić naruszenie powyższego przepisu;
–
popełnienia przez WhatsApp naruszenia art. 6 ust. 1 rozporządzenia 2016/679, dotyczącego warunków zgodności z prawem przetwarzania danych osobowych, co do którego irlandzki organ nadzorczy się nie wypowiedział. EROD uznała, że ze względów proceduralnych rzeczywiście nie było możliwości wypowiedzenia się i stwierdzenia takiego naruszenia;
–
rozszerzenia przesłanek naruszenia przez WhatsApp obowiązków informacyjnych określonych w art. 14 rozporządzenia 2016/679, dotyczących informacji, które należy podać, gdy dane osobowe nie zostały pozyskane od osoby, której dane dotyczą, w związku z analizą dotyczącą tiret drugiego powyżej. EROD potwierdziła wpływ, jaki winno mieć to rozszerzenie na nałożone na WhatsApp środki zaradcze o charakterze behawioralnym i karę;
–
popełnienia przez WhatsApp naruszenia zasady określonej w art. 5 ust. 1 lit. c) rozporządzenia 2016/679, polegającej na możliwości gromadzenia wyłącznie danych adekwatnych, stosownych oraz ograniczonych do tego, co niezbędne do celów, w których są przetwarzane, co do którego to naruszenia irlandzki organ nadzorczy się nie wypowiedział. EROD uznała, że takie naruszenie nie zostało na podstawie akt sprawy wykazane, w szczególności biorąc pod uwagę zakres dochodzenia przyjęty w ramach postępowania w odniesieniu do WhatsAppa;
–
wyznaczonego przez irlandzki organ nadzorczy terminu sześciu miesięcy, w którym tytułem środków zaradczych WhatsApp miał się dostosować do naruszonych przez niego zawartych w rozporządzeniu 2016/679 wymogów. EROD skróciła ten termin do trzech miesięcy;
–
tytułem środków zaradczych – sposobów informowania osób niebędących użytkownikami WhatsAppa o przetwarzaniu ich danych osobowych przez WhatsApp. EROD potwierdziła ocenę dokonaną w tym zakresie przez irlandzki organ nadzorczy w jego projekcie decyzji;
–
tytułem środków zaradczych – wskazania dodatkowych przesłanek naruszenia przez WhatsApp obowiązków określonych w art. 14 rozporządzenia 2016/679 (zob. tiret drugie powyżej). EROD wyjaśniła, że takie wskazanie było konieczne, aby zagwarantować, by WhatsApp przyjął odpowiednie środki zaradcze w tym zakresie;
–
w odniesieniu do art. 83 rozporządzenia 2016/679, dotyczącego „[o]góln[ych] warunk[ów] nakładania administracyjnych kar pieniężnych” – wymiaru grzywien, jakie miały zostać nałożone na WhatsApp. EROD uznała, że irlandzki organ nadzorczy błędnie zinterpretował kryterium związane z kwotą rocznego światowego obrotu spółki, której sprawa dotyczy, że prawidłowo zinterpretował pojęcie „poprzedniego roku obrotowego”, że błędnie zinterpretował zasadę, zgodnie z którą w przypadku naruszenia kilku przepisów rozporządzenia 2016/679 w ramach tej samej operacji przetwarzania danych lub powiązanych operacji przetwarzania danych łączna kwota grzywny administracyjnej nie może przekroczyć kwoty ustalonej dla najbardziej poważnego naruszenia, że prawidłowo zinterpretował niektóre z kryteriów ustalenia wymiaru kary pieniężnej, o których mowa w art. 83 ust. 1 i 2 rozporządzenia 2016/679 (charakter umyślny lub nieumyślny naruszeń, ich waga), ale błędnie zinterpretował inne z tych kryteriów (uwzględnienie kwoty rocznego obrotu w przypadku obliczania kary niezależnie od tego, jaka jest jej górna granica, oraz, ogólniej rzecz biorąc, potrzeby, aby kara była skuteczna, proporcjonalna i odstraszająca);
–
wysokości grzywien; EROD stoi na stanowisku, że w świetle błędów popełnionych przez irlandzki organ nadzorczy w interpretacji niektórych kryteriów wymiaru grzywny (zob. tiret jedenaste powyżej) i dodatkowych uchybień WhatsAppa, jakie należy stwierdzić (zob. tiret pierwsze, trzecie, czwarte i szóste powyżej), kwoty grzywien, przewidziane przez irlandzki organ nadzorczy w łącznej wysokości 30–50 mln EUR, powinny być podwyższone.
Jednocześnie WhatsApp zaskarżył decyzję ostateczną przed sądem irlandzkim i wniósł do Sądu o unieważnienie zaskarżonej decyzji.
W toku niniejszego postępowania organizacja Computer & Communication Industry Association wniosła o dopuszczenie w charakterze interwenienta popierającego żądania stronie skarżącej, podczas gdy Republika Finlandii, Komisja Europejska oraz Europejski Inspektor Ochrony Danych wnieśli o dopuszczenie ich w charakterze interwenientów popierających żądania EROD. W kontekście tych interwencji strony główne wniosły o nieprzekazywanie niektórych dowodów zawartych w aktach sprawy niektórym interwenientom ze względu na ich poufny charakter. Na tym etapie nie podjęto żadnej decyzji w kwestii tych wniosków.
W przyjętym po złożeniu odpowiedzi na skargę środku organizacji postępowania polegającym na tym, że Sąd wezwał strony główne do tego, aby w replice i duplice przedstawiły swoje stanowiska we wszystkich istotnych kwestiach dotyczących jego właściwości i dopuszczalności skargi, Sąd wskazał w tym względzie na kwalifikację zaskarżonej decyzji jako aktu organu Unii Europejskiej, kwalifikację tej decyzji jako aktu zaskarżalnego, legitymację czynną skarżącej oraz jej interes prawny.
Żądania stron
WhatsApp wnosi o stwierdzenie nieważności zaskarżonej decyzji w całości lub, tytułem ewentualnym, w jej odpowiednich częściach oraz o obciążenie EROD kosztami postępowania.
EROD wnosi o odrzucenie skargi jako niedopuszczalnej lub, tytułem ewentualnym, o oddalenie jej jako bezpodstawnej, lub, tytułem w dalszej kolejności ewentualnym, o ograniczenie stwierdzenia nieważności zaskarżonej decyzji do jej odpowiednich części. EROD wnosi również o obciążenie skarżącej kosztami postępowania.
Co do prawa
W świetle art. 129 regulaminu postępowania przed Sądem na wniosek sędziego sprawozdawcy Sąd może w każdej chwili, z urzędu, po zapoznaniu się ze stanowiskiem stron głównych, stwierdzić w drodze postanowienia z uzasadnieniem wystąpienie bezwzględnych przeszkód procesowych.
W niniejszej sprawie Sąd uznaje, że akta sprawy wystarczająco wyjaśniają okoliczności zawisłej przed nim sprawy, i postanawia, na podstawie tego artykułu, rozstrzygnąć w przedmiocie dopuszczalności skargi bez dalszych czynności procesowych.
Weryfikacja właściwości Sądu oraz legitymacji czynnej skarżącej są bowiem kwestiami porządku publicznego, podobnie jak weryfikacja innych elementów związanych z dopuszczalnością skargi, zaś w niniejszej sprawie strony główne miały możliwość, w następstwie zarządzenia środka organizacji postępowania, o którym mowa w pkt 14 powyżej, przedstawienia swoich uwag w tym względzie po tym, jak sama EROD w odpowiedzi na skargę podniosła kwestię jej niedopuszczalności.
W takim wypadku na wstępie należy przypomnieć instytucjonalne ramy prawne, w które wpisuje się zaskarżona decyzja.
Instytucjonalne ramy prawne
Rozdział VI rozporządzenia 2016/679 nosi tytuł „Niezależne organy nadzorcze”. Znajdujący się w nim art. 51 stanowi, że każde państwo członkowskie „zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny”, by każdy z tych organów „przyczynia[ł] się do spójnego stosowania niniejszego rozporządzenia w całej Unii” oraz by w tym celu „organy nadzorcze współprac[owały] ze sobą i z Komisją zgodnie z rozdziałem VII”.
Artykuł 55 stanowi, że każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z rozporządzeniem 2016/679 na terytorium swojego państwa członkowskiego, zaś art. 56 wskazuje, iż bez uszczerbku dla art. 55 organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego, jest właściwy do podejmowania działań jako wiodący organ nadzorczy, zgodnie z procedurą przewidzianą w art. 60 względem transgranicznego przetwarzania dokonywanego przez administratora lub ten podmiot przetwarzający. Jak wskazano w pkt 3 powyżej, w niniejszej sprawie irlandzki organ nadzorczy działał w stosunku do WhatsAppa jako organ wiodący.
Artykuł 58 ust. 2 rozporządzenia 2016/679 stanowi, że każdemu organowi nadzorczemu przysługują uprawnienia naprawcze w stosunku do administratora lub podmiotu przetwarzającego, a w szczególności te wymienione w lit. b), d) oraz i) i dotyczące udzielania im upomnień w przypadku naruszenia przepisów rozporządzenia 2016/679 przez operację przetwarzania, nakazanie im dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679, i, w stosownych przypadkach, wskazanie sposobu i terminu oraz nałożenie na nich grzywny administracyjnej.
Rozdział VII rozporządzenia 2016/679, następujący po przepisach wymienionych powyżej w pkt 21–23, nosi tytuł „Współpraca i spójność”.
W sekcji tego rozdziału, zatytułowanej „Współpraca”, zawarty został art. 60, zatytułowany „Współpraca między wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy”, który stanowi w szczególności:
„1. Wiodący organ nadzorczy współpracuje z innymi organami nadzorczymi, których sprawa dotyczy, zgodnie z niniejszym artykułem w celu osiągnięcia porozumienia. Wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, wymieniają się wszelkimi stosownymi informacjami.
[…]
3. Wiodący organ nadzorczy niezwłocznie przekazuje innym organom nadzorczym, których sprawa dotyczy, stosowne informacje dotyczące danej sprawy. Niezwłocznie przedkłada innym organom [nadzorczym], których sprawa dotyczy, […] projekt decyzji w celu uzyskania ich opinii i należytego uwzględnienia ich uwag.
4. Jeżeli w terminie czterech tygodni od otrzymania wniosku o opinię zgodnie z ust. 3 niniejszego artykułu inny organ nadzorczy, którego sprawa dotyczy, zgłosi mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji, wiodący organ nadzorczy – jeżeli nie przychyla się do mającego znaczenie dla sprawy i uzasadnionego sprzeciwu lub sądzi, że sprzeciw nie ma znaczenia dla sprawy lub nie jest uzasadniony – przekazuje sprawę w ramach mechanizmu spójności, o którym mowa w art. 63.
5. Jeżeli wiodący organ nadzorczy zamierza przychylić się do zgłoszonego mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, przedkłada innym organom nadzorczym, których sprawa dotyczy, zmieniony projekt decyzji w celu uzyskania ich opinii. Zmieniony projekt decyzji jest poddawany procedurze, o której mowa w ust. 4, w terminie dwóch tygodni.
6. Jeżeli w terminie, o którym mowa w ust. 4 i 5, żaden inny organ nadzorczy, którego sprawa dotyczy, nie zgłosi sprzeciwu wobec projektu decyzji przedłożonego przez wiodący organ nadzorczy, uznaje się, że wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, porozumiały się w sprawie projektu decyzji i są nią związane.
7. Wiodący organ nadzorczy przyjmuje decyzję i doręcza ją odpowiednio głównej lub pojedynczej jednostce organizacyjnej administratora lub podmiotu przetwarzającego oraz informuje o decyzji inne organy nadzorcze, których sprawa dotyczy, i [EROD], dołączając streszczenie stanu faktycznego i powodów decyzji. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o decyzji.
[…]
10. Po doręczeniu administratorowi lub podmiotowi przetwarzającemu decyzji wiodącego organu nadzorczego […] podejmują oni niezbędne działania, by zastosować się do tej decyzji, jeżeli chodzi o czynności przetwarzania w ramach wszystkich swoich jednostek organizacyjnych w Unii. Administrator lub podmiot przetwarzający zawiadamiają wiodący organ nadzorczy o działaniach podjętych w celu zastosowania się do decyzji, ten zaś informuje o nich inne organy nadzorcze, których sprawa dotyczy”.
W sekcji tego samego rozdziału VII rozporządzenia 2016/679, zatytułowanej „Spójność”, zawarty został art. 63, zatytułowany „Mechanizm spójności”, który stanowi:
„Aby przyczynić się do spójnego stosowania niniejszego rozporządzenia w całej Unii, organy nadzorcze współpracują ze sobą, a w stosownym przypadku także z Komisją, stosując mechanizm spójności określony w niniejszej sekcji”.
EROD uczestniczy w powyższym mechanizmie. Status EROD jest określony w trzeciej i ostatniej sekcji rozdziału VII rozporządzenia 2016/679, zatytułowanej „Europejska rada ochrony danych”.
W tej sekcji zawarty został art. 68, w którym wskazano:
„1. Niniejszym ustanawia się [EORD] jako organ Unii posiadający osobowość prawną.
[…]
3. Do [EORD] należą: przewodniczący jednego organu nadzorczego każdego państwa członkowskiego oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele.
[…]”.
W tej samej sekcji zawarty został art. 70, zatytułowany „Zadania [EROD]”, który stanowi:
„1. [EROD] zapewnia spójne stosowanie niniejszego rozporządzenia. W tym celu z własnej inicjatywy lub w stosownych przypadkach na wniosek Komisji podejmuje w szczególności następujące działania:
a)
monitoruje i zapewnia właściwe stosowanie niniejszego rozporządzenia w przypadkach, o których mowa w art. 64 i 65, bez uszczerbku dla zadań krajowych organów nadzorczych;
[…]”.
W tym samym art. 70 wymieniono również inne zadania EROD, które zasadniczo są zadaniami doradczymi i które wykonuje ona w formie opinii, wytycznych, zaleceń i określania „najlepszych praktyk”.
W sekcji „Spójność”, o której mowa w pkt 26 powyżej, po art. 64, który wymienia przypadki, w których EROD wydaje opinię, znajduje się art. 65, zatytułowany „Rozstrzyganie sporów przez [EROD]”, który stanowi w szczególności:
„1. Aby w poszczególnych sytuacjach zapewnić właściwe i spójne stosowanie niniejszego rozporządzenia, [EROD] przyjmuje w następujących przypadkach wiążące decyzje:
a)
jeżeli w przypadku, o którym mowa w art. 60 ust. 4, organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy nie przychylił się do tego sprzeciwu lub odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony. Wiążąca decyzja dotyczy wszystkich spraw, które są przedmiotem mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, w szczególności dotyczy tego, czy doszło do naruszenia niniejszego rozporządzenia;
[…]
2. Decyzję, o której mowa w ust. 1, [EROD] przyjmuje większością dwóch trzecich głosów swoich członków […]. Decyzja, o której mowa w ust. 1, zostaje wraz z uzasadnieniem skierowana do wiodącego organu nadzorczego i wszystkich organów nadzorczych, których sprawa dotyczy, i jest dla nich wiążąca.
[…]
5. Przewodniczący [EROD] bez zbędnej zwłoki notyfikuje organom nadzorczym, których sprawa dotyczy, decyzję, o której mowa w ust. 1. Informuje o niej Komisję. Decyzja jest niezwłocznie publikowana na stronie internetowej rady, po tym jak organ nadzorczy notyfikował ostateczną decyzję, o której mowa w ust 6.
6. Bez zbędnej zwłoki i najpóźniej w terminie miesiąca po notyfikowaniu przez [EROD] swojej decyzji, wiodący organ nadzorczy lub w stosownym przypadku organ nadzorczy, do którego wniesiono skargę, przyjmuje ostateczną decyzję na podstawie decyzji, o której mowa w ust. 1 niniejszego artykułu […] Ostateczna decyzja zawiera informacje o decyzji, o której mowa w ust. 1 niniejszego artykułu, i wskazuje, że decyzja, o której mowa w tym ustępie, zostanie opublikowana na stronie internetowej [EROD] zgodnie z ust. 5 niniejszego artykułu. Do ostatecznej decyzji załączona zostaje decyzja, o której mowa w ust. 1 niniejszego artykułu”.
Rozdział VIII rozporządzenia 2016/679, zatytułowany „Środki ochrony prawnej, odpowiedzialność i sankcje”, zawiera art. 78, dotyczący „[p]raw[a] do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”, i art. 79, dotyczący „[p]raw[a] do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”. Nie zawiera on żadnego postanowienia dotyczącego ewentualnego środka ochrony prawnej przeciwko wiążącym decyzjom EROD przyjętym na podstawie wyżej wymienionego art. 65 ust. 1. W art. 78 ust. 4 wskazano jednak, że „jeżeli postępowanie zostało wszczęte przeciwko decyzji organu nadzorczego, którą poprzedziła […] decyzja rady w ramach mechanizmu spójności, organ nadzorczy przekazuje właściwemu sądowi tę […] decyzję”.
W uzasadnieniu rozporządzenia 2016/679 zawarty został motyw 143, w którym wskazano, że:
„[k]ażda osoba fizyczna lub prawna ma prawo wnieść do Trybunału Sprawiedliwości skargę o unieważnienie decyzji [EROD] na warunkach przewidzianych w art. 263 TFUE. Organy nadzorcze, których sprawa dotyczy, chcące takie decyzje zaskarżyć – jako adresaci takich decyzji – muszą wnieść skargę w terminie dwóch miesięcy od notyfikowania im tych decyzji, zgodnie z art. 263 TFUE. Jeżeli decyzje [EROD] bezpośrednio i indywidualnie dotyczą administratora, podmiotu przetwarzającego lub skarżącego, ten ostatni może wnieść skargę o unieważnienie tych decyzji w terminie dwóch miesięcy od ich publikacji na stronie internetowej [EROD], zgodnie z art. 263 TFUE. Z zastrzeżeniem prawa przewidzianego w art. 263 TFUE, każda osoba fizyczna lub prawna powinna mieć prawo do skutecznego środka ochrony prawnej przed właściwym sądem krajowym wobec decyzji organu nadzorczego wywołującej skutki prawne wobec tej osoby. Taka decyzja może dotyczyć w szczególności wykonywania przez organ nadzorczy uprawnień do prowadzenia postępowań wyjaśniających, uprawnień naprawczych i do wydawania zezwoleń lub oddalania lub odrzucania skarg. Prawo do skutecznego środka ochrony prawnej przed sądem nie dotyczy jednak niewiążących prawnie środków przyjętych przez organy nadzorcze, takich jak wydawane przez nie opinie czy zalecenia. Skarga przeciwko organowi nadzorczemu powinna być wnoszona do sądu państwa członkowskiego, w którym organ nadzorczy ma siedzibę, a postępowanie powinno się toczyć zgodnie z prawem tego państwa członkowskiego. Sądy te powinny wykonywać pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy.
Jeżeli organ nadzorczy odrzuci lub oddali skargę, skarżący może wnieść odwołanie do sądu tego samego państwa członkowskiego. W kontekście środków ochrony prawnej przed sądem dotyczących stosowania niniejszego rozporządzenia sądy krajowe uznające, że decyzja w tej kwestii jest niezbędna do wydania wyroku, mogą, a w przypadku przewidzianym w art. 267 TFUE – muszą, zwrócić się do Trybunału Sprawiedliwości o orzeczenie w trybie prejudycjalnym w sprawie wykładni prawa Unii, w tym niniejszego rozporządzenia. Ponadto jeżeli decyzja organu nadzorczego wdrażająca decyzję [EROD] zostanie zaskarżona przed sądem krajowym, a przedmiotem będzie ważność decyzji [EROD], sąd krajowy nie jest uprawniony do stwierdzenia nieważności decyzji [EROD], ale jeżeli uważa tę decyzję za nieważną, musi przekazać sprawę jej ważności Trybunałowi Sprawiedliwości zgodnie z art. 267 TFUE i jego wykładnią dokonaną przez Trybunał Sprawiedliwości. Sąd krajowy nie może jednak przekazać Trybunałowi Sprawiedliwości sprawy ważności decyzji [EROD] na wniosek osoby fizycznej lub prawnej, która miała możliwość wnieść skargę o unieważnienie tej decyzji, w szczególności gdy decyzja ta bezpośrednio i indywidualnie jej dotyczyła, ale nie zrobiła tego w terminie przewidzianym w art. 263 TFUE”.
W sprawie dopuszczalności skargi
Artykuł 263 TFUE, którego akapity pierwszy, drugi, czwarty i piąty przytoczono poniżej, stanowi:
„Trybunał Sprawiedliwości Unii Europejskiej kontroluje legalność aktów ustawodawczych, aktów Rady, Komisji i Europejskiego Banku Centralnego, innych niż zalecenia i opinie, oraz aktów Parlamentu Europejskiego i Rady Europejskiej zmierzających do wywarcia skutków prawnych wobec podmiotów trzecich. Kontroluje również legalność aktów organów lub jednostek organizacyjnych Unii, które zmierzają do wywarcia skutków prawnych wobec osób trzecich.
W tym celu Trybunał jest właściwy do orzekania w zakresie skarg wniesionych przez państwo członkowskie, Parlament Europejski, Radę lub Komisję, podnoszących zarzut braku kompetencji, naruszenia istotnych wymogów proceduralnych, naruszenia traktatów lub jakiejkolwiek reguły prawnej związanej z ich stosowaniem lub nadużycia władzy.
[…]
Każda osoba fizyczna lub prawna może wnieść, na warunkach przewidzianych w akapitach pierwszym i drugim, skargę na akty, których jest adresatem lub które dotyczą jej bezpośrednio i indywidualnie oraz na akty regulacyjne, które dotyczą jej bezpośrednio i nie wymagają środków wykonawczych.
Akty tworzące organy i jednostki organizacyjne Unii mogą przewidywać wymogi i warunki szczególne dotyczące skarg wniesionych przez osoby fizyczne lub prawne na akty tych organów lub jednostek organizacyjnych zmierzające do wywarcia skutków prawnych wobec tych osób.
[…]”.
Z art. 263 akapit pierwszy TFUE wynika, iż sądy Unii są właściwe do tego, aby skontrolować legalność wszelkich aktów organu Unii zmierzających do wywarcia skutków prawnych wobec osób trzecich. Z akapitu czwartego tego samego artykułu wynika również, że aby osoba prawna mogła być uprawniona do wniesienia skargi na akt indywidualny organu Unii, którego nie jest adresatem, akt ten musi, co do zasady, dotyczyć jej bezpośrednio i indywidualnie. W niniejszej sprawie, jak wskazano w pkt 32 powyżej, w rozporządzeniu 2016/679 nie zawarto przepisu odpowiadającego postanowieniom art. 263 akapit piąty TFUE, efektem czego w niniejszej sprawie WhatsApp rzeczywiście musi spełnić przewidziane w akapicie czwartym tego artykułu warunki związane z tym, że aby wniesiona przez tę spółkę skarga na zaskarżoną decyzję mogła być dopuszczalna, decyzja ta musi dotyczyć jej bezpośrednio i indywidualnie.
Przede wszystkim należy zauważyć, że zaskarżona decyzja przyjęta przez EROD jest właśnie aktem organu Unii. Wprawdzie system instytucjonalny przewidziany w rozporządzeniu 2016/679, o którym mowa w pkt 21–31 powyżej, w szczególności przysługująca krajowym organom nadzorczym wyłączna kompetencja do przyjmowania wobec administratorów i podmiotów przetwarzających dane środków zaradczych, jak również mechanizmy współpracy i spójności między tymi organami, w tym w ramach EROD, która w istocie zrzesza takie organy, mogłyby sugerować, że EROD jest jedynie organem koordynującym działania organów krajowych. Jednak zgodnie z postanowieniami art. 68 ust. 1 rozporządzenia 2016/679 EROD została ustanowiona jako organ Unii i posiada osobowość prawną. Jest ona również uprawniona, działając w tym charakterze, na podstawie art. 64 i 65 rozporządzenia 2016/679, do wydawania opinii oraz – w ramach rozstrzygania sporów między krajowymi organami nadzorczymi – decyzji takich jak ta zaskarżona, wiążących organy nadzorcze, których sprawa dotyczy, a zatem takie opinie i decyzje są aktami organu Unii.
Następnie należy zauważyć, że zaskarżona decyzja ma na celu wywołanie skutków prawnych wobec osób trzecich, ponieważ jest ona przyjętą na podstawie art. 65 rozporządzenia 2016/679 „decyzją wiążącą” dla danych organów nadzorczych, których sprawa dotyczy.
Niemniej jednak, skoro skarżąca nie jest jednym z tak zwanych „skarżących uprzywilejowanych”, wymienionych wprost w akapicie drugim art. 263 TFUE, z utrwalonego orzecznictwa wynika, że do tego, aby dany akt był zaskarżalny przez tę skarżącą, konieczne jest, aby wywoływał on wiążące skutki prawne mogące naruszyć interesy strony skarżącej przez istotną zmianę jej sytuacji prawnej (wyrok z dnia 11 listopada 1981 r., IBM/Komisja, 60/81, EU:C:1981:264, pkt 9; zob. również wyrok z dnia 18 listopada 2010 r., NDSHT/Komisja, C‑322/09 P, EU:C:2010:701, pkt 45 i przytoczone tam orzecznictwo).
Trybunał orzekł również, że w przypadku, gdy taka strona skarżąca nie jest adresatem aktu, który zaskarża, warunek, zgodnie z którym akt musi zmieniać w sposób istotny sytuację prawną strony skarżącej, pokrywa się z przesłankami wymienionymi w art. 263 akapit czwarty TFUE, charakteryzującymi sytuację, w której zaskarżony akt nie jest aktem regulacyjnym niewymagającym przyjęcia środków wykonawczych, lecz musi dotyczyć strony skarżącej bezpośrednio i indywidualnie (zob. podobnie wyrok z dnia 13 października 2011 r., Deutsche Post i Niemcy/Komisja, C‑463/10 P i C‑475/10 P, EU:C:2011:656, pkt 38).
W niniejszym przypadku już na wstępie można zauważyć, że biorąc pod uwagę charakter zaskarżonego aktu, który jest aktem indywidualnym, zaskarżona decyzja dotyczy WhatsAppa indywidualnie, ponieważ dotyczy ona pewnych aspektów projektu ostatecznej decyzji irlandzkiego organu nadzorczego dotyczących konkretnie WhatsAppa. Wbrew temu, co EROD sugeruje w duplice, zaskarżona decyzja nie ogranicza się do określenia zasad lub wykładni niektórych przepisów rozporządzenia 2016/679, które mogłyby dotyczyć każdego administratora danych. W treści zaskarżonej decyzji, jak wskazano w pkt 11 powyżej, EROD zajmuje stanowisko w kwestii wypełniania przez WhatsApp niektórych jego obowiązków wynikających z rozporządzenia 2016/679, kwalifikuje jako dane osobowe elementy wynikające z procedury nazywanej „Lossy Hashing Procedure”, która jest operacją przetwarzania przeprowadzaną wyłącznie przez WhatsApp, oraz zajmuje stanowisko w przedmiocie niektórych środków zaradczych, które mają być nałożone na WhatsApp, w szczególności w przedmiocie niektórych aspektów określania mających być na nią nałożonych grzywien administracyjnych. Zaskarżona decyzja jest zatem konkretnie przeznaczona dla WhatsAppa, nawet jeśli zawiera, co jest bardzo częste w aktach indywidualnych, stwierdzenie lub przypomnienie zasad i wykładni o charakterze ogólnym.
Następnie należy zbadać, czy zaskarżona decyzja wywołuje skutki prawne, które w istotny sposób zmieniają sytuację prawną WhatsAppa, i czy dotyczy ona go bezpośrednio w rozumieniu art. 263 akapit czwarty TFUE.
Z tej perspektywy należy zauważyć, jak tym razem słusznie podkreśla EROD, że zaskarżona decyzja sama w sobie nie zmienia sytuacji prawnej WhatsAppa. W przeciwieństwie bowiem do wydanej przez irlandzki organ nadzorczy decyzji ostatecznej nie można się na nią w stosunku do tej spółki bezpośrednio powołać i stanowi ona wobec niej akt przygotowawczy lub pośredni w postępowaniu, które zgodnie z przepisami zawartymi w art. 58 ust. 2 oraz art. 60, 63 i 65 rozporządzenia 2016/679, powołanymi w pkt 23–26, jak również w pkt 31 powyżej, musi właśnie zostać zakończone wydaniem przez właściwy krajowy organ nadzorczy ostatecznej decyzji, której ta spółka jest adresatem (zob. podobnie i analogicznie wyrok z dnia 24 czerwca 1986 r., AKZO Chemie i AKZO Chemie UK/Komisja, 53/85, EU:C:1986:256, pkt 19).
W tym względzie wielokrotnie zostało rozstrzygnięte, że w postępowaniach składających się z kilku etapów opracowywania aktów akty tymczasowe, służące przygotowaniu wydania ostatecznej decyzji, co do zasady nie stanowią aktów zaskarżalnych (zob. podobnie wyroki: z dnia 11 listopada 1981 r., IBM/Komisja, 60/81, EU:C:1981:264, pkt 10; z dnia 26 stycznia 2010 r., Internationaler Hilfsfonds/Komisja, C‑362/08 P, EU:C:2010:40, pkt 52 i przytoczone tam orzecznictwo).
Wyjątki od zasady przywołanej w pkt 43 powyżej dotyczą przypadków, kiedy akt tymczasowy wywołuje niezależne skutki prawne, w odniesieniu do których w ramach skargi na decyzję kończącą postępowanie nie można zapewnić wystarczającej ochrony sądowej (zob. podobnie wyroki: z dnia 11 listopada 1981 r., IBM/Komisja, 60/81, EU:C:1981:264, pkt 11, 12; z dnia 13 października 2011 r., Deutsche Post i Niemcy/Komisja, C‑463/10 P i C‑475/10 P, EU:C:2011:656, pkt 53, 54). Tytułem przykładu, takie wyjątki zostały określone w ramach postępowań w sprawie kontroli przestrzegania reguł konkurencji mających zastosowanie do przedsiębiorców (zob. podobnie wyrok z dnia 24 czerwca 1986 r., AKZO Chemie i AKZO Chemie UK/Komisja, 53/85, EU:C:1986:256, pkt 20), w ramach postępowań w sprawie kontroli przestrzegania reguł pomocy państwa (zob. podobnie wyrok z dnia 9 października 2001 r., Włochy/Komisja, C‑400/99, EU:C:2001:528, pkt 55–63) oraz w odniesieniu do środka dodatkowego lub zabezpieczającego poprzedzającego wydanie ostatecznej decyzji w kwestii zawieszenia w obowiązkach urzędnika w ramach prowadzonego przeciwko niemu postępowania dyscyplinarnego (zob. podobnie wyrok z dnia 5 maja 1966 r., Gutmann/Komisja, 18/65 i 35/65, EU:C:1966:24, s. 168).
W niniejszej sprawie WhatsApp ma natomiast zapewnioną skuteczną ochronę sądową w odniesieniu do zaskarżonej decyzji poprzez przysługującą mu możliwość zaskarżenia przed sądem krajowym decyzji ostatecznej irlandzkiego organu nadzorczego, co umożliwia dokonanie oceny ważności zaskarżonej decyzji. Jak zostało to przewidziane w przepisach zawartych w art. 78 ust. 1 rozporządzenia 2016/679, zgodnie z którymi każdej osobie, w każdym państwie członkowskim, musi być zapewnione prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej, WhatsApp zaskarżył przed sądem irlandzkim ostateczną decyzję wydaną przez irlandzki organ nadzorczy i może powoływać się w ramach niniejszej skargi na niezgodność z prawem wiążących ocen zawartych w zaskarżonej decyzji i powtórzonych w powyższej decyzji ostatecznej. W tym względzie należy przypomnieć, że art. 267 TFUE pozwala podnieść przed sądem krajowym zarzut nieważności aktów przyjętych przez instytucje, organy lub jednostki organizacyjne Unii, stanowiąc, że w sytuacji, gdy sąd krajowy uzna, iż uzyskanie orzeczenia w trybie prejudycjalnym jest mu niezbędne do wydania rozstrzygnięcia, może lub musi zwrócić się do Trybunału Sprawiedliwości Unii Europejskiej z wnioskiem o rozpatrzenie jego pytania prejudycjalnego w celu oceny tejże ważności. Jeśli Trybunał po przeprowadzeniu postępowania prejudycjalnego stwierdzi, że taki akt, jeżeli ma on charakter przygotowawczy w stosunku do decyzji pochodzącej od organu państwa członkowskiego, jest nieważny, sąd krajowy musi wyciągnąć z tego wnioski co do zgodności z prawem tej decyzji, która jest niekorzystna dla osoby zainteresowanej (zob. podobnie wyroki: z dnia 30 października 1975 r., Rey Soda i in., 23/75, EU:C:1975:142, pkt 51; z dnia 20 marca 2018 r., Šroubárna Ždánice/Rada, T‑442/16, niepublikowany, EU:T:2018:159, pkt 34).
Ponadto zaskarżona decyzja nie ma w stosunku do WhatsAppa żadnego skutku prawnego, który byłby autonomiczny w stosunku do wydanej przez irlandzki organ nadzorczy decyzji ostatecznej: wszystkie oceny zawarte w pierwszej z tych decyzji zostały powtórzone w drugiej z nich, a pierwsza z tych decyzji nie wywiera żadnego skutku, który byłby niezależny od treści drugiej, w przeciwieństwie do sytuacji, które leżały u podstaw wyroków: z dnia 5 maja 1966 r., Gutmann/Komisja (18/65 i 35/65, EU:C:1966:24), z dnia 24 czerwca 1986 r., AKZO Chemie i AKZO Chemie UK/Komisja (53/85, EU:C:1986:256), oraz z dnia 9 października 2001 r., Włochy/Komisja (C‑400/99, EU:C:2001:528), wymienionych w pkt 44 powyżej.
Chociaż zasady przywołane w pkt 43 i 44 powyżej zostały zastosowane do postępowań należących, jeśli chodzi o decyzję ostateczną, do kompetencji instytucji lub innych podmiotów Unii, brak jest podstawy uzasadniającej to, by miało być inaczej w przypadku, gdy, jak w niniejszej sprawie, prawo Unii powierza nadzór nad stosowaniem przepisów szczególnych Unii określonym organom krajowym w ramach kilkuetapowych postępowań oraz gdy chodzi o akt tymczasowy przyjęty przez organ Unii w trakcie takiego postępowania zakończonego decyzją organu krajowego.
WhatsApp twierdzi wprawdzie, że zaskarżona decyzja obejmuje ostateczne stanowisko EROD, które powinno być uwzględnione przez irlandzki organ kontroli w decyzji ostatecznej. Argument ten należy rozumieć w ten sposób, że zaskarżona decyzja musi być zatem z tego względu zdaniem tej spółki aktem zaskarżalnym i różni się od aktów tymczasowych, które wyrażają jedynie tymczasową opinię i które same w sobie są niezaskarżalne.
Niemniej jednak, jak wspomniano w pkt 38 powyżej, aby akt był zaskarżalny przez stronę skarżącą inną niż tak zwani skarżący uprzywilejowani wymienieni w art. 263 akapit drugi TFUE, akt ten w szczególności musi istotnie zmieniać jej sytuację prawną. Okoliczność zaś, że w akcie tymczasowym wyrażone zostało ostateczne stanowisko organu, które będzie musiało zostać przejęte w decyzji ostatecznej kończącej dane postępowanie, tak jak w niniejszej sprawie, ponieważ zaskarżona decyzja zawiera ostateczną analizę niektórych aspektów decyzji ostatecznej, nie musi oznaczać, że ten akt tymczasowy sam w sobie istotnie zmienia sytuację prawną strony skarżącej, jak wskazano w niniejszej sprawie w pkt 42–47 powyżej. W zakresie, w jakim, jak wspomniano w pkt 39 powyżej, warunek ten pokrywa się z przesłankami określonymi w art. 263 akapit czwarty TFUE, to znaczy w szczególności z wymogiem, aby akt ten dotyczył strony skarżącej bezpośrednio, to, czy ma to miejsce w niniejszej sprawie, można zweryfikować, badając, czy zaskarżona decyzja dotyczy WhatsAppa bezpośrednio.
Jak zaś słusznie twierdzi EROD, zaskarżona decyzja nie dotyczy WhatsAppa bezpośrednio.
Jak bowiem wynika z utrwalonego orzecznictwa, aby dany akt dotyczył strony skarżącej, która nie jest jego adresatem, bezpośrednio, musi on, po pierwsze, wpływać bezpośrednio na sytuację prawną tej strony skarżącej i, po drugie, nie pozostawiać żadnych uprawnień dyskrecjonalnych jego adresatom, zobowiązanym do wprowadzenia go w życie, które ma nastąpić w sposób automatyczny i wynikający z samego przepisu unijnego, bez potrzeby stosowania przepisów pośrednich (wyroki: z dnia 13 maja 1971 r., International Fruit Company i in./Komisja, od 41/70 do 44/70, EU:C:1971:53, pkt 23–28; z dnia 5 maja 1998 r., Dreyfus/Komisja, C‑386/96 P, EU:C:1998:193, pkt 43; z dnia 17 września 2009 r., Komisja/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, pkt 48).
Odnośnie do pierwszego z tych warunków, jak już wskazano w pkt 42 powyżej, na zaskarżoną decyzję nie można powołać się w stosunku do WhatsAppa bezpośrednio, co, w przeciwnym razie, stanowiłoby – bez dodatkowego etapu postępowania – źródło zobowiązań dla WhatsAppa lub – w odpowiednim przypadku – źródło praw innych jednostek. Tym samym decyzja ta różni się ona na przykład od aktów będących przedmiotem wyroku z dnia 23 kwietnia 1986 r., Les Verts/Parlament (294/83, EU:C:1986:166), w którego pkt 31 wskazano, że aby stwierdzić, iż dotyczyły one skarżącego stowarzyszenia bezpośrednio, należało stwierdzić, że „[stanowiły] one uregulowanie kompletne, wystarczające same w sobie i niewymagające żadnych przepisów wykonawczych”. W niniejszej sprawie zaskarżona decyzja nie stanowi ostatniego etapu kompletnego postępowania przewidzianego w art. 58, 60 i 65 rozporządzenia 2016/679.
Odnośnie do drugiego z tych warunków, dotyczącego uprawnień dyskrecjonalnych przysługujących organom zobowiązanym do wprowadzenia danego aktu w życie, należy zauważyć, że nawet jeśli zaskarżona decyzja była dla irlandzkiego organu nadzorczego wiążąca w zakresie wskazanych w niej kwestii, to pozostawiono mu w niej pewien zakres uznania co do treści decyzji ostatecznej.
Jak bowiem wynika z porównania treści zaskarżonej decyzji przedstawionej w pkt 11 powyżej, w której skierowano do organów nadzorczych, których sprawa dotyczy, pewne instrukcje, z treścią skierowanej do WhatsAppa decyzji ostatecznej, przedstawionej w pkt 8 powyżej, treść zaskarżonej decyzji zawiera jedynie część decyzji ostatecznej.
Wspólne dla obu decyzji jest bowiem stwierdzenie dopuszczenia się przez WhatsApp naruszenia zasady przejrzystości określonej w art. 5 ust. 1 lit. a) oraz obowiązków określonych w art. 13 ust. 1 lit. d) i w art. 13 ust. 2 lit. e) rozporządzenia 2016/679, zakwalifikowanie jako danych osobowych elementów będących efektem przeprowadzenia procedury zwanej „Lossy Hashing Procedure”, stosowanej do danych dotyczących „kontaktów” niebędących użytkownikami WhatsAppa, figurujących w książkach adresowych urządzeń użytkowników WhatsAppa, stwierdzenie dopuszczenia się przez WhatsApp z powodu tej kwalifikacji naruszenia obowiązków określonych w art. 14 rozporządzenia 2016/679, trzymiesięczny termin przyznany WhatsAppowi na dostosowanie się do wymogów określonych w rozporządzeniu 2016/679, niektóre z aspektów środków zaradczych, a mianowicie te odnoszące się do danych osobowych osób niebędących użytkownikami WhatsAppa oraz do obowiązku podania użytkownikom WhatsAppa informacji określonych w art. 13 ust. 2 lit. e) rozporządzenia 2016/679, przyjęta wykładnia kryteriów wymiaru nałożonych na WhatsApp grzywien administracyjnych oraz podwyższenie wysokości tych grzywien w stosunku do łącznego poziomu 30–50 mln EUR, który został przewidziany w projekcie decyzji irlandzkiego organu nadzorczego.
Decyzja ostateczna wynika natomiast z oceny irlandzkiego organu nadzorczego w następujących aspektach, w odniesieniu do których EROD w zaskarżonej decyzji nie zajęła stanowiska: stwierdzenie dopuszczenia się przez WhatsApp naruszenia obowiązków określonych w art. 12 ust. 1, art. 13 ust. 1 lit. c), e) i f) oraz art. 13 ust. 2 lit. a) i c) rozporządzenia 2016/679; stwierdzenie, że WhatsApp wywiązał się z obowiązków określonych w art. 13 ust. 1 lit. a) i b) oraz art. 13 ust. 2 lit. b) i d) rozporządzenia 2016/679; staranność WhatsAppa podczas przetwarzania danych osobowych osób niebędących użytkownikami jego komunikatora; istota nałożonych na WhatsApp środków zaradczych, a mianowicie tych mających na celu zapewnienie przestrzegania obowiązków określonych w art. 12 ust. 1, w art. 13 ust. 1 lit. c)–f), w art. 13 ust. 2 lit. a) i c) rozporządzenia 2016/679; konkretne określenie poziomu nałożonych na WhatsApp administracyjnych kar pieniężnych, które łącznie wyniosły 225 mln EUR.
Należy w szczególności zauważyć, że irlandzki organ nadzorczy, korzystając z przysługującego mu marginesu uznania, wyciągnął konsekwencje z instrukcji zawartych w zaskarżonej decyzji w odniesieniu do klasyfikacji elementów danych osobowych wynikających z procedury zwanej „Lossy Hashing Procedure” oraz w odniesieniu do grzywien administracyjnych.
Co do pierwszego z tych zagadnień, to znaczy kwestii przetwarzania danych osobowych osób niebędących użytkownikami WhatsAppa, w szczególności elementów będących wynikiem przeprowadzenia procedury zwanej „Lossy Hashing Procedure”, jak wynika z pkt 111 decyzji ostatecznej, kolejnym etapem analizy mającej na celu ustalenie, czy WhatsApp uchybił w stosunku do tych osób obowiązkom określonym w art. 14 rozporządzenia 2016/679, było rozstrzygnięcie kwestii tego, czy WhatsApp, aktywując funkcję „Kontakty”, działał jako administrator, czy tylko jako podmiot przetwarzający w imieniu użytkownika jego komunikatora. Jednakże ten etap analizy, zakończony przyjęciem pierwszej z tych hipotez, wynika z oceny dokonanej przez irlandzki organ nadzorczy, zaś EROD nie przyjęła w zaskarżonej decyzji stanowiska w tej kwestii.
W odniesieniu do określenia grzywien administracyjnych, chociaż zaskarżona decyzja zawiera wskazówki dotyczące wykładni kryteriów wymiaru grzywien administracyjnych nakładanych na podstawie rozporządzenia 2016/679 i podwyższania łącznej kwoty grzywien, które miały zostać w przedmiotowej sytuacji nałożone na WhatsApp, w odniesieniu do tego, co przewidziano w projekcie decyzji irlandzkiego organu nadzorczego, zachowano w niej pewien zakres uznania w zakresie ustalenia konkretnej kwoty grzywien administracyjnych, które miały zostać nałożone na WhatsApp. Ponadto, jak wskazano w pkt 8 powyżej, irlandzki organ nadzorczy przed wydaniem ostatecznej decyzji zwrócił się do WhatsAppa o przedstawienie uwag w zakresie nowych grzywien administracyjnych, które zamierzał na niego nałożyć, co jest spójne z ustaleniem, że organ ten zachował pewien zakres uznania w tym zakresie. W niniejszym przypadku można zauważyć, że finalnie w decyzji ostatecznej utrzymana została dolna granica przedziału przewidzianych przez irlandzki organ nadzorczy nowych grzywien.
Decyzja ostateczna stanowi jednak całość, z której nie można usunąć zawartych w zaskarżonej decyzji części obejmujących instrukcje, czyniąc z nich ostateczną „poddecyzję”, co do której organ nadzorczy nie dysponowałby żadnym zakresem uznania. Dochodzenie przeprowadzone przez irlandzki organ nadzorczy i wydana przezeń decyzja ostateczna koncentrowały się bowiem na przestrzeganiu przez WhatsApp zasady przejrzystości i wszystkich związanych z nią konkretnych obowiązków określonych w rozporządzeniu 2016/679. A zatem w decyzji ostatecznej poddano analizie całościową praktykę WhatsAppa w tym zakresie i ten sam aspekt owej praktyki stał się przedmiotem badania przeprowadzonego na podstawie szeregu mających w tym względzie znaczenie przepisów rozporządzenia 2016/679, na przykład art. 5 ust. 1 lit. a), art. 12 ust. 1 oraz licznych przepisów art. 13 rozporządzenia 2016/679, zaś zaskarżona decyzja dotyczyła analizy jedynie niektórych z tych przepisów. Usunięcie z przeprowadzonej w decyzji ostatecznej całościowej analizy pewnych szczególnych elementów nie miałoby sensu, skoro postępowanie wszczęte w odniesieniu do WhatsAppa z inicjatywy i na odpowiedzialność irlandzkiego organu nadzorczego jako wiodącego organu nadzorczego dotyczyło ogólnej oceny przestrzegania przez WhatsApp zasady przejrzystości. W szczególności, jeśli chodzi o określenie kar pieniężnych, to kwota każdej z czterech grzywien administracyjnych została ustalona przez irlandzki organ nadzorczy przy uwzględnieniu wszystkich stwierdzonych uchybień odpowiednio w stosunku do art. 5 ust. 1 lit. a), art. 12, 13 i 14 rozporządzenia 2016/679.
W konsekwencji nie został spełniony żaden z dwóch warunków wskazanych w pkt 51 powyżej, których spełnienie pozwoliłoby na uznanie, że zaskarżona decyzja dotyczy WhatsAppa bezpośrednio.
Z powyższego wynika, że skarga WhatsAppa jest niedopuszczalna.
Wynik tej analizy jest spójny z tym, co mogło zostać rozstrzygnięte w innych postępowaniach, w których adresatem dotyczącego przedsiębiorców unijnego aktu o wiążącym charakterze jest państwo członkowskie.
Tak więc w odniesieniu do kontroli pomocy państwa z orzecznictwa wynika, że kiedy Komisja przyjmuje decyzję uznającą przyznaną już pomoc za niezgodną z prawem i z rynkiem wewnętrznym i nakazuje państwu członkowskiemu, które jej udzieliło, odzyskanie wypłaconych kwot tej pomocy, owa decyzja dotyczy beneficjentów tych wypłaconych kwot pomocy bezpośrednio i indywidualnie (zob. podobnie wyrok z dnia 19 października 2000 r., Włochy i Sardegna Lines/Komisja, C‑15/98 i C‑105/99, EU:C:2000:570, pkt 33–36). W tej kwestii stwierdzono, że od momentu wydania decyzji tego rodzaju beneficjenci ci są narażeni na ryzyko, że otrzymane przez nich korzyści będą podlegać odzyskaniu, co wpłynie na ich sytuację prawną (wyrok z dnia 9 czerwca 2011 r., ComitatoVenezia vuole vivere i in./Komisja, C‑71/09 P, C‑73/09 P i C‑76/09 P, EU:C:2011:368, pkt 56). Jest to uzasadnione, ponieważ postępowanie w sprawie kontroli jest już na tym etapie zakończone i żadna dodatkowa ocena merytoryczna nie będzie już przeprowadzana, ponieważ kwoty podlegające odzyskaniu są ustalane automatycznie na podstawie decyzji Komisji i kwot pomocy przekazanych uprzednio przedsiębiorcom, których sprawa dotyczy, zaś państwo członkowskie jest zobowiązane do samodzielnego wszczęcia i przeprowadzenia procesu odzyskania kwot tej pomocy, o ile nie wystąpiły wyjątkowe okoliczności (zob. podobnie wyroki: z dnia 7 czerwca 1988 r., Komisja/Grecja, 63/87, EU:C:1988:285; z dnia 20 września 1990 r., Komisja/Niemcy, C‑5/89, EU:C:1990:320, pkt 15, 16; z dnia 20 marca 1997 r., Alcan Deutschland, C‑24/95, EU:C:1997:163), a osoby trzecie mogą wszczynać na podstawie tej decyzji Komisji przed organami administracji, których sprawa dotyczy, lub przed sądem krajowym, postępowanie mające na celu uzyskanie zwrotu przedmiotowej pomocy bez konieczności ponoszenia ciężaru dowodu, że została ona przyznana niezgodnie z prawem (zob. podobnie wyrok z dnia 12 lutego 2008 r., CELF i ministre de la Culture et de la Communication, C‑199/06, EU:C:2008:79, pkt 23, 39–41). W niniejszej sprawie zaskarżona decyzja nie znajduje się na analogicznym etapie, ponieważ postępowanie w sprawie kontroli nie zakończyło się wraz z jej wydaniem, a dodatkowe oceny dotyczące przestrzegania przez WhatsApp przepisów rozporządzenia 2016/679 i nałożonej sankcji muszą jeszcze zostać potwierdzone czy też przeprowadzone przez wiodący organ nadzorczy, a zaskarżona decyzja sama w sobie nie stanowi prawnie wiążącej podstawy dla nałożenia obowiązków na WhatsApp.
Również zgodnie z orzecznictwem skierowana do państwa członkowskiego decyzja Komisji wskazująca, że finansowanie europejskie na rzecz przedsiębiorstwa zostało zmniejszone w stosunku do przewidzianej wcześniej wysokości z powodu braku możliwości uznania za kwalifikujące się do objęcia tym finansowaniem niektórych przedstawionych przez nie wydatków, dotyczyła tego przedsiębiorcy bezpośrednio i indywidualnie, ponieważ sporna decyzja pozbawiła je części wsparcia finansowego, które zostało mu pierwotnie przyznane, zaś państwu członkowskiemu nie przysługują w tym zakresie żadne uprawnienia dyskrecjonalne (wyrok z dnia4 czerwca 1992 r., Infortec/Komisja, C‑157/90, EU:C:1992:243, pkt 17). Jednak w przedmiotowym przypadku w przeciwieństwie do decyzji Komisji, w której dokonano powyższej oceny, zaskarżona decyzja nie jest – jak wskazano w pkt 52 powyżej – ostatnim etapem rozpatrywanego postępowania, które było kompletne, oraz – jak wskazano w pkt 56 i 57 powyżej – pozostawiła irlandzkiemu organowi nadzorczemu pewien zakres uznania.
Bardziej ogólnie rzecz ujmując, niedopuszczalność wniesionej przez WhatsApp do Sądu skargi na zaskarżoną decyzję jest zgodna z logiką systemu środków zaskarżenia na drodze sądowej, który to system został ustanowiony w traktacie UE oraz w traktacie FUE.
Jak stanowi art. 2 traktatu UE, Unia opiera się w szczególności na wartości poszanowania państwa prawnego. Artykuł 6 ust. 1 traktatu UE stanowi, że Unia uznaje prawa, wolności i zasady określone w Karcie praw podstawowych Unii Europejskiej, a art. 47 karty zapewnia prawo do skutecznego środka prawnego i dostępu do bezstronnego sądu. Artykuł 19 traktatu UE wskazuje, że Trybunał Sprawiedliwości Unii Europejskiej zapewnia poszanowanie prawa w wykładni i stosowaniu traktatów oraz w szczególności orzeka on zgodnie z traktatami w zakresie skarg wniesionych przez państwa członkowskie, instytucje lub osoby fizyczne lub prawne oraz w trybie prejudycjalnym, na wniosek sądów państw członkowskich, w sprawie wykładni prawa Unii lub ważności aktów przyjętych przez instytucje, a także w innych sprawach przewidzianych w traktatach. Ten sam artykuł stanowi, że państwa członkowskie ustanawiają niezbędne środki do zapewnienia skutecznej ochrony prawnej w dziedzinach objętych prawem Unii.
Dokładniej rzecz ujmując, w traktacie FUE, w szczególności w art. 263, dotyczącym skarg bezpośrednich, które mogą zostać wniesione do Trybunału Sprawiedliwości Unii Europejskiej, oraz w art. 267, dotyczącym spraw, w których Trybunał orzeka w trybie prejudycjalnym, w szczególności co do ważności i wykładni aktów przyjętych przez instytucje organy lub jednostki organizacyjne Unii, ustanowiony został kompletny system środków ochrony prawnej, mający na celu zapewnienie kontroli zgodności aktów Unii z prawem (zob. podobnie wyrok z dnia 25 lipca 2002 r., Unión de Pequeños Agricultores/Rada, C‑50/00 P, EU:C:2002:462, pkt 40). Do systemu tego należy zarówno Trybunał Sprawiedliwości Unii Europejskiej, którego częścią jest Sąd, jak i sądy krajowe. W ramach tego systemu osoby, które, ze względu na przesłanki dopuszczalności, o których mowa w art. 263 TFUE, nie mogą zaskarżyć aktów Unii do Trybunału Sprawiedliwości Unii Europejskiej bezpośrednio, mają możliwość powołania się – podnosząc zarzut niezgodności z prawem – na nieważność takich aktów przed sądem krajowym, wnosząc do tego sądu środek zaskarżenia kwestionujący krajowe środki wykonawcze tego aktu. W takiej sytuacji to do sędziego krajowego, jeżeli uzna, że rozstrzygnięcie w tej kwestii jest niezbędne do wydania przez niego orzeczenia i ma wątpliwości co do ważności tego aktu, należy wystąpienie do Trybunału Sprawiedliwości Unii Europejskiej z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym (zob. także podobnie i analogicznie wyrok z dnia 25 lipca 2002 r., Unión de Pequeños Agricultores/Rada, C‑50/00 P, EU:C:2002:462, pkt 40).
Logika tego systemu, wyjaśniająca w szczególności wykładnię przesłanek dopuszczalności skarg bezpośrednich określonych w art. 263 TFUE, która była omawiana w trakcie analizy przeprowadzonej w pkt 35–62 powyżej, opiera się na celu polegającym na zapewnieniu, by postępowanie sądowe przed Trybunałem Sprawiedliwości Unii Europejskiej oraz postępowania przed sądami krajowymi skutecznie się uzupełniały, a sąd unijny i sąd krajowy nie musiały orzekać jednocześnie w toczących się równolegle postępowaniach w przedmiocie ważności tego samego aktu Unii, czy to bezpośrednio, czy też – w przypadku sądu krajowego – w razie zaistnienia wątpliwości co do ważności danego aktu w następstwie zadania pytania prejudycjalnego. Powyższa logika mogła w szczególności uzasadniać wydanie orzeczenia, zgodnie z którym strona skarżąca, która niewątpliwie mogła zakwestionować decyzję Unii bezpośrednio przed Trybunałem Sprawiedliwości Unii Europejskiej, później nie mogła już zakwestionować ważności tej decyzji, w szczególności w toku późniejszego postępowania przed sądem krajowym (zob. podobnie wyrok z dnia 9 marca 1994 r., TWD Textilwerke Deggendorf, C‑188/92, EU:C:1994:90, pkt 17; zob. również podobnie wyrok z dnia 9 czerwca 2011 r., Comitato Venezia vuole vivere i in./Komisja, C‑71/09 P, C‑73/09 P i C‑76/09 P, EU:C:2011:368, pkt 58 i przytoczone tam orzecznictwo). Przeciwnie, zgodnie z utrwalonym orzecznictwem przyjmuje się, że niezgodność z prawem niezaskarżalnego aktu Unii, stanowiącego podstawę innego aktu, może być powołana w skardze na ten drugi akt (wyrok z dnia 11 listopada 1981 r., IBM/Komisja, 60/81, EU:C:1981:264, pkt 12 i – a contrario – odniesienia do wcześniejszego orzecznictwa).
W niniejszej sprawie uznanie dopuszczalności skargi WhatsAppa na zaskarżoną decyzję prowadziłoby do sytuacji, w której toczyłyby się dwa równoległe postępowania sądowe, pokrywające się w istotnych kwestiach: jedno – przed Sądem – kwestionujące zaskarżoną decyzję, a drugie – przed sądem irlandzkim – kwestionujące decyzję ostateczną, której część uzasadnienia została oparta na zaskarżonej decyzji. Poza tym WhatsApp, celem uzyskania terminu na złożenie repliki przed Sądem, powołał się na nakład pracy, którego równolegle wymagało od niego postępowanie przed sądem irlandzkim, do którego skierował sprawę. O ile jeden z sądów, do których skierowano sprawę, nie zawiesi toczącego się przed nim postępowania, co mogłoby przełożyć się na wydłużenie czasu niezbędnego do uzyskania ostatecznego rozstrzygnięcia co do zgodności z prawem decyzji ostatecznej, to prowadzenie równoległych postępowań mogłoby nawet doprowadzić do sytuacji, w której jednocześnie Trybunał w trybie prejudycjalnym oraz sąd w konsekwencji skargi bezpośredniej WhatsAppa – zostałyby wezwane do rozstrzygnięcia w przedmiocie ważności zaskarżonej decyzji. Mając na uwadze system środków ochrony prawnej, o których mowa w pkt 68 i 69 powyżej, oraz uwzględniając przepisy art. 78 rozporządzenia 2016/679 dotyczące prawa do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu, w niniejszej sprawie to do sądu irlandzkiego, który jako jedyny jest właściwy w tym względzie, należało będzie zbadanie zgodności z prawem ostatecznej decyzji, na którą można się powołać wobec WhatsAppa przez zwrócenie się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem prejudycjalnym w przedmiocie oceny ważności zaskarżonej decyzji, jeżeli uzna on, że jest to niezbędne do rozstrzygnięcia sporu między WhatsAppem a irlandzkim organem nadzorczym. Sąd irlandzki, do którego skierowano sprawę, mógłby w tym względzie rozstrzygnąć zawisły przed nim spór albo poprzez odrzucenie zarzutu niezgodności z prawem, który mógłby zostać podniesiony przeciwko zaskarżonej decyzji, bez zwracania się do Trybunału, jeżeli nie ma on żadnych wątpliwości co do ważności tej decyzji albo, wręcz przeciwnie, jeżeli ma takie wątpliwości – zwrócić się do Trybunału, albo też rozstrzygnąć spór niezależnie od kwestii ważności zaskarżonej decyzji, uwzględniając podniesione przed nim okoliczności. Takie rozwiązanie jest zgodne z interesem prawidłowego sprawowania wymiaru sprawiedliwości, przy uwzględnieniu wspomnianych na początku tego punktu ryzyk wynikających z równoległych postępowań sądowych.
Wreszcie, należy zauważyć, w odniesieniu do powołanego w pkt 33 powyżej motywu 143 rozporządzenia 2016/679 – który mógłby sugerować, że skarga taka jak ta wniesiona przez WhatsApp do Sądu jest dopuszczalna – że motyw rozporządzenia, jakkolwiek może stanowić wyjaśnienie wykładni przepisu prawa, sam w sobie nie może stanowić przepisu prawa, a preambuła aktu Unii nie ma wiążącej mocy prawnej (zob. wyrok z dnia 26 października 2017 r., Marine Harvest/Komisja, T‑704/14, EU:T:2017:753, pkt 150 i przytoczone tam orzecznictwo; zob. również podobnie wyrok z dnia 24 listopada 2005 r., Deutsches Milch-Kontor, C‑136/04, EU:C:2005:716, pkt 32 i przytoczone tam orzecznictwo). Jednak w tym przypadku motyw ten nie stanowi podstawy żadnego przepisu rozporządzenia 2016/679, jak podniesiono w pkt 32 i 35 powyżej. Ponadto wyjaśnienie zawarte w uzasadnieniu rozporządzenia nie może mieć pierwszeństwa przed mającymi zastosowanie przepisami prawa pierwotnego zawartymi w traktatach, w tym przypadku przed postanowieniami akapitów pierwszego i czwartego art. 263 TFUE, którego treść została ponadto częściowo przywołana w omawianym motywie, ze wskazaniem, w zdaniu pierwszym, że „[k]ażda osoba fizyczna lub prawna ma prawo wnieść do Trybunału Sprawiedliwości skargę o unieważnienie decyzji [EROD] na warunkach przewidzianych w art. 263 TFUE”.
W konsekwencji z powyższego wynika, że skargę należy odrzucić jako niedopuszczalną.
W przedmiocie wniosków o dopuszczenie do sprawy w charakterze interwenienta
Zgodnie z art. 142 § 2 regulaminu postępowania przed Sądem, interwencja ma charakter akcesoryjny względem postępowania głównego i staje się bezprzedmiotowa między innymi w razie uznania skargi za niedopuszczalną.
W konsekwencji nie ma już podstaw do orzekania w przedmiocie wniosków o dopuszczenie do sprawy w charakterze interwenienta ani złożonych w ich następstwie wniosków o objęcie poufnością elementów akt sprawy.
W przedmiocie kosztów
Zgodnie z brzmieniem art. 134 § 1 regulaminu postępowania przed Sądem kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę. Ponieważ WhatsApp przegrał sprawę, zgodnie z żądaniem EROD należy obciążyć go kosztami postępowania, z zastrzeżeniem przedstawionym w pkt 76 poniżej.
Ponadto zgodnie z art. 144 § 10 regulaminu postępowania przed Sądem w razie wydania orzeczenia kończącego postępowanie w sprawie głównej przed wydaniem rozstrzygnięcia w przedmiocie wniosku o dopuszczenie do sprawy w charakterze interwenienta, składający wniosek o dopuszczenie do sprawy w charakterze interwenienta i strony główne pokrywają własne koszty związane z postępowaniem w przedmiocie tego wniosku. W niniejszej sprawie WhatsApp, EROD, Republika Finlandii, Komisja, Europejski Inspektor Ochrony Danych oraz Computer & Communication Industry Association pokrywają, każde we własnym zakresie, swoje koszty związane z wnioskami o dopuszczenie do sprawy w charakterze interwenienta.
Z powyższych względów
SĄD (czwarta izba w składzie powiększonym)
postanawia, co następuje:
1)
Skarga zostaje odrzucona jako niedopuszczalna.
2)
Postępowanie w przedmiocie wniosków Republiki Finlandii, Komisji Europejskiej, Europejskiego Inspektora Ochrony Danych oraz Computer & Communication Industry Association o dopuszczenie do sprawy w charakterze interwenienta oraz złożonych w ich następstwie wniosków o objęcie poufnością elementów akt sprawy zostaje umorzone.
3)
WhatsApp Ireland Ltd pokrywa własne koszty oraz koszty Europejskiej Rady Ochrony Danych, z wyjątkiem kosztów poniesionych przez nią w związku z wnioskiem o dopuszczenie do sprawy w charakterze interwenienta.
4)
Europejska Rada Ochrony Danych, Republika Finlandii, Komisja, Europejski Inspektor Ochrony Danych oraz Computer & Communication Industry Association pokrywają, każde we własnym zakresie, koszty związane z wnioskami o dopuszczenie do sprawy w charakterze interwenienta.
Sporządzono w Luksemburgu, w dniu 7 grudnia 2022 r.
Sekretarz
E. Coulon
Prezes
S. Gervasoni
(
*1
) Język postępowania: angielski.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 14.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło