(C/2024/3925)Język postępowania: angielski
(Dz.U.UE C z dnia 1 lipca 2024 r.)
Strony
Strona skarżąca: Komisja Europejska (A. Bouchagiar i H. Kranenborg, pełnomocnicy)
Strona pozwana: Europejski Inspektor Ochrony Danych
Żądania
Strona skarżąca wnosi do Sądu o:
- stwierdzenie nieważności decyzji Europejskiego Inspektora Ochrony Danych z dnia 8 marca 2024 r. dotyczącej prowadzonego przezeń dochodzenia w przedmiocie wykorzystania Microsoft 365 przez Komisję Europejską w sprawie 2021-0518 oraz
- obciążenie strony pozwanej kosztami postępowania.
Zarzuty i główne argumenty
Na poparcie skargi strona skarżąca podnosi trzynaście zarzutów.
1. Zarzut pierwszy dotyczący błędnej wykładni i błędnego zastosowania art. 4 ust. 1 lit. b), art. 6 i art. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (zwanego dalej "rozporządzeniem 2018/1725") poprzez wywnioskowanie z niego, że na Komisji ciąży obowiązek wyczerpującego zdefiniowania "rodzajów" danych osobowych, które mają być przetwarzane.
2. Zarzut drugi dotyczący błędnej wykładni i błędnego zastosowania art. 29 ust. 3 lit. a) rozporządzenia 2018/1725 poprzez stwierdzenie, że Komisja nie określiła w międzyinstytucjonalnym porozumieniu licencyjnym z 2021 r., jakie rodzaje danych osobowych mają być przetwarzane i do jakich celów.
3. Zarzut trzeci dotyczący błędnej wykładni i błędnego zastosowania art. 9 rozporządzenia 2018/1725 poprzez uznanie, że ma on zastosowanie w niniejszej sprawie, a w każdym razie poprzez błędne zastosowanie go.
4. Zarzut czwarty dotyczący błędnej wykładni i błędnego zastosowania art. 29 ust. 3 lit. a) rozporządzenia 2018/1725 poprzez stwierdzenie, że Komisja nie przedstawiła wystarczająco jasnego i udokumentowanego polecenia.
5. Zarzut piąty dotyczący błędnej wykładni i błędnego zastosowania art. 4 ust. 2 i art. 26 ust. 1 w związku z art. 30 rozporządzenia 2018/1725 poprzez stwierdzenie, że Komisja nie zapewniła, aby Microsoft przetwarzał dane osobowe w celu świadczenia swoich usług wyłącznie na podstawie udokumentowanego polecenia Komisji.
6. Zarzut szósty dotyczący błędnej wykładni i błędnego zastosowania art. 29 ust. 3 rozporządzenia 2018/1725 w odniesieniu do przekazywania danych osobowych do państw trzecich.
7. Zarzut siódmy dotyczący błędnej wykładni i błędnego zastosowania art. 4 ust. 2, art. 46 i art. 48 rozporządzenia 2018/1725 poprzez stwierdzenie braków w mapowaniu przekazywania danych.
8. Zarzut ósmy dotyczący naruszeń prawa i błędów w ustaleniach faktycznych przy dokonywaniu wykładni i stosowaniu art. 4 ust. 2, art. 46 i art. 48 rozporządzenia 2018/1725.
9. Zarzut dziewiąty dotyczący błędnego zastosowania art. 4 ust. 2, art. 46, art. 48 ust. 1 i ust. 3 lit. a) rozporządzenia 2018/1725 poprzez przyjęcie założenia, że między Komisją a Microsoft Corporation w Stanach Zjednoczonych miało miejsce bezpośrednie przekazywanie danych osobowych.
10. Zarzut dziesiąty dotyczący błędnej wykładni i błędnego zastosowania art. 47 rozporządzenia 2018/1725.
11. Zarzut jedenasty dotyczący naruszeń prawa i błędów w ustaleniach faktycznych przy wykładni i stosowaniu art. 4 ust. 1 lit. f), art. 29 ust. 3 lit. a), art. 33 ust. 1 i 2 oraz art. 36 rozporządzenia 2018/1725.
12. Zarzut dwunasty dotyczący naruszenia obowiązku uzasadnienia wynikającego z art. 296 TFUE, braku kompetencji oraz błędnej wykładni i błędnego zastosowania art. 52 ust. 3 rozporządzenia 2018/1725 poprzez zalecenie Komisji zbadania art. 1, 2 i 5 Protokołu (nr 7) w sprawie przywilejów i immunitetów Unii Europejskiej.
13. Zarzut trzynasty dotyczący naruszenia zasady proporcjonalności poprzez nakazanie zastosowania środków zaradczych przewidzianych w zaskarżonej decyzji
