–

Österreichische Datenschutzbehörde, atstovaujamos A. Jelinek ir M. Schmidl,

–

WK, atstovaujamo Rechtsanwalt M. Sommer,

–

Präsident des Nationalrates, atstovaujamo C. Neugebauer ir R. Posnik,

–

Austrijos vyriausybės, atstovaujamos A. Posch, J. Schmoll S. Dörnhöfer ir C. Leeb,

–

Čekijos vyriausybės, atstovaujamos O. Serdula, M. Smolek ir J. Vláčil,

–

Europos Komisijos, atstovaujamos A. Bouchagiar, M. Heller ir H. Kranenborg,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl SESV 16 straipsnio 2 dalies pirmo sakinio, taip pat 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; toliau – BDAR) 2 straipsnio 2 dalies a punkto, 51 straipsnio 1 dalies 55 straipsnio 1 dalies ir 77 straipsnio 1 dalies išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant Österreichische Datenschutzbehörde (Nacionalinė duomenų apsaugos institucija, Austrija; toliau – Datenschutzbehörde) ir WK ginčą dėl sprendimo atmesti WK skundą dėl tariamo jo teisės į asmens duomenų apsaugą pažeidimo.

3

BDAR 16, 20 ir 117 konstatuojamosios dalys suformuluotos taip:

<…>

<…>

4

BDAR 2 straipsnyje „Materialinė taikymo sritis“ nustatyta:

„1.   Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

2.   Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

<…>

3.   Sąjungos institucijų, įstaigų, tarnybų ir agentūrų atliekamam asmens duomenų tvarkymui taikomas [2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001, p. 1; 2004 m. specialusis leidimas lietuvių k., 13 sk., 26 t., p. 102)]. Reglamentas (EB) Nr. 45/2001 ir kiti Sąjungos teisės aktai, taikytini tokiam asmens duomenų tvarkymui, pagal 98 straipsnį pritaikomi pagal šio reglamento principus ir taisykles.

<…>“

5

BDAR 4 straipsnis „Apibrėžtys“ suformuluotas taip:

„Šiame reglamente:

<…>

<…>“

6

BDAR 23 straipsnio „Apribojimai“ 1 dalyje nustatyta:

„Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

<…>

<…>“

7

BDAR 51 straipsnio „Priežiūros institucija“ 1 dalyje numatyta:

„Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje (toliau – priežiūros institucija).“

8

BDAR 54 straipsnio „Priežiūros institucijos įsteigimo taisyklės“ 1 dalyje nustatyta:

„Kiekviena valstybė narė teisės aktais nustato visus šiuos elementus:

<…>“

9

BDAR 55 straipsnyje „Kompetencija“ numatyta:

„1.   Kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis pagal šį reglamentą jai suteiktais įgaliojimais.

2.   Jeigu duomenis tvarko valdžios institucijos arba privačios įstaigos, veikiančios pagal 6 straipsnio 1 dalies c arba e punktą, kompetenciją turi atitinkamos valstybės narės priežiūros institucija. Tokiais atvejais 56 straipsnis netaikomas.

3.   Priežiūros institucijos nėra kompetentingos prižiūrėti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdydami savo teismines funkcijas.“

10

BDAR 77 straipsnyje „Teisė pateikti skundą priežiūros institucijai“ numatyta:

„1.   Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.

2.   Priežiūros institucija, kuriai pateiktas skundas, informuoja skundo pateikėją apie skundo nagrinėjimo pažangą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 78 straipsnį.“

11

Pagrindinės bylos aplinkybėms taikytinos redakcijos Bundes‑Verfassungsgesetz (Federalinis konstitucinis įstatymas), iš naujo paskelbto 1930 m. sausio 2 d. (BGBl. 1/1930) (toliau – B-VG), 53 straipsnyje numatyta:

(1) Nationalrat [Nacionalinė Taryba, Austrija] gali nuspręsti įsteigti tyrimo komitetą. Be to, tyrimo komitetas turi būti įsteigtas ketvirtadalio jos narių prašymu.

(2) Tyrimas atliekamas dėl ankstesnės veiklos federalinio lygmens vykdomajai valdžiai priskiriamoje srityje. Jis apima visą federalinių institucijų, per kurias federacija, neatsižvelgiant į jos dalyvavimo mastą, naudojasi dalyvavimo ir priežiūros teisėmis, veiklą. Teismų praktikos peržiūra neleidžiama.

(3) Visos federacijos, žemių, savivaldybių ir savivaldybių grupių institucijos, taip pat kitų savarankiškų subjektų institucijos tyrimo komiteto paprašytos turi jam pateikti savo bylas ir dokumentus, kiek tai susiję su tyrimo dalyku, ir privalo vykdyti tyrimo komiteto reikalavimus siekiant surinkti įrodymus, susijusius su tyrimo dalyku. Ši pareiga netaikoma byloms ir dokumentams, kurių atskleidimas galėtų pakenkti šaltiniams, kaip jie suprantami pagal 52a straipsnio 2 dalį.

(4) 3 dalyje numatyta pareiga netaikoma, jei dėl jos būtų daromas poveikis federalinės vyriausybės ar kai kurių jos narių teisėtam valios formavimui arba pasirengimui ją pareikšti.

<…>“

12

B-VG numatytas įstatymų leidžiamosios, vykdomosios ir teisminės valdžios padalijimas. Norint nukrypti nuo šio valdžių padalijimo principo, reikalingas konstitucinis pagrindas.

13

Pagrindinės bylos aplinkybėms taikytinos redakcijos 1999 m. rugpjūčio 17 d.Datenschutzgesetz (Įstatymas dėl duomenų apsaugos, BGBl. I, 165/1999; toliau – DSG) 1 straipsnio 1 dalyje nustatyta:

„Kiekvienas asmuo turi teisę į asmens duomenų konfidencialumą, ypač kiek tai susiję su jo privataus ir šeimos gyvenimo gerbimu, jeigu yra saugotinas interesas. Tokio intereso nėra, kai teisė į duomenų konfidencialumą nesuteikiama dėl to, kad jie laisvai prieinami visuomenei arba jais remiantis neįmanoma nustatyti duomenų subjekto tapatybės.“

14

DSG 18 straipsnio 1 dalyje nustatyta:

„Datenschutzbehörde įsteigta kaip nacionalinė priežiūros institucija pagal BDAR 51 straipsnį.“

15

DSG 24 straipsnio 1 dalis suformuluota taip:

„Kiekvienas duomenų subjektas turi teisę pateikti skundą Datenschutzbehörde, jei mano, kad tvarkant jo asmens duomenis pažeistas BDAR arba 1 skyriaus 1 arba 2 straipsnis.“

16

DSG 35 straipsnyje numatyta:

„(1) Datenschutzbehörde paskirtis – užtikrinti duomenų apsaugą pagal BDAR ir šio federalinio įstatymo nuostatas.

(2) Datenschutzbehörde taip pat naudojasi savo įgaliojimais B-VG 19 straipsnyje nurodytų aukščiausiųjų vykdomosios valdžios institucijų atžvilgiu, o B-VG 30 straipsnio 3–6 dalyse, 125 straipsnyje, 134 straipsnio 8 dalyje ir 148h straipsnio 1 ir 2 dalyse nurodytų aukščiausiųjų institucijų atžvilgiu – jų kompetencijai priklausančiais administraciniais klausimais.“

17

2018 m. balandžio 20 d. sprendimu Nacionalinė Taryba pagal B-VG 53 straipsnį įsteigė tyrimo komitetą ir pavedė jam ištirti galimą politinę įtaką Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Federalinė Konstitucijos apsaugos ir kovos su terorizmu tarnyba, Austrija, toliau – BVT), kurią nuo 2021 m. gruodžio 1 d. pakeitė Direktion Staatsschutz und Nachrichtendienst (Valstybės saugumo ir žvalgybos tarnybos direkcija, Austrija).

18

2018 m. rugsėjo 19 d. šis tyrimo komitetas (toliau – BVT tyrimo komitetas) apklausė WK kaip liudytoją; apklausoje galėjo dalyvauti žiniasklaidos atstovai. Nepaisant WK prašymo užtikrinti anonimiškumą, šios apklausos protokolas, kuriame buvo nurodyta visa jo pavardė ir vardai, buvo paskelbtas Parlament Österreich (Austrijos parlamentas) interneto svetainėje.

19

2019 m. balandžio 2 d. WK pateikė skundą Datenschutzbehörde, jame teigė, kad prieš jo valią paskelbus minėtos apklausos protokolą, kuriame nurodyta jo tapatybė, buvo pažeistos BDAR nuostatos ir DSG 1 straipsnis. Grįsdamas savo skundą jis paaiškino, kad dirba įslaptintu pareigūnu policijos greitojo reagavimo būryje, atsakingame už kovą su nusikalstamumu viešosiose vietose.

20

2019 m. rugsėjo 18 d. sprendimu Datenschutzbehörde atmetė šį skundą. Ji nusprendė, kad nors BDAR iš esmės neužkertamas kelias priežiūros institucijoms vykdyti teisėkūros institucijų kontrolę, vis dėlto pagal valdžių padalijimo principą įstatymų leidžiamoji valdžia negali būti kontroliuojama vykdomosios valdžios. Šiomis aplinkybėmis, kadangi BVT tyrimo komitetas priskiriamas prie įstatymų leidžiamosios valdžios, Datenschutzbehörde, kuri yra vykdomosios valdžios institucija, neturi įgaliojimų kontroliuoti šio komiteto veiklos, todėl neturi kompetencijos priimti sprendimo dėl WK skundo.

21

2020 m. lapkričio 23 d. sprendimu Bundesverwaltungsgericht (Federalinis administracinis teismas, Austrija) patenkino WK skundą ir panaikino Datenschutzbehörde sprendimą. Jis iš esmės nusprendė, kad BDAR taikomas įstatymų leidžiamosios valdžios, taigi ir BVT tyrimo komiteto, veiklai. Iš tiesų BDAR materialinė taikymo sritis, kaip ji apibrėžta jo 2 straipsnio 1 dalyje, nustatyta išsamiai ir apima bet kokį duomenų tvarkymą, neatsižvelgiant į subjektą, kuris tai daro, ir į valstybės valdžios rūšį, kuriai šis subjektas priklauso. Be to, iš BDAR 2 straipsnio 2 dalies taip pat negalima daryti išvados, kad leidžiama nukrypti nuo šio reglamento taikymo tam tikroms valstybės veiklos sritims, kaip antai teisėkūrai, nes šios nuostatos a punkte numatyta išimtis turi būti aiškinama siaurai. Dėl šios priežasties, Bundesverwaltungsgericht (Federalinis administracinis teismas) teigimu, Datenschutzbehörde turėjo kompetenciją priimti sprendimą dėl WK skundo pagal minėto reglamento 77 straipsnį.

22

Gavus Datenschutzbehörde kasacinį skundą dėl šio Bundesverwaltungsgericht (Federalinis administracinis teismas) sprendimo, prašymą priimti prejudicinį sprendimą šioje byloje pateikusiam Verwaltungsgerichtshof (Vyriausiasis administracinis teismas, Austrija) kilo klausimas, pirma, ar valstybės narės parlamento įsteigto tyrimo komiteto aktai, net neatsižvelgiant į tyrimo dalyką, nepatenka į BDAR taikymo sritį pagal 2 straipsnio 2 dalies a punktą ir SESV 16 straipsnio 2 dalies pirmą sakinį, nes tokių komitetų darbas pagal savo pobūdį yra į Sąjungos teisės taikymo sritį nepatenkanti veikla.

23

Šiomis aplinkybėmis nurodytas teismas visų pirma pažymi, kad pagal Teisingumo Teismo jurisprudenciją šioje srityje, suformuotą, be kita ko, 2020 m. liepos 9 d. Sprendime Land Hessen (C‑272/19, EU:C:2020:535), norint taikyti BDAR negalima reikalauti, kad atitinkamas asmens duomenų tvarkymas būtų konkrečiai atliekamas į Sąjungos teisės sritį patenkančiais tikslais, kad jis vyktų tarpvalstybiniu lygmeniu arba turėtų konkrečios ir tiesioginės įtakos laisvam judėjimui tarp valstybių narių. Atvirkščiai, šis reglamentas netaikomas, jei tenkinama bent viena iš jo 2 straipsnio 2 dalies a–d punktuose numatytų išimčių taikymo sąlygų.

24

Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas primena, kad pagal Teisingumo Teismo jurisprudenciją BDAR 2 straipsnio 2 dalies a punktas, siejamas su šio reglamento 16 konstatuojamąja dalimi, turi būti suprantamas taip, kad vienintelis jo tikslas – į šio reglamento taikymo sritį neįtraukti asmens duomenų tvarkymo, kai jį atlieka valstybės institucijos, vykdydamos veiklą, kuria siekiama užtikrinti nacionalinį saugumą, arba veiklą, kuri gali būti priskirta prie tos pačios kategorijos. Veikla, kuria siekiama užtikrinti nacionalinį saugumą, nurodyta BDAR 2 straipsnio 2 dalies a punkte, visų pirma apima veiklą, skirtą esminėms valstybės funkcijoms ir pagrindiniams visuomenės interesams apsaugoti (2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 62–67 punktai).

25

Be to, jis pabrėžia tam tikrus skirtumus tarp parlamento komiteto, nagrinėto byloje, kurioje priimtas 2020 m. liepos 9 d. Sprendimas Land Hessen (C‑272/19, EU:C:2020:535), t. y. Heseno federalinės žemės (Vokietija) parlamento Peticijų komiteto, ir BVT tyrimo komiteto. Konkrečiai kalbant, pastarasis savo darbu ne tik netiesiogiai prisideda prie parlamentinės veiklos, bet ir yra šios veiklos centre, atsižvelgiant į kontrolės funkciją, kurią B-VG suteikia tyrimo komitetams, įsteigtiems Nacionalinės Tarybos.

26

Galiausiai prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo įstatymų leidžiamosios, vykdomosios ir teisminės valdžios padalijimo principą, kuris yra neatsiejama tiek kiekvienos valstybės narės teisės, tiek Sąjungos teisės dalis. Žinoma, BDAR 55 straipsnio 3 dalyje numatyta, kad į priežiūros institucijų kompetenciją nepatenka tik duomenų tvarkymo operacijos, kurias atlieka teismai, vykdydami teismines funkcijas, tačiau nekalbama apie vykdant parlamentinę veiklą atliekamą duomenų tvarkymą. Vis dėlto tokį nepaminėjimą galima paaiškinti tuo, kad, Sąjungos teisės aktų leidėjo nuomone, pastaroji veikla nepatenka į minėto reglamento taikymo sritį jau pagal jo 2 straipsnio 2 dalies a punktą.

27

Antra, prašymą priimti prejudicinį sprendimą pateikęs teismas pabrėžia, kad BVT tyrimo komiteto atliekamo tyrimo dalykas yra su nacionaliniu saugumu susijusi veikla, kuriai, atsižvelgiant į BDAR 16 konstatuojamąją dalį, Sąjungos teisė netaikoma, taigi ji nepatenka į šio reglamento materialinę taikymo sritį pagal jo 2 straipsnio 2 dalies a punktą.

28

Taigi, darant prielaidą, kad tyrimo komiteto vykdoma parlamentinės kontrolės veikla iš principo patenka į Sąjungos teisės taikymo sritį, kaip tai suprantama pagal SESV 16 straipsnio 2 dalį, dar reikėtų patikrinti, ar jo veiklai taikoma bent BDAR 2 straipsnio 2 dalies a punkte numatyta išimtis, atsižvelgiant į tai, kad tyrimo dalykas susijęs su vykdomosios valdžios veikla, kuri, kaip nagrinėjamu atveju, nepatenka į Sąjungos teisės taikymo sritį.

29

Trečia, prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar, atsižvelgiant, be kita ko, į konstitucinį valdžių padalijimo principą Austrijoje, Datenschutzbehörde, vienintelė nacionalinė priežiūros institucija, kaip ji suprantama pagal BDAR 51 straipsnį, yra kompetentinga, remdamasi vien šiuo reglamentu, priimti sprendimą dėl tokio skundo, kokį pateikė WK, jeigu nacionalinėje teisėje tokiai kompetencijai nėra jokio konstitucinio pagrindo.

30

Šiomis aplinkybėmis Verwaltungsgerichtshof (Vyriausiasis administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

Jeigu į pirmąjį klausimą būtų atsakyta teigiamai:

Jei į antrąjį klausimą būtų atsakyta neigiamai:

31

Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar SESV 16 straipsnio 2 dalies pirmas sakinys ir BDAR 2 straipsnio 2 dalies a punktas turi būti aiškinami taip, kad veikla vien dėl to, kad ją vykdo valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigtas tyrimo komitetas, nepatenka į Sąjungos teisės taikymo sritį, todėl jai netaikomas šis reglamentas.

32

SESV 16 straipsnio, kuris yra BDAR teisinis pagrindas, 2 dalyje numatyta, kad Europos Parlamentas ir Europos Sąjungos Taryba nustato, be kita ko, taisykles dėl fizinių asmenų apsaugos valstybėms narėms tvarkant asmens duomenis, kai vykdoma veikla yra susijusi su Sąjungos teisės taikymo sritimi.

33

Laikantis šios nuostatos, BDAR 2 straipsnio 1 dalyje jo materialinė taikymo sritis apibrėžta labai plačiai (2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 61 punktas). Joje numatyta, kad šis reglamentas „taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis“.

34

Be to, to paties BDAR 2 straipsnio 2 ir 3 dalyse išsamiai nustatytos 1 dalyje įtvirtintos šio reglamento materialinę taikymo sritį apibrėžiančios taisyklės išimtys. Kalbant konkrečiai, šio reglamento 2 straipsnio 2 dalies a punkte nurodyta, kad jis netaikomas asmens duomenų tvarkymui, kai duomenys tvarkomi „vykdant veiklą, kuriai Sąjungos teisė netaikoma“.

35

Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar asmens duomenų tvarkymui, atliekamam valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigto tyrimo komiteto, bet kuriuo atveju ir neatsižvelgiant į tyrimo dalyką taikoma minėtoje nuostatoje numatyta išimtis.

36

Šiuo klausimu primintina, kad, išskyrus BDAR 2 straipsnio 2 ir 3 dalyse nurodytus atvejus, jis taikomas tiek privačių asmenų, tiek viešosios valdžios institucijų atliekamam duomenų tvarkymui (šiuo klausimu žr. 2022 m. kovo 24 d. Sprendimą Autoriteit Persoonsgegevens (C‑245/20, EU:C:2022:216, 25 punktą).

37

Iš Teisingumo Teismo jurisprudencijos matyti, kad BDAR 2 straipsnio 2 dalyje numatyta išimtis turi būti aiškinama siaurai (2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 62 punktas ir jame nurodyta jurisprudencija). Šiomis aplinkybėmis Teisingumo Teismas jau yra pažymėjęs, kad šio reglamento 2 straipsnio 2 dalies a punkto, siejamo su jo 16 konstatuojamąja dalimi, vienintelis tikslas – į minėto reglamento taikymo sritį neįtraukti asmens duomenų tvarkymo, kai jį atlieka valstybės institucijos, vykdydamos veiklą, kuria siekiama užtikrinti nacionalinį saugumą, arba veiklą, kuri gali būti priskirta prie tos pačios kategorijos, todėl vien to, kad veikla yra būdinga valstybei ar valstybės institucijai, nepakanka, kad ši išimtis būtų automatiškai jai taikoma (2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 66 punktas ir 2022 m. spalio 20 d. Sprendimo Koalitsia Demokratichna Bulgaria – Obedinenie, C‑306/21, EU:C:2022:813, 39 punktas).

38

Tokį aiškinimą, kylantį jau iš aplinkybės, kad BDAR 2 straipsnio 1 dalyje nedaromas skirtumas pagal tai, kas tvarko atitinkamus duomenis, patvirtina šio reglamento 4 straipsnio 7 punktas, kuriame sąvoka „duomenų valdytojas“ apibrėžta kaip reiškianti „fizinį ar juridinį asmenį, valdžios instituciją, agentūrą ar kitą įstaigą, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones“.

39

Būtent aiškindamas šią nuostatą Teisingumo Teismas nusprendė, kad kai valstybės narės federalinio vieneto parlamento peticijų komitetas vienas ar kartu su kitais subjektais nustato tvarkymo tikslus ir priemones, jis turi būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal šią nuostatą, todėl tokio komiteto atliekamas asmens duomenų tvarkymas patenka į šio reglamento taikymo sritį (2020 m. liepos 9 d. Sprendimo Land Hessen, C‑272/19, EU:C:2020:535, 74 punktas).

40

Präsident des Nationalrates (Nacionalinės Tarybos pirmininkas, Austrija) nurodyta aplinkybė, kad, priešingai nei Peticijų komitetas, nagrinėtas byloje, kurioje priimtas 2020 m. liepos 9 d. Sprendimas Land Hessen (C‑272/19, EU:C:2020:535), kuris tik netiesiogiai prisidėjo prie parlamento veiklos, BVT tyrimo komitetas yra organas, kurio veikla yra tiesiogiai ir išimtinai parlamentinio pobūdžio, nereiškia, kad šio komiteto veikla nepatenka į BDAR taikymo sritį.

41

Iš tiesų, kaip išvados 84 punkte iš esmės pažymėjo generalinis advokatas, šio reglamento 2 straipsnio 2 dalies a punkte numatyta BDAR taikymo srities išimtis susijusi tik su veiklos kategorijomis, kurios dėl savo pobūdžio nepatenka į Sąjungos teisės taikymo sritį, o ne su asmenų kategorijomis, atsižvelgiant į tai, ar tai privatūs, ar viešieji asmenys, taip pat – kai duomenų valdytoja yra viešosios valdžios institucija – ne su tuo, kad jos užduotys ir funkcijos tiesiogiai ir išimtinai susijusios su konkrečia viešosios valdžios prerogatyva, nesiejant pačios šios prerogatyvos su veikla, kuri bet kuriuo atveju nepatenka į Sąjungos teisės taikymo sritį.

42

Taigi aplinkybė, kad asmens duomenis tvarko valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigtas tyrimo komitetas, savaime neleidžia daryti išvados, kad šie duomenys tvarkomi vykdant veiklą, kuri nepatenka į Sąjungos teisės taikymo sritį, kaip tai suprantama pagal BDAR 2 straipsnio 2 dalies a punktą.

43

Atsižvelgiant į tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti: SESV 16 straipsnio 2 dalies pirmas sakinys ir BDAR 2 straipsnio 2 dalies a punktas turi būti aiškinami taip, kad veikla negali būti laikoma nepatenkančia į Sąjungos teisės, taigi ir į šio reglamento taikymo sritį vien dėl to, kad ją vykdo valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigtas tyrimo komitetas.

44

Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 2 straipsnio 2 dalies a punktas, siejamas su jo 16 konstatuojamąja dalimi, turi būti aiškinamas taip, kad valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigto tyrimo komiteto, kurio tikslas – tirti už valstybės saugumą atsakingos policijos institucijos veiklą dėl įtarimo, kad šiai institucijai daroma politinė įtaka, veikla negali būti laikoma su nacionaliniu saugumu susijusia veikla, nepatenkančia į Sąjungos teisės taikymo sritį, kaip tai suprantama pagal šią nuostatą.

45

Kaip priminta šio sprendimo 37 punkte, BDAR 2 straipsnio 2 dalies a punktas turi būti aiškinamas siaurai ir jo vienintelis tikslas – į šio reglamento taikymo sritį neįtraukti asmens duomenų tvarkymo, kai jį atlieka valstybės institucijos, vykdydamos veiklą, kuria siekiama užtikrinti nacionalinį saugumą, arba veiklą, kuri gali būti priskirta prie tos pačios kategorijos.

46

Veikla, kuria siekiama užtikrinti nacionalinį saugumą, kaip tai suprantama pagal BDAR 2 straipsnio 2 dalies a punktą, visų pirma apima veiklą, skirtą esminėms valstybės funkcijoms ir pagrindiniams visuomenės interesams apsaugoti (2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 67 punktas ir 2022 m. spalio 20 d. Sprendimo Koalitsia Demokratichna Bulgaria – Obedinenie, C‑306/21, EU:C:2022:813, 40 punktas).

47

Pagal ESS 4 straipsnio 2 dalį už tokią veiklą atsakingos tik valstybės narės (šiuo klausimu žr. 2021 m. liepos 15 d. Sprendimo Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, 36 punktą).

48

Nagrinėjamu atveju iš Teisingumo Teismo turimos bylos medžiagos matyti, kad Nacionalinė Taryba įsteigė BVT tyrimo komitetą, kad šis ištirtų galimą politinę įtaką BVT, kurios užduotis pagrindinėje byloje nagrinėjamu laikotarpiu buvo užtikrinti Konstitucijos apsaugą ir kovoti su terorizmu.

49

Nacionalinės Tarybos pirmininkas ir Čekijos vyriausybė iš esmės laikosi nuomonės, kad BVT užduotys apima „su nacionaliniu saugumu susijusią veiklą“, todėl jo veiklai taikoma BDAR 2 straipsnio 2 dalies a punkte numatyta išimtis. Tačiau valstybės narės parlamento įsteigto tyrimo komiteto veikla, apimanti valstybės institucijų, turinčių, kaip ir BVT, užtikrinti nacionalinį saugumą, kontrolę, taip pat patenka į su nacionaliniu saugumu susijusios veiklos sąvoką. Iš tiesų tokio tyrimo komiteto vykdomos kontrolės veiklos tikslas yra įsitikinti, kad tikrinamos institucijos tinkamai užtikrina nacionalinį saugumą.

50

Šiuo klausimu svarbu pažymėti, kad nors pagal ESS 4 straipsnio 2 dalį pačios valstybės narės turi nustatyti savo esminius saugumo interesus ir imtis priemonių vidaus ir išorės saugumui užtikrinti, vien tai, kad nacionalinė priemonė buvo priimta siekiant užtikrinti nacionalinį saugumą, nereiškia, kad Sąjungos teisė netaikoma ir kad valstybės narės neturi deramai jos laikytis (šiuo klausimu žr. 2021 m. liepos 15 d. Sprendimo Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, 40 punktą ir jame nurodytą jurisprudenciją).

51

Kaip priminta šio sprendimo 41 punkte, BDAR 2 straipsnio 2 dalies a punkte numatyta išimtis susijusi tik su veiklos kategorijomis, kurios dėl savo pobūdžio nepatenka į Sąjungos teisės taikymo sritį, o ne su asmenų kategorijomis, atsižvelgiant į tai, ar tai privatūs, ar viešieji asmenys, taip pat – kai duomenų valdytoja yra viešosios valdžios institucija – ne su tuo, kad jos užduotys ir funkcijos tiesiogiai ir išimtinai susijusios su konkrečia viešosios valdžios prerogatyva, nesiejant šios prerogatyvos su veikla, kuri bet kuriuo atveju nepatenka į Sąjungos teisės taikymo sritį. Šiuo klausimu pažymėtina, jog vien aplinkybės, kad duomenų valdytojas yra viešosios valdžios institucija, kurios pagrindinė veikla yra užtikrinti nacionalinį saugumą, nepakanka, kad į BDAR taikymo sritį nepatektų asmens duomenų tvarkymas, kurį ši institucija atlieka vykdydama kitokio pobūdžio veiklą.

52

Nagrinėjamu atveju iš Teisingumo Teismo turimos bylos medžiagos matyti, kad pagrindinėje byloje nagrinėjamas tyrimo komitetas turėjo vykdyti politinę BVT veiklos kontrolę dėl įtarimo, kad šiai įstaigai daroma politinė įtaka, tačiau ši kontrolė savaime nepanaši į veiklą, kuria siekiama užtikrinti nacionalinį saugumą arba kuri gali būti priskirta prie tos pačios kategorijos, kaip tai suprantama pagal šio sprendimo 45 punkte primintą jurisprudenciją. Darytina išvada, kad šiai veiklai netaikoma BDAR 2 straipsnio 2 dalies a punkte numatyta šio reglamento taikymo srities išimtis, tačiau tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

53

Vis dėlto parlamento tyrimo komitetas, kaip antai aptariamas pagrindinėje byloje, atlikdamas savo darbus gali susipažinti su informacija, visų pirma su asmens duomenimis, kuriai dėl nacionalinio saugumo priežasčių turi būti taikoma ypatinga apsauga, pavyzdžiui, apribojant duomenų subjektams teiktiną informaciją apie šių duomenų rinkimą arba šių asmenų prieigą prie minėtų duomenų.

54

Šiuo klausimu BDAR 23 straipsnyje nustatyta, kad BDAR 5, 12–22 ir 34 straipsniuose numatytų prievolių ir teisių apribojimai gali būti nustatyti teisėkūros priemonėmis, siekiant, be kita ko, užtikrinti nacionalinį saugumą arba stebėseną, susijusią su viešosios valdžios funkcijų vykdymu, visų pirma nacionalinio saugumo srityje.

55

Taigi reikalavimas užtikrinti nacionalinį saugumą gali pateisinti iš BDAR kylančių pareigų ir teisių apribojimus teisėkūros priemonėmis, be kita ko, kiek tai susiję su asmens duomenų rinkimu, duomenų subjektų informavimu ir jų prieiga prie šių duomenų arba jų atskleidimu be duomenų subjektų sutikimo kitiems asmenims nei duomenų valdytojas, jeigu tokiais apribojimais paisoma duomenų subjektų pagrindinių teisių ir laisvių esmės ir demokratinėje visuomenėje jie yra būtina ir proporcinga priemonė.

56

Vis dėlto nagrinėjamu atveju iš Teisingumo Teismo turimos bylos medžiagos nematyti, kad BVT tyrimo komitetas būtų teigęs, jog WK asmens duomenų atskleidimas Austrijos parlamento interneto svetainėje paskelbus jo apklausos šiame komitete protokolą be šio asmens sutikimo buvo būtinas nacionaliniam saugumui užtikrinti ir grindžiamas šiuo tikslu numatyta nacionaline teisėkūros priemone. Vis dėlto šiuo klausimu reikalingus patikrinimus turi atlikti prašymą priimti prejudicinį sprendimą pateikęs teismas.

57

Atsižvelgiant į tai, kas išdėstyta, į antrąjį klausimą reikia atsakyti: BDAR 2 straipsnio 2 dalies a punktas, siejamas su jo 16 konstatuojamąja dalimi, turi būti aiškinamas taip, kad valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigto tyrimo komiteto, kurio tikslas – tirti už valstybės saugumą atsakingos policijos institucijos veiklą dėl įtarimo, kad šiai institucijai daroma politinė įtaka, veikla savaime negali būti laikoma su nacionaliniu saugumu susijusia veikla, nepatenkančia į Sąjungos teisės taikymo sritį, kaip tai suprantama pagal šią nuostatą.

58

Trečiuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 77 straipsnio 1 dalis ir 55 straipsnio 1 dalis turi būti aiškinamos taip, kad tuo atveju, kai valstybė narė pagal šio reglamento 51 straipsnio 1 dalį nusprendė įsteigti vienintelę priežiūros instituciją, tačiau nesuteikė jai kompetencijos prižiūrėti, kaip BDAR taiko šios valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigtas tyrimo komitetas, pagal šias nuostatas šiai institucijai tiesiogiai suteikiama kompetencija nagrinėti skundus dėl minėto tyrimo komiteto atliekamo asmens duomenų tvarkymo.

59

Siekiant atsakyti į šį klausimą reikia priminti, kad pagal SESV 288 straipsnio antrą pastraipą reglamentas yra privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

60

Remiantis suformuota jurisprudencija, pagal šią nuostatą ir dėl reglamentų teisinio pobūdžio ir paskirties Sąjungos teisės šaltinių sistemoje reglamentų nuostatos paprastai veikia tiesiogiai nacionalinės teisės sistemose, todėl nacionalinės valdžios institucijoms nereikia imtis įgyvendinimo priemonių (2021 m. birželio 15 d. Sprendimo Facebook Ireland ir kt., C‑645/19, EU:C:2021:483, 110 punktas ir jame nurodyta jurisprudencija).

61

Viena vertus, pagal BDAR 77 straipsnio 1 dalį kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, jeigu mano, kad tvarkant jo asmens duomenis pažeidžiamas šis reglamentas. Kita vertus, pagal BDAR 55 straipsnio 1 dalį kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis pagal šį reglamentą jai suteiktais įgaliojimais.

62

Iš šių nuostatų formuluotės matyti, kad, kaip išvados 132 punkte iš esmės pažymėjo generalinis advokatas, BDAR 77 straipsnio 1 daliai ir 55 straipsnio 1 daliai taikyti nereikia priimti nacionalinių įgyvendinimo priemonių ir jos yra pakankamai aiškios, tikslios ir besąlyginės, kad būtų taikomos tiesiogiai.

63

Darytina išvada, kad nors BDAR, remiantis jo 51 straipsnio 1 dalimi, pripažinta valstybių narių diskrecija dėl įsteigtinų priežiūros institucijų skaičiaus, vis dėlto jame nustatyta kompetencijos, kuri šioms institucijoms, neatsižvelgiant į jų skaičių, turi būti suteikta siekiant prižiūrėti šio reglamento taikymą, apimtis.

64

Taigi, kaip išvados 137 punkte iš esmės pažymėjo generalinis advokatas, tuo atveju, kai valstybė narė nusprendžia įsteigti vienintelę priežiūros instituciją, ši neišvengiamai turi visus įgaliojimus, kurie pagal BDAR suteikiami priežiūros institucijoms.

65

Bet koks kitas aiškinimas pakenktų BDAR 55 straipsnio 1 dalies ir 77 straipsnio 1 dalies veiksmingumui ir galėtų susilpninti visų kitų šio reglamento nuostatų, su kuriomis gali būti susijęs skundas, veiksmingumą.

66

Be to, tais atvejais, kai Sąjungos teisės aktų leidėjas ketino apriboti priežiūros institucijų kompetenciją kontroliuoti valdžios institucijų atliekamas duomenų tvarkymo operacijas, jis tai aiškiai padarė, kaip tai patvirtina BDAR 55 straipsnio 3 dalis, pagal kurią šios institucijos neturi kompetencijos prižiūrėti duomenų tvarkymo operacijų, kurias atlieka teismai, vykdydami savo teismines funkcijas.

67

Datenschutzbehörde, Nacionalinės Tarybos pirmininkas ir Austrijos vyriausybė pažymi, kad konstitucinio lygmens Austrijos teisės nuostatomis vykdomajai valdžiai draudžiama vykdyti bet kokią įstatymų leidžiamosios valdžios kontrolę. Taigi, anot jų, pagal šias nuostatas Datenschutzbehörde, kuri priskiriama prie vykdomosios valdžios, negali prižiūrėti, kaip BVT tyrimo komitetas, kuris yra įstatymų leidžiamosios valdžios organas, taiko BDAR.

68

Vis dėlto nagrinėjamu atveju būtent paisant valstybių narių konstitucinės sandaros BDAR 51 straipsnio 1 dalyje tik reikalaujama, kad jos įsteigtų bent vieną priežiūros instituciją, kartu suteikiant joms galimybę įsteigti kelias tokias institucijas. Be to, šio reglamento 117 konstatuojamojoje dalyje patikslinta, kad valstybės narės turėtų turėti galimybę įsteigti daugiau nei vieną priežiūros instituciją atsižvelgdamos į savo konstitucinę, organizacinę ir administracinę sandarą.

69

Taigi BDAR 51 straipsnio 1 dalyje kiekvienai valstybei narei pripažįstama diskrecija, leidžianti jai įsteigti tiek priežiūros institucijų, kiek jų reikia, be kita ko, pagal jos konstitucinę sandarą.

70

Taip pat reikia priminti, kad tai, jog valstybė narė remiasi nacionalinės teisės nuostatomis, negali pakenkti Sąjungos teisės vienodam taikymui ir veiksmingumui. Iš tiesų, Sąjungos teisės viršenybės principas daro poveikį visoms valstybės narės institucijoms ir tam negali kliudyti net ir konstitucinio lygmens vidaus nuostatos (2022 m. vasario 22 d. Sprendimo RS (Konstitucinio Teismo sprendimų padariniai), C‑430/21, EU:C:2022:99, 51 punktas ir jame nurodyta jurisprudencija).

71

Kadangi naudodamasi savo diskrecija valstybė narė nusprendė įsteigti vienintelę priežiūros instituciją, ji negali remtis net konstitucinio lygmens nacionalinės teisės nuostatomis, siekdama į BDAR taikymo sritį patenkančiam asmens duomenų tvarkymui netaikyti šios institucijos vykdomos priežiūros.

72

Atsižvelgiant į tai, kas išdėstyta, į trečiąjį klausimą reikia atsakyti: BDAR 77 straipsnio 1 dalis ir 55 straipsnio 1 dalis turi būti aiškinamos taip, kad tuo atveju, kai valstybė narė pagal šio reglamento 51 straipsnio 1 dalį nusprendė įsteigti vienintelę priežiūros instituciją, tačiau nesuteikė jai kompetencijos prižiūrėti, kaip šį reglamentą taiko šios valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigtas tyrimo komitetas, pagal šias nuostatas šiai institucijai tiesiogiai suteikiama kompetencija nagrinėti skundus dėl minėto tyrimo komiteto atliekamo asmens duomenų tvarkymo.

73

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia: