–

w imieniu Österreichische Datenschutzbehörde – A. Jelinek oraz M. Schmidl, w charakterze pełnomocników,

–

w imieniu WK – M. Sommer, Rechtsanwalt,

–

w imieniu Präsident des Nationalrates – C. Neugebauer oraz R. Posnik, w charakterze pełnomocników,

–

w imieniu rządu austriackiego – A. Posch, J. Schmoll, S. Dörnhöfer oraz C. Leeb, w charakterze pełnomocników,

–

w imieniu rządu czeskiego – O. Serdula, M. Smolek oraz J. Vláčil, w charakterze pełnomocników,

–

w imieniu Komisji Europejskiej – A. Bouchagiar, M. Heller oraz H. Kranenborg, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 16 ust. 2 zdanie pierwsze TFUE, art. 2 ust. 2 lit. a), art. 51 ust. 1, art. 55 ust. 1 i art. 77 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowania: Dz.U. 2018, L 127, s. 2; Dz.U. 2021, L 74, s. 35, zwanego dalej „RODO”).

2

Wniosek ten został złożony w ramach sporu pomiędzy Österreichische Datenschutzbehörde (organem ochrony danych, Austria; zwanym dalej „Datenschutzbehörde”) a WK w przedmiocie skargi WK na naruszenie prawa do ochrony jego danych osobowych.

3

Motywy 16, 20 i 117 RODO mają następujące brzmienie:

[…]

[…]

4

Artykuł 2 RODO, zatytułowany „Materialny zakres stosowania”, stanowi:

„1.   Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2.   Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

[…]

3.   Do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii zastosowanie ma rozporządzenie (WE) nr 45/2001 [Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. 2001, L 8, s. 1)]. Rozporządzenie (WE) nr 45/2001 oraz inne unijne akty prawne mające zastosowanie do takiego przetwarzania danych osobowych zostają dostosowane do zasad i przepisów niniejszego rozporządzenia zgodnie z art. 98.

[…]”.

5

Artykuł 4 RODO, zatytułowany „Definicje”, ma następujące brzmienie:

„Na użytek niniejszego rozporządzenia:

[…]

[…]”.

6

Artykuł 23 RODO, zatytułowany „Ograniczenia”, stanowi w ust. 1:

„Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

[…]

[…]”.

7

Artykuł 51 RODO, zatytułowany „Organ nadzorczy”, stanowi w ust. 1:

„Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej »organem nadzorczym«)”.

8

Artykuł 54 RODO, zatytułowany „Zasady ustanawiania organu nadzorczego”, głosi w ust. 1:

„Każde państwo członkowskie określa w swoich przepisach prawnych wszystkie poniższe elementy:

[…]”.

9

Artykuł 55 RODO, zatytułowany „Właściwość”, ma następujące brzmienie:

„1.   Każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego.

2.   Jeżeli przetwarzania dokonują organy publiczne lub podmioty prywatne działające na podstawie art. 6 ust. 1 lit. c) lub e), organem właściwym jest organ nadzorczy danego państwa członkowskiego. W takich przypadkach art. 56 nie ma zastosowania.

3.   Organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości”.

10

Artykuł 77 RODO, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, stanowi:

„1.   Bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

2.   Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78”.

11

Artykuł 53 Bundes-Verfassungsgesetz (federalnej ustawy konstytucyjnej), ponownie opublikowanej w dniu 2 stycznia 1930 r. (BGBl. 1/1930), w brzmieniu mającym zastosowanie do okoliczności faktycznych w postępowaniu głównym (zwanej dalej „BVG”), przewiduje:

„(1) Nationalrat [(zgromadzenie narodowe, Austria)] może powołać komisję śledczą. Komisję śledczą powołuje się też na wniosek jednej czwartej jego członków.

(2) Przedmiotem dochodzenia komisji śledczej jest działalność przeszła w dziedzinach podlegających władzy wykonawczej na szczeblu federalnym. Należą do nich wszystkie działania organów federalnych, za pośrednictwem których Bund [federacja], niezależnie od znaczenia swojego udziału, wykonuje prawa uczestnictwa i nadzoru. Ponowne badanie wyroków sądowych jest wykluczone.

(3) Wszystkie organy Bund [federacji], krajów związkowych, gmin i związków gmin oraz inne organy niezależne przedstawiają na wniosek komisji śledczej swoje akta i dokumenty w zakresie, w jakim wchodzą one w zakres dochodzenia, i mają stosują się do wezwań komisji śledczej służących zebraniu dowodów związanych z przedmiotem dochodzenia. Obowiązek ten nie ma zastosowania do akt i dokumentów, których ujawnienie mogłoby zaszkodzić źródłom w rozumieniu art. 52a ust. 2.

(4) Obowiązek, o którym mowa w ust. 3, nie ma zastosowania w zakresie, w jakim miałby on wpływ na proces kształtowania się stanowiska rządu federalnego lub niektórych spośród jego członków lub na bezpośrednie przygotowanie takiego stanowiska.

[…]”.

12

BVG przewiduje podział władzy na ustawodawczą, wykonawczą i sądowniczą. Każde naruszenie tej zasady wymaga umocowania konstytucyjnego.

13

Zgodnie z § 1 ust. 1 Datenschutzgesetz (ustawy o ochronie danych) z dnia 17 sierpnia 1999 r. (BGBl. I 165/1999), w brzmieniu mającym zastosowanie do stanu faktycznego (zwanej dalej „DSG”):

„Każdy, w szczególności mając na względzie poszanowanie życia prywatnego i rodzinnego, ma prawo do zachowania poufności danych osobowych, które go dotyczą, jeżeli ma w tym względzie interes zasługujący na ochronę. Istnienie takiego interesu jest wyłączone, jeżeli dane nie są objęte prawem do zachowania poufności ze względu na ich ogólną dostępność lub z uwagi na brak możliwości zidentyfikowania osoby, której owe dane dotyczą”.

14

Zgodnie z § 18 ust. 1 DSG:

„Ustanawia się Datenschutzbehörde będący krajowym organem nadzorczym w myśl w art. 51 RODO”.

15

Paragraf 24 ust. 1 DSG brzmi następująco:

„Każda osoba, której dane dotyczą, ma prawo do złożenia skargi do Datenschutzbehörde, jeżeli uważa, że przetwarzanie dotyczących jej danych osobowych stanowi naruszenie przepisów RODO bądź § 1 lub § 2 części pierwszej”.

16

Paragraf 35 DSG stanowi:

„(1) „Zadaniem Datenschutzbehörde jest zapewnienie ochrony danych zgodnie z przepisami RODO i niniejszej ustawy federalnej”.

(2) Datenschutzbehörde wykonuje swoje uprawnienia również wobec najwyższych organów władzy wykonawczej, o których mowa w art. 19 BVG, a także wobec organów nadrzędnych, o których mowa w art. 30 ust. 3–6, art. 125 i art. 134 ust. 8 oraz art. 148h ust. 1 i 2 BVG w odniesieniu do spraw administracyjnych wchodzących w zakres ich kompetencji”.

17

Uchwałą z dnia 20 kwietnia 2018 r. zgromadzenie narodowe powołało, na podstawie art. 53 BVG, komisję śledczą do zbadania możliwości wywierania nacisków politycznych na Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (federalny urząd ochrony konstytucji i zwalczania terroryzmu, Austria) (zwany dalej „BVT”), który w dniu 1 grudnia 2021 r. został zastąpiony przez Direktion Staatsschutz und Nachrichtendienst (dyrekcję ds. bezpieczeństwa państwa i służb wywiadowczych, Austria).

18

W dniu 19 września 2018 r. komisja śledcza (zwana dalej „komisją śledczą BVT”) przesłuchała z udziałem przedstawicieli mediów WK w charakterze świadka. Protokół z tego przesłuchania, który zawierał pełne imię i nazwisko WK, został opublikowany na stronie internetowej Parlament Österreich (parlamentu austriackiego), pomimo wniosku WK o jego utajnienie.

19

W dniu 2 kwietnia 2019 r. WK wniósł do Datenschutzbehörde skargę, w której podniósł, że opublikowanie protokołu z tego przesłuchania wraz z jego pełnym imieniem i nazwiskiem wbrew jego woli narusza przepisy RODO i § 1 DSG. Na poparcie skargi WK wyjaśnił, że pracuje jako tajny funkcjonariusz policyjnej grupy zajmującej się zwalczaniem przestępczości na drogach publicznych.

20

Decyzją z dnia 18 września 2019 r. Datenschutzbehörde oddalił tę skargę. W uzasadnieniu tej decyzji Datenschutzbehörde wskazał, że choć co do zasady RODO nie stoi na przeszkodzie sprawowaniu kontroli przez organy nadzorcze w zakresie ochrony danych nad organami ustawodawczymi, to w myśl zasady podziału władz władza wykonawcza nie może sprawować kontroli nad władzą ustawodawczą. W tych okolicznościach i w zakresie, w jakim komisja śledcza BVT podlegała władzy ustawodawczej, Datenschutzbehörde, który jest organem władzy wykonawczej, nie jest uprawniony do kontrolowania działalności tej komisji, a zatem nie jest właściwy do orzekania w przedmiocie skargi WK.

21

WK zaskarżył decyzję Datenschutzbehörde do Bundesverwaltungsgericht (federalnego sądu administracyjnego, Austria), który w dniu 23 listopada 2020 r. uwzględnił skargę i uchylił tę decyzję. Sąd ten orzekł w istocie, że RODO ma zastosowanie do działalności prawodawcy, a tym samym do działań komisji śledczej BVT. Przedmiotowy zakres stosowania RODO, określony w jego art. 2 ust. 1, jest bowiem ujęty w sposób wyczerpujący i obejmuje każdy przypadek przetwarzania danych, niezależnie od podmiotu przetwarzającego i funkcji państwa, w skład której wchodzi ten podmiot. Ponadto z art. 2 ust. 2 RODO nie można również wywieść odstępstwa od stosowania tego rozporządzenia w odniesieniu do niektórych funkcji państwa, takich jak funkcja ustawodawcza, ponieważ odstępstwo przewidziane w lit. a) tego przepisu należy interpretować ściśle. W konsekwencji, zdaniem Bundesverwaltungsgericht (federalnego sądu administracyjnego), Datenschutzbehörde był właściwy do rozpoznania skargi WK, zgodnie z art. 77 wspomnianego rozporządzenia.

22

Verwaltungsgerichtshof (trybunał administracyjny, Austria), do którego Datenschutzbehörde wniósł skargę rewizyjną od orzeczenia Bundesverwaltungsgericht (federalnego sądu administracyjnego), będący sądem odsyłającym w niniejszej sprawie, zastanawia się w pierwszej kolejności, czy działania komisji śledczej powołanej przez parlament państwa członkowskiego są, niezależnie od przedmiotu dochodzenia, wyłączone z zakresu stosowania RODO na podstawie jego art. 2 ust. 2 lit. a) oraz art. 16 ust. 2 zdanie pierwsze TFUE ze względu na to, że prace takiej komisji stanowią ze swej natury działalność, która nie jest objęta zakresem stosowania prawa Unii.

23

W tym kontekście wspomniany sąd zwraca przede wszystkim uwagę, że zgodnie z orzecznictwem Trybunału w tej dziedzinie wynikającym w szczególności z wyroku z dnia 9 lipca 2020 r., Land Hessen (C‑272/19, EU:C:2020:535) do celów stosowania RODO nie można wymagać, aby przetwarzanie danych osobowych odbywało się konkretnie do celów podlegających prawu Unii, aby miało ono charakter transgraniczny lub bezpośrednio zakłócało swobodę przepływu między państwami członkowskimi. Przeciwnie, zastosowanie tego rozporządzenia należy wykluczyć tylko wtedy, gdy jest spełniona co najmniej jedna z przesłanek zastosowania odstępstw, o których mowa w art. 2 ust. 2 lit. a)–d) tego rozporządzenia.

24

W tym względzie sąd odsyłający przypomina, że zgodnie z orzecznictwem Trybunału należy uznać, że jedynym celem art. 2 ust. 2 lit. a) RODO, rozpatrywanego w związku z motywem 16 tego rozporządzenia, jest wyłączenie z zakresu stosowania tego rozporządzenia przetwarzania danych osobowych dokonywanego przez organy państwowe w ramach działalności mającej na celu ochronę bezpieczeństwa narodowego lub działalności, która może zostać zaliczona do tej kategorii. Działalność, której celem jest ochrona bezpieczeństwa narodowego, a o której mowa w art. 2 ust. 2 lit. a) RODO, obejmuje w szczególności działalność mającą na celu ochronę podstawowych funkcji państwa i podstawowych interesów społeczeństwa [wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 62–67 i przytoczone tam orzecznictwo].

25

Następnie sąd odsyłający zwraca uwagę na pewne różnice między komisją parlamentarną, której dotyczyła sprawa zakończona wyrokiem z dnia 9 lipca 2020 r., Land Hessen (C‑272/19, EU:C:2020:535), a mianowicie Komisją Petycji parlamentu Land Hessen (kraju związkowego Hesja, Niemcy), a komisją śledczą BVT. W szczególności prace tej ostatniej komisji nie tylko pośrednio przyczyniają się do działalności parlamentarnej, lecz są one związane z zasadniczą sferę tej działalności ze względu na funkcję kontrolną, jaką BVG powierza komisjom śledczym powołanym przez zgromadzenie narodowe.

26

Wreszcie sąd odsyłający powołuje się na zasadę rozdziału władzy ustawodawczej, wykonawczej i sądowniczej, która to zasada jest inherentną częścią prawa każdego państwa członkowskiego, jak i prawa Unii. Prawdą jest, że art. 55 ust. 3 RODO wyłącza z właściwości organów nadzorczych jedynie nadzór nad przetwarzaniem danych osobowych dokonywanym przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości i nie dotyczy przetwarzania danych dokonywanego w ramach istoty działalności parlamentarnej. Milczenie to można jednak wytłumaczyć faktem, że dla prawodawcy Unii sama ta działalność nie jest objęta zakresem stosowania tego rozporządzenia na podstawie jego art. 2 ust. 2 lit. a).

27

W drugiej kolejności sąd odsyłający podkreśla, że przedmiotem dochodzenia prowadzonego przez komisję śledczą BVT były działania dotyczące bezpieczeństwa narodowego, które w świetle motywu 16 RODO nie są objęte zakresem stosowania prawa Unii, a zatem są wyłączone z przedmiotowego zakresu stosowania tego rozporządzenia zgodnie z jego art. 2 ust. 2 lit. a).

28

Jeżeli działalność komisji śledczej w zakresie kontroli parlamentarnej zasadniczo wchodzi w zakres stosowania prawa Unii w rozumieniu art. 16 ust. 2 TFUE, powstaje pytanie, czy działalność ta jest przynajmniej objęta wyjątkiem przewidzianym w art. 2 ust. 2 lit. a) RODO, biorąc pod uwagę okoliczność, że przedmiot dochodzenia dotyczy działań władzy wykonawczej, które – jak w niniejszej sprawie – nie wchodzą w zakres stosowania prawa Unii.

29

W trzeciej kolejności sąd odsyłający zastanawia się, czy z uwagi w szczególności na konstytucyjną zasadę podziału władz w Austrii Datenschutzbehörde, będący jedynym krajowym organem nadzorczym w rozumieniu art. 51 RODO, jest właściwy, na podstawie samego tego rozporządzenia, do orzekania w przedmiocie skargi takiej jak wniesiona przez WK, w braku jakiegokolwiek umocowania konstytucyjnego w prawie krajowym pozwalającego na ustalenie takiej właściwości.

30

W powyższych okolicznościach Verwaltungsgerichtshof (trybunał administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

W razie udzielenia odpowiedzi twierdzącej na pytanie pierwsze:

W razie udzielenia odpowiedzi przeczącej na pytanie drugie:

31

Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 16 ust. 2 zdanie pierwsze TFUE i art. 2 ust. 2 lit. a) RODO należy interpretować w ten sposób, że dana działalność – z tego tylko powodu, że jest ona wykonywana przez komisję śledczą powołaną przez parlament państwa członkowskiego w ramach wykonywania przez niego uprawnień z zakresu kontroli władzy wykonawczej –sytuuje się poza zakresem stosowania prawa Unii, a zatem nie ma do niej zastosowania to rozporządzenie.

32

Artykuł 16 TFUE, który stanowi podstawę prawną RODO, przewiduje w ust. 2, że Parlament Europejski i Rada Unii Europejskiej określają zasady dotyczące w szczególności ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii.

33

W świetle tego postanowienia art. 2 ust. 1 RODO formułuje bardzo szeroką definicją materialnego zakresu zastosowania tego rozporządzenia [wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 61]. Otóż w myśl tego przepisu omawiane rozporządzenie „ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”.

34

Ponadto w art. 2 ust. 2 i 3 RODO wyczerpująco określono wyjątki od zasady określającej przedmiotowy zakres stosowania tego rozporządzenia określony w art. 2 ust. 1 tego aktu. W szczególności, zgodnie z art. 2 ust. 2 lit. a) RODO, rozporządzenie to nie ma zastosowania do przetwarzania danych osobowych „w ramach działalności nieobjętej zakresem prawa Unii”.

35

W tym kontekście sąd odsyłający zastanawia się, czy przetwarzanie danych osobowych w kontekście działalności komisji śledczej powołanej przez parlament państwa członkowskiego w ramach wykonywania przez niego uprawnień z zakresu kontroli władzy wykonawczej jest, w każdym wypadku i niezależnie od przedmiotu dochodzenia, objęte wyjątkiem przewidzianym w tym ostatnim przepisie.

36

W tym względzie należy przypomnieć, że z zastrzeżeniem przypadków wymienionych w art. 2 ust. 2 i 3 RODO ma zastosowanie do przetwarzania dokonywanego zarówno przez osoby prywatne, jak i przez organy publiczne (zob. podobnie wyrok z dnia 24 marca 2022 r., Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, pkt 25).

37

Jak wynika z orzecznictwa Trybunału, przewidziany w art. 2 ust. 2 RODO wyjątek należy interpretować ściśle [wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 62 i przytoczone tam orzecznictwo]. W tym kontekście Trybunał wyjaśnił już, że jedynym celem art. 2 ust. 2 lit. a) RODO, rozpatrywanego w związku z motywem 16 tego rozporządzenia, jest wyłączenie z zakresu stosowania tego rozporządzenia przetwarzania danych osobowych dokonywanego przez organy państwowe w ramach działalności mającej na celu ochronę bezpieczeństwa narodowego lub działalności, która może zostać zaliczona do tej kategorii, wobec czego sam fakt, iż dana działalność jest właściwa państwu lub organowi publicznemu, nie wystarcza, aby wyjątek ten mógł być automatycznie stosowany do takiej działalności [wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 66; z dnia 20 października 2022 r., Koalitsia Demokratichna Bulgaria – Obedinenie, C‑306/21, EU:C:2022:813, pkt 39].

38

Taka wykładnia, która wynika z samej okoliczności, że art. 2 ust. 1 RODO nie wprowadza rozróżnienia ze względu na tożsamość podmiotu przetwarzającego dane, znajduje potwierdzenie w art. 4 pkt 7 tego rozporządzenia, który definiuje pojęcie „administratora [danych]” w ten sposób, że oznacza ono „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”.

39

Właśnie dokonując wykładni tego ostatniego przepisu, Trybunał orzekł, że w zakresie, w jakim komisja ds. petycji parlamentu kraju związkowego państwa członkowskiego określa – samodzielnie lub wspólnie z innymi – cele i sposoby przetwarzania danych, komisję tę należy uznać za „administratora danych” w rozumieniu tego przepisu, wobec czego przetwarzanie danych osobowych przez taką komisję wchodzi w zakres stosowania tego rozporządzenia (wyrok z dnia 9 lipca 2020 r., Land Hessen (C‑272/19, EU:C:2020:535, pkt 74).

40

Okoliczność, na którą zwrócił uwagę Präsident des Nationalrates (przewodniczący zgromadzenia narodowego, Austria), że w przeciwieństwie do komisji ds. petycji, której dotyczyła sprawa zakończona wyrokiem z dnia 9 lipca 2020 r., Land Hessen (C‑272/19, EU:C:2020:535), która jedynie pośrednio przyczyniała się do działalności parlamentarnej, komisja śledcza BVT jest organem, którego działalność ma bezpośrednio i wyłącznie charakter parlamentarny, nie oznacza, że działalność tej ostatniej komisji jest wyłączona z zakresu stosowania RODO.

41

Jak bowiem zauważył w istocie rzecznik generalny w pkt 84 opinii, ograniczenie zakresu stosowania RODO przewidziane w art. 2 ust. 2 lit. a) tego rozporządzenia odnosi się wyłącznie do kategorii działań, które ze względu na swój charakter nie są objęte zakresem stosowania prawa Unii, a nie do kategorii osób w zależności od ich prywatnego lub publicznego charakteru ani – w sytuacji gdy administratorem danych jest organ publiczny – do okoliczności, że zadania i funkcje tego organu są bezpośrednio i wyłącznie związane z daną prerogatywą władzy publicznej, przy czym prerogatywa ta nie jest związana z działalnością sytuującą się w każdym wypadku poza zakresem stosowania prawa Unii.

42

W związku z tym sama okoliczność, że przetwarzanie danych osobowych jest dokonywane przez komisję śledczą powołaną przez parlament państwa członkowskiego w ramach wykonywania przez niego uprawnień z zakresu kontroli władzy wykonawczej, nie pozwala na ustalenie, że przetwarzanie to jest dokonywane w ramach działalności nieobjętej zakresem prawa Unii w rozumieniu art. 2 ust. 2 lit. a) RODO.

43

W świetle powyższych rozważań na pytanie pierwsze należy udzielić następującej odpowiedzi: art. 16 ust. 2 zdanie pierwsze TFUE i art. 2 ust. 2 lit. a) RODO należy interpretować w ten sposób, że nie można uznać, że dana działalność sytuuje się poza zakresem stosowania prawa Unii, a zatem nie ma do niej zastosowania to rozporządzenie, z tego tylko powodu, że działalność ta jest wykonywana przez komisję śledczą powołaną przez parlament państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej.

44

Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 2 ust. 2 lit. a) RODO, rozpatrywany w związku z motywem 16 tego rozporządzenia, należy interpretować w ten sposób, że działalności komisji śledczej powołanej przez parlament państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej, której przedmiotem jest przeprowadzenie dochodzenia w sprawie działań policyjnego organu ochrony państwa ze względu na podejrzenie wywierania nacisków politycznych na ten organ, nie można uznać za działalność dotyczącą bezpieczeństwa narodowego, która nie jest objęta zakresem stosowania prawa Unii w rozumieniu tego przepisu.

45

Jak wskazano w pkt 37 niniejszego wyroku, art. 2 ust. 2 lit. a) RODO należy interpretować ściśle, zaś jego jedynym celem jest wyłączenie z zakresu stosowania tego rozporządzenia przetwarzania danych osobowych dokonywanego przez organy państwowe w ramach działalności mającej na celu ochronę bezpieczeństwa narodowego lub działalności, która może zostać zaliczona do tej kategorii.

46

Działalność, której celem jest ochrona bezpieczeństwa narodowego w rozumieniu art. 2 ust. 2 lit. a) RODO, obejmuje w szczególności działalność mającą na celu ochronę podstawowych funkcji państwa i podstawowych interesów społeczeństwa [wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 67; z dnia 20 października 2022 r., Koalitsia Demokratichna Bulgaria – Obedinenie, C‑306/21, EU:C:2022:813, pkt 40].

47

Zgodnie z art. 4 ust. 2 TUE działania takie pozostają w zakresie wyłącznej odpowiedzialności państw członkowskich (zob. podobnie wyrok z dnia 15 lipca 2021 r., Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, pkt 36).

48

W niniejszej sprawie z akt sprawy, którymi dysponuje Trybunał, wynika, że komisja śledcza BVT została powołana przez zgromadzenie narodowe w celu zbadania możliwości wywierania nacisków politycznych na BVT, który w okresie rozpatrywanym w postępowaniu głównym odpowiadał za ochronę konstytucji i zwalczanie terroryzmu.

49

Przewodniczący zgromadzenia narodowego i rząd czeski uważają w istocie, że ponieważ zadania BVT obejmują „działalność dotyczącą bezpieczeństwa narodowego”, jego działalność jest objęta wyjątkiem przewidzianym w art. 2 ust. 2 lit. a) RODO. Tymczasem działalność komisji śledczej parlamentu państwa członkowskiego polegająca na kontrolowaniu organów państwowych, które – tak jak w przypadku BVT – są odpowiedzialne za ochronę bezpieczeństwa narodowego, również wchodzi w zakres pojęcia działalności dotyczącej bezpieczeństwa narodowego. Celem działań kontrolnych takiej komisji śledczej jest bowiem sprawdzenie, czy kontrolowane organy prawidłowo przyczyniają się do ochrony bezpieczeństwa narodowego.

50

W tym względzie należy zauważyć, że chociaż zgodnie z art. 4 ust. 2 TUE to do państw członkowskich należy określenie ich podstawowych interesów bezpieczeństwa i podjęcie środków zmierzających do zagwarantowania bezpieczeństwa zewnętrznego i wewnętrznego, sama okoliczność, że środek krajowy został podjęty w celu ochrony bezpieczeństwa narodowego, nie powoduje, że prawo Unii nie znajduje zastosowania i nie zwalnia państw członkowskich z konieczności przestrzegania tego prawa (zob. podobnie wyrok z dnia 15 lipca 2021 r., Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, pkt 40 i przytoczone tam orzecznictwo).

51

Tymczasem, jak przypomniano w pkt 41 niniejszego wyroku, wyjątek przewidziany w art. 2 ust. 2 lit. a) RODO odnosi się wyłącznie do kategorii działań, które ze względu na swój charakter nie są objęte zakresem stosowania prawa Unii, a nie do kategorii osób, w zależności od ich prywatnego lub publicznego charakteru, ani – w sytuacji gdy administratorem danych jest organ publiczny – do okoliczności, że zadania i funkcje tego organu są bezpośrednio i wyłącznie związane z daną prerogatywą władzy publicznej, przy czym prerogatywa ta nie jest związana z działalnością sytuującą się w każdym wypadku poza zakresem stosowania prawa Unii. W tym względzie sama okoliczność, że administrator danych jest organem publicznym, którego główna działalność polega na zapewnieniu ochrony bezpieczeństwa narodowego, nie wystarcza do wyłączenia z zakresu stosowania RODO przetwarzania danych osobowych dokonywanego przez ten organ w ramach innych prowadzonych przez niego czynności.

52

W niniejszej sprawie z akt sprawy, którymi dysponuje Trybunał, wynika, że celem komisji śledczej, której dotyczy postępowanie główne, było przeprowadzenie kontroli politycznej działalności BVT ze względu na podejrzenie wywierania nacisków politycznych na ten organ, przy czym nie wydaje się, aby sama ta kontrola stanowiła działalność mającą na celu ochronę bezpieczeństwa narodowego lub działalność, którą można zaliczyć do tej kategorii w rozumieniu orzecznictwa przypomnianego w pkt 45 niniejszego wyroku. Wynika z tego, że – z zastrzeżeniem zweryfikowania tego stwierdzenia przez sąd odsyłający – działalność ta nie jest wyłączona z zakresu stosowania RODO na podstawie jego art. 2 ust. 2 lit. a).

53

Niezależnie od powyższego parlamentarna komisja śledcza taka jak ta, której dotyczy postępowanie główne, może w ramach swoich prac mieć dostęp do informacji, w szczególności do danych osobowych, które ze względów związanych z bezpieczeństwem narodowym powinny korzystać ze szczególnej ochrony, polegającej na przykład na ograniczeniu informacji, jakie należy przekazać osobom, których dane dotyczą, w odniesieniu do gromadzenia tych danych lub też ograniczeniu dostępu tych osób do wspomnianych danych.

54

W tym względzie art. 23 RODO stanowi, że obowiązki i prawa przewidziane w art. 5, 12–22 i 34 RODO mogą zostać ograniczone w drodze aktu prawnego w celu zapewnienia między innymi bezpieczeństwa narodowego lub funkcji kontrolnych związanych ze sprawowaniem władzy publicznej, w szczególności w przypadkach dotyczących bezpieczeństwa narodowego.

55

Wymóg dotyczący ochrony bezpieczeństwa narodowego może zatem uzasadniać ograniczenia, ustanawiane w drodze aktów prawnych, obowiązków i praw wynikających z RODO, w szczególności w odniesieniu do gromadzenia danych osobowych, informowania osób, których dane dotyczą, i ich dostępu do tych danych, a także ich ujawniania bez zgody osób, których dane dotyczą, osobom innym niż administrator danych, pod warunkiem że takie ograniczenia nie naruszają istoty podstawowych praw i wolności osób, których dane dotyczą, i są w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym.

56

W niniejszym przypadku z akt sprawy, którymi dysponuje Trybunał, nie wynika jednak, aby komisja śledcza BVT twierdziła, iż ujawnienie danych osobowych WK, które nastąpiło przy okazji opublikowania na stronie internetowej austriackiego parlamentu protokołu z jego przesłuchania przed tą komisją i bez jego zgody, było konieczne dla ochrony bezpieczeństwa narodowego i oparte na przewidzianym w tym celu krajowym akcie prawnym. Niemniej jednak to do sądu odsyłającego należy dokonanie w razie potrzeby niezbędnych ustaleń w tym względzie.

57

W świetle powyższych rozważań na pytanie drugie należy udzielić następującej odpowiedzi: art. 2 ust. 2 lit. a) RODO, rozpatrywany w związku z motywem 16 tego rozporządzenia, należy interpretować w ten sposób, że działalności komisji śledczej powołanej przez parlament państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej, której przedmiotem jest przeprowadzenie dochodzenia w sprawie działań policyjnego organu ochrony państwa ze względu na podejrzenie wywierania nacisków politycznych na ten organ, nie można jako takiej uznać za działalność dotyczącą bezpieczeństwa narodowego, która sytuuje się poza zakresem stosowania prawa Unii w rozumieniu tego przepisu.

58

Poprzez pytanie trzecie sąd odsyłający dąży w istocie do ustalenia, czy art. 77 ust. 1 i art. 55 ust. 1 RODO należy interpretować w ten sposób, że w przypadku gdy państwo członkowskie zdecydowało się, na podstawie art. 51 ust. 1 tego rozporządzenia, ustanowić tylko jeden organ nadzorczy, nie przyznając mu jednak kompetencji do nadzorowania stosowania RODO przez komisję śledczą powołaną przez parlament tego państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej, wspomniane przepisy bezpośrednio przyznają temu organowi właściwość do rozpoznawania skarg dotyczących przetwarzania danych osobowych przez wspomnianą komisję śledczą.

59

W celu udzielenia odpowiedzi na to pytanie należy przypomnieć, że zgodnie z art. 288 akapit drugi TFUE rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

60

Zgodnie z utrwalonym orzecznictwem Trybunału na mocy tego postanowienia oraz ze względu na charakter i funkcję rozporządzeń w systemie źródeł prawa unijnego zawarte w nich przepisy mają co do zasady bezpośredni skutek w krajowych porządkach prawnych, bez konieczności przyjmowania przez organy władz krajowych środków wykonawczych (wyrok z dnia 15 czerwca 2021 r., Facebook Ireland i in., C‑645/19, EU:C:2021:483, pkt 110 i przytoczone tam orzecznictwo).

61

Tymczasem z jednej strony, w myśl art. 77 ust. 1 RODO, każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza to rozporządzenie. Z drugiej strony, w myśl art. 55 ust. 1 tego rozporządzenia, każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego.

62

Z brzmienia tych przepisów wynika, że – jak zauważył w istocie rzecznik generalny w pkt 132 opinii – art. 77 ust. 1 i art. 55 ust. 1 RODO nie wymagają dla ich wdrożenia przyjęcia krajowych środków wykonawczych oraz są wystarczająco jasne, precyzyjne i bezwarunkowe, aby mogły być bezpośrednio skuteczne.

63

Wynika z tego, że chociaż RODO, zgodnie z jego art. 51 ust. 1, przyznało państwom członkowskim uprawnienia dyskrecjonalne co do liczby organów nadzorczych, które mają one ustanowić, to określiło ono zakres kompetencji, którą organy te, niezależnie od ich liczby, powinny posiadać, aby nadzorować stosowanie tego rozporządzenia.

64

Tak więc, jak w istocie zauważył rzecznik generalny w pkt 137 opinii, w przypadku gdy państwo członkowskie zdecyduje się na ustanowienie jednego organu nadzorczego, organ ten musi posiadać całość kompetencji, jakie RODO przyznaje organom nadzorczym.

65

Odmienna wykładnia pozbawiłaby art. 55 ust. 1 i art. 77 ust. 1 RODO ich bezpośredniej skuteczności i mogłaby osłabić skuteczność (effet utile) wszystkich pozostałych przepisów tego rozporządzenia, na których może opierać się skarga.

66

Ponadto w przypadkach, w których prawodawca Unii zamierzał ograniczyć kompetencje organów nadzorczych w zakresie nadzoru nad operacjami przetwarzania dokonywanymi przez organy publiczne, uczynił to w sposób wyraźny, o czym świadczy art. 55 ust. 3 RODO, zgodnie z którym organy te nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości.

67

Datenschutzbehörde, przewodniczący zgromadzenia narodowego i rząd austriacki zwracają uwagę, że przepisy prawa austriackiego rangi konstytucyjnej zakazują władzy wykonawczej sprawowania jakiejkolwiek kontroli nad władzą ustawodawczą. Przepisy te wykluczają zatem możliwość nadzorowania przez Datenschutzbehörde, która podlega władzy wykonawczej, stosowania RODO przez komisję śledczą BVT, która jest organem podlegającym władzy ustawodawczej.

68

Jednakże w niniejszej sprawie art. 51 ust. 1 RODO zobowiązuje państwa członkowskie wyłącznie do ustanowienia co najmniej jednego organu nadzorczego, dając im jednocześnie możliwość ustanowienia kilku takich organów, właśnie z myślą o poszanowaniu struktury konstytucyjnej państw członkowskich. Ponadto w motywie 117 tego rozporządzenia uściślono, że aby uwzględnić swoją strukturę konstytucyjną, organizacyjną i administracyjną, państwa członkowskie powinny mieć możliwość utworzenia więcej niż jednego organu nadzorczego.

69

Artykuł 51 ust. 1 RODO przyznaje zatem każdemu państwu członkowskiemu uprawnienia dyskrecjonalne pozwalające mu na ustanowienie takiej liczby organów nadzorczych, jaką narzucają mu w szczególności wymogi związane ze strukturą konstytucyjną tego państwa.

70

Należy przypomnieć, że powołanie się przez państwo członkowskie na przepisy prawa krajowego nie może naruszać jedności i skuteczności prawa Unii. Skutki wynikające z zasady pierwszeństwa prawa Unii wiążą bowiem wszystkie organy państwa członkowskiego, czemu nie mogą stanąć na przeszkodzie w szczególności przepisy wewnętrzne, w tym również przepisy rangi konstytucyjnej [wyrok z dnia 22 lutego 2022 r., RS (Skutek wyroków sądu konstytucyjnego), C‑430/21, EU:C:2022:99, pkt 51 i przytoczone tam orzecznictwo].

71

Jeżeli w ramach przysługujących mu uprawnień dyskrecjonalnych państwo członkowskie zdecydowało się na ustanowienie jednego organu nadzorczego, nie może ono powoływać się na przepisy prawa krajowego, nawet rangi konstytucyjnej, w celu wyłączenia przetwarzania danych osobowych objętego zakresem stosowania RODO spod nadzoru tego organu.

72

W świetle powyższych rozważań na pytanie trzecie należy udzielić następującej odpowiedzi: art. 77 ust. 1 i art. 55 ust. 1 RODO należy interpretować w ten sposób, że w przypadku gdy państwo członkowskie zdecydowało się, na podstawie art. 51 ust. 1 tego rozporządzenia, ustanowić jeden organ nadzorczy, nie przyznając mu jednak kompetencji do nadzorowania stosowania tego rozporządzenia przez komisję śledczą powołaną przez parlament tego państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej, wspomniane przepisy bezpośrednio przyznają temu organowi właściwość do rozpoznawania skarg dotyczących przetwarzania danych osobowych przez wspomnianą komisję śledczą.

73

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje: