Język postępowania: angielski

(Dz.U.UE C z dnia 1 lipca 2024 r.)

Strony

Strona skarżąca: Komisja Europejska (A. Bouchagiar i H. Kranenborg, pełnomocnicy)

Strona pozwana: Europejski Inspektor Ochrony Danych

Żądania

Strona skarżąca wnosi do Sądu o:

- stwierdzenie nieważności decyzji Europejskiego Inspektora Ochrony Danych z dnia 8 marca 2024 r. dotyczącej prowadzonego przezeń dochodzenia w przedmiocie wykorzystania Microsoft 365 przez Komisję Europejską w sprawie 2021-0518 oraz

- obciążenie strony pozwanej kosztami postępowania.

Zarzuty i główne argumenty

Na poparcie skargi strona skarżąca podnosi trzynaście zarzutów.

1. Zarzut pierwszy dotyczący błędnej wykładni i błędnego zastosowania art. 4 ust. 1 lit. b), art. 6 i art. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (zwanego dalej "rozporządzeniem 2018/1725") poprzez wywnioskowanie z niego, że na Komisji ciąży obowiązek wyczerpującego zdefiniowania "rodzajów" danych osobowych, które mają być przetwarzane.

2. Zarzut drugi dotyczący błędnej wykładni i błędnego zastosowania art. 29 ust. 3 lit. a) rozporządzenia 2018/1725 poprzez stwierdzenie, że Komisja nie określiła w międzyinstytucjonalnym porozumieniu licencyjnym z 2021 r., jakie rodzaje danych osobowych mają być przetwarzane i do jakich celów.

3. Zarzut trzeci dotyczący błędnej wykładni i błędnego zastosowania art. 9 rozporządzenia 2018/1725 poprzez uznanie, że ma on zastosowanie w niniejszej sprawie, a w każdym razie poprzez błędne zastosowanie go.

4. Zarzut czwarty dotyczący błędnej wykładni i błędnego zastosowania art. 29 ust. 3 lit. a) rozporządzenia 2018/1725 poprzez stwierdzenie, że Komisja nie przedstawiła wystarczająco jasnego i udokumentowanego polecenia.

5. Zarzut piąty dotyczący błędnej wykładni i błędnego zastosowania art. 4 ust. 2 i art. 26 ust. 1 w związku z art. 30 rozporządzenia 2018/1725 poprzez stwierdzenie, że Komisja nie zapewniła, aby Microsoft przetwarzał dane osobowe w celu świadczenia swoich usług wyłącznie na podstawie udokumentowanego polecenia Komisji.

6. Zarzut szósty dotyczący błędnej wykładni i błędnego zastosowania art. 29 ust. 3 rozporządzenia 2018/1725 w odniesieniu do przekazywania danych osobowych do państw trzecich.

7. Zarzut siódmy dotyczący błędnej wykładni i błędnego zastosowania art. 4 ust. 2, art. 46 i art. 48 rozporządzenia 2018/1725 poprzez stwierdzenie braków w mapowaniu przekazywania danych.

8. Zarzut ósmy dotyczący naruszeń prawa i błędów w ustaleniach faktycznych przy dokonywaniu wykładni i stosowaniu art. 4 ust. 2, art. 46 i art. 48 rozporządzenia 2018/1725.

9. Zarzut dziewiąty dotyczący błędnego zastosowania art. 4 ust. 2, art. 46, art. 48 ust. 1 i ust. 3 lit. a) rozporządzenia 2018/1725 poprzez przyjęcie założenia, że między Komisją a Microsoft Corporation w Stanach Zjednoczonych miało miejsce bezpośrednie przekazywanie danych osobowych.

10. Zarzut dziesiąty dotyczący błędnej wykładni i błędnego zastosowania art. 47 rozporządzenia 2018/1725.

11. Zarzut jedenasty dotyczący naruszeń prawa i błędów w ustaleniach faktycznych przy wykładni i stosowaniu art. 4 ust. 1 lit. f), art. 29 ust. 3 lit. a), art. 33 ust. 1 i 2 oraz art. 36 rozporządzenia 2018/1725.

12. Zarzut dwunasty dotyczący naruszenia obowiązku uzasadnienia wynikającego z art. 296 TFUE, braku kompetencji oraz błędnej wykładni i błędnego zastosowania art. 52 ust. 3 rozporządzenia 2018/1725 poprzez zalecenie Komisji zbadania art. 1, 2 i 5 Protokołu (nr 7) w sprawie przywilejów i immunitetów Unii Europejskiej.

13. Zarzut trzynasty dotyczący naruszenia zasady proporcjonalności poprzez nakazanie zastosowania środków zaradczych przewidzianych w zaskarżonej decyzji