CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2006:346

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τμήμα μείζονος συνθέσεως)

της 30ής Μαΐου 2006 (*)

«Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Εναέριες μεταφορές – Απόφαση 2004/496/ΕΚ – Συμφωνία μεταξύ της Ευρωπαϊκής Κοινότητας και των Ηνωμένων Πολιτειών της Αμερικής – Διαβίβαση των καταστάσεων με τα ονόματα των επιβατών των αεροπορικών εταιριών στην Υπηρεσία Τελωνείων και Προστασίας των Συνόρων των Ηνωμένων Πολιτειών της Αμερικής – Οδηγία 95/46/ΕΚ – Άρθρο 25 – Τρίτες χώρες – Απόφαση 2004/535/ΕΚ – Ικανοποιητικό επίπεδο προστασίας»

Στις συνεκδικαζόμενες υποθέσεις C-317/04 και C-318/04,

με αντικείμενο προσφυγές ακυρώσεως δυνάμει του άρθρου 230 EK, οι οποίες ασκήθηκαν στις 27 Ιουλίου 2004,

Ευρωπαϊκό Κοινοβούλιο, εκπροσωπούμενο από τους R. Passos, N. Lorenz, H. Duintjer Tebbens και A. Caiola, με τόπο επιδόσεων στο Λουξεμβούργο,

προσφεύγον,

υποστηριζόμενο από:

τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ), εκπροσωπούμενο από τον H. Hijmans και την V. Perez Asinari,

παρεμβαίνοντα,

κατά

Συμβουλίου της Ευρωπαϊκής Ένωσης, εκπροσωπούμενου από την M. C. Giorgi Fort και τον M. Bishop,

καθού στην υπόθεση C-317/04,

υποστηριζόμενου από:

την Επιτροπή των Ευρωπαϊκών Κοινοτήτων, εκπροσωπούμενη από τους P. J. Kuijper, A. van Solinge και C. Docksey, με τόπο επιδόσεων στο Λουξεμβούργο,

το Ηνωμένο Βασίλειο της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας, εκπροσωπούμενο από τον M. Bethell και τις C. White και T. Harris, επικουρούμενους από τον T. Ward, barrister, με τόπο επιδόσεων στο Λουξεμβούργο,

παρεμβαίνοντες,

και κατά

Επιτροπής των Ευρωπαϊκών Κοινοτήτων, εκπροσωπούμενης από τους P. J. Kuijper, A. van Solinge, C. Docksey και F. Benyon, με τόπο επιδόσεων στο Λουξεμβούργο,

καθής στην υπόθεση C-318/04,

υποστηριζόμενης από:

παρεμβαίνον,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τμήμα μείζονος συνθέσεως),

συγκείμενο από τους Β. Σκουρή, Πρόεδρο, P. Jann, C. W. A. Timmermans, A. Rosas και J. Malenovský, προέδρους τμήματος, N. Colneric (εισηγήτρια), S. von Bahr, J. N. Cunha Rodrigues, R. Silva de Lapuerta, Γ. Αρέστη, A. Borg Barthet, M. Ilešič και J. Klučka, δικαστές,

γενικός εισαγγελέας: P. Léger

γραμματέας: M. Ferreira, κύρια υπάλληλος διοικήσεως,

έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 18ης Οκτωβρίου 2005,

αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 22ας Νοεμβρίου 2005,

εκδίδει την ακόλουθη

Απόφαση

1 Το Ευρωπαϊκό Κοινοβούλιο ζητεί, με την προσφυγή που άσκησε στην υπόθεση C-317/04, την ακύρωση της απόφασης 2004/496/ΕΚ του Συμβουλίου, της 17ης Μαΐου 2004, για τη σύναψη συμφωνίας μεταξύ της Ευρωπαϊκής Κοινότητας και των Ηνωμένων Πολιτειών της Αμερικής σχετικά με την επεξεργασία και τη διαβίβαση των καταστάσεων με τα ονόματα των επιβατών από τους αερομεταφορείς προς το Υπουργείο Εσωτερικής Ασφάλειας, Υπηρεσία Τελωνείων και Προστασίας των Συνόρων των Ηνωμένων Πολιτειών (ΕΕ L 183, σ. 83, και διορθωτικό ΕΕ 2005, L 255, σ. 168).

2 Το Κοινοβούλιο ζητεί, με την προσφυγή που άσκησε στην υπόθεση C-318/04, την ακύρωση της απόφασης 2004/535/ΕΚ της Επιτροπής, της 14ης Μαΐου 2004, σχετικά με την ικανοποιητική προστασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στον φάκελο των επιβατών (Passenger Name Record) αεροπορικών μεταφορών ο οποίος διαβιβάζεται στο Bureau of Customs and Border Protection (Υπηρεσία Τελωνείων και Προστασίας των Συνόρων) των Ηνωμένων Πολιτειών της Αμερικής (ΕΕ L 235, σ. 11, στο εξής: απόφαση για ικανοποιητική προστασία).

Το νομικό πλαίσιο

3 Το άρθρο 8 της Ευρωπαϊκής Σύµβασης για την Προάσπιση των ∆ικαιωµάτων του Ανθρώπου και των Θεµελιωδών Ελευθεριών, που υπογράφηκε στη Ρώμη στις 4 Νοεμβρίου 1950 (στο εξής: ΕΣΔΑ), ορίζει τα εξής:

«1 Παν πρόσωπoν δικαιoύται εις τoν σεβασμόν της ιδιωτικής και oικoγενειακής ζωής τoυ, της κατoικίας τoυ και της αλληλoγραφίας τoυ.

2 Δεν επιτρέπεται να υπάρξη επέμβασις δημoσίας αρχής εν τη ασκήσει τoυ δικαιώµατoς τoύτoυ, εκτός εάν η επέµβασις αύτη πρoβλέπεται υπό τoυ νόμoυ και απoτελεί μέτρoν τo oπoίoν, εις μίαν δημoκρατικήν κoινωνίαν, είναι αναγκαίoν διά την εθνικήν ασφάλειαν, την δημoσίαν ασφάλειαν, την oικoνoμικήν ευημερίαν της χώρας, την πρoάσπισιν της τάξεως και την πρόληψιν πoινικών παραβάσεων, την πρoστασίαν της υγείας ή της ηθικής ή την πρoστασίαν των δικαιωμάτων και ελευθεριών άλλων.»

4 Το άρθρο 95, παράγραφος 1, δεύτερη περίοδος, ΕΚ έχει ως εξής:

«Το Συμβούλιο, αποφασίζοντας με τη διαδικασία του άρθρου 251 και μετά από διαβούλευση με την Οικονομική και Κοινωνική Επιτροπή, εκδίδει τα μέτρα σχετικά με την προσέγγιση των νομοθετικών, κανονιστικών και διοικητικών διατάξεων των κρατών μελών που έχουν ως αντικείμενο την εγκαθίδρυση και τη λειτουργία της εσωτερικής αγοράς.»

5 Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281, σ. 31), όπως τροποποιήθηκε με τον κανονισμό 1882/2003/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Σεπτεμβρίου 2003, περί προσαρμογής στην απόφαση 1999/468/ΕΚ του Συμβουλίου των διατάξεων των σχετικών με τις επιτροπές που επικουρούν την Επιτροπή στην άσκηση των εκτελεστικών αρμοδιοτήτων της, οι οποίες προβλέπονται από πράξεις υποκείμενες στη διαδικασία του άρθρου 251 της Συνθήκης ΕΚ (ΕΕ L 284, σ. 1) (στο εξής: οδηγία), εκδόθηκε με βάση το άρθρο 100 A της Συνθήκης ΕΚ (νυν, κατόπιν τροποποιήσεως, άρθρο 95 ΕΚ).

6 Κατά την ενδέκατη αιτιολογική σκέψη της, «οι αρχές περί προστασίας των δικαιωμάτων και των ελευθεριών του ατόμου, και ιδίως της ιδιωτικής ζωής, που περιέχονται στην παρούσα οδηγία, διευκρινίζουν και επεκτείνουν τις αρχές που περιλαμβάνονται στη σύμβαση της 28ης Ιανουαρίου 1991 του Συμβουλίου της Ευρώπης περί προστασίας των προσώπων έναντι της αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα».

7 Στη δέκατη τρίτη αιτιολογική σκέψη της οδηγίας προβλέπονται τα εξής:

«[Ο]ι δραστηριότητες που αναφέρονται στους τίτλους V και VI της Συνθήκης για την Ευρωπαϊκή Ένωση όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την ασφάλεια του κράτους ή οι δραστηριότητες του κράτους στον ποινικό τομέα δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, με την επιφύλαξη των υποχρεώσεων που βαρύνουν τα κράτη μέλη δυνάμει του άρθρου 56, παράγραφος 2, και του άρθρων 57 και 100 Α της Συνθήκης [...]».

8 Στην πεντηκοστή έβδομη αιτιολογική σκέψη της οδηγίας αναφέρονται τα εξής:

«[...] όταν μια τρίτη χώρα δεν παρέχει ικανοποιητικό επίπεδο προστασίας, η διαβίβαση των δεδομένων προσωπικού χαρακτήρα προς την εν λόγω χώρα πρέπει να απαγορεύεται».

9 Το άρθρο 2 της οδηγίας προβλέπει τα εξής:

«Για τους σκοπούς της παρούσας οδηγίας, νοούνται ως:

α) “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (το πρόσωπο στο οποίο αναφέρονται τα δεδομένα)· ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από φυσική, βιολογική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη·

β) “επεξεργασία δεδομένων προσωπικού χαρακτήρα” (επεξεργασία): κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή·

[…]».

10 Το άρθρο 3 της οδηγίας προβλέπει τα εξής:

«Πεδίο εφαρμογής

«1. Οι διατάξεις της παρούσας οδηγίας εφαρμόζονται στην αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.

2. Οι διατάξεις της παρούσας οδηγίας δεν εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

– η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως οι δραστηριότητες που προβλέπονται στις διατάξεις των τίτλων V και VI της Συνθήκης για την Ευρωπαϊκή Ένωση και, εν πάση περιπτώσει, στην επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης και της οικονομικής ευημερίας του, εφόσον η επεξεργασία αυτή συνδέεται με θέματα ασφάλειας του κράτους) και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου,

[…]».

11 Το άρθρο 6, παράγραφος 1, της οδηγίας ορίζει τα εξής:

«Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει:

[…]

β) να συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και η μεταγενέστερη επεξεργασία τους να συμβιβάζεται με τους σκοπούς αυτούς. Η μεταγενέστερη επεξεργασία για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς δεν θεωρείται ασυμβίβαστη, εφόσον τα κράτη μέλη προβλέπουν κατάλληλες εγγυήσεις·

γ) να είναι κατάλληλα, συναφή προς το θέμα και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους συλλέγονται και υφίστανται επεξεργασία·

[…]

ε) να διατηρούνται με μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται μόνο κατά τη διάρκεια περιόδου που δεν υπερβαίνει την απαιτούμενη για την επίτευξη των σκοπών για τους οποίους έχουν συλλεγεί ή για τους οποίους αργότερα υφίστανται επεξεργασία. […]»

12 Το άρθρο 7 της οδηγίας ορίζει τα εξής:

«Τα κράτη μέλη προβλέπουν ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται μόνον εάν:

[…]

γ) είναι απαραίτητη για την τήρηση εκ του νόμου υποχρεώσεως του υπευθύνου της επεξεργασίας

[…]

ε) είναι απαραίτητη για την εκπλήρωση έργου δημοσίου συμφέροντος ή εμπίπτοντος στην άσκηση δημοσίας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας ή στον τρίτο στον οποίο ανακοινώνονται τα δεδομένα

στ) είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας δυνάμει του άρθρου 1, παράγραφος 1, της παρούσας οδηγίας.»

13 Το άρθρο 8, παράγραφος 5, πρώτο εδάφιο, της οδηγίας προβλέπει τα εξής:

«Η επεξεργασία δεδομένων σχετικών με παραβάσεις, ποινικές καταδίκες ή μέτρα ασφαλείας επιτρέπεται μόνον υπό τον έλεγχο της δημόσιας αρχής ή εάν το εθνικό δίκαιο προβλέπει επαρκείς και ειδικές εγγυήσεις, με την επιφύλαξη ενδεχομένων παρεκκλίσεων τις οποίες ορίζει το κράτος μέλος επί τη βάσει εθνικών διατάξεων που παρέχουν τις ενδεδειγμένες και ειδικές προς τούτο εγγυήσεις. Πάντως, η τήρηση πλήρους ποινικού μητρώου επιτρέπεται μόνον υπό τον έλεγχο της δημόσιας αρχής.»

14 Το άρθρο 12 της οδηγίας ορίζει τα εξής:

«Τα κράτη μέλη εγγυώνται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα το δικαίωμα να λαμβάνουν από τον υπεύθυνο της επεξεργασίας:

α) ελεύθερα και απεριόριστα, σε εύλογα διαστήματα και χωρίς υπερβολική καθυστέρηση ή δαπάνη:

– την επιβεβαίωση ότι υπάρχει ή όχι επεξεργασία δεδομένων που τα αφορούν καθώς και πληροφορίες σχετικά τουλάχιστον με τους σκοπούς της επεξεργασίας, τις κατηγορίες δεδομένων υπό επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών στις οποίες ανακοινώνονται τα δεδομένα αυτά,

– τη γνωστοποίηση, με εύληπτο τρόπο, των δεδομένων υπό επεξεργασία καθώς και των διαθέσιμων πληροφοριών σχετικά με την προέλευσή των,

– την ενημέρωση σχετικά με τη λογική στην οποία στηρίζεται κάθε αυτοματοποιημένη επεξεργασία των δεδομένων τα οποία αναφέρονται στα πρόσωπα αυτά, τουλάχιστον στην περίπτωση των αυτοματοποιημένων αποφάσεων του άρθρου 15, παράγραφος 1,

β) κατά περίπτωση, τη διόρθωση, τη διαγραφή ή το κλείδωμα των δεδομένων των οποίων η επεξεργασία δεν είναι σύμφωνη προς τις διατάξεις της παρούσας οδηγίας, ιδίως λόγω ελλιπούς ή ανακριβούς χαρακτήρα των δεδομένων,

γ) την κοινοποίηση σε τρίτους, στους οποίους έχουν ανακοινωθεί τα δεδομένα, κάθε διόρθωσης, διαγραφής ή κλειδώματος που διενεργείται σύμφωνα με το στοιχείο β΄, εφόσον τούτο δεν είναι αδύνατον ή δεν προϋποθέτει δυσανάλογες προσπάθειες.»

15 Το άρθρο 13, παράγραφος 1, της οδηγίας έχει ως εξής:

«Τα κράτη μέλη μπορούν να περιορίζουν με νομοθετικά μέτρα την εμβέλεια των υποχρεώσεων και δικαιωμάτων που προβλέπονται από τις διατάξεις του άρθρου 6, παράγραφος 1, του άρθρου 10, του άρθρου 11, παράγραφος 1, και των άρθρων 12 και 21, όταν ο περιορισμός αυτός απαιτείται για τη διαφύλαξη:

α) της ασφάλειας του κράτους,

β) της άμυνας,

γ) της δημόσιας ασφάλειας,

δ) της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων,

ε) σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων,

στ) αποστολής ελέγχου, επιθεώρησης ή ρυθμιστικών καθηκόντων που συνδέονται, έστω και ευκαιριακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία γ΄, δ΄ και ε΄,

ζ) της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων.»

16 Το άρθρο 22 της οδηγίας προβλέπει τα εξής:

«Προσφυγή

Με την επιφύλαξη ενδεχόμενης άσκησης διοικητικής [προσφυγής], ιδίως ενώπιον της αρχής ελέγχου που αναφέρεται στο άρθρο 28, προτού επιληφθεί δικαστική αρχή, τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο έχει δικαίωμα να προσφύγει ενώπιον δικαστηρίου σε περίπτωση παραβιάσεως δικαιωμάτων κατοχυρωμένων από την εθνική νομοθεσία που εφαρμόζεται στη σχετική επεξεργασία.»

17 Τα άρθρα 25 και 26 της οδηγίας συναποτελούν το κεφάλαιο IV, το οποίο αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες.

18 Το άρθρο 25 της οδηγίας, το οποίο επιγράφεται «Βασικές αρχές», προβλέπει τα εξής:

«1. Τα κράτη μέλη προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα, που έχουν υποστεί επεξεργασία ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβασή τους, επιτρέπεται μόνον εάν, τηρουμένων των εθνικών διατάξεων που θεσπίζονται σύμφωνα με τις λοιπές διατάξεις της παρούσας οδηγίας, η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.

2. Η επάρκεια της προστασίας που παρέχεται από τρίτη χώρα σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων· ειδικότερα, εξετάζονται η φύση των δεδομένων, οι σκοποί και η διάρκεια της ή των προβλεπομένων επεξεργασιών, η χώρα προέλευσης και τελικού προορισμού, οι γενικοί ή τομεακοί κανόνες δικαίου, οι επαγγελματικοί κανόνες και τα μέτρα ασφαλείας που ισχύουν στην εν λόγω τρίτη χώρα.

3. Τα κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία, οσάκις θεωρούν ότι μια τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2.

4. Όταν η Επιτροπή διαπιστώνει, με τη διαδικασία που αναφέρεται στο άρθρο 31, παράγραφος 2, ότι μια τρίτη χώρα δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα ώστε να αποφευχθεί οποιαδήποτε διαβίβαση τέτοιου είδους δεδομένων προς την εν λόγω τρίτη χώρα.

5. Η Επιτροπή αρχίζει την κατάλληλη στιγμή διαπραγματεύσεις ώστε να επανορθωθεί η κατάσταση που προκύπτει από τη διαπίστωση που έχει γίνει κατ’ εφαρμογή της παραγράφου 4.

6. Η Επιτροπή μπορεί να αποφανθεί, με τη διαδικασία που αναφέρεται στο άρθρο 31, παράγραφος 2, ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει, ιδίως κατόπιν των διαπραγματεύσεων που αναφέρονται στην παράγραφο 5, ώστε να εξασφαλίζει την προστασία της ιδιωτικής ζωής και των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων.

Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με την απόφαση της Επιτροπής.»

19 Το άρθρο 26, παράγραφος 1, της οδηγίας, το οποίο επιγράφεται «Παρεκκλίσεις», προβλέπει τα εξής:

«Κατά παρέκκλιση από το άρθρο 25 και με την επιφύλαξη αντιθέτων διατάξεων της εθνικής νομοθεσίας που διέπουν κατ’ ιδίαν περιπτώσεις, τα κράτη μέλη προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25, παράγραφος 2, μπορεί να πραγματοποιηθεί εφόσον:

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει συναινέσει ρητώς στη διαβίβαση

β) η διαβίβαση είναι αναγκαία για την εκτέλεση σύμβασης μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων κατ’ αίτηση του προσώπου αυτού

γ) η διαβίβαση είναι αναγκαία για τη συνομολόγηση ή την εκτέλεση σύμβασης που έχει συναφθεί ή πρόκειται να συναφθεί μεταξύ του υπευθύνου επεξεργασίας και τρίτου προς το συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα

δ) η διαβίβαση είναι αναγκαία ή απαιτείται εκ του νόμου για τη διασφάλιση σημαντικού δημοσίου συμφέροντος ή για την αναγνώριση, άσκηση ή υπεράσπιση ενός δικαιώματος ενώπιον του δικαστηρίου

ε) η διαβίβαση είναι αναγκαία για τη διασφάλιση ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα

στ) η διαβίβαση πραγματοποιείται από δημόσιο μητρώο το οποίο προορίζεται βάσει νομοθετικών ή κανονιστικών διατάξεων για την παροχή πληροφοριών στο κοινό και είναι προσιτό είτε στο κοινό γενικά είτε σε οποιοδήποτε πρόσωπο μπορεί να αποδείξει έννομο συμφέρον, εφόσον στη συγκεκριμένη περίπτωση πληρούνται οι σχετικές νόμιμες προϋποθέσεις.»

20 Με βάση την οδηγία, και συγκεκριμένα το άρθρο της 25, παράγραφος 6, η Επιτροπή των Ευρωπαϊκών Κοινοτήτων εξέδωσε την απόφαση για ικανοποιητική προστασία.

21 Στην ενδέκατη αιτιολογική σκέψη της απόφασης αυτής προβλέπονται τα εξής:

«Η επεξεργασία από τη CBP [United States Bureau of Customs and Border Protection (Υπηρεσία Τελωνείων και Προστασίας των Συνόρων των Ηνωμένων Πολιτειών)] των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στο PNR [Passenger Name Records (στις καταστάσεις με τα ονόματα)] των επιβατών αεροπορικών μεταφορών ο οποίος διαβιβάζεται σε αυτήν διέπεται από τους όρους που προβλέπονται στις αναλήψεις υποχρεώσεων του Υπουργείου Εσωτερικής Ασφάλειας, Υπηρεσία Τελωνείων και Προστασίας των Συνόρων (CBP) της 11ης Μαΐου 2004 (εφεξής καλούμενες “αναλήψεις υποχρεώσεων”), και στην εσωτερική νομοθεσία των ΗΠΑ, στον βαθμό που αναφέρεται στις αναλήψεις υποχρεώσεων.»

22 Κατά τη δέκατη πέμπτη αιτιολογική σκέψη της ίδιας αυτής απόφασης, τα δεδομένα των PNR θα χρησιμοποιούνται αυστηρά για τους σκοπούς της αποτροπής και της καταπολέμησης της τρομοκρατίας και συναφών εγκλημάτων, άλλων σοβαρών εγκλημάτων, συμπεριλαμβανομένου του οργανωμένου εγκλήματος, τα οποία έχουν διεθνικό χαρακτήρα, και των αποδράσεων σε περίπτωση ενταλμάτων σύλληψης ή επιβολής ποινών φυλάκισης για τα ανωτέρω εγκλήματα.

23 Τα άρθρα 1 έως 4 της απόφασης για ικανοποιητική προστασία προβλέπουν τα εξής:

«Άρθρο 1

Για τους σκοπούς του άρθρου 25, παράγραφος 2, της οδηγίας 95/46/ΕΚ, το Bureau of Customs and Border Protection (CBP) των Ηνωμένων Πολιτειών της Αμερικής (ΗΠΑ) θεωρείται ότι εξασφαλίζει ικανοποιητικό επίπεδο προστασίας όσον αφορά τα δεδομένα PNR που διαβιβάζονται από την Κοινότητα σχετικά με πτήσεις προς και από τις ΗΠΑ, σύμφωνα με τις αναλήψεις υποχρεώσεων που παρατίθενται στο παράρτημα.

Άρθρο 2

Η παρούσα απόφαση αφορά την επάρκεια της προστασίας που παρέχεται από τη CBP με σκοπό την ικανοποίηση των απαιτήσεων του άρθρου 25, παράγραφος 1, της οδηγίας 95/46/ΕΚ και δεν θίγει άλλους όρους ή περιορισμούς για την εφαρμογή άλλων διατάξεων της εν λόγω οδηγίας οι οποίοι αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα εντός των κρατών μελών.

Άρθρο 3

1. Με την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση για να διασφαλίζουν τη συμμόρφωση με τις εθνικές διατάξεις που εγκρίθηκαν σύμφωνα με διατάξεις άλλες από εκείνες του άρθρου 25 της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις υφιστάμενες εξουσίες τους για να αναστέλλουν τις ροές δεδομένων προς τη CBP, προκειμένου να προστατεύουν τα πρόσωπα όσον αφορά την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα στις ακόλουθες περιπτώσεις:

α) εφόσον η αρμόδια αμερικανική αρχή έχει διαπιστώσει ότι η CBP παραβίασε τα ισχύοντα πρότυπα προστασίας ή

β) εφόσον υπάρχει ουσιαστική πιθανότητα παραβίασης των προτύπων προστασίας που ορίζονται στο παράρτημα και υπάρχουν βάσιμοι λόγοι ώστε να θεωρηθεί ότι η CBP δεν πραγματοποιεί ή δεν θα πραγματοποιήσει επαρκείς ενέργειες εγκαίρως για να διευθετήσει το υπό εξέταση ζήτημα [και] η συνεχιζόμενη διαβίβαση θα προκαλούσε άμεσο κίνδυνο σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα και οι αρμόδιες αρχές του κράτους μέλους έχουν καταβάλει συνετές προσπάθειες, δεδομένων των περιστάσεων, για να προειδοποιήσουν τη CBP και να της δώσουν τη δυνατότητα να αντιδράσει.

2. Η αναστολή παύει να ισχύει από τη στιγμή που εξασφαλίζονται τα πρότυπα προστασίας και η αρμόδια αρχή των ενδιαφερομένου κράτους μέλους ενημερώνεται σχετικά.

Άρθρο 4

1. Τα κράτη μέλη ενημερώνουν την Επιτροπή αμελλητί στις περιπτώσεις όπου λαμβάνονται μέτρα δυνάμει του άρθρου 3.

2. Τα κράτη μέλη και η Επιτροπή αλληλοενημερώνονται σχετικά με οποιαδήποτε μεταβολή των προτύπων προστασίας και σχετικά με τις περιπτώσεις όπου η δράση των φορέων που είναι αρμόδιοι για τη διασφάλιση συμμόρφωσης της CBP με τα πρότυπα προστασίας, όπως ορίζονται στο παράρτημα, αδυνατεί να εξασφαλίσει την εν λόγω συμμόρφωση.

3. Εάν οι πληροφορίες που συλλέγονται δυνάμει του άρθρου 3 και δυνάμει των παραγράφων 1 και 2 του παρόντος άρθρου αποδεικνύουν ότι δεν τηρούνται πλέον οι βασικές αρχές που απαιτούνται για ένα ικανοποιητικό επίπεδο προστασίας των φυσικών προσώπων ή ότι οποιοσδήποτε φορέας που είναι αρμόδιος για τη διασφάλιση συμμόρφωσης της CBP με τα πρότυπα προστασίας, όπως ορίζονται στο παράρτημα, δεν επιτελεί αποτελεσματικά το έργο του, η CBP θα ενημερωθεί και, εάν κρίνεται αναγκαίο, η διαδικασία που αναφέρεται στο άρθρο 31, παράγραφος 2, της οδηγίας 95/46/ΕΚ θα εφαρμοστεί, με σκοπό την κατάργηση ή την αναστολή της παρούσας απόφασης.»

24 Στις «[α]ναλήψεις υποχρεώσεων του Department of Homeland Security Bureau of Customs and Border Protection (CBP)», οι οποίες έχουν επισυναφθεί στην απόφαση για ικανοποιητική προστασία, προβλέπονται τα εξής:

«Προς υποστήριξη του σχεδίου της Ευρωπαϊκής Επιτροπής […] για την άσκηση των εξουσιών που της παρέχονται με το άρθρο 25, παράγραφος 6, της οδηγίας 95/46/ΕΚ […] και για την έκδοση απόφασης με την οποία να αναγνωρίζεται ότι το Department of Homeland Security Bureau of Customs and Border Protection (CBP) παρέχει ικανοποιητική προστασία όσον αφορά τα δεδομένα που περιέχονται στους φακέλους των επιβατών (Passenger Name Record-PNR) των αεροπορικών εταιρειών τα οποία ενδέχεται να εμπίπτουν στο πεδίο εφαρμογής της οδηγίας, η CBP αναλαμβάνει τις ακόλουθες δεσμεύσεις [...].»

25 Οι δεσμεύσεις αυτές περιλαμβάνουν 48 σημεία, τα οποία ανήκουν στις ακόλουθες κατηγορίες: «Εκ του νόμου αρμόδιες αρχές για την έκδοση PNR», «Χρήση δεδομένων PNR από τη CBP», «Απαιτήσεις δεδομένων», «Επεξεργασία “ευαίσθητων” δεδομένων», «Μέθοδος αξιολόγησης δεδομένων PNR», «Αποθήκευση δεδομένων PNR», «Ασφάλεια των συστημάτων πληροφορικής της CBP», «Επεξεργασία και προστασία δεδομένων PNR από τη CBP», «Μετάδοση δεδομένων PNR σε άλλες κρατικές αρχές», «Γνωστοποίηση, πρόσβαση στα δεδομένα και μέσα προσφυγής για τα πρόσωπα που αφορούν οι PNR», «Τήρηση των διατάξεων», «Αμοιβαιότητα», «Αναθεώρηση και λήξη ισχύος των δεσμεύσεων» και «Απουσία δημιουργίας δικαιώματος ή προηγούμενου».

26 Μεταξύ των δεσμεύσεων αυτών καταλέγονται ιδίως οι ακόλουθες:

«1) Με νομοθετική ρύθμιση [title 49, United States Code, section 44909(c)(3)] και με τους μεταβατικούς (interim) κανονισμούς εφαρμογής της (title 19, Code of Federal Regulations, section 122.49b), κάθε αεροπορική εταιρεία που διενεργεί επιβατικές πτήσεις διεθνώς [προς] ή από τις ΗΠΑ πρέπει να παρέχει στη CBP […] ηλεκτρονική πρόσβαση σε δεδομένα PNR, εφόσον αυτά συλλέγονται και καταχωρίζονται στα αυτοματοποιημένα συστήματα ελέγχου κρατήσεων/αναχωρήσεων του αερομεταφορέα (“συστήματα κράτησης”).

[…]

3) Τα δεδομένα PNR χρησιμοποιούνται από τη CBP αυστηρά για την πρόληψη και την καταπολέμηση: 1) της τρομοκρατίας και των σχετικών εγκλημάτων, 2) άλλων σοβαρών εγκλημάτων, συμπεριλαμβανομένου του οργανωμένου εγκλήματος, που είναι διακρατικής φύσης, 3) της απόδρασης σε περίπτωση ενταλμάτων σύλληψης ή επιβολής ποινής φυλάκισης για ένα από τα παραπάνω αναφερόμενα εγκλήματα. Η χρήση των δεδομένων PNR για τους σκοπούς αυτούς επιτρέπει στη CBP να επικεντρώνει τους πόρους της σε θέματα υψηλού κινδύνου, διευκολύνοντας κατ’ αυτόν τον τρόπο και διασφαλίζοντας τα ταξίδια για τους καλόπιστους ταξιδιώτες.

4) Τα στοιχεία δεδομένων τα οποία απαιτεί η CBP παρατίθενται στο προσάρτημα A. […]

[…]

27) Στο πλαίσιο κάθε διοικητικής ή δικαστικής διαδικασίας που αποτελεί συνέπεια μιας αίτησης, υποβληθείσας σύμφωνα με τον νόμο σχετικά με την ελευθερία της πληροφορίας (FOIA), για πληροφορίες PNR από αεροπορικές εταιρείες, η CBP δηλώνει ότι τα εν λόγω μητρώα δεν υπόκεινται στην ελευθερία διάδοσης που προβλέπεται από τον εν λόγω νόμο.

[…]

29) Η CBP, κατά τη [διακριτική της ευχέρεια], δεν διαδίδει δεδομένα PNR σε άλλες κρατικές αρχές συμπεριλαμβανομένων των αλλοδαπών κυβερνητικών αρχών αρμόδιων για την καταστολή ή την καταπολέμηση της τρομοκρατίας παρά μόνο κατά περίπτωση, με σκοπό την πρόληψη ή την καταπολέμηση των εγκλημάτων που προβλέπονται στην παράγραφο 3 της παρούσας δήλωσης δέσμευσης. Οι αρχές με τις οποίες η CBP μπορεί να ανταλλάσσει αυτά τα δεδομένα κατονομάζονται παρακάτω υπό τον τίτλο “εξουσιοδοτημένες αρχές”.

30) Η CBP ασκεί με σύνεση την αρμοδιότητά της διαβίβασης δεδομένων PNR για τους συγκεκριμένους σκοπούς. Πρώτον, φροντίζει να προσδιορίζει εάν οι λόγοι διάδοσης των δεδομένων PNR σε μια άλλη εξουσιοδοτημένη αρχή είναι σύμφωνοι με τους προβλεπόμενους στόχους (βλέπε παράγραφο 29 της παρούσας δήλωσης δέσμευσης). Σε περίπτωση κατάφασης, η CBP επαληθεύει εάν η εν λόγω εξουσιοδοτημένη αρχή είναι αρμόδια για την πρόληψη κάθε παράβασης ενός νόμου ή ενός κανονισμού που έχει σχέση με τους στόχους της ή να διεξάγει έρευνα ή να αναλαμβάνει δράση προς τον σκοπό αυτό ή να εφαρμόζει ή να φροντίζει για την τήρηση ενός τέτοιου νόμου ή ενός τέτοιου κανονισμού, εφόσον η CBP έχει λάβει γνώση μιας παράβασης ή του ενδεχόμενου μιας παράβασης του νόμου. Το βάσιμο της διάδοσης θα πρέπει να εξετάζεται στα πλαίσια του συνόλου των περιστάσεων της συγκεκριμένης περίπτωσης.

[…]

35) Καμία διάταξη της παρούσας δήλωσης δέσμευσης δεν μπορεί να εμποδίζει τη χρήση ή τη διάδοση δεδομένων PNR στο πλαίσιο μιας ποινικής διαδικασίας ή λόγω άλλων απαιτήσεων που προβλέπονται από τον νόμο. Η CBP πληροφορεί την Ευρωπαϊκή Επιτροπή για την έκδοση, από τις αμερικανικές αρχές, νομοθεσίας που έχει επίπτωση στο βάσιμο της παρούσας δήλωσης δέσμευσης.

[…]

46) Οι δεσμεύσεις που προβλέπονται στην παρούσα δήλωση ισχύουν για περίοδο τριών ετών και έξι μηνών (3,5 ετών) από την ημερομηνία θέσης σε ισχύ μιας συμφωνίας μεταξύ των ΗΠΑ και της Ευρωπαϊκής Κοινότητας που αποβλέπει στην έγκριση της επεξεργασίας των δεδομένων PNR από τις αεροπορικές εταιρείες για τη μεταβίβασή τους στη CBP σύμφωνα με την οδηγία. […]

47) Οι δεσμεύσεις που αποτελούν αντικείμενο της παρούσας δήλωσης δεν δημιουργούν ούτε απονέμουν δικαίωμα ούτε πλεονέκτημα σε κανένα πρόσωπο ή μέρος, ούτε ιδιωτικό ούτε δημόσιο.

[…]»

27 Το παράρτημα «A» της δήλωσης δεσμεύσεων περιλαμβάνει τα «δεδομένα PNR» που ζητάει η CBP από τις αεροπορικές εταιρείες. Μεταξύ των δεδομένων αυτών καταλέγονται ο «κωδικός ανεύρεσης φακέλου», η ημερομηνία κράτησης της θέσης, το ονοματεπώνυμο, η διεύθυνση, ο τρόπος πληρωμής, οι αριθμοί τηλεφώνων, το ταξιδιωτικό πρακτορείο, η «κατάσταση» του ταξιδιώτη (travel status of passenger), η ηλεκτρονική διεύθυνση, ορισμένες γενικές παρατηρήσεις, ο αριθμός καθίσματος, το στοιχείο ότι ο επιβάτης δεν εμφανίζεται στις πτήσεις καθώς και οι «πληροφορίες APIS» που έχουν ενδεχομένως συλλεγεί.

28 Το Συμβούλιο εξέδωσε την απόφαση 2004/496 με βάση κυρίως το άρθρο 95 ΕΚ, σε συνδυασμό με το άρθρο 300, παράγραφος 2, πρώτο εδάφιο, πρώτη περίοδος, ΕΚ.

29 Στις τρεις αιτιολογικές σκέψεις της απόφασης αυτής εκτίθενται τα εξής:

«(1) Στις 23 Φεβρουαρίου 2004 το Συμβούλιο εξουσιοδότησε την Επιτροπή να διαπραγματευθεί, εξ ονόματος της Κοινότητας, μια συμφωνία με τις Ηνωμένες Πολιτείες της Αμερικής σχετικά με την επεξεργασία και τη διαβίβαση των καταστάσεων με τα ονόματα των επιβατών από τους αερομεταφορείς προς το Υπουργείο Εσωτερικής Ασφάλειας, Υπηρεσία Τελωνείων και Προστασίας των Συνόρων των Ηνωμένων Πολιτειών.

(2) Το Ευρωπαϊκό Κοινοβούλιο δεν έχει διατυπώσει γνώμη εντός της προθεσμίας που, σύμφωνα με το πρώτο εδάφιο του άρθρου 300, παράγραφος 3, της Συνθήκης, όρισε το Συμβούλιο, λόγω της επείγουσας ανάγκης να διορθωθεί η κατάσταση αβεβαιότητας στην οποία έχουν περιέλθει οι αεροπορικές εταιρείες και οι επιβάτες καθώς και να προστατευθούν τα οικονομικά συμφέροντα των ενδιαφερομένων.

(3) Η παρούσα συμφωνία θα πρέπει να εγκριθεί.»

30 Το άρθρο 1 της απόφασης 2004/496 προβλέπει τα εξής:

«Η συμφωνία μεταξύ της Ευρωπαϊκής Κοινότητας και των Ηνωμένων Πολιτειών της Αμερικής σχετικά με την επεξεργασία και τη διαβίβαση των καταστάσεων με τα ονόματα των επιβατών από τους αερομεταφορείς προς το Υπουργείο Εσωτερικής Ασφάλειας, Υπηρεσία Τελωνείων και Προστασίας των Συνόρων, των Ηνωμένων Πολιτειών εγκρίνεται με την παρούσα εξ ονόματος της Κοινότητας.

Το κείμενο της συμφωνίας επισυνάπτεται στην παρούσα απόφαση.»

31 Η εν λόγω συμφωνία (η οποία θα αναφέρεται στο εξής απλώς ως «συμφωνία») έχει ως εξής:

«Η Ευρωπαϊκή Κοινότητα και οι Ηνωμένες Πολιτείες της Αμερικής,

Αναγνωρίζοντας τη σημασία του σεβασμού των θεμελιωδών δικαιωμάτων και ελευθεριών, περιλαμβανομένης της ιδιωτικής ζωής, καθώς και τη σημασία της συμμόρφωσης προς τις αξίες αυτές κατά την πρόληψη και καταπολέμηση της τρομοκρατίας και των συναφών εγκλημάτων καθώς και άλλων σοβαρών διεθνών εγκλημάτων, όπως του οργανωμένου εγκλήματος,

Έχοντας υπόψη τους νόμους και κανονισμούς των Ηνωμένων Πολιτειών που απαιτούν από κάθε αερομεταφορέα ο οποίος πραγματοποιεί διεθνείς επιβατικές πτήσεις από και προς τις Ηνωμένες Πολιτείες να παρέχει στο Υπουργείο Εσωτερικής Ασφάλειας (εφεξής: DHS) [και συγκεκριμένα στη CBP] ηλεκτρονική πρόσβαση στα στοιχεία [PNR] που συλλέγονται και αποθηκεύονται στα αυτόματα συστήματα ελέγχου κρατήσεων/αναχωρήσεων του αερομεταφορέα,

Έχοντας υπόψη την οδηγία 95/46/ΕΚ […] και ιδίως το άρθρο 7, στοιχείο γ΄,

Έχοντας υπόψη τις δεσμεύσεις που ανέλαβε η CBP στις 11 Μαΐου 2004, οι οποίες θα δημοσιευθούν στο Ομοσπονδιακό Μητρώο (Federal Register) (εφεξής: “οι δεσμεύσεις”),

Έχοντας υπόψη την απόφαση 2004/1799 της Επιτροπής, που εκδόθηκε στις 17 Μαΐου 2004, με βάση το άρθρο 25, παράγραφος 6, της οδηγίας 95/46/ΕΚ, σύμφωνα με την οποία η CBP θεωρείται ότι παρέχει επαρκή προστασία όσον αφορά τα στοιχεία PNR που διαβιβάζονται εκ μέρους της Ευρωπαϊκής Κοινότητας (εφεξής: “Κοινότητα”) σχετικά με τις πτήσεις από και προς τις Ηνωμένες Πολιτείες, σύμφωνα με τις δεσμεύσεις οι οποίες επισυνάπτονται στην παρούσα απόφαση (εφεξής: “απόφαση”),

Επισημαίνοντας ότι οι αερομεταφορείς που διαθέτουν συστήματα ελέγχου κρατήσεων/αναχωρήσεων εντός της επικράτειας των κρατών μελών της Ευρωπαϊκής Κοινότητας θα πρέπει να μεριμνούν για τη διαβίβαση των στοιχείων PNR προς τη CBP μόλις αυτό είναι εφικτό από τεχνική άποψη, αλλά ότι μέχρι τότε οι αρχές των Ηνωμένων Πολιτειών θα πρέπει να μπορούν να έχουν άμεση πρόσβαση στα στοιχεία αυτά, σύμφωνα με τις διατάξεις της παρούσας συμφωνίας,

[…]

συμφώνησαν τα εξής:

1. Η CBP δύναται να έχει ηλεκτρονική πρόσβαση στα στοιχεία PNR που περιλαμβάνονται στα συστήματα ελέγχου κρατήσεων/αναχωρήσεων των αερομεταφορέων (“συστήματα κρατήσεων”) τα οποία ευρίσκονται στην επικράτεια των κρατών μελών της Ευρωπαϊκής Κοινότητας, τηρουμένης αυστηρώς της αποφάσεως και εν όσω αυτή ισχύει, και μόνον έως ότου δημιουργηθεί ένα ικανοποιητικό σύστημα που θα επιτρέπει τη διαβίβαση των εν λόγω στοιχείων εκ μέρους των αερομεταφορέων.

[Το αγγλικό κείμενο έχει ως εξής: “CBP may electronically access the PNR data from air carriers reservation/departure control systems (‘reservation systems’) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.”]

2. Οι αερομεταφορείς που πραγματοποιούν διεθνείς επιβατικές πτήσεις από και προς τις Ηνωμένες Πολιτείες επεξεργάζονται τα στοιχεία PNR που περιλαμβάνονται στα αυτόματα συστήματα κρατήσεών τους, όπως απαιτεί η CBP, σύμφωνα με τη νομοθεσία των Ηνωμένων Πολιτειών και τηρουμένης αυστηρώς της αποφάσεως και ενόσω αυτή ισχύει.

3. Η CBP λαμβάνει υπόψη της την απόφαση και δηλώνει ότι εφαρμόζει τις δεσμεύσεις που αναφέρονται στο παράρτημά της.

4. Η CBP επεξεργάζεται τα στοιχεία PNR που λαμβάνει και αντιμετωπίζει τα άτομα περί των οποίων τα επεξεργασμένα στοιχεία σύμφωνα με τους νόμους και το Σύνταγμα των Ηνωμένων Πολιτειών, χωρίς αθέμιτες διακρίσεις, ιδίως, με βάση την ιθαγένεια ή τη χώρα διαμονής.

[…]

7. Η παρούσα συμφωνία τίθεται σε ισχύ με την υπογραφή της. Κάθε συμβαλλόμενο μέρος μπορεί να καταγγείλει την παρούσα συμφωνία οποτεδήποτε μέσω της διπλωματικής οδού. Η λήξη της συμφωνίας επέρχεται ενενήντα (90) ημέρες από την ημερομηνία κοινοποίησης της καταγγελίας προς το άλλο συμβαλλόμενο μέρος. Η παρούσα συμφωνία μπορεί να τροποποιηθεί οποτεδήποτε κατόπιν αμοιβαίας γραπτής συμφωνίας.

8. Η παρούσα συμφωνία δεν αποκλίνει από τις νομοθεσίες των συμβαλλόμενων μερών ούτε τις τροποποιεί. Με την παρούσα συμφωνία δεν δημιουργούνται ούτε απονέμονται δικαιώματα ή οφέλη σε τρίτα φυσικά ή νομικά πρόσωπα ιδιωτικού ή δημοσίου δικαίου.»

32 Σύμφωνα με την ενημέρωση του Συμβουλίου σχετικά με την ημερομηνία έναρξης ισχύος της συμφωνίας (ΕΕ 2004, C 158, σ. 1), η συμφωνία, η οποία υπογράφηκε στην Ουάσιγκτον στις 28 Μαΐου 2004 από εκπρόσωπο της προεδρίας του Συμβουλίου και από τον Υπουργό Εσωτερικής Ασφάλειας των Ηνωμένων Πολιτειών της Αμερικής, τέθηκε σε ισχύ, σύμφωνα με το σημείο της 7, την ημέρα της υπογραφής της.

Ιστορικό των διαφορών

33 Κατόπιν των τρομοκρατικών επιθέσεων της 11ης Σεπτεμβρίου 2001, οι Ηνωμένες Πολιτείες θέσπισαν τον Νοέμβριο του ίδιου έτους νομοθεσία που ορίζει ότι οι αερομεταφορείς που εκτελούν δρομολόγια με προορισμό ή αφετηρία το έδαφος των Ηνωμένων Πολιτειών ή διασχίζουν το έδαφος αυτό οφείλουν να παρέχουν στις τελωνειακές αρχές των Ηνωμένων Πολιτειών ηλεκτρονική πρόσβαση στα δεδομένα τα οποία περιέχονται στα αυτόματα συστήματα κρατήσεως θέσεων και ελέγχου των αναχωρήσεων των εν λόγω αερομεταφορέων και τα οποία αποκαλούνται «Passenger Name Records» (στο εξής: δεδομένα PNR). Η Επιτροπή, ενώ αναγνώρισε το θεμιτό των διακυβευομένων συμφερόντων σχετικά με την ασφάλεια, ενημέρωσε τις αρχές των Ηνωμένων Πολιτειών, ήδη τον Ιούνιο του 2002, ότι οι εν λόγω διατάξεις μπορούσαν να έλθουν σε σύγκρουση με την κοινοτική νομοθεσία και με τη νομοθεσία των κρατών μελών στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, καθώς και με ορισμένες διατάξεις του κανονισμού (ΕΟΚ) 2299/89 του Συμβουλίου, της 24ης Ιουλίου 1989, για τη θέσπιση κώδικα συμπεριφοράς για τα ηλεκτρονικά συστήματα κράτησης θέσεων (ΕΕ L 220, σ. 1), όπως τροποποιήθηκε με τον κανονισμό (ΕΚ) 323/1999 του Συμβουλίου, της 8ης Φεβρουαρίου 1999 (ΕΕ L 40, σ. 1). Οι αρχές των Ηνωμένων Πολιτειών ανέβαλαν την έναρξη ισχύος των νέων διατάξεων, αλλά αρνήθηκαν τελικά να παραιτηθούν από την επιβολή κυρώσεων στις αεροπορικές εταιρίες που δεν θα συμμορφώνονταν με τη νομοθεσία σχετικά με την ηλεκτρονική πρόσβαση στα δεδομένα PNR μετά τις 5 Μαρτίου 2003. Έκτοτε, πολλές μεγάλες αεροπορικές εταιρίες της Ευρωπαϊκής Ένωσης παρέχουν στις εν λόγω αρχές πρόσβαση στα δεδομένα PNR που διαθέτουν.

34 Η Επιτροπή άρχισε διαπραγματεύσεις με τις αρχές των Ηνωμένων Πολιτειών, οι οποίες κατέληξαν στην κατάρτιση εγγράφου που περιέχει δεσμεύσεις («undertakings») που ανέλαβε η CBP ενόψει της έκδοσης από την Επιτροπή της απόφασης για ικανοποιητική προστασία με βάση το άρθρο 25, παράγραφος 6, της οδηγίας.

35 Στις 13 Ιουνίου 2003 η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία συστάθηκε με το άρθρο 29 της οδηγίας, διατύπωσε γνώμη με την οποία εξέφρασε αμφιβολίες ως προς το επίπεδο προστασίας που διασφαλίζουν οι ως άνω δεσμεύσεις για την επεξεργασία των σχετικών δεδομένων. Η ομάδα επανέλαβε αυτές τις αμφιβολίες της με γνώμη που διατύπωσε στις 29 Ιανουαρίου 2004.

36 Την 1η Μαρτίου 2004 η Επιτροπή υπέβαλε στο Κοινοβούλιο το σχέδιο απόφασης για την ικανοποιητική προστασία, δυνάμει του άρθρου 25, παράγραφος 6, της οδηγίας, συνοδευόμενο από το σχέδιο δήλωσης για ανάληψη δεσμεύσεων από τη CBP.

37 Στις 17 Μαρτίου 2004 η Επιτροπή διαβίβασε στο Κοινοβούλιο, ενόψει της διαβούλευσης με το όργανο αυτό, δυνάμει του άρθρου 300, παράγραφος 3, πρώτο εδάφιο, ΕΚ, πρόταση απόφασης του Συμβουλίου σχετικά με τη σύναψη συμφωνίας με τις Ηνωμένες Πολιτείες. Με έγγραφο της 25ης Μαρτίου 2004, το Συμβούλιο ζήτησε από το Κοινοβούλιο, αναφερόμενο στη διαδικασία του επείγοντος, να γνωμοδοτήσει επί της προτάσεως αυτής μέχρι τις 22 Απριλίου 2004. Με το έγγραφο αυτό, το Συμβούλιο υπογράμμισε ότι «η καταπολέμηση της τρομοκρατίας, που δικαιολογεί τα προτεινόμενα μέτρα, αποτελεί βασική προτεραιότητα της Ευρωπαϊκής Ένωσης, [ότι] οι αερομεταφορείς και οι επιβάτες βρίσκονται σήμερα σε κατάσταση αβεβαιότητας που πρέπει να αρθεί επειγόντως [και ότι], επιπλέον, είναι ουσιώδες το να προστατευθούν τα οικονομικά συμφέροντα των ενδιαφερομένων».

38 Στις 31 Μαρτίου 2004, κατ’ εφαρμογή του άρθρου 8 της απόφασης 1999/468/ΕΚ του Συμβουλίου, της 28ης Ιουνίου 1999, για τον καθορισμό των όρων άσκησης των εκτελεστικών αρμοδιοτήτων που ανατίθενται στην Επιτροπή (ΕΕ L 184, σ. 23), το Κοινοβούλιο εξέδωσε ψήφισμα με το οποίο διατύπωσε ορισμένες επιφυλάξεις νομικής φύσης σχετικά με την πρόταση που του είχε υποβληθεί. Με το ψήφισμα αυτό το Κοινοβούλιο θεώρησε ειδικότερα ότι το σχέδιο απόφασης για την ικανοποιητική προστασία υπερέβαινε τις αρμοδιότητες που ανατέθηκαν στην Επιτροπή με το άρθρο 25 της οδηγίας. Το Κοινοβούλιο προέβη σε έκκληση για τη σύναψη προσήκουσας διεθνούς συμφωνίας που να σέβεται τα θεμελιώδη δικαιώματα όσον αφορά διάφορα σημεία που παρατίθενται εκτενώς στο ψήφισμά του και ζήτησε από την Επιτροπή να του υποβάλει νέο σχέδιο απόφασης. Επιπλέον, το Κοινοβούλιο επιφυλάχθηκε του δικαιώματος να προσφύγει ενώπιον του Δικαστηρίου προκειμένου να εξακριβωθεί η νομιμότητα της μελετώμενης διεθνούς συμφωνίας και, ειδικότερα, το συμβατό της εν λόγω συμφωνίας με την προστασία του δικαιώματος σεβασμού της ιδιωτικής ζωής.

39 Στις 21 Απριλίου 2004 το Κοινοβούλιο ενέκρινε, κατόπιν αιτήματος του Προέδρου του, τη σύσταση της επιτροπής νομικών θεμάτων και εσωτερικής αγοράς να ζητηθεί από το Δικαστήριο, σύμφωνα με το άρθρο 300, παράγραφος 6, ΕΚ, να γνωμοδοτήσει επί του συμβατού της μελετώμενης συμφωνίας με τις διατάξεις της Συνθήκης. Η διαδικασία αυτή κινήθηκε αυθημερόν.

40 Το Κοινοβούλιο αποφάσισε επίσης, την ίδια ημέρα, την παραπομπή της έκθεσης επί της πρότασης απόφασης του Συμβουλίου σε επιτροπή γνωμοδότησης, απορρίπτοντας έτσι σιωπηρά, κατά το στάδιο αυτό, την αίτηση του Συμβουλίου της 25ης Μαρτίου 2004 σχετικά με την εφαρμογή της διαδικασίας του επείγοντος επί της εν λόγω προτάσεως.

41 Στις 28 Απριλίου 2004 το Συμβούλιο, στηριζόμενο στο άρθρο 300, παράγραφος 3, πρώτο εδάφιο, ΕΚ, απέστειλε στο Κοινοβούλιο έγγραφο με το οποίο του ζήτησε να γνωμοδοτήσει πριν από τις 5 Μαΐου 2004 επί της πρότασης απόφασης για τη σύναψη της συμφωνίας. Προκειμένου να δικαιολογήσει το επείγον της αίτησής του, το Συμβούλιο επανέλαβε τους λόγους που είχε διατυπώσει με το έγγραφο της 25ης Μαρτίου 2004.

42 Στις 4 Μαΐου 2004 το Κοινοβούλιο, λαμβάνοντας υπόψη ότι το κείμενο της πρότασης απόφασης του Συμβουλίου δεν ήταν ακόμη διαθέσιμο σε όλες τις γλώσσες, απέρριψε την αίτηση εξέτασης κατά τη διαδικασία του επείγοντος, την οποία του είχε υποβάλει το Συμβούλιο στις 28 Απριλίου 2004.

43 Στις 14 Μαΐου 2004 η Επιτροπή εξέδωσε την απόφαση για ικανοποιητική προστασία, η οποία αποτελεί το αντικείμενο της υπόθεσης C-318/04. Στις 17 Μαΐου 2004 το Συμβούλιο εξέδωσε την απόφαση 2004/496, η οποία αποτελεί το αντικείμενο της υπόθεσης C‑317/04.

44 Με έγγραφο της 4ης Ιουνίου 2004, η Προεδρία του Συμβουλίου πληροφόρησε το Κοινοβούλιο ότι στην απόφαση 2004/496 ελήφθη υπόψη η καταπολέμηση της τρομοκρατίας –που αποτελεί μια από τις προτεραιότητες της Ένωσης– αλλά και η ανάγκη αντιμετώπισης της κατάστασης νομικής αβεβαιότητας των αεροπορικών εταιριών, καθώς και τα οικονομικά συμφέροντά τους.

45 Με έγγραφο της 9ης Ιουλίου 2004, το Κοινοβούλιο πληροφόρησε το Δικαστήριο ότι ανακαλούσε την αίτησή του για έκδοση γνωμοδοτήσεως, η οποία είχε πρωτοκολληθεί με αριθμό υπόθεσης 1/04.

46 Στην υπόθεση C-317/04, ο Πρόεδρος του Δικαστηρίου επέτρεψε στο Ηνωμένο Βασίλειο της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας, με διατάξεις της 18ης Νοεμβρίου 2004 και της 18ης Ιανουαρίου 2005, να παρέμβει υπέρ του Συμβουλίου.

47 Στην υπόθεση C-318/04, ο Πρόεδρος του Δικαστηρίου επέτρεψε στο Ηνωμένο Βασίλειο, με διάταξη της 17ης Δεκεμβρίου 2004, να παρέμβει υπέρ της Επιτροπής.

48 Με διατάξεις της 17ης Μαρτίου 2005 το Δικαστήριο επέτρεψε στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων να παρέμβει υπέρ του Κοινοβουλίου σε αμφότερες τις υποθέσεις.

49 Οι εν λόγω υποθέσεις, λόγω της συνάφειάς τους, η οποία επιβεβαιώθηκε κατά την προφορική διαδικασία, πρέπει, σύμφωνα με το άρθρο 43 του Κανονισμού Διαδικασίας, να συνεκδικαστούν προς έκδοση κοινής απόφασης.

Επί της προσφυγής στην υπόθεση C-318/04

50 Το Κοινοβούλιο προβάλλει τέσσερις λόγους ακύρωσης: υπέρβαση εξουσίας, παραβίαση των βασικών αρχών της οδηγίας, προσβολή των θεμελιωδών δικαιωμάτων και παραβίαση της αρχής της αναλογικότητας.

Επί του πρώτου σκέλους του πρώτου λόγου ακύρωσης, που αφορά την παράβαση του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας

Επιχειρήματα των διαδίκων

51 Το Κοινοβούλιο ισχυρίζεται ότι η απόφαση της Επιτροπής εκδόθηκε καθ’ υπέρβαση εξουσίας, διότι δεν τηρήθηκαν οι διατάξεις της οδηγίας, και ιδίως κατά παράβαση του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας αυτής σχετικά με την εξαίρεση των αρμοδιοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου.

52 Κατά το Κοινοβούλιο, δεν υπάρχει αμφιβολία ότι η επεξεργασία των δεδομένων PNR μετά τη διαβίβασή τους στην αμερικανική αρχή που προβλέπεται στην απόφαση για ικανοποιητική προστασία πραγματοποιείται και θα εξακολουθήσει να πραγματοποιείται με σκοπό την άσκηση δραστηριοτήτων που ασκούνται από τα κράτη, κατά την έννοια της σκέψης 43 της απόφασης της 6ης Νοεμβρίου 2003, C-101/01, Lindqvist (Συλλογή 2003, σ. I‑12971).

53 Η Επιτροπή, υποστηριζόμενη από το Ηνωμένο Βασίλειο, φρονεί ότι οι δραστηριότητες των αερομεταφορέων εμπίπτουν σαφώς στο πεδίο εφαρμογής του κοινοτικού δικαίου. Ισχυρίζεται ότι οι ιδιωτικοί αυτοί φορείς επεξεργάζονται τα δεδομένα PNR εντός της Κοινότητας και οργανώνουν τη διαβίβασή τους σε τρίτο κράτος. Πρόκειται επομένως για δραστηριότητες ιδιωτών και όχι για δραστηριότητες του κράτους μέλους εντός του οποίου δρουν οι εν λόγω μεταφορείς ή των κρατικών αρχών, σύμφωνα με τον ορισμό που έδωσε το Δικαστήριο με τη σκέψη 43 της προπαρατεθείσας απόφασης Lindqvist. Ο σκοπός που επιδιώκουν οι αερομεταφορείς κατά την επεξεργασία των δεδομένων PNR είναι απλώς η τήρηση των απαιτήσεων του κοινοτικού δικαίου, επομένως και της υποχρέωσης που προβλέπεται στο σημείο 2 της συμφωνίας. Το άρθρο 3, παράγραφος 2, της οδηγίας αναφέρεται στις δραστηριότητες των δημόσιων αρχών που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου.

Εκτίμηση του Δικαστηρίου

54 Το άρθρο 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας αποκλείει από το πεδίο εφαρμογής της την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως οι δραστηριότητες που προβλέπονται στις διατάξεις των τίτλων V και VI της Συνθήκης για την Ευρωπαϊκή Ένωση και, εν πάση περιπτώσει, την επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου.

55 Η απόφαση για ικανοποιητική προστασία αφορά μόνο τα δεδομένα PNR που διαβιβάζονται στη CBP. Από την έκτη αιτιολογική σκέψη της απόφασης αυτής προκύπτει ότι οι απαιτήσεις για τη διαβίβαση αυτή βασίζονται σε νομοθετική ρύθμιση που θεσπίστηκε από τις ΗΠΑ τον Νοέμβριο του 2001 και σε κανονισμούς εφαρμογής που θεσπίστηκαν από τη CBP δυνάμει της εν λόγω ρύθμισης. Κατά την έβδομη αιτιολογική σκέψη της εν λόγω απόφασης, η υπό εξέταση νομοθεσία των ΗΠΑ αφορά την ενίσχυση της ασφάλειας και τους όρους υπό τους οποίους τα πρόσωπα μπορούν να εισέρχονται και να εξέρχονται από τη χώρα αυτή. Κατά την όγδοη αιτιολογική σκέψη, η Κοινότητα υποστηρίζει ανεπιφύλακτα τις ΗΠΑ στον αγώνα τους για την καταπολέμηση της τρομοκρατίας, εντός των ορίων τα οποία επιβάλλονται από τη νομοθεσία της Κοινότητας. Η δέκατη πέμπτη αιτιολογική σκέψη της ίδιας αυτής απόφασης προβλέπει ότι τα δεδομένα PNR θα χρησιμοποιούνται αυστηρά για τους σκοπούς της αποτροπής και της καταπολέμησης της τρομοκρατίας και των συναφών εγκλημάτων, άλλων σοβαρών εγκλημάτων, συμπεριλαμβανομένου του οργανωμένου εγκλήματος, τα οποία έχουν εξ ορισμού διεθνικό χαρακτήρα, και των αποδράσεων σε περίπτωση ενταλμάτων σύλληψης ή επιβολής ποινών φυλάκισης για τα ανωτέρω εγκλήματα.

56 Κατά συνέπεια, η διαβίβαση των δεδομένων PNR στη CBP αποτελεί επεξεργασία που αφορά τη δημόσια ασφάλεια και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου.

57 Μολονότι βέβαια πρέπει να γίνει δεκτό ότι τα δεδομένα PNR συλλέγονται αρχικώς από τις αεροπορικές εταιρίες στο πλαίσιο μιας δραστηριότητας που εμπίπτει στο κοινοτικό δίκαιο, δηλαδή της πώλησης αεροπορικού εισιτηρίου που δίδει δικαίωμα για την παροχή υπηρεσιών, εντούτοις η επεξεργασία δεδομένων την οποία αφορά η απόφαση για ικανοποιητική προστασία έχει εντελώς διαφορετικό χαρακτήρα. Συγκεκριμένα, η απόφαση αυτή, όπως υπενθυμίστηκε παραπάνω στη σκέψη 55, δεν αφορά καμία επεξεργασία δεδομένων αναγκαία για την παροχή των υπηρεσιών, αλλά επεξεργασία δεδομένων που κρίνεται αναγκαία για την προάσπιση της δημόσιας ασφάλειας και για κατασταλτικούς σκοπούς.

58 Με τη σκέψη 43 της προπαρατεθείσας απόφασης Lindqvist, την οποία επικαλέστηκε η Επιτροπή με το υπόμνημα αντίκρουσης, το Δικαστήριο δέχτηκε ότι οι δραστηριότητες που μνημονεύονται ως παραδείγματα στο άρθρο 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας είναι, σε όλες τις περιπτώσεις, δραστηριότητες που ασκούνται από τα κράτη ή από τις κρατικές αρχές και δεν αφορούν τους τομείς δραστηριότητας των ιδιωτών. Από την απόφαση αυτή δεν συνάγεται πάντως ότι το γεγονός ότι τα δεδομένα PNR έχουν συλλεγεί από ιδιωτικούς φορείς για εμπορικούς σκοπούς και ότι οι φορείς αυτοί οργανώνουν τη διαβίβασή τους σε τρίτο κράτος σημαίνει ότι η διαβίβαση αυτή δεν εμπίπτει στο πεδίο εφαρμογής της εν λόγω διάταξης. Συγκεκριμένα, η διαβίβαση αυτή εντάσσεται σε ένα πλαίσιο που έχουν δημιουργήσει οι δημόσιες αρχές σχετικά με τη δημόσια ασφάλεια.

59 Από τις παραπάνω σκέψεις προκύπτει ότι η απόφαση για ικανοποιητική προστασία αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας. Η απόφαση αυτή δεν εμπίπτει συνεπώς στο πεδίο εφαρμογής της οδηγίας.

60 Επομένως, το πρώτο σκέλος του πρώτου λόγου ακύρωσης, το οποίο αφορά την παράβαση του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας, είναι βάσιμο.

61 Κατά συνέπεια, η απόφαση για ικανοποιητική προστασία πρέπει να ακυρωθεί χωρίς να εξεταστούν τα λοιπά σκέλη του πρώτου λόγου ακύρωσης ή οι λοιποί λόγοι ακύρωσης που επικαλέστηκε το Κοινοβούλιο.

Επί της προσφυγής στην υπόθεση C-317/04

62 Το Κοινοβούλιο προβάλλει έξι λόγους ακύρωσης: εσφαλμένη επιλογή του άρθρου 95 ΕΚ ως νομικής βάσης για την απόφαση 2004/496, παράβαση αφενός του άρθρου 300, παράγραφος 3, δεύτερο εδάφιο, ΕΚ και αφετέρου του άρθρου 8 της ΕΣΔΑ και παραβίαση της αρχής της αναλογικότητας, της υποχρέωσης αιτιολόγησης και της αρχής της ειλικρινούς συνεργασίας.

Επί του πρώτου λόγου ακύρωσης, που αφορά την εσφαλμένη επιλογή του άρθρου 95 ΕΚ ως νομικής βάσης για την απόφαση 2004/496

Επιχειρήματα των διαδίκων

63 Το Κοινοβούλιο ισχυρίζεται ότι το άρθρο 95 ΕΚ δεν αποτελεί την προσήκουσα νομική βάση για την απόφαση 2004/496. Κατά το Κοινοβούλιο, η εν λόγω απόφαση δεν έχει ως σκοπό και περιεχόμενο την εγκαθίδρυση και τη λειτουργία της εσωτερικής αγοράς μέσω της κατάργησης των εμποδίων στην ελεύθερη παροχή υπηρεσιών και δεν περιλαμβάνει διατάξεις για την επίτευξη αυτού του σκοπού. Συγκεκριμένα, η απόφαση αυτή αποσκοπεί στη νομιμοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα την οποία προβλέπει η νομοθεσία των ΗΠΑ. Εξάλλου, στο άρθρο 95 ΕΚ δεν μπορεί να θεμελιωθεί αρμοδιότητα της Κοινότητας για τη σύναψη της συμφωνίας, διότι η συμφωνία αυτή αφορά επεξεργασία δεδομένων που δεν εμπίπτει στο πεδίο εφαρμογής της οδηγίας.

64 Το Συμβούλιο υποστηρίζει ότι η οδηγία, η οποία έχει εκδοθεί εγκύρως με βάση το άρθρο 100 A της Συνθήκης, περιλαμβάνει στο άρθρο 25 διατάξεις που προβλέπουν τη δυνατότητα διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτο κράτος, εφόσον το κράτος αυτό διασφαλίζει ικανοποιητικό επίπεδο προστασίας τους, καθώς και τη δυνατότητα έναρξης διαπραγματεύσεων, εφόσον τούτο είναι αναγκαίο, για τη σύναψη από την Κοινότητα συμφωνίας με τη χώρα αυτή. Η συμφωνία αφορά την ελεύθερη κυκλοφορία των δεδομένων PNR μεταξύ Κοινότητας και Ηνωμένων Πολιτειών υπό συνθήκες που διασφαλίζουν τις θεμελιώδεις ελευθερίες και τα θεμελιώδη δικαιώματα του ατόμου, και ειδικότερα την ιδιωτική ζωή. Σκοπός της συμφωνίας είναι η εξάλειψη κάθε στρέβλωσης του ανταγωνισμού μεταξύ των αεροπορικών εταιριών των κρατών μελών και μεταξύ των εταιριών αυτών και των εταιριών τρίτων κρατών, την οποία μπορεί να δημιουργήσουν, για λόγους που ανάγονται στην προστασία των δικαιωμάτων και των ελευθεριών των ατόμων, οι αμερικανικές απαιτήσεις. Οι συνθήκες ανταγωνισμού μεταξύ των εταιριών των κρατών μελών, οι οποίες παρέχουν υπηρεσίες διεθνών μεταφορών επιβατών προς ή από τις Ηνωμένες Πολιτείες, θα μπορούσαν να υποστούν νόθευση, αν ορισμένες μόνον από τις εταιρίες αυτές παρείχαν στις αμερικανικές αρχές πρόσβαση στις βάσεις δεδομένων τους. Κατά το Συμβούλιο πάντα, η συμφωνία αποσκοπεί στην επιβολή εναρμονισμένων υποχρεώσεων σε όλες τις ενδιαφερόμενες εταιρίες.

65 Η Επιτροπή τονίζει ότι υπάρχει «σύγκρουση νομοθεσιών», κατά την έννοια του δημόσιου διεθνούς δικαίου, μεταξύ της νομοθεσίας των ΗΠΑ και της κοινοτικής νομοθεσίας και ότι είναι αναγκαίο να βρεθεί συμβιβαστική λύση. Η Επιτροπή κατηγορεί το Κοινοβούλιο, το οποίο ισχυρίζεται ότι το άρθρο 95 ΕΚ δεν μπορεί να αποτελέσει τη νομική βάση της απόφασης 2004/496, ότι δεν πρότεινε καμία προσήκουσα νομική βάση. Κατά την Επιτροπή, το άρθρο αυτό αποτελεί τη «φυσική νομική βάση» της εν λόγω αποφάσεως, διότι η συμφωνία αφορά την εξωτερική διάσταση της προστασίας των δεδομένων προσωπικού χαρακτήρα κατά τη διαβίβασή τους εντός της Κοινότητας. Τα άρθρα 25 και 26 της οδηγίας απονέμουν στην Κοινότητα αποκλειστική εξωτερική αρμοδιότητα.

66 Επιπλέον, η Επιτροπή προβάλλει ότι η αρχική επεξεργασία των δεδομένων αυτών από τις αεροπορικές εταιρίες πραγματοποιείται για εμπορικούς σκοπούς. Η εκ μέρους των αμερικανικών αρχών χρήση των εν λόγω δεδομένων δεν σημαίνει ότι η οδηγία δεν έχει καμία επίπτωση επί των δεδομένων αυτών.

Εκτίμηση του Δικαστηρίου

67 Το άρθρο 95 ΕΚ, σε συνδυασμό με το άρθρο 25 της οδηγίας, δεν απονέμει στην Κοινότητα αρμοδιότητα προς σύναψη της συμφωνίας.

68 Συγκεκριμένα, η συμφωνία αφορά την ίδια διαβίβαση δεδομένων όπως και η απόφαση για ικανοποιητική προστασία, δηλαδή επεξεργασία δεδομένων που, όπως προεκτέθηκε, δεν εμπίπτει στο πεδίο εφαρμογής της οδηγίας.

69 Κατά συνέπεια, η απόφαση 2004/496 κακώς εκδόθηκε με βάση το άρθρο 95 ΕΚ.

70 Κατά συνέπεια, η απόφαση αυτή πρέπει να ακυρωθεί χωρίς να εξεταστούν οι λοιποί λόγοι ακύρωσης που επικαλέστηκε το Κοινοβούλιο.

Επί του περιορισμού των αποτελεσμάτων της απόφασης του Δικαστηρίου

71 Από το σημείο 7 της συμφωνίας προκύπτει ότι κάθε συμβαλλόμενο μέρος μπορεί να την καταγγείλει οποτεδήποτε και ότι η λήξη της συμφωνίας επέρχεται 90 ημέρες από την ημερομηνία κοινοποίησης της καταγγελίας προς το άλλο συμβαλλόμενο μέρος.

72 Εντούτοις, σύμφωνα με τα σημεία 1 και 2 της συμφωνίας, το δικαίωμα πρόσβασης της CBP στα δεδομένα PNR και η υποχρέωση των αερομεταφορέων να τα επεξεργάζονται σύμφωνα με τις απαιτήσεις της CBP υφίστανται μόνον ενόσω ισχύει η συμφωνία. Στο σημείο 3 της συμφωνίας αυτής η CBP δήλωσε ότι θα εφαρμόζει τις δεσμεύσεις που αναφέρονται στο παράρτημα της απόφασης.

73 Δεδομένου, πρώτον, ότι η Κοινότητα δεν μπορεί να επικαλεστεί το δίκαιό της για να μην εκτελέσει τη συμφωνία, η οποία εξακολουθεί να ισχύει επί 90 ημέρες από την καταγγελία της, και, δεύτερον, ότι υφίσταται στενή σχέση μεταξύ της συμφωνίας και της απόφασης για ικανοποιητική προστασία, δικαιολογείται, για λόγους ασφάλειας δικαίου και προστασίας των ενδιαφερόμενων προσώπων, η διατήρηση σε ισχύ των αποτελεσμάτων της απόφασης για ικανοποιητική προστασία κατά το εν λόγω χρονικό διάστημα. Επιπλέον, πρέπει να ληφθεί υπόψη το διάστημα που είναι αναγκαίο για τη λήψη των μέτρων που συνεπάγεται η εκτέλεση της παρούσας απόφασης.

74 Κατά συνέπεια, τα αποτελέσματα της απόφασης για ικανοποιητική προστασία πρέπει να διατηρηθούν σε ισχύ μέχρι τις 30 Σεπτεμβρίου 2006, όχι όμως πέραν της ημερομηνίας λήξης της ισχύος της συμφωνίας.

Επί των δικαστικών εξόδων

75 Κατά το άρθρο 69, παράγραφος 2, του Κανονισμού Διαδικασίας, ο ηττηθείς διάδικος καταδικάζεται στα δικαστικά έξοδα. Το Συμβούλιο και η Επιτροπή πρέπει, επειδή ηττήθηκαν, να καταδικαστούν στα δικαστικά έξοδα σύμφωνα με το αίτημα του Κοινοβουλίου. Οι παρεμβαίνοντες στις υπό κρίση διαφορές θα φέρουν τα έξοδά τους κατ’ εφαρμογή του πρώτου εδαφίου της παραγράφου 4 του ίδιου αυτού άρθρου.

Για τους λόγους αυτούς, το Δικαστήριο (τμήμα μείζονος συνθέσεως) αποφασίζει:

1) Ακυρώνει την απόφαση 2004/496/ΕΚ του Συμβουλίου, της 17ης Μαΐου 2004, για τη σύναψη συμφωνίας μεταξύ της Ευρωπαϊκής Κοινότητας και των Ηνωμένων Πολιτειών της Αμερικής σχετικά με την επεξεργασία και τη διαβίβαση των καταστάσεων με τα ονόματα των επιβατών από τους αερομεταφορείς προς το Υπουργείο Εσωτερικής Ασφάλειας, Υπηρεσία Τελωνείων και Προστασίας των Συνόρων των Ηνωμένων Πολιτειών, και την απόφαση 2004/535/ΕΚ της Επιτροπής, της 14ης Μαΐου 2004, σχετικά με την ικανοποιητική προστασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στο φάκελο των επιβατών (Passenger Name Record) αεροπορικών μεταφορών ο οποίος διαβιβάζεται στο Bureau of Customs and Border Protection (Υπηρεσία Τελωνείων και Προστασίας των Συνόρων) των Ηνωμένων Πολιτειών της Αμερικής.

2) Τα αποτελέσματα της απόφασης 2004/535 διατηρούνται σε ισχύ μέχρι τις 30 Σεπτεμβρίου 2006, όχι όμως πέραν της ημερομηνίας λήξης της ισχύος της εν λόγω συμφωνίας.

3) Καταδικάζει το Συμβούλιο της Ευρωπαϊκής Ένωσης στα δικαστικά έξοδα της υπόθεσης C-317/04.

4) Καταδικάζει την Επιτροπή των Ευρωπαϊκών Κοινοτήτων στα δικαστικά έξοδα της υπόθεσης C-318/04.

5) Η Επιτροπή των Ευρωπαϊκών Κοινοτήτων φέρει τα έξοδά της στην υπόθεση C-317/04.

6) Το Ηνωμένο Βασίλειο της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων φέρουν τα έξοδά τους.

(υπογραφές)

* Γλώσσα διαδικασίας: η γαλλική.