NÁVRHY GENERÁLNEHO ADVOKÁTA
HENRIK SAUGMANDSGAARD ØE
prednesené 19. decembra 2019(1)
Vec C–311/18
Data Protection Commissioner
proti
Facebook Ireland Limited,
Maximillian Schrems,
za účasti:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance, Inc.,
Digitaleurope
[návrh na začatie prejudiciálneho konania, ktorý podal High Court (Vyšší súd, Írsko)]
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 2 ods. 2 – Pôsobnosť – Prenos osobných údajov na obchodné účely do Spojených štátov amerických – Spracúvanie prenesených údajov orgánmi verejnej moci Spojených štátov amerických na účely národnej bezpečnosti – Článok 45 – Posúdenie primeranosti úrovne ochrany zabezpečenej v tretej krajine – Článok 46 – Primerané záruky poskytnuté prevádzkovateľom – Štandardné doložky o ochrane – Článok 58 ods. 2 – Právomoci vnútroštátnych dozorných orgánov – Rozhodnutie 2010/87/EÚ – Platnosť – Vykonávacie rozhodnutie (EÚ) 2016/1250 – ‚Štít na ochranu osobných údajov medzi EÚ a USA‘ – Platnosť – Články 7, 8 a 47 Charty základných práv Európskej únie“
Obsah
I. Úvod
1. Keďže neexistujú spoločné záruky v oblasti ochrany osobných údajov na celosvetovej úrovni, sú cezhraničné toky takýchto údajov spojené s rizikom prerušenia kontinuity úrovne ochrany zabezpečovanej v rámci Európskej únie. S cieľom podporiť tieto toky a zároveň obmedziť toto riziko normotvorca Únie zaviedol tri mechanizmy, na základe ktorých môžu byť osobné údaje prenesené z Únie do tretieho štátu.
2. Po prvé takýto prenos možno vykonať na základe rozhodnutia, ktorým Európska komisia konštatuje, že dotknutý tretí štát zabezpečuje „primeranú úroveň ochrany“ údajov, ktoré sú do tohto štátu prenášané.(2) Po druhé, ak takéto rozhodnutie neexistuje, prenos je povolený, ak ho sprevádzajú „primerané záruky“(3). Tieto záruky môžu mať podobu zmluvy medzi vývozcom a dovozcom údajov, ktorá obsahuje štandardné doložky o ochrane údajov prijaté Komisiou. Po tretie nariadenie GDPR stanovuje niektoré výnimky založené okrem iného na súhlase dotknutej osoby, ktoré dovoľujú prenos do tretej krajiny aj bez rozhodnutia o primeranosti alebo primeraných záruk.(4)
3. Návrh na začatie prejudiciálneho konania, ktorý podal High Court (Vyšší súd, Írsko), sa týka druhého z týchto mechanizmov. Presnejšie sa týka toho, či je rozhodnutie 2010/87/EÚ(5), ktorým Komisia stanovila štandardné zmluvné doložky pre určité kategórie prenosov, platné vzhľadom na články 7, 8 a 47 Charty základných práv Európskej únie (ďalej len „Charta“).
4. Tento návrh bol podaný v rámci sporu medzi Data Protection Commissioner (komisár pre ochranu údajov, Írsko, ďalej len „komisár“) na jednej strane a spoločnosťou Facebook Ireland Ltd a pánom Maximillianom Schremsom na druhej strane. Pán Schrems predložil komisárovi sťažnosť na prenos osobných údajov týkajúcich sa jeho osoby spoločnosťou Facebook Ireland na jej materskú spoločnosť Facebook Inc. so sídlom v Spojených štátoch amerických (ďalej len „USA“). Komisár zastáva názor, že vybavenie tejto sťažnosti závisí od toho, či je rozhodnutie 2010/87 platné. V tejto súvislosti sa obrátil na vnútroštátny súd, aby tento položil Súdnemu dvoru v tomto ohľade otázku.
5. Hneď na úvod uvádzam, že preskúmanie prejudiciálnych otázok neodhalilo podľa môjho názoru žiadnu skutočnosť, ktorá by mohla ovplyvniť platnosť rozhodnutia 2010/87.
6. Vnútroštátny súd okrem toho poukázal na určité pochybnosti, ktoré sa v podstate týkajú primeranosti úrovne ochrany zabezpečovanej USA vzhľadom na zásahy činností spravodajských orgánov USA do výkonu základných práv osôb, ktorých údaje sú do tejto tretej krajiny prenášané. Tieto pochybnosti nepriamo spochybňujú posúdenia Komisie v tejto súvislosti vo vykonávacom rozhodnutí (EÚ) 2016/1250(6). Aj keď vyriešenie sporu vo veci samej si nevyžaduje, aby Súdny dvor o tejto otázke rozhodol, a preto mu navrhujem, aby tak neurobil, subsidiárne uvediem dôvody, ktoré ma vedú k pochybnostiam o platnosti tohto rozhodnutia.
7. Moja analýza sa ako celok bude riadiť hľadaním rovnováhy medzi potrebou preukázať „primeranú mieru pragmatizmu s cieľom umožniť interakciu so zvyškom sveta“(7) na jednej strane a potrebou potvrdiť základné hodnoty uznané v právnych poriadkoch Únie a jej členských štátov, a to najmä v Charte, na druhej strane.
II. Právny rámec
A. Smernica 95/46/ES
8. Článok 3 ods. 2 smernice 95/46/ES o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov(8) stanovoval:
„Táto smernica sa neuplatňuje na spracovanie osobných údajov:
– v priebehu činností, ktoré sú mimo rozsahu zákona spoločenstva, ako sú tie, ktoré sú uvedené v hlave V a VI Zmluvy o Európskej únii a v žiadnom prípade sa neuplatňujú na operácie spracovania týkajúce sa verejnej bezpečnosti, obrany, bezpečnosti štátu (vrátane hospodárskej prosperity štátu, keď sa operácia spracovania týka záležitostí bezpečnosti štátu) a činností štátu v oblastiach trestného zákona,
…“
9. Článok 13 ods. 1 tejto smernice znel:
„Členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu povinností a práv uvedených v článkoch 6 ods. 1, v článku 10 a 11 ods. 1, v článkoch 12 a 21, keď takéto obmedzenie vytvára [predstavuje – neoficiálny preklad] nevyhnutné opatrenia na zabezpečenie údajov o [na zabezpečenie – neoficiálny preklad]:
a) štátnej bezpečnosti;
b) obran[y];
c) verejnej bezpečnosti;
d) prevencii, vyšetrovaní, pátraní a trestnom konaní alebo porušení etiky pre predpísané profesie [predchádzania trestným činom alebo porušovaniam pravidiel etiky pre regulované profesie, ich vyšetrovania, odhaľovania a stíhania – neoficiálny preklad];
e) dôležitom hospodárskom alebo finančnom záujme [dôležitého hospodárskeho alebo finančného záujmu – neoficiálny preklad] členského štátu alebo Európskej únie, vrátane peňažných, rozpočtových a daňových záležitostí;
f) monitorovaní, inšpekcii alebo regulačnej funkcii spojenej aj s výkonom oficiálneho orgánu v prípadoch uvedených v písmenách c), d) a e) [monitorovacej, kontrolnej alebo regulačnej funkcie spojenej, hoci aj príležitostne, s výkonom verejnej moci v prípadoch uvedených v písmenách c), d) a e) – neoficiálny preklad];
g) ochrane osoby pracujúcej s údajmi [ochrany dotknutej osoby – neoficiálny preklad] alebo práv a slobôd ostatných.“
10. Článok 25 uvedenej smernice stanovoval:
„1. Členské štáty zabezpečia, aby sa prenos osobných údajov, ktoré sa spracovávajú alebo sú určené na spracovanie po prenose, do tretej krajiny mohol urobiť len, bez toho, aby boli dotknuté vnútroštátne ustanovenia prijaté v súlade s ostatnými ustanoveniami tejto smernice, [ak – neoficiálny preklad] príslušná tretia krajina zaistí adekvátnu úroveň ochrany.
2. Adekvátnosť úrovne ochrany, ktorú poskytuje tretia krajina sa hodnotí vzhľadom na všetky okolnosti týkajúce sa operácie prenosu údajov alebo komplexu operácií prenosu údajov; zvláštna pozornosť sa venuje charakteru údajov, účelu a trvaniu navrhnutej operácie alebo operácií spracovania, krajine pôvodu a krajine konečného určenia, právnym normám aj všeobecným aj sektorovým, platným v príslušnej tretej krajine a profesionálnym predpisom a bezpečnostným opatreniam, ktorým táto krajina vyhovuje [ktoré sa tam dodržiavajú – neoficiálny preklad].
…
6. Komisia môže zistiť [konštatovať – neoficiálny preklad], podľa postupu uvedeného v článku 31 ods. 2, že tretia krajina zaisťuje adekvátnu úroveň ochrany v rámci znenia odseku 2 tohto článku, z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, najmä na základe záverov jednaní uvedených v odseku 5, na ochranu súkromného života a osobných práv a slobôd [slobôd a základných práv osôb – neoficiálny preklad].
Členské štáty prijmú opatrenia potrebné na dosiahnutie súladu s rozhodnutím Komisie.“
11. Článok 26 ods. 2 a 4 tej istej smernice stanovoval:
„2. Bez toho, aby boli dotknuté ustanovenia odseku 1 môže členský štát schváliť prenos alebo súbor prenosov osobných údajov do tretej krajiny, ktorá nezaistí adekvátnu úroveň ochrany v rámci znenia článku 25 ods. 2, vtedy keď kontrolór [prevádzkovateľ – neoficiálny preklad] uvádza záruky s ohľadom na ochranu súkromia a základných práv a slobôd jednotlivcov a pokiaľ ide o uplatnenie príslušných práv; takéto záruky môžu vyplývať najmä z príslušných zmluvných klauzúl.
…
4. Ak Komisia rozhodne…, že určité štandardné zmluvné klauzuly ponúkajú dostatočné záruky, ako sa to požaduje v odseku 2, členské štáty podniknú nevyhnutné opatrenia, na dosiahnutie súladu s rozhodnutím Komisie.“
12. Článok 28 ods. 3 smernice 95/46 znel takto:
„Každý [Každý dozorný orgán – neoficiálny preklad] je zabezpečený [má – neoficiálny preklad] najmä:
…
– efektívnymi právomocami intervencie [efektívne právomoci intervencie – neoficiálny preklad], ako sú napríklad doručenie stanovísk pred vykonaním operácii spracovania, podľa článku 20 a zabezpečenie príslušného zverejnenia takýchto stanovísk, nariadenie zablokovania, vymazania alebo zničenia údajov, uvalenie dočasného alebo úplného zákazu na spracovanie, upozornenie alebo pripomenutie kontrolórovi [prevádzkovateľovi – neoficiálny preklad], alebo oznámenie záležitosti vnútroštátnemu parlamentu alebo iným politickým inštitúciám,
…“
B. GDPR
13. GDPR svojím článkom 94 ods. 1 zrušilo smernicu 95/46 s účinnosťou od 25. mája 2018, kedy toto nariadenie nadobudlo účinnosť v súlade s jeho článkom 99 ods. 2.
14. Článok 2 ods. 2 tohto nariadenia stanovuje:
„Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:
a) v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;
b) členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V ZEÚ;
…
d) príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.“
15. Článok 4 ods. 2 tohto nariadenia vymedzuje pojem „spracúvanie“ ako „operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štrukturovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami“.
16. Článok 23 GDPR stanovuje:
„1. V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:
a) národnú bezpečnosť;
b) obranu;
c) verejnú bezpečnosť;
d) predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo výkon trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzanie;
e) iné dôležité ciele všeobecného verejného záujmu Únie alebo členského štátu, najmä predmet dôležitého hospodárskeho alebo finančného záujmu Únie alebo členského štátu…;
…
2. Konkrétne musí každé legislatívne opatrenie uvedené v odseku 1 obsahovať osobitné ustanovenia, ktoré v relevantných prípado[ch] upravujú aspoň:
a) účely spracúvania alebo kategórie spracúvania;
b) kategórie osobných údajov;
c) rozsah zavedených obmedzení;
d) záruky zabraňujúce zneužitiu údajov alebo nezákonnému prístupu či prenosu;
e) určenie prevádzkovateľa alebo kategórií prevádzkovateľov;
f) doby uchovávania a uplatniteľné záruky, pričom sa zohľadní povaha, rozsah a účely spracúvania alebo kategórie spracúvania;
g) riziká pre práva a slobody dotknutých osôb a
h) práva dotknutých osôb na informovanie o obmedzení, pokiaľ tým nie je ohrozený účel obmedzenia.“
17. Článok 44 tohto nariadenia, nazvaný „Všeobecná zásada prenosov“, stanovuje:
„Akýkoľvek prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa uskutoční len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky stanovené v tejto kapitole, ako aj ostatné ustanovenia tohto nariadenia vrátane podmienok následných prenosov osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny, alebo inej medzinárodnej organizácii. Všetky ustanovenia v tejto kapitole sa uplatňujú s cieľom zabezpečiť, aby sa neohrozila úroveň ochrany fyzických osôb zaručená týmto nariadením.“
18. Článok 45 uvedeného nariadenia, nazvaný „Prenosy na základe rozhodnutia o primeranosti“, stanovuje:
„1. Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne osobitné povolenie.
2. Pri posudzovaní primeranosti úrovne ochrany zohľadňuje Komisia najmä tieto skutočnosti:
a) právny štát, dodržiavanie ľudských práv a základných slobôd, príslušné právne predpisy, a to všeobecné aj odvetvové, vrátane predpisov týkajúcich sa verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva a prístupu orgánov verejnej moci k osobným údajom, ako aj vykonávanie takýchto právnych predpisov, pravidiel ochrany údajov, profesijných pravidiel a bezpečnostných opatrení vrátane pravidiel pre následný prenos osobných údajov do ďalšej tretej krajiny alebo medzinárodnej organizácii, ktoré sa v danej tretej krajine alebo medzinárodnej organizácii dodržiavajú, judikatúr[u], ako aj účinné a vymáhateľné práva dotknutej osoby a účinné správne a súdne prostriedky nápravy pre dotknuté osoby, ktorých osobné údaje sa prenášajú;
b) existenci[u] a účinné pôsobenie jedného či viacerých nezávislých dozorných orgánov v predmetnej tretej krajine, alebo ktorému podlieha medzinárodná organizácia, so zodpovednosťou za zabezpečenie a presadzovanie dodržiavania pravidiel ochrany údajov vrátane primeraných právomocí pre presadzovanie práva, za poskytovanie pomoci a poradenstva dotknutým osobám pri výkone ich práv a za spoluprácu s dozornými orgánmi členských štátov; a
c) medzinárodné záväzky, ktoré dotknutá tretia krajina alebo medzinárodná organizácia prevzala, alebo iné záväzky vyplývajúce z právne záväzných dohovorov alebo nástrojov, ako aj z jej účasti na viacstranných alebo regionálnych systémoch, najmä vo vzťahu k ochrane osobných údajov.
3. Komisia môže po posúdení primeranosti úrovne ochrany rozhodnúť prostredníctvom vykonávacieho aktu, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku. Vo vykonávacom akte sa stanoví mechanizmus pravidelného preskúmania, ktoré sa uskutočňuje najmenej raz za štyri roky, v ktorom sa zohľadnia všetky významné zmeny v tretej krajine alebo medzinárodnej organizácii. …
4. Komisia priebežne monitoruje vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť pôsobenie rozhodnutí prijatých podľa odseku 3 tohto článku a rozhodnutí prijatých na základe článku 25 ods. 6 smernice [95/46].
5. Komisia na základe dostupných informácií, najmä v nadväznosti na preskúmanie uvedené v odseku 3 tohto článku, rozhodne, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku, v potrebnom rozsahu prostredníctvom vykonávacích aktov bez retroaktívneho účinku zruší, zmení alebo pozastaví rozhodnutie uvedené v odseku 3 tohto článku. …
6. Komisia začne konzultácie s treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť stav, ktorý viedol k rozhodnutiu prijatému podľa odseku 5.
…
9. Rozhodnutia prijaté Komisiou na základe článku 25 ods. 6 smernice 95/46/ES zostávajú v platnosti, pokiaľ ich Komisia nezmení, nenahradí alebo nezruší rozhodnutím prijatým v súlade s odsekom 3 alebo 5 tohto článku.“
19. Článok 46 toho istého nariadenia, nazvaný „Prenosy vyžadujúce primerané záruky“, je formulovaný takto:
„1. Ak neexistuje rozhodnutie podľa článku 45 ods. 3, prevádzkovateľ alebo sprostredkovateľ môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.
2. Primerané záruky uvedené v odseku 1 sa môžu ustanoviť bez toho, aby sa dozorný orgán žiadal o akékoľvek osobitné povolenie [aby bolo potrebné akékoľvek osobitné povolenie dozorného orgánu – neoficiálny preklad], prostredníctvom:
…
c) štandardných doložiek o ochrane údajov, ktoré prijala Komisia v súlade s postupom preskúmania uvedeným v článku 93 ods. 2;
…
5. Povolenia členského štátu alebo dozorného orgánu na základe článku 26 ods. 2 smernice [95/46] zostávajú v platnosti, pokým ich tento dozorný orgán podľa potreby nezmení, nenahradí alebo nezruší. Rozhodnutia prijaté Komisiou na základe článku 26 ods. 4 smernice [95/46] zostávajú v platnosti, pokiaľ ich Komisia podľa potreby nezmení, nenahradí alebo nezruší rozhodnutím prijatým v súlade s odsekom 2 tohto článku.“
20. Článok 58 ods. 2, 4 a 5 GDPR znie:
„2. Každý dozorný orgán má všetky tieto nápravné právomoci:
a) upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto nariadenia;
b) napomenúť prevádzkovateľ[a] alebo sprostredkovateľ[a], ak spracovateľské operácie porušili ustanovenia tohto nariadenia;
c) nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadostiam dotknutej osoby o uplatnenie jej práv podľa tohto nariadenia;
d) nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto nariadenia;
e) nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe;
f) nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania;
…
i) uložiť v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 83, a to popri opatreniach uvedených v tomto odseku alebo namiesto nich;
j) nariadiť pozastavenie toku údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii.
…
4. Výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, stanoveným v práve Únie a v práve členského štátu v súlade s chartou.
5. Každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení tohto nariadenia.“
C. Rozhodnutie 2010/87
21. Článok 26 ods. 4 smernice 95/46 bol základom pre tri rozhodnutia prijaté Komisiou, v ktorých táto konštatovala, že štandardné zmluvné doložky, ktoré sú v nich uvedené, poskytujú primerané záruky, pokiaľ ide o ochranu súkromia a základných práv a slobôd jednotlivcov, ako aj pokiaľ ide o uplatnenie príslušných práv (ďalej len „rozhodnutia o štandardných zmluvných doložkách“)(9).
22. Patrí medzi ne rozhodnutie 2010/87, ktorého článok 1 stanovuje, že „štandardné zmluvné doložky uvedené v prílohe sa považujú za doložky, ktoré poskytujú primerané záruky, pokiaľ ide o ochranu súkromia a základných práv a slobôd jednotlivcov ako aj pokiaľ ide o uplatnenie príslušných práv, ako to požaduje článok 26 ods. 2 smernice [95/46]“.
23. Podľa článku 3 tohto rozhodnutia:
„Na účely tohto rozhodnutia sa uplatňujú tieto pojmy:
…
c) ,vývozca údajov‘ je prevádzkovateľ, ktorý prenáša osobné údaje;
d) ,dovozca údajov‘ je spracovateľ usadený v tretej krajine, ktorý súhlasí, že bude od vývozcu údajov prijímať osobné údaje určené na spracovanie v mene vývozcu údajov po prenose v súlade s jeho pokynmi a podmienkami tohto rozhodnutia a ktorý nepodlieha systému tretej krajiny zaisťujúcemu primeranú ochranu v zmysle článku 25 ods. 1 smernice [95/46];
…
f) ,príslušné právo týkajúce sa ochrany údajov‘ sú právne predpisy chrániace základné práva a slobody jednotlivcov a najmä ich právo [právo na súkromie – neoficiálny preklad] vo vzťahu k spracovaniu osobných údajov, uplatniteľné na prevádzkovateľa údajov v členskom štáte, v ktorom je vývozca údajov usadený;
…“
24. Vo svojom pôvodnom znení článok 4 ods. 1 uvedeného rozhodnutia stanovoval:
„Bez toho, aby boli dotknuté ich právomoci podnikať právne opatrenia na zabezpečenie dodržiavania vnútroštátnych ustanovení prijatých podľa kapitol II, III, V a VI smernice [95/46], môžu príslušné úrady v členských štátoch uplatniť svoje existujúce právomoci zakázať alebo pozastaviť toky údajov do tretích krajín s cieľom ochrany osôb vo vzťahu k spracovaniu ich osobných údajov v prípadoch, ak:
a) sa zistí, že právo, ktorému vývozca údajov alebo subdodávateľ podlieha, mu ukladá povinnosti vo forme výnimky z príslušného práva týkajúceho sa ochrany údajov, ktoré presahujú obmedzenia nevyhnutné v demokratickej spoločnosti stanovené v článku 13 smernice [95/46], ak je pravdepodobné, že tieto povinnosti budú mať závažný nepriaznivý účinok na záruky poskytované príslušným právom týkajúcim sa ochrany údajov a štandardnými zmluvnými doložkami;
b) príslušný orgán zistí, že dovozca údajov alebo subdodávateľ nerešpektoval štandardné zmluvné doložky uvedené v prílohe, alebo
c) existuje veľká pravdepodobnosť, že štandardné zmluvné doložky uvedené v prílohe nie sú alebo nebudú dodržiavané a pokračujúcim prenosom by vzniklo bezprostredné riziko vážneho poškodenia subjektov údajov.“
25. Článok 4 rozhodnutia 2010/87 vo svojom súčasnom znení, ktoré vyplýva zo zmeny rozhodnutia 2010/87 vykonávacím rozhodnutím (EÚ) 2016/2297(10), stanovuje, že „keď príslušné orgány členských štátov uplatnia svoje právomoci podľa článku 28 ods. 3 smernice [95/46], dôsledkom čoho je pozastavenie alebo trvalý zákaz tokov údajov do tretích krajín v záujme ochrany fyzických osôb v súvislosti so spracovaním ich osobných údajov, príslušný členský štát o tom bezodkladne informuje Komisiu, ktorá príslušné informácie postúpi ostatným členským štátom“.
26. Príloha rozhodnutia 2010/87 obsahuje súbor štandardných zmluvných doložiek. Konkrétne doložka 3 uvedená v tejto prílohe, nazvaná „Doložka o oprávnenosti tretej strany“, stanovuje:
„1. Subjekt údajov môže ako oprávnená tretia strana uplatňovať voči vývozcovi údajov túto doložku, doložku 4 písm. b) až i), doložku 5 písm. a) až e) a písm. g) až j), doložku 6 ods. 1 a 2, doložku 7, doložku 8 ods. 2 a doložky 9 až 12.
2. Subjekt údajov môže uplatňovať voči dovozcovi údajov túto doložku, doložku 5 písm. a) až e) a písm. g), doložku 6, doložku 7, doložku 8 ods. 2 a doložky 9 až 12 v prípadoch, keď vývozca údajov fakticky zmizol alebo prestal právne existovať, pokiaľ prípadný nástupnícky subjekt neprevzal na základe zmluvy alebo podľa zákona všetky právne záväzky vývozcu údajov, v dôsledku čoho prijíma práva a záväzky vývozcu údajov a subjekt údajov ich v takom prípade môže uplatňovať voči tomuto subjektu.
…“
27. Doložka 4 uvedená v tejto prílohe, nazvaná „Povinnosti vývozcu údajov“, stanovuje:
„Vývozca údajov súhlasí a zaručuje sa, že:
a) spracovanie osobných údajov vrátane ich prenosu bolo a bude aj naďalej vykonávané v súlade s relevantnými ustanoveniami príslušného práva týkajúceho sa ochrany údajov (a prípadne bolo oznámené príslušným orgánom členského štátu, v ktorom má vývozca údajov sídlo) a že neporušuje relevantné ustanovenia daného štátu;
b) nariadil a v priebehu trvania služieb spracovania osobných údajov bude nariaďovať dovozcovi údajov, aby prenášané osobné údaje spracovával len v mene vývozcu údajov a v súlade s príslušným právom týkajúcim sa ochrany osobných údajov a s doložkami;
c) dovozca údajov poskytne dostatočné záruky, pokiaľ ide o technické a organizačné bezpečnostné opatrenia uvedené v dodatku 2 k tejto zmluve;
d) po vyhodnotení požiadaviek príslušného práva týkajúceho sa ochrany údajov sú bezpečnostné opatrenia primerané na zabezpečenie ochrany osobných údajov proti neúmyselnému alebo neoprávnenému zničeniu alebo neúmyselnej strate, zmene, neoprávnenému prezradeniu alebo prístupu najmä v prípadoch, ak spracovanie zahŕňa prenos údajov prostredníctvom siete, ako aj proti všetkým ostatným nezákonným formám spracovania, a že tieto opatrenia zabezpečujú úroveň bezpečnosti primeranú rizikám spojeným so spracovávaním údajov a s povahou údajov, ktoré sa majú chrániť, vzhľadom na stav techniky a nákladnosť ich implementácie;
e) zabezpečí plnenie bezpečnostných opatrení;
f) ak bude prenos zahŕňať osobitné kategórie údajov, subjekt údajov bol alebo bude informovaný pred jeho uskutočnením alebo čo najskôr po ňom, že môže dôjsť k prenosu jeho údajov do tretej krajiny, ktorá neposkytuje primeranú ochranu v zmysle smernice [95/46];
g) postúpi akékoľvek oznámenie prijaté od vývozcu údajov alebo subdodávateľa podľa doložky 5 písm. b) a doložky 8 ods. 3 dozornému orgánu na ochranu údajov, pokiaľ sa vývozca údajov rozhodne pokračovať v prenose alebo zrušiť jeho pozastavenie;
h) na požiadanie poskytne subjektom údajov kópiu doložiek uvedených v tejto prílohe s výnimkou dodatku 2 a súhrnný opis bezpečnostných opatrení, ako aj kópiu akejkoľvek subdodávateľskej zmluvy o službách spracovania údajov, ktorú je nutné uzavrieť v súlade s doložkami, pokiaľ doložky alebo zmluva neobsahujú obchodné informácie, v tomto prípade môže tieto obchodné informácie vynechať;
i) v prípade zadania zákazky na spracovanie údajov subdodávateľovi sa činnosť spojená so spracovaním vykonáva v súlade s doložkou 11 subdodávateľom, ktorý zabezpečuje prinajmenšom rovnakú úroveň ochrany osobných údajov a práv subjektu údajov ako dovozca údajov podľa doložiek, a
j) zabezpečí dodržiavanie doložky 4 písm. a) až i).“
28. Doložka 5 uvedená v tejto prílohe, nazvaná „Povinnosti vývozcu údajov(1)“, stanovuje:
„Dovozca údajov sa zaväzuje a zaručuje, že:
a) bude spracovávať osobné údaje iba v mene vývozcu údajov a v súlade s jeho pokynmi a doložkami; ak z akýchkoľvek dôvodov nebude môcť toto dodržiavanie pokynov a doložiek zabezpečiť, zaväzuje sa bezodkladne o tom informovať vývozcu údajov, ktorý je v takom prípade oprávnený pozastaviť prenos údajov a/alebo zmluvu vypovedať;
b) nemá dôvod sa domnievať, že právne predpisy, ktorým podlieha, mu bránia plniť pokyny vývozcu údajov a jeho záväzky vyplývajúce zo zmluvy a že v prípade zmeny týchto právnych predpisov, ktorá by mohla mať závažný nepriaznivý účinok na záruky a záväzky stanovené doložkami, bezodkladne oznámi túto zmenu vývozcovi údajov, ktorý je v takom prípade oprávnený pozastaviť prenos údajov a/alebo zmluvu vypovedať;
c) pred spracovaním prenášaných osobných údajov vykonal organizačné a technické zabezpečenia uvedené v dodatku 2;
d) vývozcovi údajov bezodkladne oznámi:
i) akékoľvek právne záväzné požiadavky na sprístupnenie osobných údajov zo strany orgánu presadzovania práva, pokiaľ to nie je inak zakázané, napríklad trestným právom, v záujme zachovania dôvernosti vyšetrovania v rámci presadzovania práva;
ii) akýkoľvek neúmyselný alebo neoprávnený prístup a
iii) akékoľvek požiadavky pochádzajúce priamo od subjektov údajov bez toho, aby na tieto požiadavky reagoval s výnimkou prípadu, ak je tým inak poverený;
e) bude bezodkladne a riadne reagovať na všetky otázky vývozcu údajov súvisiace s jeho spracovateľskými činnosťami osobných údajov, ktoré sú predmetom prenosu, a že bude rešpektovať odporučenia dozorného orgánu, pokiaľ ide o spracovanie prenášaných údajov;
f) na žiadosť vývozcu údajov sprístupní svoje zariadenia spracovania údajov na audit spracovateľských činností zahrnutých v doložkách, ktorý vykoná vývozca údajov alebo inšpekčný orgán zložený z nezávislých členov s požadovanou odbornou kvalifikáciou, ktorí budú viazaní povinnosťou mlčanlivosti a budú vybraní vývozcom údajov prípadne po dohode s dozorným orgánom;
…“
29. Poznámka pod čiarou 1, na ktorú sa v doložke 5 uvedenej v prílohe rozhodnutia 2010/87 odkazuje, stanovuje:
„Povinné požiadavky vnútroštátnych právnych predpisov vzťahujúcich sa na dovozcu údajov, ktoré nepresahujú rámec toho, čo je nevyhnutné v demokratickej spoločnosti na základe jedného zo záujmov uvedených v článku 13 ods. 1 smernice [95/46], t. j. ak predstavujú opatrenia nevyhnutné na zabezpečenie obrany národnej bezpečnosti, verejnej bezpečnosti, na predchádzanie, vyšetrovanie, odhaľovanie a stíhanie trestných činov alebo porušenie etických zásad regulovaných profesií, významného hospodárskeho alebo finančného záujmu štátu alebo ochrany subjektov údajov alebo práv a slobôd iných, nie sú v rozpore so štandardnými zmluvnými doložkami. Príkladmi takých povinných požiadaviek, ktoré nepresahujú rámec toho, čo je v demokratickej spoločnosti nevyhnutné, sú okrem iného medzinárodne uznávané sankcie, požiadavky na priznanie daní alebo požiadavky v súvislosti s ohlasovacou povinnosťou na účely boja proti praniu špinavých peňazí.“
30. Doložka 6 obsiahnutá v tejto prílohe, nazvaná „Zodpovednosť“, znie:
„1. Strany sa dohodli že subjekt údajov, ktorý utrpel škodu v dôsledku porušenia povinností uvedených v doložke 3 alebo doložke 11 spôsobeného ktoroukoľvek zo strán alebo subdodávateľom, má nárok na odškodnenie od vývozcu údajov.
2. Ak subjekt údajov nemôže v súlade s odsekom 1 požadovať odškodnenie od vývozcu údajov za porušenie niektorej z povinností dovozcu údajov alebo jeho subdodávateľa uvedených v doložke 3 alebo doložke 11, pretože vývozca údajov fakticky zmizol, prestal právne existovať alebo sa stal platobne neschopným, dovozca údajov sa zaväzuje, že subjekt údajov smie uplatňovať nároky voči dovozcovi údajov, ako by bol vývozcom údajov, pokiaľ prípadný nástupnícky subjekt neprevzal na základe zmluvy alebo podľa zákona všetky právne záväzky vývozcu údajov, v dôsledku čoho ich subjekt údajov môže uplatňovať voči tomuto subjektu.
…“
31. Doložka 7 uvedená v tejto prílohe, nazvaná „Mediácia a súdna právomoc“, stanovuje:
„1. Dovozca údajov súhlasí, že ak subjekt údajov voči nemu uplatní práva v prospech tretej strany a/alebo nárok na odškodnenie podľa týchto doložiek, dovozca údajov prijme rozhodnutie subjektu údajov:
a) postúpiť spor na sprostredkovanie nezávislou osobou alebo prípadne dozorným orgánom;
b) postúpiť spor súdom v členskom štáte, v ktorom má sídlo vývozca údajov.
2. Strany sa dohodli, že rozhodnutím subjektu údajov nebudú dotknuté jeho hmotné ani procesné práva na podávanie žalôb v súlade s ostatnými ustanoveniami vnútroštátneho alebo medzinárodného práva.“
32. Doložka 9 uvedená v tej istej prílohe, nazvaná „Rozhodné právo“, stanovuje, že doložky sa majú riadiť právom členského štátu, v ktorom je vývozca údajov usadený.
D. Rozhodnutie o „štíte na ochranu osobných údajov“
33. Článok 25 ods. 6 smernice 95/46 slúžil ako základ pre prijatie dvoch po sebe nasledujúcich rozhodnutí Komisie, v ktorých táto konštatovala, že USA zaručujú primeranú úroveň ochrany osobných údajov prenášaných do podnikov so sídlom v USA, ktoré prostredníctvom postupu osvedčenia vydávaného samotnou organizáciou vyhlásili, že dodržiavajú zásady uvedené v týchto rozhodnutiach.
34. Ako prvé Komisia prijala rozhodnutie 2000/520/ES o primeranosti ochrany poskytovanej zásadami „bezpečného prístavu“ a súvisiacimi s často kladenými otázkami vydanými Ministerstvom obchodu USA(11). V rozsudku zo 6. októbra 2015, Schrems(12), Súdny dvor toto rozhodnutie vyhlásil za neplatné.
35. V nadväznosti na tento rozsudok Komisia ako druhé prijala rozhodnutie „o štíte na ochranu osobných údajov“.
36. Článok 1 tohto rozhodnutia stanovuje:
„1. Na účely článku 25 ods. 2 smernice [95/46] Spojené štáty zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných z Únie organizáciám v USA v rámci štítu na ochranu osobných údajov medzi EÚ a USA.
2. Štít na ochranu osobných údajov medzi EÚ a USA tvoria zásady vydané Ministerstvom obchodu USA 7. júla 2016, ktoré sú uvedené v prílohe II, a oficiálne vyhlásenia a záväzky obsiahnuté v dokumentoch uvedených v prílohách I, III až VII.
3. Na účely odseku 1 sa osobné údaje prenášajú v rámci štítu na ochranu osobných údajov medzi EÚ a USA, keď sa prenášajú z Únie organizáciám v USA, ktoré sú zahrnuté do ‚zoznamu organizácií zapojených do štítu na ochranu osobných údajov‘, ktorý vedie a sprístupňuje verejnosti Ministerstvo obchodu USA v súlade s oddielmi I a III zásad stanovených v prílohe II.“
37. Príloha III A tohto rozhodnutia s názvom „Mechanizmus ombudsmana pre štít na ochranu osobných údajov medzi EÚ a USA týkajúci sa signálového spravodajstva“, pripojená k listu Johna Kerryho ako Secretary of State (minister zahraničných vecí USA) zo 7. júla 2016, obsahuje memorandum opisujúce nové konanie pred ombudsmanom ako „hlavným koordinátorom medzinárodnej diplomacie v oblasti informačných technológií“ (ďalej len „ombudsman“), ktorého vymenúva minister zahraničných vecí.
38. Podľa tohto memoranda bolo toto konanie zavedené „v záujme uľahčenia spracovávania žiadostí týkajúcich sa prístupu, na účely národnej bezpečnosti, k údajom prenášaným z [Únie] do Spojených štátov na základe štítu na ochranu osobných údajov, štandardných zmluvných doložiek, záväzných firemných pravidiel, ‚výnimiek‘ alebo ‚možných budúcich výnimiek‘ stanovenými postupmi v súlade s platnými právnymi predpismi a politikou Spojených štátov, a odpovedania na tieto žiadosti“.
III. Spor vo veci samej, prejudiciálne otázky a konanie na Súdnom dvore
39. Pán Schrems, rakúsky štátny príslušník s bydliskom v Rakúsku, je používateľom sociálnej siete Facebook. Všetci používatelia tejto sociálnej siete s bydliskom na území Únie sú povinní pri svojej registrácii uzavrieť zmluvu so spoločnosťou Facebook Ireland, dcérskou spoločnosťou spoločnosti Facebook Inc., ktorá má sídlo v USA. Osobné údaje týchto používateľov sa v celom rozsahu alebo sčasti prenášajú na servery patriace spoločnosti Facebook Inc., nachádzajúce sa na území USA, kde sú predmetom spracúvania.
40. Pán Schrems predložil 25. júna 2013 komisárovi sťažnosť, v ktorej od neho v podstate žiadal, aby spoločnosti Facebook Ireland zakázal prenášať jeho osobné údaje do USA. Uviedol, že platné právo a prax v tejto tretej krajine nezabezpečujú dostatočnú ochranu osobných údajov uchovávaných na území tejto krajiny pred zásahmi vyplývajúcimi z činností sledovania, ktoré vykonávajú orgány verejnej moci. Pán Schrems v tejto súvislosti odkázal na odhalenia pána Edwarda Snowdena týkajúce sa činností informačných služieb USA, a to najmä činností National Security Agency (Národná bezpečnostná agentúra, USA, ďalej len „NSA“).
41. Táto sťažnosť bola zamietnutá najmä z dôvodu, že o každej otázke týkajúcej sa primeranosti ochrany zaručenej v USA bolo treba rozhodnúť podľa rozhodnutia o „bezpečnom prístave“. V tomto rozhodnutí Komisia konštatovala, že táto tretia krajina poskytuje primeranú úroveň ochrany osobných údajov prenášaných do podnikov nachádzajúcich sa na území tejto krajiny, ktoré dodržiavajú zásady stanovené v uvedenom rozhodnutí.
42. Pán Schrems podal proti rozhodnutiu o zamietnutí jeho sťažnosti žalobu na High Court (Vyšší súd). Tento súd sa domnieval, že hoci pán Schrems formálne nespochybnil platnosť rozhodnutia o „bezpečnom prístave“, svojou sťažnosťou v skutočnosti namietal proti zákonnosti režimu zavedeného týmto rozhodnutím. Za týchto okolností uvedený súd položil Súdnemu dvoru otázky, ktoré sa v podstate týkali toho, či sú orgány členských štátov príslušné pre ochranu údajov (ďalej len „dozorné orgány“) v prípade, že rozhodujú o sťažnosti týkajúcej sa ochrany práv a slobôd jednotlivca pri spracúvaní osobných údajov, ktoré sa ho týkajú a ktoré boli prenesené do tretieho štátu, viazané zisteniami o primeranosti úrovne ochrany poskytovanej týmto tretím štátom, ktoré vyslovila Komisia na základe článku 25 ods. 6 smernice 95/46, aj keď sťažovateľ proti týmto zisteniam namieta.
43. Súdny dvor po tom, čo v bodoch 51 a 52 rozsudku Schrems rozhodol, že rozhodnutie o primeranosti je pre dozorné orgány záväzné, pokiaľ nebolo vyhlásené za neplatné, v bodoch 63 a 65 tohto rozsudku uviedol:
„63. … Ak osoba, ktorej osobné údaje boli alebo by mohli byť prenesené do tretej krajiny, ktorá je predmetom rozhodnutia Komisie podľa článku 25 ods. 6 smernice 95/46, podá na vnútroštátny dozorný orgán žiadosť týkajúcu sa ochrany jej práv a slobôd pri spracovaní týchto údajov a spochybňuje v rámci tejto žiadosti…, zlučiteľnosť tohto rozhodnutia s ochranou súkromia a slobôd a základných práv osôb, je úlohou tohto orgánu preskúmať túto žiadosť so všetkou náležitou starostlivosťou, ktorá sa vyžaduje.
…
65. Za… predpokladu, keď uvedený orgán považuje výhrady vznesené [touto osobou], za dôvodné, ten istý orgán musí v súlade s článkom 28 ods. 3 prvým pododsekom treťou zarážkou smernice 95/46 v spojení najmä s článkom 8 ods. 3 Charty mať možnosť obrátiť sa na súdne orgány. V tomto ohľade je úlohou vnútroštátneho zákonodarcu stanoviť prostriedky nápravy umožňujúce dotknutému vnútroštátnemu dozornému orgánu uplatniť výhrady, ktoré považuje za dôvodné, na vnútroštátnych súdoch, aby tieto podali, ak majú rovnaké pochybnosti ako tento orgán, pokiaľ ide o platnosť rozhodnutia Komisie, návrh na začatie prejudiciálneho konania na účely preskúmania platnosti tohto rozhodnutia.“
44. Súdny dvor v uvedenom rozsudku takisto preskúmal platnosť rozhodnutia o „bezpečnom prístave“ vzhľadom na požiadavky vyplývajúce zo smernice 95/46 v spojení s Chartou. Po tomto preskúmaní vyhlásil toto rozhodnutie za neplatné.(13)
45. V nadväznosti na rozsudok Schrems vnútroštátny súd zrušil rozhodnutie, ktorým komisár zamietol sťažnosť pána Schremsa, a vrátil ho komisárovi na preskúmanie. Komisár začal vyšetrovanie a vyzval pána Schremsa, aby upravil znenie svojej sťažnosti vzhľadom na vyhlásenie neplatnosti rozhodnutia o „bezpečnom prístave“.
46. Pán Schrems na tento účel požiadal Facebook Ireland, aby identifikovala právne základy prenosov osobných údajov používateľov sociálnej siete Facebook z Únie do USA. Facebook Ireland bez toho, aby identifikovala všetky právne základy, o ktoré sa opiera, odkázala na dohodu o prenose a spracovávaní údajov (data transfer processing agreement) uzatvorenú medzi ňou a spoločnosťou Facebook Inc., ktorá bola v platnosti od 20. novembra 2015, a odvolala sa na rozhodnutie 2010/87.
47. Vo svojej upravenej sťažnosti pán Schrems na jednej strane tvrdí, že doložky obsiahnuté v tejto dohode nie sú v súlade so štandardnými zmluvnými doložkami uvedenými v prílohe rozhodnutia 2010/87. Na druhej strane pán Schrems tvrdí, že tieto štandardné zmluvné doložky nemôžu v žiadnom prípade byť základom pre prenos osobných údajov, ktoré sa ho týkajú, do USA. Je to tak preto, že právo USA ukladá spoločnosti Facebook Inc. povinnosť sprístupniť osobné údaje používateľov orgánom USA, ako sú NSA a Federal Bureau of Investigation (Federálny úrad pre vyšetrovanie, USA, ďalej len „FBI“), v rámci programov sledovania, ktoré bránia výkonu práv zaručených v článkoch 7, 8 a 47 Charty. Pán Schrems tvrdí, že neexistuje žiaden prostriedok nápravy, ktorý by dotknutým osobám umožňoval uplatniť si svoje práva na rešpektovanie súkromného života a na ochranu osobných údajov. Za týchto okolností pán Schrems od komisára žiada, aby tento prenos pozastavil na základe článku 4 rozhodnutia 2010/87.
48. Facebook Ireland v rámci vyšetrovania vedeného komisárom potvrdila, že naďalej prenáša osobné údaje používateľov sociálnej siete Facebook s bydliskom v Únii do USA a že na tento účel sa z veľkej časti opiera o štandardné zmluvné doložky uvedené v prílohe rozhodnutia 2010/87.
49. Cieľom komisárovho vyšetrovania bolo na jednej strane určiť, či USA zabezpečujú primeranú ochranu osobných údajov občanov Únie, a na druhej strane, v prípade zápornej odpovede určiť, či rozhodnutia o štandardných zmluvných doložkách predstavujú dostatočné záruky, pokiaľ ide o ochranu základných práv a slobôd občanov Únie.
50. V tejto súvislosti sa komisár v návrhu rozhodnutia (draft decision) predbežne domnieval, že právo USA neposkytuje účinné prostriedky nápravy v zmysle článku 47 Charty občanom Únie, ktorých údaje sa prenášajú do USA, kde hrozí ich spracovanie agentúrami USA na účely národnej bezpečnosti spôsobom nezlučiteľným s článkami 7 a 8 Charty. Záruky stanovené doložkami uvedenými v prílohe rozhodnutí o štandardných zmluvných doložkách tento nedostatok podľa neho nenapravujú, pretože nie sú pre orgány alebo agentúry USA záväzné a dotknutým osobám priznávajú iba zmluvné práva proti vývozcovi a/alebo dovozcovi údajov.
51. Za týchto okolností komisár rozhodol, že o sťažnosti pána Schremsa nemôže rozhodnúť, kým Súdny dvor nepreskúma platnosť rozhodnutí o štandardných zmluvných doložkách. Komisár preto podľa ustanovenia bodu 65 rozsudku Schrems predložil vec na konanie vnútroštátnemu súdu, aby tento v prípade, že s pochybnosťami komisára súhlasí, predložil Súdnemu dvoru návrh na začatie prejudiciálneho konania o platnosti týchto rozhodnutí.
52. Vláde USA, Electronic Privacy Information Centre (EPIC), Business Software Alliance (BSA) a Digitaleurope bolo povolené vstúpiť do konania pred vnútroštátnym súdom ako vedľajším účastníkom.
53. Aby určil, či súhlasí s pochybnosťami komisára o platnosti rozhodnutí o štandardných zmluvných doložkách, High Court (Vyšší súd) zobral na vedomie dôkazy predložené stranami sporu a vypočul nimi predložené tvrdenia, ako aj tvrdenia predložené vedľajšími účastníkmi konania. Konkrétne boli ako dôkazy predložené znalecké posudky o ustanoveniach práva USA. V írskom práve sa zahraničné právo považuje za skutkovú okolnosť, ktorá musí byť preukázaná rovnakým spôsobom ako akákoľvek iná skutočnosť. Na základe týchto dôkazov vnútroštátny súd posúdil ustanovenia práva USA povoľujúce sledovanie vládnymi orgánmi a agentúrami, fungovanie dvoch verejne známych programov sledovania („PRISM“ a „Upstream“), rôzne prostriedky nápravy dostupné jednotlivcom, ktorých práva boli opatreniami sledovania porušené, ako aj systémové záruky a kontrolné mechanizmy. Vnútroštátny súd uviedol výsledky tohto posúdenia v rozsudku z 3. októbra 2017, ktorý je pripojený k jeho návrhu na začatie prejudiciálneho konania [ďalej len „rozsudok High Court (Vyšší súd) z 3. októbra 2017“].
54. V tomto rozsudku vnútroštátny súd spomedzi právnych základov, ktoré povoľujú zaznamenávanie zahraničných komunikácií spravodajskými službami USA, odkázal na článok 702 Foreign Intelligence and Surveillance Act (zákon o sledovaní v rámci zahraničného spravodajstva, ďalej len „zákon FISA“) a na Executive Order 12333 (vykonávacie nariadenie č. 12333, ďalej len „vykonávacie nariadenie č. 12333“).
55. Podľa zistení uvedených v tomto rozsudku článok 702 zákona FISA dovoľuje, aby Attorney General (generálny prokurátor, USA) a Director of National Intelligence (DNI) (riaditeľ národnej spravodajskej služby, USA) spoločne s cieľom získať informácie v oblasti zahraničného spravodajstva udelili povolenie na obdobie jedného roka na sledovanie osôb, ktoré nie sú americkými občanmi, ani nemajú v USA trvalý pobyt (ďalej len „osoby, ktoré nie sú občanmi ani rezidentmi USA“), ak je dôvodné domnievať sa, že sa nachádzajú mimo územia USA.(14) Podľa zákona FISA sa pojmom „zahraničné spravodajstvo“ označujú informácie o schopnosti vlády poskytnúť ochranu pred zahraničnými útokmi, terorizmom, šírením zbraní hromadného ničenia, ako aj o riadení zahraničných vecí USA.(15)
56. Tieto ročné povolenia, rovnako ako postupy upravujúce zacielenie osôb, ktoré sa majú sledovať, a spracúvanie („minimalizáciu“) získaných informácií(16) musí schváliť Foreign Intelligence Surveillance Court (Súd pre sledovanie v rámci zahraničného spravodajstva, USA, ďalej len „súd FISC“). Zatiaľ čo „tradičné“ sledovanie uskutočnené na základe iných ustanovení zákona FISA si vyžaduje, aby bol preukázaný „pravdepodobný dôvod“, pre ktorý možno mať podozrenie, že sledované osoby sú súčasťou zahraničnej mocnosti alebo sú jej agentmi, činnosti sledovania vykonávané na základe článku 702 zákona FISA nepodliehajú ani preukázaniu takéhoto „pravdepodobného dôvodu“, ani schváleniu zacielenia určitých osôb súdom FISC. Vnútroštátny súd ďalej zistil aj to, že postupy minimalizácie sa neuplatňujú na osoby, ktoré nie sú občanmi ani rezidentmi USA, nachádzajúce sa mimo USA.
57. V praxi je to tak, že keď súd FISC udelí povolenie, agentúra NSA zašle poskytovateľom elektronických komunikačných služieb so sídlom v USA pokyny obsahujúce kritériá vyhľadávania, takzvané „selektory“, priradené k zacieleným osobám (ako sú telefónne čísla alebo emailové adresy). Títo poskytovatelia sú potom povinní agentúre NSA poskytnúť údaje zodpovedajúce selektorom a musia zachovávať pokyny, ktoré im boli adresované, v tajnosti. Majú možnosť podať na súd FISC žalobu o zmenu alebo zrušenie pokynu agentúry NSA. Proti rozhodnutiu súdu FISC možno podať odvolanie na Foreign Intelligence Surveillance Court of Review (Revízny súd pre sledovanie v rámci zahraničného spravodajstva, USA, ďalej len „súd FISCR“).
58. High Court (Vyšší súd) konštatoval, že článok 702 zákona FISA slúži ako právny základ pre programy PRISM a Upstream.
59. V rámci programu PRISM sú poskytovatelia elektronických komunikačných služieb povinní predložiť agentúre NSA všetky komunikácie „zo“ selektora alebo „do“ selektora, ktorý im NSA oznámila. Časť týchto komunikácií bola zaslaná FBI a Central Intelligence Agency (Ústredná spravodajská služba, USA, ďalej len „CIA“). V roku 2015 bolo sledovaných 94 386 osôb a v roku 2011 vláda USA v rámci tohto programu získala viac ako 250 miliónov komunikácií.
60. Program Upstream je postavený na povinnej pomoci podnikov prevádzkujúcich „chrbtovú“ sieť, t. j. sieť káblov, prepínačov a smerovačov, cez ktorú prechádzajú telefonické komunikácie a internetová komunikácia. Tieto podniky sú povinné umožniť agentúre NSA kopírovať a filtrovať internetové toky s cieľom získať komunikácie „zo“ selektora, „do“ selektora alebo „o“ selektore, ktorý bol v pokyne tejto agentúry uvedený. Komunikácie „o“ selektore sú tie, ktoré na tento selektor odkazujú, pričom nie je nevyhnutné, aby sa osoba priradená k uvedenému selektoru, ktorá nie je občanom ani rezidentom USA, na týchto komunikáciách zúčastnila. Hoci zo stanoviska súdu FISC z 26. apríla 2017 vyplýva, že od tohto dátumu už vláda USA nezhromažďuje a nezískava žiadne komunikácie „o“ selektore, v tomto stanovisku sa neuvádza, že agentúra NSA prestala kopírovať a filtrovať toky komunikácií prechádzajúce cez jej monitorovacie zariadenie. Agentúra NSA tak má podľa všetkého v programe Upstream prístup tak k metaúdajom, ako aj k obsahu komunikácií. Agentúra NSA od roku 2011 zhromaždila približne 26,5 milióna hovorov ročne v rámci programu Upstream, čo však predstavuje len malú časť komunikácií podliehajúcich procesu filtrovania vykonávaného na základe tohto programu.
61. Okrem toho podľa zistení High Court (Vyšší súd) vykonávacie nariadenie č. 12333 dovoľuje monitorovanie elektronických komunikácií mimo územia USA, pričom na účely zahraničného spravodajstva umožňuje prístup k údajom buď „na ceste“ na územie USA, alebo k údajom „prechádzajúcim“ týmto územím, ktoré nie sú určené na spracovanie na tomto území, ako aj zhromažďovanie a uchovávanie týchto údajov. Vykonávacie nariadenie č. 12333 definuje pojem „zahraničné spravodajstvo“ tak, že zahŕňa aj informácie týkajúce sa schopností, úmyslov alebo činností zahraničných vlád, zahraničných organizácií alebo zahraničných osôb.(17)
62. Vykonávacie nariadenie č. 12333 oprávňuje agentúru NSA na prístup k podmorským káblom umiestneným na dne Atlantického oceánu, cez ktoré sa prenášajú údaje z Únie do USA, skôr, ako tieto údaje prídu do USA, a teda sa na ne budú vzťahovať ustanovenia zákona FISA. Neexistuje však žiadny dôkaz o tom, že by bol nejaký program na základe tohto vykonávacieho nariadenia realizovaný.
63. Hoci vykonávacie nariadenie č. 12333 stanovuje obmedzenia týkajúce sa zhromažďovania, uchovávania a šírenia informácií, tieto obmedzenia sa neuplatňujú na osoby, ktoré nie sú občanmi ani rezidentmi USA. Takéto osoby sú oprávnené len na záruky uvedené v Presidential Policy Directive 28 (prezidentská politická smernica 28, ďalej len „smernica PPD–28“), ktorá sa uplatňuje na všetky činnosti zhromažďovania a používania informácií v oblasti zahraničného signálového spravodajstva. Smernica PPD–28 stanovuje, že rešpektovanie súkromného života je neoddeliteľnou súčasťou úvah, ktoré sa majú zohľadniť pri plánovaní týchto činností, že jediným účelom získavania musí byť získavanie informácií v oblasti zahraničného spravodajstva a tiež kontrarozviedky, a že uvedené činnosti musia byť „čo možno najpresnejšie zacielené“.
64. Podľa vnútroštátneho súdu činnosti agentúry NSA založené na vykonávacom nariadení č. 12333, ktoré môže byť prezidentom USA kedykoľvek zmenené alebo zrušené, nie sú upravené zákonom, nepodliehajú súdnemu dohľadu a nemožno proti nim podať súdny prostriedok nápravy.
65. Na základe týchto konštatovaní sa tento súd domnieva, že USA vykonávajú hromadné a nediferencované spracúvanie osobných údajov, v dôsledku ktorých môže dotknutým osobám hroziť porušenie práv, ktoré pre ne plynú z článkov 7 a 8 Charty.
66. Okrem toho vnútroštátny súd uvádza, že občania Únie nemajú prístup k rovnakým súdnym prostriedkom nápravy proti nezákonnému spracúvaniu ich osobných údajov orgánmi USA ako štátni príslušníci USA. Štvrtý dodatok Ústavy USA, ktorý predstavuje najvýznamnejšiu ochranu proti nezákonnému sledovaniu, sa nevzťahuje na tých občanov Únie, ktorí s USA nemajú významný dobrovoľný vzťah. Hoci títo majú k dispozícii určité iné prostriedky nápravy, stoja im v ceste významné prekážky.
67. Konkrétne článok III Ústavy USA podmieňuje každú žalobu na federálne súdy tým, že dotknutá osoba preukáže svoju aktívnu legitimáciu (standing). Aktívna legitimácia predpokladá najmä to, že táto osoba preukáže, že jej vznikla skutočná škoda, ktorá je jednak konkrétna a individualizovaná, a jednak súčasná alebo bezprostredne hroziaca. Vnútroštátny súd sa domnieva, pričom sa odvoláva okrem iného na rozsudok Supreme Court of the United States (Najvyšší súd USA), Clapper v. Amnesty International US(18), že splnenie tejto podmienky je v praxi nadmerne sťažené najmä vzhľadom na to, že neexistuje žiadna povinnosť informovať dotknuté osoby o opatreniach sledovania, ktoré boli voči nim prijaté.(19) Časť prostriedkov nápravy, ktoré majú občania Únie k dispozícii, navyše podlieha dodržaniu iných obmedzujúcich podmienok, ako napríklad potrebe preukázať peňažnú škodu. Zvrchovaná imunita priznaná spravodajským agentúram a utajenie dotknutých informácií takisto predstavujú prekážku pre uplatnenie niektorých prostriedkov nápravy.(20)
68. High Court (Vyšší súd) okrem toho spomína rôzne mechanizmy kontroly a dohľadu nad činnosťami spravodajských agentúr.
69. Medzi tieto patrí na jednej strane mechanizmus každoročného osvedčovania programov založených na článku 702 zákona FISA súdom FISC, v rámci ktorého však súd FISC neschvaľuje individuálne selektory. Zhromažďovanie informácií v oblasti zahraničného spravodajstva podľa vykonávacieho nariadenia č. 12333 okrem toho nepodlieha žiadnemu predchádzajúcemu súdnemu preskúmaniu.
70. Na druhej strane vnútroštátny súd poukazuje na viaceré mechanizmy mimosúdneho dohľadu nad spravodajskými činnosťami. Spomína obzvlášť úlohu Inspectors General (generálni inšpektori, USA), ktorí sú v rámci každej spravodajskej agentúry poverení dohľadom nad činnosťami sledovania. Ďalej, osoby, ktoré sú v rámci jednotlivých agentúr ustanovené do funkcie úradníkov pre ochranu občianskych slobôd alebo súkromia (civil liberties or privacy officers), predkladajú správy Privacy and Civil Liberties Oversight Board (Rada pre dohľad nad ochranou súkromia a občianskych slobôd, USA, ďalej len „rada PCLOB“), nezávislej agentúre patriacej pod výkonnú moc. Rada PCLOB pravidelne predkladá správy parlamentným výborom a prezidentovi. Dotknuté agentúry sú povinné o udalostiach, pri ktorých došlo k porušeniu pravidiel a postupov upravujúcich zhromažďovanie zahraničného spravodajstva, upovedomiť aj riaditeľa národnej spravodajskej služby. Správa o týchto udalostiach sa predkladá aj súdu FISC. Kongres USA prostredníctvom spravodajských výborov snemovne reprezentantov a senátu takisto zodpovedá za kontrolu činností zahraničného spravodajstva.
71. High Court (Vyšší súd) však zdôrazňuje zásadný rozdiel medzi pravidlami, ktorých cieľom je zabezpečiť, že sa údaje získajú zákonným spôsobom a že po ich získaní nedôjde k ich zneužitiu, na jednej strane a na druhej strane prostriedkami nápravy, ktoré sú dostupné v prípade, že dôjde k porušeniu týchto pravidiel. Ochranu základných práv dotknutých osôb možno zabezpečiť len vtedy, ak im účinné prostriedky nápravy umožňujú uplatniť si svoje práva v prípade porušenia uvedených pravidiel.
72. Za týchto okolností vnútroštátny súd považuje za dôvodné tvrdenia predložené komisárom o tom, že obmedzenia, ktorými právne predpisy USA podmieňujú právo na prostriedok nápravy pre osoby, ktorých údaje sa z Únie prenášajú, nerešpektujú podstatu práva zaručeného v článku 47 Charty a v každom prípade predstavujú neprimerané zásahy do výkonu tohto práva.
73. Toto posúdenie nie je podľa High Court (Vyšší súd) spochybnené tým, že vláda USA zaviedla mechanizmus ombudsmana opísaný v rozhodnutí o „štíte na ochranu osobných údajov“. Vnútroštátny súd po zdôraznení, že tento mechanizmus je prístupný občanom Únie, ktorí sa dôvodne domnievajú, že ich údaje boli prenesené podľa rozhodnutí o štandardných zmluvných doložkách(21), uviedol, že ombudsman nepredstavuje súd, ktorý spĺňa požiadavky článku 47 Charty, a predovšetkým nie je nezávislý od výkonnej moci.(22) Uvedený súd tiež pochybuje o tom, že zásah ombudsmana, proti rozhodnutiu ktorého nemožno podať súdny prostriedok nápravy, predstavuje účinný prostriedok nápravy. Tento zásah totiž neumožňuje osobám, ktorých osobné údaje boli nezákonne zhromaždené, spracované alebo zdieľané, aby získali odškodnenie alebo príkaz na ukončenie nezákonných činností, pretože ombudsman nepotvrdzuje a ani nepopiera, že sťažovateľ bol predmetom elektronického sledovania.
74. Vnútroštátny súd po tom, ako takto predniesol svoje pochybnosti o obsahovej rovnocennosti záruk podľa práva USA s požiadavkami vyplývajúcimi z článkov 7, 8 a 47 Charty, vyjadril obavy v súvislosti s tým, či štandardné zmluvné doložky stanovené v rozhodnutiach o štandardných zmluvných doložkách – ktoré svojou povahou nie sú pre orgány USA záväzné – napriek tomu dokážu zabezpečiť ochranu základných práv dotknutých osôb. Tento súd z toho vyvodil záver, že súhlasí s pochybnosťami komisára o platnosti týchto rozhodnutí.
75. V tejto súvislosti sa vnútroštátny súd okrem iného domnieva, že na rozptýlenie týchto pochybností nestačí, že článok 28 ods. 3 smernice 95/46, na ktorý odkazuje článok 4 rozhodnutia 2010/87, priznáva dozorným orgánom právomoc pozastaviť alebo zakázať prenosy založené na štandardných zmluvných doložkách stanovených v tomto rozhodnutí. Okrem toho, že táto právomoc má podľa jeho názoru iba diskrečný charakter, vnútroštátny súd má s ohľadom na odôvodnenie 11 rozhodnutia 2010/87 pochybnosti o možnosti jej uplatnenia v prípade, keď sa zistené nedostatky netýkajú konkrétneho a výnimočného prípadu, ale sú všeobecnej a systémovej povahy.(23) Domnieva sa tiež, že riziko, že sa v rôznych členských štátoch prijmú rozdielne rozhodnutia, môže brániť tomu, aby sa konštatovanie takýchto nedostatkov zverilo dozorným orgánom.
76. Za týchto podmienok High Court (Vyšší súd) rozhodnutím zo 4. mája 2018(24), ktoré bolo Súdnemu dvoru doručené 9. mája 2018, rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. V situácii, keď súkromná spoločnosť prenáša osobné údaje z členského štátu [Únie] súkromnej spoločnosti v tretej krajine na komerčné účely podľa [rozhodnutia 2010/87] a [tieto] môžu byť ďalej spracúvané v tretej krajine jej orgánmi na účely národnej bezpečnosti, ale aj na účely presadzovania práva a plnenia úloh zahraničných vecí uvedenej tretej krajiny, uplatňuje sa právo EÚ, vrátane Charty, na prenos týchto údajov bez ohľadu na ustanovenia článku 4 ods. 2 ZEÚ vo vzťahu k národnej bezpečnosti a ustanovenia prvej zarážky článku 3 ods. 2 smernice [95/46] vo vzťahu k verejnej bezpečnosti, obrane a bezpečnosti štátu?
2. a) Pri určovaní toho, či prenosom údajov z [Únie] do tretej krajiny na základe rozhodnutia [2010/87], v ktorej sa môžu ďalej spracúvať na účely národnej bezpečnosti, došlo k porušeniu práv fyzickej osoby, je príslušným porovnávacím prostriedkom na účely [95/46] smernice:
i) Charta, ZEÚ, ZFEÚ, smernica [95/46], [Európsky dohovor o ochrane ľudských práv a základných slobôd, podpísaný v Ríme 4. novembra 1950 (ďalej len ,EDĽP‘)] (alebo iné ustanovenie práva [Únie]); alebo
ii) vnútroštátne právne predpisy jedného alebo viacerých členských štátov?
b) Ak je príslušným porovnávacím prostriedkom bod ii), majú byť do porovnávacieho prostriedku zahrnuté aj postupy v kontexte národnej bezpečnosti v jednom alebo viacerých členských štátoch?
3. Pri posudzovaní toho, či tretia krajina zabezpečuje úroveň ochrany vyžadovanú právnymi predpismi EÚ pre osobné údaje prenášané do tejto krajiny na účely článku 26 smernice [95/46], mala by sa úroveň ochrany v tejto tretej krajine posudzovať na základe:
a) platných pravidiel v tejto tretej krajine vyplývajúcich z jej vnútroštátnych právnych predpisov alebo medzinárodných záväzkov a praxe určenej na zabezpečenie súladu s týmito pravidlami, vrátane odborných pravidiel a bezpečnostných opatrení, ktoré sa v tejto tretej krajine dodržiavajú;
alebo
b) pravidiel uvedených v písmene a) spolu s takými administratívnymi a regulačnými postupmi a postupmi v oblasti dodržiavania právnych predpisov, a zárukami vyplývajúcimi zo zásad, postupmi, protokolmi, mechanizmami dohľadu a mimosúdnymi prostriedkami nápravy, ktoré existujú v tejto tretej krajine?
4. Vzhľadom na skutočnosti zistené High Court (Vyšší súd) vo vzťahu k právnym predpisom Spojených štátov amerických, ak sa osobné údaje prenášajú z [Únie] do USA na základe rozhodnutia [2010/87], porušuje to práva fyzickej osoby podľa článkov 7 alebo 8 Charty?
5. Vzhľadom na skutočnosti zistené High Court (Vyšší súd) vo vzťahu k právnym predpisom Spojených štátov amerických, ak sa osobné údaje prenášajú z [Únie] do USA na základe rozhodnutia [2010/87]:
a) rešpektuje úroveň ochrany, ktorú poskytujú USA, podstatu práva fyzickej osoby na súdny prostriedok nápravy za porušenie jej práv na ochranu osobných údajov, zaručený článkom 47 Charty?
Ak je odpoveď na písmeno a) kladná,
b) sú obmedzenia vyplývajúce z právnych predpisov Spojených štátov amerických pre právo fyzickej osoby na súdny prostriedok nápravy v kontexte americkej národnej bezpečnosti primerané v zmysle článku 52 Charty a nevymykajú sa rámcu toho, čo je v demokratickej spoločnosti nevyhnutné na účely národnej bezpečnosti?
6. a) Aká je úroveň ochrany, ktorú je potrebné poskytnúť osobným údajom prenášaným do tretej krajiny na základe štandardných zmluvných doložiek prijatých v súlade s rozhodnutím Komisie podľa článku 26 ods. 4 smernice [95/46] v spojení s ustanoveniami [tejto smernice] a najmä podľa [jej] článkov 25 a 26 v spojení s Chartou?
b) Ktoré záležitosti je potrebné zohľadniť pri posudzovaní toho, či úroveň ochrany poskytnutá údajom prenášaným do tretej krajiny na základe rozhodnutia [2010/87] spĺňa požiadavky smernice [95/46] a Charty?
7. Vylučuje skutočnosť, že štandardné zmluvné doložky platia medzi vývozcom údajov a dovozcom údajov a nezaväzujú vnútroštátne orgány tretej krajiny, ktoré môžu od dovozcu údajov požadovať, aby sprístupnil ich bezpečnostným službám na ďalšie spracúvanie osobné údaje prenesené podľa ustanovení upravených v rozhodnutí [2010/87], aby doložky poskytovali primerané záruky, ako to predpokladá článok 26 ods. 2 smernice [95/46]?
8. Ak dovozca údajov z tretej krajiny podlieha právnym predpisom o sledovaní, ktoré sú podľa názoru [dozorného orgánu] v rozpore so štandardnými zmluvnými doložkami alebo článkami 25 a 26 smernice [95/46] alebo Charty, je [dozorný orgán] povinný využiť svoje právomoci na presadzovanie práva podľa článku 28 ods. 3 smernice [95/46] na prerušenie toku údajov alebo je výkon týchto právomocí vzhľadom na odôvodnenie 11 [rozhodnutia 2010/87] obmedzený iba na výnimočné prípady alebo môže [dozorný orgán] využiť svoju voľnú úvahu a neprerušiť toky údajov?
9 a) Predstavuje rozhodnutie [,o štíte na ochranu osobných údajov‘] na účely článku 25 ods. 6 smernice [95/46] všeobecne záväzné konštatovanie, ktoré je záväzné pre [dozorné orgány] a súdy členských štátov v zmysle, že USA zabezpečujú primeranú úroveň ochrany v zmysle článku 25 ods. 2 smernice [95/46] z dôvodu svojho vnútroštátneho práva alebo medzinárodných záväzkov, ktoré prijali?
b) Ak nie, aký (prípadný) význam má rozhodnutie [,o štíte na ochranu osobných údajov‘] pri posudzovaní primeranosti záruk poskytnutých údajom prenášaným do Spojených štátov, ktoré sa prenášajú na základe rozhodnutia [2010/87]?
10. Vzhľadom na zistenia High Court (Vyšší súd) vo vzťahu k právnym predpisom Spojených štátov amerických zabezpečuje inštitút ombudsmana pre štít na ochranu osobných údajov podľa [prílohy III A] k rozhodnutiu [,o štíte na ochranu osobných údajov‘] v spojení s existujúcim režimom v Spojených štátoch prostriedok nápravy pre dotknuté osoby, ktorých osobné údaje sa prenášajú do USA na základe rozhodnutia [2010/87], ktorý je zlučiteľný s článkom 47 Charty?
11. Porušuje rozhodnutie [2010/87] články 7, 8 alebo 47 Charty?“
77. Komisár, Facebook Ireland, pán Schrems, vláda USA, EPIC, BSA, Digitaleurope, Írsko, belgická, česká, nemecká, holandská, rakúska, poľská a portugalská vláda a vláda Spojeného kráľovstva, Európsky parlament, ako aj Komisia predložili Súdnemu dvoru písomné pripomienky. Komisár, Facebook Ireland, pán Schrems, vláda USA, EPIC, BSA, Digitaleurope, Írsko, nemecká, francúzska, holandská, rakúska vláda a vláda Spojeného kráľovstva, Parlament, Komisia, ako aj Európsky výbor pre ochranu údajov (ďalej len „EDPB“) boli zastúpené na pojednávaní 9. júla 2019.
IV. Analýza
A. Úvodné poznámky
78. Po vyhlásení neplatnosti rozhodnutia o „bezpečnom prístave“ Súdnym dvorom v rozsudku Schrems sa v prenosoch osobných údajov do USA pokračovalo na iných právnych základoch. Konkrétne spoločnosti vyvážajúce údaje mali možnosť využívať zmluvy s dovozcami údajov zahŕňajúce štandardné doložky vypracované Komisiou. Tieto doložky takisto slúžia ako právny základ pre prenosy do mnohých iných tretích krajín, pre ktoré Komisia neprijala rozhodnutie o primeranosti.(25) Rozhodnutie o „štíte na ochranu osobných údajov“ v súčasnosti umožňuje podnikom, ktoré samy osvedčili svoje dodržiavanie v ňom uvedených zásad, aby bez ďalších formalít uskutočnili prenos osobných údajov do USA.
79. Ako sa výslovne uvádza v návrhu vnútroštátneho súdu na začatie prejudiciálneho konania a ako to zdôraznili BSA, Digitaleurope, Írsko, rakúska a francúzska vláda, Parlament, ako aj Komisia, spor vo veci samej, ktorý je predmetom konania pred High Court (Vyšší súd), má za cieľ určiť len to, či je rozhodnutie, ktorým Komisia zaviedla štandardné zmluvné doložky uvádzané ako základ pre prenosy, na ktoré sa vzťahuje sťažnosť pána Schremsa, t. j. rozhodnutie 2010/87(26), platné.
80. Tento spor má svoj pôvod v návrhu, ktorým komisár požiadal vnútroštátny súd, aby Súdnemu dvoru položil prejudiciálnu otázku týkajúcu sa platnosti rozhodnutia 2010/87. Podľa vnútroštátneho súdu sa tak spor vo veci samej týka výkonu prostriedku nápravy, k zavedeniu ktorého boli členské štáty vyzvané Súdnym dvorom v bode 65 rozsudku Schrems.
81. Pripomínam, že Súdny dvor v bode 63 tohto rozsudku rozhodol, že dozorný orgán je povinný s náležitou starostlivosťou vybaviť sťažnosť, v rámci ktorej osoba, ktorej osobné údaje boli alebo by mohli byť prenesené do tretej krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti, spochybňuje zlučiteľnosť tohto rozhodnutia so základnými právami zakotvenými v Charte. Podľa bodu 65 uvedeného rozsudku musí mať tento orgán na základe článku 28 ods. 3 prvého pododseku tretej zarážky smernice 95/46 (ktorému zodpovedá článok 58 ods. 5 nariadenia GDPR) v spojení s článkom 8 ods. 3 Charty právomoc podať návrh na začatie súdneho konania v prípade, že považuje výhrady uvedené v tejto sťažnosti za dôvodné. V tejto súvislosti musí vnútroštátny zákonodarca stanoviť prostriedky nápravy, ktoré tomuto orgánu umožnia predložiť tieto výhrady vnútroštátnym súdom, aby tieto súdy, ak s pochybnosťami tohto orgánu súhlasia, podali na návrh na začatie prejudiciálneho konania o platnosti predmetného rozhodnutia.
82. Rovnako ako vnútroštátny súd sa domnievam, že tieto zistenia sa analogicky uplatnia v prípade, ak má dozorný orgán pri vybavovaní sťažnosti, ktorá mu bola predložená, pochybnosti nie o platnosti rozhodnutia o primeranosti, ale o platnosti rozhodnutia, akým je rozhodnutie 2010/87, ktorým sa stanovujú štandardné zmluvné doložky pre prenos osobných údajov do tretích krajín. Na rozdiel od tvrdenia nemeckej vlády nie je rozhodujúce, či tieto pochybnosti zodpovedajú výhradám, na ktoré ho upozornil sťažovateľ, alebo či tento orgán spochybňuje platnosť predmetného rozhodnutia z vlastnej iniciatívy. Požiadavky vyplývajúce z článku 58 ods. 5 nariadenia GDPR a článku 8 ods. 3 Charty, na ktorých je odôvodnenie Súdneho dvora založené, sa totiž uplatňujú bez ohľadu na právny základ prenosu, proti ktorému bola sťažnosť na dozorný orgán podaná, a na dôvody, ktoré tento orgán viedli v rámci vybavovania tejto sťažnosti k pochybnostiam o platnosti predmetného rozhodnutia.
83. Vzhľadom na uvedené spresnenie komisár požiadal vnútroštátny súd, aby Súdnemu dvoru položil otázku o platnosti rozhodnutia 2010/87, z toho dôvodu, že vysvetlenie Súdneho dvora v tejto veci považuje za nevyhnutné pre vybavenie sťažnosti, ktorou pán Schrems od neho žiada, aby vykonal právomoc, ktorú mu priznáva článok 28 ods. 3 druhá zarážka – a v súčasnosti článok 58 ods. 2 písm. f) nariadenia GDPR – t. j., aby nariadil pozastavenie prenášania osobných údajov týkajúcich sa pána Schremsa spoločnosťou Facebook Ireland spoločnosti Facebook Inc.
84. Zatiaľ čo spor vo veci samej sa teda týka len platnosti rozhodnutia 2010/87 in abstracto, konanie na prvom stupni vedené komisárom súvisí s výkonom právomoci komisára prijímať nápravné opatrenia v konkrétnom prípade. Súdnemu dvoru navrhnem, aby sa obmedzil na preskúmanie položených otázok v rozsahu potrebnom na rozhodnutie o platnosti rozhodnutia 2010/87, pretože takéto preskúmanie bude postačovať na to, aby vnútroštátny súd mohol vyriešiť spor, ktorý prejednáva.(27)
85. Skôr, ako sa posúdi platnosť tohto rozhodnutia, je potrebné zamietnuť niektoré námietky vznesené proti prípustnosti návrhu na začatie prejudiciálneho konania.
B. O prípustnosti návrhu na začatie prejudiciálneho konania
86. Prípustnosť návrhu na začatie prejudiciálneho konania bola spochybnená z rôznych dôvodov, ktoré sa týkajú najmä neuplatniteľnosti smernice 95/46 z hľadiska ratione temporis uvedenej v prejudiciálnych otázkach (oddiel 1), skutočnosti, že konanie pred komisárom nedospelo do dostatočne pokročilého štádia na účely odôvodnenia jeho užitočnosti (oddiel 2), a existencie nejasností sprevádzajúcich skutkový rámec opísaný vnútroštátnym súdom (oddiel 3).
87. Na tieto námietky neprípustnosti odpoviem s ohľadom na prezumpciu relevantnosti, ktorá sa vzťahuje na otázky položené Súdnemu dvoru na základe článku 267 ZFEÚ. Podľa ustálenej judikatúry môže Súdny dvor odmietnuť rozhodnúť o návrhu na začatie prejudiciálneho konania podanom vnútroštátnym súdom len vtedy, ak je zjavné, že požadovaný výklad práva Únie nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, pokiaľ ide o hypotetický problém, alebo ak Súdny dvor nedisponuje skutkovými a právnymi podkladmi potrebnými na užitočnú odpoveď na otázky, ktoré mu boli položené.(28)
1. O uplatniteľnosti ratione temporis smernice 95/46
88. Facebook Ireland namieta neprípustnosť prejudiciálnych otázok z dôvodu, že odkazujú na smernicu 95/46, hoci táto smernica bola zrušená a nahradená nariadením GDPR s účinnosťou od 25. mája 2018.(29)
89. Súhlasím s názorom, že platnosť rozhodnutia 2010/87 treba preskúmať vzhľadom na ustanovenia nariadenia GDPR.
90. Článok 94 ods. 2 tohto nariadenia stanovuje, že „odkazy na zrušenú smernicu sa považujú za odkazy na [uvedené nariadenie]“. Podľa môjho názoru z toho vyplýva, že tým, že rozhodnutie 2010/87 uvádza ako právny základ článok 26 ods. 4 smernice 95/46, má sa chápať tak, že odkazuje na článok 46 ods. 2 písm. c) nariadenia GDPR, ktorý v podstate preberá jeho obsah.(30) Vykonávacie rozhodnutia prijaté Komisiou podľa článku 26 ods. 4 smernice 95/46 pred nadobudnutím účinnosti nariadenia GDPR sa preto musia vykladať s prihliadnutím na toto nariadenie. Prípadné posúdenie ich platnosti sa takisto musí vykonať s ohľadom na uvedené nariadenie.
91. Tento záver nie je v rozpore s judikatúrou, podľa ktorej sa zákonnosť aktu Únie má posudzovať podľa skutkových a právnych okolností existujúcich v čase prijatia tohto aktu. Táto judikatúra sa totiž týka preskúmania platnosti aktu Únie vzhľadom na relevantné skutkové okolnosti v čase jeho prijatia(31) alebo na procesné pravidlá upravujúce jeho prijatie.(32) Naopak, Súdny dvor opakovane preskúmal platnosť aktov sekundárneho práva z hľadiska hmotnoprávnych noriem vyššej právnej sily, ktoré nadobudli účinnosť po prijatí týchto aktov.(33)
92. Skutočnosť, že v znení prejudiciálnych otázok je označený akt, ktorý už nie je ratione temporis uplatniteľný, síce odôvodňuje preformulovanie týchto otázok, nemôže však spôsobiť ich neprípustnosť.(34) Ako uviedli komisár a pán Schrems, odkazy na smernicu 95/46 v znení prejudiciálnych otázok sa navyše môžu vysvetliť vzhľadom na procesný harmonogram prejednávanej veci, keďže tieto otázky boli Súdnemu dvoru predložené skôr, ako nariadenie GDPR nadobudlo účinnosť.
93. V každom prípade ustanovenia nariadenia GDPR, ktoré budú na účely analýzy prejudiciálnych otázok rozoberané – t. j. konkrétne jeho články 45, 46 a 58 – v podstate preberajú obsah článkov 25, 26 a 28 smernice 95/46 a zároveň ho rozvíjajú a spresňujú. Pokiaľ ide o ich relevantnosť na účely rozhodnutia o platnosti rozhodnutia 2010/87, nevidím žiadny dôvod priznať týmto ustanoveniam nariadenia GDPR iný rozsah, než aký mali príslušné ustanovenia smernice 95/46.(35)
2. O predbežnej povahe pochybností vyjadrených komisárom
94. Podľa nemeckej vlády je návrh na začatie prejudiciálneho konania neprípustný z dôvodu, že konanie o prostriedku nápravy uvedené v bode 65 rozsudku Schrems predpokladá, že dozorný orgán si už vytvoril konečný názor na dôvodnosť výhrad vznesených sťažovateľom proti platnosti predmetného rozhodnutia. Podľa nej však o takýto prípad nejde v prejednávanej veci, keďže komisár vyjadril pochybnosti o platnosti rozhodnutia 2010/87, proti ktorému pán Schrems okrem iného nenamieta, v návrhu rozhodnutia, ktorý bol prijatý predbežne s výhradou prípadného predloženia ďalších pripomienok zo strany spoločnosti Facebook Ireland a pána Schremsa.
95. Podľa môjho názoru sa predbežná povaha pochybností vyjadrených komisárom nedotýka prípustnosti návrhu na začatie prejudiciálneho konania. Kritériá prípustnosti prejudiciálnej otázky totiž musia byť posúdené vo vzťahu k predmetu sporu, tak ako ho vymedzil vnútroštátny súd.(36) Pritom je nesporné, že tento sa týka platnosti rozhodnutia 2010/87. Z návrhu na začatie prejudiciálneho konania a rozsudku, ktorý je k nemu pripojený, vyplýva, že vnútroštátny súd usúdil, že pochybnosti vyjadrené komisárom – bez ohľadu na to, či tieto boli predbežné alebo konečné – sú dôvodné, a v dôsledku toho položil Súdnemu dvoru otázku o platnosti tohto rozhodnutia. Za týchto okolností nie sú žiadne pochybnosti o tom, že vysvetlenie Súdneho dvora v tejto súvislosti je relevantné na to, aby vnútroštátny súd mohol vyriešiť spor, o ktorom rozhoduje.
3. O pochybnostiach spojených s definíciou skutkového rámca
96. Vláda Spojeného kráľovstva tvrdí, že skutkový rámec opísaný vnútroštátnym súdom vykazuje viacero nedostatkov, ktoré svedčia proti prípustnosti prejudiciálnych otázok. Tvrdí, že vnútroštátny súd neobjasnil, či boli osobné údaje týkajúce sa pána Schremsa skutočne prenesené do USA, a v prípade kladnej odpovede ani to, či boli orgánmi USA zhromaždené. Právny základ týchto prípadných prenosov takisto nebol s určitosťou identifikovaný, keďže návrh na začatie prejudiciálneho konania uvádzal len toľko, že údaje európskych používateľov sociálnej siete Facebook sú prenášané „prevažne“ na základe štandardných zmluvných doložiek stanovených v rozhodnutí 2010/87. V každom prípade podľa nej nebolo preukázané, že tieto doložky sú v zmluve medzi spoločnosťou Facebook Ireland a spoločnosťou Facebook Inc., ktorá bola uvedená ako základ sporných prenosov, verne prevzaté. Nemecká vláda spochybňuje prípustnosť návrhu na začatie prejudiciálneho konania aj z dôvodu, že vnútroštátny súd nepreskúmal, či niet pochýb o tom, že pán Schrems dal na dané prenosy svoj súhlas, pričom v takom prípade by tieto boli platne založené na článku 26 ods. 1 smernice 95/46 [ktorého obsah je v podstate prevzatý v článku 49 ods. 1 písm. a) nariadenia GDPR].
97. Tieto tvrdenia nijako nespochybňujú relevantnosť návrhu na začatie prejudiciálneho konania vo vzťahu k predmetu sporu vo veci samej. Keďže tento spor vzišiel z toho, že komisár vykonal prostriedok nápravy stanovený v bode 65 rozsudku Schrems, jeho samotným cieľom je dosiahnuť, aby vnútroštátny súd predložil návrh na začatie prejudiciálneho konania o platnosti rozhodnutia 2010/87. Nemecká vláda a vláda Spojeného kráľovstva v skutočnosti spochybňujú nevyhnutnosť prejudiciálnych otázok, nie pokiaľ ide o určenie toho, či je toto rozhodnutie platné, ale pokiaľ ide o ich nevyhnutnosť na to, aby komisár mohol rozhodnúť konkrétne o sťažnosti pána Schremsa.
98. V každom prípade, aj z pohľadu tohto konania na prvom stupni, ktoré je základom pre spor vo veci samej, sa mi prejudiciálne otázky týkajúce sa platnosti rozhodnutia 2010/87 nezdajú byť irelevantné. Vnútroštátny súd totiž preukázal, že Facebook Ireland po vyhlásení neplatnosti rozhodnutia o „bezpečnom prístave“ naďalej prenáša údaje svojich používateľov do USA a že tieto prenosy sú prinajmenšom sčasti založené na rozhodnutí 2010/87. Navyše, hoci môže byť výhodné, aby boli všetky relevantné skutočnosti preukázané skôr, ako vnútroštátny súd vykoná svoju právomoc na základe článku 267 ZFEÚ, je iba na ňom, aby posúdil, v ktorom štádiu konania potrebuje rozhodnutie Súdneho dvora v prejudiciálnom konaní.(37)
99. Na základe uvedeného sa domnievam, že návrh na začatie prejudiciálneho konania je prípustný.
C. O uplatniteľnosti práva Únie na prenosy osobných údajov do tretieho štátu, ktorý ich pravdepodobne spracuje na účely národnej bezpečnosti (prvá otázka)
100. Svojou prvou otázkou sa vnútroštátny súd pýta, či sa právo Únie uplatňuje na prenos osobných údajov spoločnosťou so sídlom v členskom štáte do spoločnosti so sídlom v tretej krajine na obchodné účely, ak po tom, čo sa s prenosom začalo, môžu orgány verejnej moci tejto tretej krajiny údaje spracúvať na účely zahŕňajúce ochranu národnej bezpečnosti.
101. Význam tejto otázky pre rozhodnutie sporu vo veci samej spočíva v tom, že ak by takýto prenos nepatril do pôsobnosti práva Únie, všetky námietky vznesené proti platnosti rozhodnutia 2010/87 v prejednávanej veci by boli neopodstatnené.
102. Ako poznamenal vnútroštátny súd, spracúvanie osobných údajov na účely národnej bezpečnosti bolo z pôsobnosti smernice 95/46 vylúčené na základe článku 3 ods. 2 tejto smernice. Článok 2 ods. 2 nariadenia GDPR v súčasnosti spresňuje, že toto nariadenie sa okrem iného neuplatňuje na spracovanie údajov v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie, alebo na spracovanie údajov príslušnými orgánmi na účely ochrany verejnej bezpečnosti. Tieto ustanovenia odrážajú skutočnosť, že článok 4 ods. 2 ZEÚ vyhradzuje členským štátom právomoc v oblasti ochrany národnej bezpečnosti.
103. Komisár, pán Schrems, Írsko, nemecká, rakúska, belgická, belgická, česká, holandská, poľská a portugalská vláda, ako aj Parlament a Komisia tvrdia, že na prenosy, o aké ide v sťažnosti pána Schremsa, sa tieto ustanovenia nevzťahujú, a preto patria do pôsobnosti práva Únie. Facebook Ireland obhajuje opačné stanovisko. Ja súhlasím s názorom prvých spomenutých strán.
104. V tejto súvislosti je dôležité zdôrazniť, že prenos osobných údajov z členského štátu do tretej krajiny ako taký predstavuje „spracúvanie“ v zmysle článku 4 ods. 2 nariadenia GDPR vykonávané na území členského štátu.(38) Cieľom prvej prejudiciálnej otázky je práve určiť, či sa právo Únie uplatňuje na spracúvanie spočívajúce v samotnom prenose. Táto otázka sa netýka uplatniteľnosti práva Únie na prípadné neskoršie spracúvanie údajov, ktoré boli do USA prenesené, orgánmi USA na účely národnej bezpečnosti, ktoré sú z územnej pôsobnosti nariadenia GDPR vylúčené.(39)
105. Z tohto hľadiska treba na účely určenia, či sa na prenos predmetných údajov uplatňuje právo Únie, zohľadniť len činnosť, pod ktorú tento prenos patrí, pričom účel prípadného ďalšieho spracúvania, ktoré na prenesených údajoch vykonajú orgány verejnej moci tretej krajiny určenia, nie je relevantný.(40)
106. Z návrhu vnútroštátneho súdu na začatie prejudiciálneho konania pritom vyplýva, že prenos uvedený v sťažnosti pána Schremsa je súčasťou obchodnej činnosti. Tento prenos sa okrem toho neuskutočnil s cieľom umožniť neskoršie spracúvanie predmetných údajov orgánmi USA na účely národnej bezpečnosti.
107. Navyše, prístup navrhovaný spoločnosťou Facebook Ireland by zbavil ustanovenia nariadenia GDPR týkajúce sa prenosov do tretích krajín potrebného účinku, pretože nikdy nemožno vylúčiť, že sa údaje prenesené v rámci obchodnej činnosti budú po ich prenose spracúvať na účely národnej bezpečnosti.
108. Výklad, ktorý navrhujem, má oporu v znení článku 45 ods. 2 písm. a) nariadenia GDPR. Toto ustanovenie uvádza, že pri prijímaní rozhodnutia o primeranosti Komisia zohľadní aj právne predpisy dotknutej tretej krajiny v oblasti národnej bezpečnosti. Z toho možno vyvodiť záver, že možnosť, že údaje budú orgánmi tretej krajiny určenia spracúvané na účely ochrany národnej bezpečnosti, nerobí právo Únie neuplatniteľným na spracúvanie spočívajúce v prenose údajov do tejto tretej krajiny.
109. Odôvodnenie a závery prijaté Súdnym dvorom v rozsudku Schrems takisto vychádzajú z tejto premisy. Konkrétne Súdny dvor v rozsudku Schrems preskúmal platnosť rozhodnutia o „bezpečnom prístave“ v rozsahu, v akom sa týkalo prenosu osobných údajov do USA, kde mohli byť zhromažďované a spracovávané na účely ochrany národnej bezpečnosti, s ohľadom na článok 25 ods. 6 smernice 95/46 v spojení s Chartou.(41)
110. Vzhľadom na tieto úvahy sa domnievam, že právo Únie sa uplatňuje na prenos osobných údajov z členského štátu do tretej krajiny, keď k tomuto prenosu dochádza v rámci obchodnej činnosti, pričom je irelevantné, že prenesené údaje prípadne budú orgánmi verejnej moci tejto tretej krajiny spracúvané s cieľom chrániť jej národnú bezpečnosť.
D. O úrovni ochrany požadovanej v rámci prenosu založeného na štandardných zmluvných doložkách (prvá časť šiestej otázky)
111. Vnútroštátny súd sa v prvej časti svojej šiestej otázky pýta, aká úroveň ochrany základných práv dotknutých osôb musí byť zabezpečená na to, aby mohli byť osobné údaje prenášané do tretej krajiny na základe štandardných zmluvných doložiek, ktoré sú stanovené v rozhodnutí 2010/87.
112. Tento súd zdôrazňuje, že v rozsudku Schrems Súdny dvor vyložil ustanovenie článku 25 ods. 6 smernice 95/46 (ktorého obsah je v podstate prebratý v článku 45 ods. 3 nariadenia GDPR) o tom, že Komisia môže prijať rozhodnutie o primeranosti, až keď sa ubezpečí, že dotknutá tretia krajina zaručuje adekvátnu úroveň ochrany, tak, že vychádza z predpokladu, že Komisia konštatuje, že táto krajina zabezpečuje úroveň ochrany slobôd a základných práv, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v rámci Únie podľa tejto smernice v spojení s Chartou.(42)
113. V tomto kontexte je Súdny dvor v prvej časti šiestej prejudiciálnej otázky vyzvaný, aby určil, či uplatnenie „štandardných zmluvných doložiek“ prijatých Komisiou podľa článku 26 ods. 4 smernice 95/46 – ktoré zodpovedajú „štandardným doložkám o ochrane“ v súčasnosti spomenutým v článku 46 ods. 2 písm. c) nariadenia GDPR – musí umožniť dosiahnutie úrovne ochrany, ktorá zodpovedá takémuto istému štandardu „podstatnej rovnocennosti“.
114. V tejto súvislosti článok 46 ods. 1 nariadenia GDPR stanovuje, že ak neexistuje rozhodnutie o primeranosti, prevádzkovateľ môže preniesť osobné údaje do tretej krajiny, „len vtedy, ak… poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy“ (kurzívou zvýraznil generálny advokát).(43) Podľa článku 46 ods. 2 písm. d) nariadenia GDPR môžu tieto záruky okrem iného vyplývať zo „štandardných doložiek o ochrane“ vypracovaných Komisiou.
115. Podobne ako komisár, pán Schrems a Írsko sa domnievam, že „primerané záruky“ poskytnuté prevádzkovateľom, na ktoré odkazuje článok 46 ods. 1 nariadenia GDPR, musia zabezpečiť, že právam osôb, ktorých údaje sú prenášané, prináleží, tak ako pri prenose založenom na rozhodnutí o primeranosti, úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany, ktorá vyplýva z nariadenia GDPR v spojení s Chartou.
116. Tento záver vyplýva z cieľa tohto ustanovenia a z právneho nástroja, ktorého je súčasťou.
117. Cieľom článkov 45 a 46 nariadenia GDPR je zabezpečiť kontinuitu vysokej úrovne ochrany osobných údajov zabezpečenej týmto nariadením v prípade, keď sa prenášajú mimo Únie. Článkom 44 nariadenia GDPR s názvom „Všeobecná zásada prenosov“ sa totiž začína kapitola V, ktorá sa týka prenosov do tretích krajín, pričom sa v ňom uvádza, že všetky ustanovenia tejto kapitoly sa uplatňujú s cieľom zabezpečiť, aby sa v prípade prenosu do tretieho štátu neohrozila úroveň ochrany zaručená nariadením GDPR.(44) Cieľom tohto predpisu je predísť tomu, že sa prenosom osobných údajov do tretej krajiny na účely ich spracúvania v tejto krajine obídu štandardy ochrany vyplývajúce z práva Únie.(45) Vzhľadom na tento cieľ nie je rozhodujúce, či sa prenos zakladá na rozhodnutí o primeranosti alebo na zárukách poskytnutých prevádzkovateľom, okrem iného prostredníctvom štandardných zmluvných doložiek. Požiadavky na ochranu základných práv zaručených Chartou sa nelíšia v závislosti od právneho základu, na ktorom je konkrétny prenos založený.(46)
118. Naproti tomu spôsob, akým sa zachováva kontinuita vysokej úrovne ochrany, sa líši v závislosti od právneho základu prenosu.
119. Na jednej strane je cieľom rozhodnutia o primeranosti určiť, že dotknutá tretia krajina sama zabezpečuje úroveň ochrany, ktorá je v podstate rovnocenná tej, ktorú ukladá právo Únie. Prijatie rozhodnutia o primeranosti predpokladá, že Komisia najprv pri určenej tretej krajine posúdi úroveň ochrany zaručenú právom a praxou tejto tretej krajiny vo svetle faktorov uvedených v článku 45 ods. 3 nariadenia GDPR. Osobné údaje môžu byť potom prenášané do uvedenej tretej krajiny bez toho, aby prevádzkovateľ musel získať osobitné povolenie.
120. Na druhej strane, ako je podrobnejšie vysvetlené v nasledujúcej časti, primeranými zárukami, ktoré poskytuje prevádzkovateľ, sa má zabezpečiť vysoká úroveň ochrany v prípade, že záruky dostupné v tretej krajine určenia sú nedostatočné. Hoci teda článok 46 ods. 1 nariadenia GDPR dovoľuje, aby sa osobné údaje prenášali do tretích štátov, ktoré nezabezpečujú primeranú úroveň ochrany, toto ustanovenie takéto prenosy povoľuje len vtedy, ak sú primerané záruky poskytnuté inými prostriedkami. Štandardné zmluvné doložky prijaté Komisiou v tejto súvislosti predstavujú všeobecný mechanizmus uplatniteľný na prenosy bez ohľadu na tretiu krajinu určenia a na úroveň ochrany, ktorá je v nej zabezpečená.
E. O platnosti rozhodnutia 2010/87 vzhľadom na články 7, 8 a 47 Charty (siedma, ôsma a jedenásta otázka)
121. Svojou siedmou otázkou sa vnútroštátny súd v podstate pýta, či je rozhodnutie 2010/87 neplatné z dôvodu, že nie je záväzné pre orgány tretích štátov, do ktorých sa údaje prenášajú na základe štandardných zmluvných doložiek stanovených v prílohe k tomuto rozhodnutiu, a najmä preto, že týmto orgánom nebráni vyžiadať si od dovozcu údajov, aby im tieto údaje dal k dispozícii. Táto otázka tak spochybňuje samotnú možnosť zabezpečenia primeranej úrovne ochrany týchto údajov prostredníctvom mechanizmov, ktoré sú výlučne zmluvnej povahy. Jedenásta otázka sa týka všeobecnejšie platnosti rozhodnutia 2010/87 vzhľadom na články 7, 8 a 47 Charty.
122. Ôsmou otázkou sa od Súdneho dvora žiada, aby určil, či je dozorný orgán povinný využiť právomoci, ktoré mu zveruje článok 58 ods. 2 písm. f) a j) nariadenia GDPR, aby pozastavil prenos do tretej krajiny založený na štandardných zmluvných doložkách stanovených v rozhodnutí 2010/87, ak sa domnieva, že dovozca údajov v nej podlieha povinnostiam, ktoré mu bránia tieto doložky dodržať a ktoré spôsobujú, že nie je zabezpečená primeraná ochrana prenášaných údajov. Keďže odpoveď na túto otázku sa podľa môjho názoru dotýka platnosti rozhodnutia 2010/87(47), rozoberiem ju spolu so siedmou a jedenástou otázkou.
123. Znenie článku 46 ods. 1 nariadenia GDPR, ktoré stanovuje, že „ak neexistuje rozhodnutie podľa článku 45 ods. 3, prevádzkovateľ alebo sprostredkovateľ môže uskutočniť prenos osobných údajov do tretej krajiny…, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky…“ (kurzívou zvýraznil generálny advokát), zdôrazňuje logiku, z ktorej vychádzajú zmluvné mechanizmy, akým je zmluvný mechanizmus stanovený v rozhodnutí 2010/87. Ako zdôrazňujú odôvodnenia 108 a 114 nariadenia GDPR, tieto mechanizmy majú za cieľ umožniť prenosy do tretích krajín, pre ktoré Komisia neprijala rozhodnutie o primeranosti, pričom prípadné nedostatky v ochrane zaručenej právnym poriadkom tejto tretej krajiny sú potom vynahradené zárukami, ktoré sa vývozca a dovozca údajov zaviažu zmluvne dodržiavať.
124. Vzhľadom na to, že dôvod existencie zmluvných záruk spočíva práve v odstránení možných nedostatkov v ochrane poskytovanej tretími krajinami určenia, bez ohľadu na to, o ktoré krajiny ide, nie je možné, aby platnosť rozhodnutia, ktorým Komisia konštatuje, že určité štandardné doložky tieto nedostatky dostatočne napravujú, závisela od úrovne ochrany zabezpečovanej jednotlivo v každej z týchto tretích krajín, do ktorých sa údaje prípadne prenesú. Platnosť takéhoto rozhodnutia závisí výlučne od spoľahlivosti záruk, ktoré tieto doložky stanovujú s cieľom vynahradiť prípadnú nedostatočnosť ochrany v tretej krajine určenia. Účinnosť týchto záruk musí byť posúdená aj s prihliadnutím na záruky spočívajúce v právomociach dozorných orgánov podľa článku 58 ods. 2 nariadenia GDPR.
125. V tejto súvislosti, ako v podstate uviedli komisár, pán Schrems, BSA, Írsko, rakúska, francúzska, poľská a portugalská vláda, ako aj Komisia, záruky, ktoré sú v štandardných zmluvných doložkách obsiahnuté, môžu byť oslabené, ba dokonca zmarené, ak právo tretej krajiny určenia ukladá dovozcovi povinnosti, ktoré sú v rozpore s požiadavkami podľa týchto doložiek. Právny kontext prevládajúci v tretej krajine určenia tak môže v závislosti od konkrétnych okolností prenosu(48) znemožniť splnenie povinností stanovených týmito doložkami.
126. Za týchto podmienok, ako to zdôraznili pán Schrems a Komisia, je zmluvný mechanizmus stanovený v článku 46 ods. 2 písm. c) nariadenia GDPR založený na vyvodení zodpovednosti voči vývozcovi a subsidiárne tiež voči dozorným orgánom. Prevádzkovateľ, a ak nie on, tak dozorný orgán, v jednotlivých prípadoch pri každom konkrétnom prenose preskúma, či je právo tretej krajiny určenia prekážkou výkonu štandardných doložiek, a teda aj primeranej ochrany prenesených údajov, a teda, či sa prenosy musia zakázať alebo pozastaviť.
127. Vzhľadom na tieto pripomienky sa domnievam, že skutočnosť, že rozhodnutie 2010/87 a štandardné zmluvné doložky, ktoré sú v ňom uvedené, nie sú pre orgány tretej krajiny určenia záväzné, sama osebe nespôsobuje neplatnosť tohto rozhodnutia. Súlad rozhodnutia 2010/87 s článkami 7, 8 a 47 Charty závisí podľa môjho názoru od toho, či existujú dostatočne pevné mechanizmy umožňujúce zabezpečiť, že sa presuny založené na štandardných zmluvných doložkách pozastavia alebo zakážu, ak dôjde k porušeniu týchto doložiek alebo ak je nemožné ich dodržať.
128. V tejto súvislosti článok 46 ods. 1 nariadenia GDPR stanovuje, že prenos založený na primeraných zárukách sa môže uskutočniť len „za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy“. Bude potrebné overiť, či záruky stanovené v doložkách uvedených v prílohe rozhodnutia 2010/87 umožňujú spolu s právomocami dozorných orgánov zabezpečiť dodržiavanie tejto podmienky. Podľa môjho názoru o takýto prípad ide len vtedy, ak existuje povinnosť – uložená prevádzkovateľom (oddiel 1) a v prípade, že títo sú nečinní, dozorným orgánom (oddiel 2) – pozastaviť alebo zakázať prenos, ak z dôvodu rozporu medzi povinnosťami vyplývajúcimi zo štandardných doložiek a povinnosťami vyplývajúcimi z práva tretej krajiny určenia tieto doložky nemožno dodržať.
1. O povinnostiach záväzných pre prevádzkovateľov
129. Po prvé, štandardné zmluvné doložky uvedené v prílohe rozhodnutia 2010/87 vyžadujú, aby sa v prípade rozporu medzi povinnosťami, ktoré sú v nich stanovené, a požiadavkami vyplývajúcimi z práva tretej krajiny určenia, tieto doložky neuplatnili ako základ prenosu do tejto tretej krajiny alebo, ak už bol prenos na základe uvedených doložiek iniciovaný, aby bol vývozca o tomto rozpore informovaný a mohol tento prenos pozastaviť.
130. Podľa doložky 5 písm. a) sa tak dovozca zaväzuje spracovávať prenesené osobné údaje výlučne v mene vývozcu údajov a v súlade s jeho pokynmi, ako aj so štandardnými zmluvnými doložkami. Ak dovozca nemôže tieto doložky dodržať, zaväzuje sa bezodkladne o tom informovať vývozcu, ktorý je v takom prípade oprávnený pozastaviť prenos a/alebo zmluvu vypovedať.(49)
131. Poznámka pod čiarou 5 týkajúca sa doložky 5 spresňuje, že štandardné doložky nie sú porušené, ak dovozca splní povinné požiadavky vnútroštátnych právnych predpisov, ktoré sa na neho vzťahujú v tretej krajine, pokiaľ tieto požiadavky nepresahujú rámec toho, čo je v demokratickej spoločnosti nevyhnutné na účely ochrany niektorého zo záujmov uvedených v článku 13 ods. 1 smernice 95/46 (ktorého obsah je v podstate prevzatý v článku 23 ods. 1 nariadenia GDPR), medzi ktoré patrí verejná bezpečnosť a národná bezpečnosť. Naopak, nedodržanie týchto doložiek s cieľom splniť si protichodnú povinnosť založenú na práve tretej krajiny určenia, ktoré ide nad rámec toho, čo je primerané na ochranu oprávneného záujmu uznaného Úniou, sa považuje za porušenie uvedených doložiek.
132. Podľa môjho názoru, ako tvrdia pán Schrems a Komisia, doložku 5 písm. a) nemožno vykladať tak, že znamená, že pozastavenie prenosu alebo výpoveď zmluvy je v prípade, že dovozca nemôže štandardné doložky dodržať, len dobrovoľné. Hoci táto doložka uvádza v tomto zmysle iba právo v prospech vývozcu, toto znenie musí byť chápané vo vzťahu k zmluvnému rámcu, do ktorého patrí. Skutočnosť, že vývozcovi je priznané právo, pokiaľ ide o jeho bilaterálne vzťahy s dovozcom, pozastaviť prenos alebo vypovedať zmluvu v prípade, že štandardné doložky nie je schopný splniť, sa nedotýka povinnosti vzťahujúcej sa na výrobcu, aby tak urobil vzhľadom na požiadavky ochrany práv dotknutých osôb vyplývajúce z nariadenia GDPR. Akýkoľvek iný výklad by mal za následok neplatnosť rozhodnutia 2010/87 v tom zmysle, že ním stanovené štandardné zmluvné doložky by neumožňovali, aby bol prenos sprevádzaný „primeranými zárukami“, ako to vyžaduje článok 46 ods. 1 nariadenia GDPR v spojení s ustanoveniami Charty.(50)
133. Navyše, podľa doložky 5 písm. b) dovozca osvedčuje, že nemá dôvod domnievať sa, že mu právne predpisy, ktorým podlieha, bránia plniť pokyny vývozcu a záväzky, ktoré mu vyplývajú zo zmluvy. V prípade zmeny týchto právnych predpisov, ktorá by mohla mať závažný nepriaznivý účinok na záruky a záväzky stanovené štandardnými doložkami, bezodkladne oznámi túto zmenu vývozcovi, ktorý je v takom prípade oprávnený pozastaviť prenos údajov a/alebo zmluvu vypovedať. Podľa doložky 4 písm. g) musí vývozca v prípade, ak sa rozhodne v prenose pokračovať, postúpiť oznámenie prijaté od dovozcu príslušnému dozornému orgánu.
134. Tu považujem za potrebné uviesť niekoľko spresnení týkajúcich sa obsahu preskúmania, ktoré majú zmluvné strany vykonať, aby s ohľadom na poznámku pod čiarou týkajúcu sa doložky 5 určili, či povinnosti, ktoré právo tretieho štátu dovozcovi ukladá, znamenajú porušenie štandardných doložiek, a preto bránia tomu, aby bol prenos sprevádzaný primeranými zárukami. Táto problematika bola v podstate nastolená v druhej časti šiestej prejudiciálnej otázky.
135. Takéto preskúmanie podľa môjho názoru zahŕňa zohľadnenie všetkých okolností charakteristických pre konkrétny prenos, medzi ktoré možno zaradiť povahu údajov a ich prípadnú citlivosť, mechanizmy uplatňované vývozcom a/alebo dovozcom na zabezpečenie jeho bezpečnosti(51), povahu a účel spracúvania orgánmi verejnej moci tretej krajiny, ktorému budú údaje vystavené, spôsoby tohto spracúvania, ako aj obmedzenia a záruky zabezpečené touto treťou krajinou. Prvky charakterizujúce činnosti spracúvania orgánmi verejnej moci a záruky uplatniteľné v právnom poriadku tejto tretej krajiny sa podľa môjho názoru môžu prekrývať s tými, ktoré sú uvedené v článku 45 ods. 2 nariadenia GDPR.
136. Po druhé, štandardné zmluvné doložky uvedené v prílohe rozhodnutia 2010/87 zavádzajú v prospech subjektov údajov vymožiteľné práva, ako aj prostriedky nápravy proti vývozcovi a subsidiárne proti dovozcovi.
137. Doložka 3 s názvom „Doložka o oprávnenosti tretej strany“ tak vo svojom odseku 1 priznáva subjektu údajov prostriedok nápravy proti vývozcovi v prípade porušenia, okrem iného, doložky 5 písm. a) alebo b). Podľa doložky 3 ods. 2 môže subjekt údajov v prípade, že vývozca fakticky zmizol alebo prestal právne existovať, túto doložku uplatniť voči dovozcovi.
138. Doložka 6 ods. 1 priznáva každému subjektu údajov, ktorý utrpel škodu z dôvodu nesplnenia povinností uvedených v doložke 3, právo na náhradu vzniknutej škody od vývozcu. Podľa doložky 7 ods. 1 dovozca súhlasí, že ak subjekt údajov voči nemu uplatní práva v prospech tretej strany a/alebo nárok na odškodnenie, akceptuje rozhodnutie tejto osoby o tom, že sa spor postúpi na mediáciu nezávislou osobou alebo prípadne dozorným orgánom, alebo že sa postúpi súdom v členskom štáte, v ktorom má vývozca sídlo.
139. Okrem prostriedkov nápravy, ktoré majú dotknuté osoby k dispozícii podľa štandardných zmluvných doložiek stanovených v prílohe rozhodnutia 2010/87, môžu dotknuté osoby, pokiaľ sa domnievajú, že tieto doložky boli porušené, požiadať dozorné orgány o prijatie nápravných právomocí podľa článku 58 ods. 2 nariadenia GDPR, na ktorý odkazuje článok 4 rozhodnutia 2010/87.(52)
2. O povinnostiach záväzných pre dozorné orgány
140. Nasledujúce dôvody ma podobne ako pána Schremsa, Írsko, nemeckú, rakúsku, belgickú, holandskú a portugalskú vládu, ako aj EDPB vedú k záveru, že článok 58 ods. 2 nariadenia GDPR ukladá dozorným orgánom v prípade, že po starostlivom preskúmaní dospejú k presvedčeniu, že údajom preneseným do tretej krajiny neprináleží primeraná ochrana, pretože dohodnuté zmluvné doložky nie sú dodržané, povinnosť prijať vhodné nápravné opatrenia, aby túto protiprávnosť napravili, v prípadne potreby tak, že nariadia pozastavenie prenosu.
141. V prvom rade na rozdiel od toho, čo tvrdí komisár, poznamenávam, že žiadne ustanovenie rozhodnutia 2010/87 neobmedzuje výkon právomocí „nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania“ a „nariadiť pozastavenie toku údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii“, ktoré sú dozorným orgánom priznané na základe článku 58 ods. 2 písm. f) a j) RGPD, na výnimočné prípady.
142. Je pravda, že článok 4 ods. 1 rozhodnutia 2010/87 vo svojom pôvodnom znení obmedzoval výkon právomocí dozorných orgánov pozastaviť alebo zakázať cezhraničné toky údajov na osobitné prípady, keď bolo preukázané, že hrozilo, že prenos na zmluvnom základe významne negatívne ovplyvní záruky určené na ochranu dotknutej osoby. No článok 4 tohto rozhodnutia, zmenený Komisiou v roku 2016 s cieľom dosiahnuť súlad s rozsudkom Schrems(53), na tieto právomoci odkazuje bez toho, aby ich akokoľvek obmedzoval. V každom prípade vykonávacie rozhodnutie Komisie, o aké ide v prípade rozhodnutia 2010/87, nemôže platne obmedziť právomoci priznané dozorným orgánom na základe samotného nariadenia GDPR.(54)
143. Tento záver nie je v rozpore s odôvodnením 11 rozhodnutia 2010/87, ktoré uvádza, že dozorné orgány môžu vykonávať právomoci pozastavenia a zákazu prenosov iba vo „výnimočných prípadoch“. Toto odôvodnenie, ktoré bolo uvedené už v pôvodnom znení tohto rozhodnutia, sa týkalo bývalého článku 4 ods. 1 uvedeného rozhodnutia, ktorý obmedzoval právomoci dozorných orgánov. Komisia pri revízii rozhodnutia 2010/87 rozhodnutím 2016/2297 opomenula uvedené odôvodnenie vynechať alebo zmeniť tak, aby sa jeho obsah prispôsobil zneniu nového článku 4. Odôvodnenie 5 rozhodnutia 2016/2297 však opätovne potvrdilo právomoc dozorných orgánov pozastaviť alebo zakázať akýkoľvek prenos, o ktorom sa domnievajú, že je v rozpore s právom Únie, najmä z dôvodu, že dovozca nedodržiava štandardné zmluvné doložky. Odôvodnenie 11 rozhodnutia 2010/87 treba vzhľadom na to, že v súčasnosti odporuje tak zneniu, ako aj cieľu právne záväzného ustanovenia rozhodnutia 2016/2297, označiť za zastaralé.(55)
144. V druhom rade, na rozdiel od toho, čo tvrdí komisár, výkon právomocí pozastavenia a zákazu uvedených v článku 58 ods. 2 písm. f) a j) nariadenia GDPR už viac nie je len možnosťou ponechanou na úvahu dozorných orgánov. Tento záver podľa môjho názoru vyplýva z výkladu článku 58 ods. 2 nariadenia GDPR vzhľadom na iné ustanovenia tohto nariadenia a Charty, ako aj vzhľadom na všeobecnú štruktúru a ciele rozhodnutia 2010/87.
145. Konkrétne článok 58 ods. 2 nariadenia GDPR sa má vykladať so zreteľom na článok 8 ods. 3 Charty a článok 16 ods. 2 ZFEÚ. Podľa týchto ustanovení podlieha dodržiavanie požiadaviek, ktoré vyplývajú zo základného práva na ochranu osobných údajov, dohľadu nezávislých orgánov. Táto úloha dohľadu nad dodržiavaním požiadaviek týkajúcich sa ochrany osobných údajov, ktorá je tiež uvedená v článku 57 ods. 1 písm. a) nariadenia GDPR, predpokladá povinnosť dozorných orgánov konať spôsobom zabezpečujúcim správne uplatňovanie tohto nariadenia.
146. Dozorný orgán musí teda so všetkou náležitou starostlivosťou preskúmať sťažnosť predloženú jednotlivcom, ktorého údaje sú údajne do tretieho štátu prenášané v rozpore so štandardnými zmluvnými doložkami, ktoré sú na prenos uplatniteľné.(56) Článok 58 ods. 1 nariadenia GDPR v tejto súvislosti priznáva dozorným orgánom významné vyšetrovacie právomoci.(57)
147. Príslušný dozorný orgán je tiež povinný primerane reagovať na prípadné porušenia práv dotknutej osoby, ktoré konštatuje v závere svojho vyšetrovania. V tejto súvislosti disponuje každý dozorný orgán podľa článku 58 ods. 2 nariadenia GDPR širokou škálou prostriedkov – rôznych právomocí prijímať nápravné opatrenia vymenované v tomto ustanovení – na splnenie úlohy, ktorou bol poverený.(58)
148. Hoci výber najúčinnejšieho prostriedku patrí do diskrečnej právomoci príslušného dozorného orgánu vzhľadom na všetky okolnosti predmetného prenosu, dozorný orgán je povinný v plnej miere splniť úlohu dohľadu, ktorá mu bola zverená. V prípade potreby je tento orgán povinný prenos pozastaviť, ak dospeje k záveru, že štandardné zmluvné doložky nie sú dodržané a že primeraná ochrana prenášaných údajov nemôže byť zabezpečená inými prostriedkami, ibaže by prenos ukončil sám vývozca.
149. Tento výklad je potvrdený článkom 58 ods. 4 nariadenia GDPR, ktorý stanovuje, že výkon právomocí zverených dozorným orgánom na základe tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy v súlade s článkom 47 Charty. Článok 78 ods. 1 a 2 nariadenia GDPR navyše priznáva každej osobe právo podať účinný súdny prostriedok nápravy proti právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka, alebo v prípade, že tento orgán jej sťažnosť nevybaví.(59)
150. Z týchto ustanovení vyplýva, ako to v podstate tvrdia pán Schrems, BSA, Írsko, poľská vláda a vláda Spojeného kráľovstva, ako aj Komisia, že rozhodnutie, ktorým dozorný orgán nezakáže alebo nepozastaví prenos do tretej krajiny v nadväznosti na žiadosť osoby uvádzajúcej riziko, že údaje, ktoré sa jej týkajú, tam budú spracúvané v rozpore s jej základnými právami, môže byť predmetom súdneho preskúmania. Priznanie súdneho prostriedku nápravy pritom predpokladá existenciu objektívnej právomoci dozorných orgánov, a nie iba diskrečnej právomoci. Okrem toho pán Schrems a Komisia správne zdôraznili, že výkon účinného súdneho preskúmania si vyžaduje, aby orgán, ktorý napadnutý akt prijal, primeraným spôsobom uviedol dôvody, na ktorých je založený.(60) Podľa môjho názoru sa táto povinnosť odôvodnenia vzťahuje aj na rozhodnutie dozorných orgánov využiť niektorú z právomocí, ktoré im zveruje článok 58 ods. 2 nariadenia GDPR.
151. Ešte je však potrebné odpovedať na tvrdenia komisára o tom, že ak aj platí, že dozorné orgány sú povinné pozastaviť alebo zakázať prenos, keď si to ochrana práv dotknutej osoby vyžaduje, stále to nezabezpečuje platnosť rozhodnutia 2010/87.
152. Po prvé sa komisár domnieva, že takáto povinnosť nenapraví systémové problémy týkajúce sa neexistencie primeraných záruk v tretej krajine, akou je USA. Právomoci dozorných orgánov totiž môžu byť vykonávané len v konkrétnych prípadoch, zatiaľ čo nedostatky charakteristické pre právo USA majú všeobecnú a štrukturálnu povahu. Z toho podľa komisára vyplýva riziko, že rozdielne dozorné orgány prijmú rozdielne rozhodnutia týkajúce sa porovnateľných prenosov.
153. V tejto súvislosti nemôžem nespomenúť praktické ťažkosti spojené s vybraním právneho predpisu s cieľom preniesť na dozorné orgány zodpovednosť za dohľad nad dodržiavaním základných práv dotknutých osôb v rámci špecifických prenosov alebo tokov údajov pre určitého príjemcu. Tieto ťažkosti však podľa môjho názoru nemajú za následok neplatnosť rozhodnutia 2010/87.
154. Zdá sa mi totiž, že právo Únie nevyžaduje, aby bolo všeobecné a preventívne riešenie uplatnené na všetky prenosy do určitej tretej krajiny, s ktorými môžu byť spojené rovnaké riziká porušenia základných práv.
155. Navyše riziko rozdrobenosti prístupov uplatňovaných rôznymi dozornými orgánmi je vlastné štruktúre decentralizovaného dohľadu, ktorú si normotvorca zvolil.(61) Napokon, ako zdôraznila nemecká vláda, kapitola VII nariadenia GDPR, nazvaná „Spolupráca a konzistentnosť“, zavádza mechanizmy určené na predchádzanie tomuto riziku. Článok 60 tohto nariadenia stanovuje v prípade cezhraničného spracovania údajov postup spolupráce medzi dotknutými dozornými orgánmi a dozorným orgánom podľa sídla prevádzkovateľa, ktorý sa označuje ako „vedúci dozorný orgán“(62). V prípade rozdielnych stanovísk musí o spore rozhodnúť EDPB.(63) EDPB má tiež právomoc vydať na žiadosť dozorného orgánu stanovisko k akejkoľvek otázke, ktorá sa dotýka viacerých členských štátov.(64)
156. Po druhé komisár tvrdí, že rozhodnutie 2010/87 je neplatné vzhľadom na článok 47 Charty z dôvodu, že dozorné orgány môžu chrániť práva dotknutých osôb len do budúcna, pričom neposkytujú riešenie pre tie osoby, ktorých údaje už boli prenesené. Komisár obzvlášť uvádza, že článok 58 ods. 2 nariadenia GDPR nestanovuje právo na prístup, opravu a vymazanie údajov zhromaždených orgánmi verejnej moci tretej krajiny, ani neumožňuje náhradu za škodu, ktorú dotknuté osoby utrpeli.
157. Pokiaľ ide o údajnú neexistenciu práva na prístup, opravu a vymazanie zhromaždených údajov, je nutné konštatovať, že pokiaľ v tretej krajine určenia neexistuje žiadny účinný prostriedok nápravy, prostriedky nápravy stanovené v rámci Únie voči prevádzkovateľovi neumožňujú získať od orgánov verejnej moci tejto tretej krajiny prístup k týmto údajom alebo ich opravu či vymazanie.
158. Podľa môjho názoru však táto výhrada neodôvodňuje nezlučiteľnosť rozhodnutia 2010/87 s článkom 47 Charty. Platnosť tohto rozhodnutia totiž nezávisí od úrovne ochrany existujúcej v každej tretej krajine, do ktorej by mohli byť údaje prenesené na základe štandardných zmluvných doložiek, ktoré sú v ňom stanovené. Ak právo tretieho štátu určenia bráni dovozcovi v dodržaní týchto doložiek tým, že od neho požaduje, aby orgánom verejnej moci udelil prístup k údajom, pričom mu nedáva možnosť primeraných prostriedkov nápravy, je povinnosťou dozorných orgánov, ak vývozca prenos nepozastavil podľa doložky 5 písm. a) alebo b) uvedenej v prílohe rozhodnutia 2010/87, aby prijali nápravné opatrenia.
159. Okrem toho, ako zdôraznil pán Schrems, osoby, ktorých práva boli porušené, majú v súčasnosti na základe článku 82 nariadenia GDPR právo na náhradu vzniknutej majetkovej alebo nemajetkovej ujmy od prevádzkovateľa alebo sprostredkovateľa.(65)
160. Ako vyplýva zo všetkých týchto úvah, moja analýza neodhalila žiadnu skutočnosť, ktorá by mohla mať vplyv na platnosť rozhodnutia 2010/87 vzhľadom na články 7, 8 a 47 Charty.
F. O nepotrebnosti odpovedania na ostatné prejudiciálne otázky a preskúmania platnosti rozhodnutia o „štíte na ochranu osobných údajov“
161. V tomto oddiele vysvetlím dôvody týkajúce sa najmä obmedzenia predmetu sporu vo veci samej na platnosť rozhodnutia 2010/87, pre ktoré sa domnievam, že nie je potrebné odpovedať na druhú až piatu prejudiciálnu otázku, ako ani na deviatu a desiatu prejudiciálnu otázku, ani rozhodnúť o platnosti rozhodnutia o „štíte na ochranu osobných údajov“.
162. Druhá prejudiciálna otázka sa týka identifikácie štandardov ochrany, ktoré musí tretia krajina dodržiavať, aby do nej mohli byť údaje legálne prenášané na základe štandardných zmluvných doložiek v prípade, keď tieto údaje môžu byť po ich prenose spracúvané orgánmi tejto tretej krajiny na účely národnej bezpečnosti. Tretia otázka položená Súdnemu dvoru sa týka určenia prvkov charakteristických pre systém ochrany uplatniteľný v treťom štáte určenia, ktoré musia byť zohľadnené na účely zistenia, či tento systém tieto štandardy spĺňa.
163. Svojou štvrtou, piatou a desiatou otázkou sa vnútroštátny súd v podstate pýta, či sú v USA vzhľadom na skutočnosti, ktoré o práve USA zistil, poskytnuté primerané záruky proti zásahom spravodajských orgánov USA do výkonu základných práv na rešpektovanie súkromného života, na ochranu osobných údajov a na účinnú súdnu ochranu.
164. Deviata prejudiciálna otázka sa týka toho, aký vplyv má v rámci preskúmania, ktorým dozorný orgán overuje, či prenos do USA na základe štandardných zmluvných doložiek stanovených v rozhodnutí 2010/87 sprevádzajú primerané záruky, tá okolnosť, že Komisia v rozhodnutí o „štíte na ochranu osobných údajov“ konštatovala, že USA zaručujú primeranú úroveň ochrany základných práv dotknutých osôb voči takýmto zásahom.
165. Vnútroštátny súd otázku platnosti rozhodnutia o „štíte na ochranu osobných údajov“ ako takú výslovne nepoložil, hoci, ako je vysvetlené nižšie(66), štvrtou, piatou a desiatou prejudiciálnou otázkou je nepriamo spochybnená dôvodnosť konštatovania primeranosti, ku ktorému Komisia v tomto rozhodnutí dospela.
166. Podľa môjho názoru vzhľadom na skutočnosti, ktoré vyplývajú z predchádzajúcej analýzy, objasnenie týchto otázok Súdnym dvorom nemôže mať vplyv na jeho záver o platnosti rozhodnutia 2010/87 in abstracto, a teda ani ovplyvniť rozhodnutie sporu vo veci samej (oddiel 1). Navyše, aj keby sa odpovede Súdneho dvora na uvedené otázky mohli neskôr ukázať pre komisára ako užitočné, keď bude v rámci konania o tomto spore na prvom stupni určovať, či sa musia predmetné prenosy in concreto pozastaviť z dôvodu údajnej neexistencie primeraných záruk, podľa môjho názoru by bolo predčasné rozhodnúť o nich v rámci tejto veci (oddiel 2).
1. O nepotrebnosti odpovedí Súdneho dvora na ostatné otázky vzhľadom na predmet sporu vo veci samej
167. Pripomínam, že spor vo veci samej vyplynul z toho, že komisár vykonal prostriedok nápravy opísaný v bode 65 rozsudku Schrems, podľa ktorého musí každý členský štát dozornému orgánu umožniť, aby v prípade, keď to tento považuje za nevyhnutné na vybavenie sťažnosti, ktorá mu bola predložená, požiadal vnútroštátny súd, aby Súdnemu dvoru položil prejudiciálnu otázku o platnosti rozhodnutia o primeranosti alebo, analogicky, o platnosti rozhodnutia zavádzajúceho štandardné zmluvné doložky.
168. V tejto súvislosti High Court (Vyšší súd) zdôraznil, že jeho jediné možnosti po tom, čo mu komisár vec predložil, boli buď to, že podá návrh na začatie prejudiciálneho konania o platnosti rozhodnutia 2010/87 požadovaný komisárom, pokiaľ s pochybnosťami o platnosti tohto rozhodnutia súhlasí, alebo v opačnom prípade to, že tejto žiadosti nevyhovie. Vnútroštátny súd zastáva názor, že ak by využil túto druhú možnosť, musel by konanie zastaviť, pretože sťažnosť komisára nemala žiadny iný predmet.(67)
169. V tejto súvislosti Supreme Court (Najvyšší súd), ktorý rozhoduje o odvolaní podanom spoločnosťou Facebook Ireland proti rozhodnutiu vnútroštátneho súdu, opísal spor vo veci samej ako deklaratórne konanie, ktorým komisár žiadal vnútroštátny súd, aby položil Súdnemu dvoru prejudiciálnu otázku o platnosti rozhodnutia 2010/87. Podľa írskeho najvyššieho súdu sa teda jediná podstatná otázka predložená vnútroštátnemu súdu a Súdnemu dvoru týka platnosti tohto rozhodnutia.(68)
170. Vzhľadom na takto vymedzený predmet sporu vnútroštátny súd predložil Súdnemu dvoru svojich prvých desať otázok, keďže sa domnieval, že ich preskúmanie bude súčasťou celkového posúdenia, ktoré bude pre Súdny dvor nevyhnutné pre jeho rozhodnutie o platnosti rozhodnutia 2010/87 so zreteľom na články 7, 8 a 47 Charty, keď bude odpovedať na jedenástu otázku. Podľa návrhu na začatie prejudiciálneho konania táto otázka logicky vyplýva z otázok, ktoré jej predchádzajú.
171. Z tohto hľadiska sa domnievam, že druhá až piata otázka, ako aj deviata a desiata otázka vychádzajú z premisy, že platnosť rozhodnutia 2010/87 závisí od úrovne ochrany základných práv stanovenej v každom z tretích štátov, do ktorých môžu byť údaje prenesené na základe štandardných zmluvných doložiek, ktoré sú stanovené v rozhodnutí 2010/87. Ako však vyplýva z mojej analýzy siedmej otázky(69), podľa môjho názoru je táto premisa nesprávna. Skúmanie práva tretej krajiny určenia je relevantné len v prípade, keď Komisia prijíma rozhodnutie o primeranosti alebo keď prevádzkovateľ – alebo ak nie on, príslušný dozorný orgán – overuje, či v kontexte prenosu, ktorý sa zakladá na príslušných zárukách v zmysle článku 46 ods. 1 nariadenia GDPR, povinnosti, ktoré právo tejto tretej krajiny dovozcovi ukladá, neohrozujú účinnosť ochrany poskytnutej týmito zárukami.
172. Odpovede Súdneho dvora na vyššie uvedené otázky preto nemôžu ovplyvniť jeho záver o jedenástej otázke.(70) Z hľadiska predmetu sporu vo veci samej teda nie je potrebné na ne odpovedať.
173. Navrhujem, aby sa Súdny dvor obmedzil na prejednanie tejto veci z hľadiska predmetu tohto sporu. Podľa môjho názoru by Súdny dvor nemal ísť nad rámec toho, čo je pre rozhodnutie o uvedenom spore potrebné, tým, že sa bude zaoberať prejudiciálnymi otázkami z hľadiska konania na prvom stupni vedeného komisárom. Ako bolo uvedené nižšie, toto obmedzenie sa na jednej strane odporúča z dôvodu úsilia o to, aby sa nenarušil riadny priebeh konania, v ktorom bude komisár musieť pokračovať po tom, čo Súdny dvor rozhodne o platnosti rozhodnutia 2010/87. Na druhej strane sa mi vzhľadom na skutkový stav prejednávanej veci zdá byť trochu predčasné, dokonca aj z hľadiska významu tohto konania, aby Súdny dvor skúmal problematiku nastolenú druhou až piatou otázkou, ako aj deviatou a desiatou otázkou.
2. O dôvodoch, ktoré svedčia v neprospech toho, aby Súdny dvor vykonal preskúmanie so zreteľom na predmet konania vedeného komisárom
174. Pán Schrems vo svojej sťažnosti komisárovi od tohto dozorného orgánu žiada, aby vykonal právomoci, ktoré má na základe článku 58 ods. 2 písm. f) nariadenia GDPR, tak, že spoločnosti Facebook Ireland nariadi pozastaviť prenos osobných údajov, ktoré sa ho týkajú, do USA na základe štandardných zmluvných doložiek. Na podporu tejto žiadosti pán Schrems v podstate uvádza neprimeranosť týchto zmluvných záruk vzhľadom na zásahy do výkonu jeho základných práv, ktoré vyplývajú z činností spravodajských služieb USA.
175. Pán Schrems svojimi tvrdeniami spochybňuje zistenie Komisie uvedené v rozhodnutí o „štíte na ochranu osobných údajov“, podľa ktorého USA zaručujú primeranú úroveň ochrany údajov prenášaných na základe tohto rozhodnutia vzhľadom na obmedzenia vzťahujúce sa na prístup k týmto údajom a na ich využitie spravodajskými orgánmi USA, ako aj na právnu ochranu, ktorá sa dotknutým osobám poskytuje.(71) Obavy predbežne vyjadrené komisárom(72), ako aj obavy vyjadrené vnútroštátnym súdom v rámci jeho štvrtej, piatej a desiatej otázky takisto nepriamo vyvolávajú pochybnosti o dôvodnosti tohto zistenia.
176. Je pravda, že rozhodnutie o „štíte na ochranu osobných údajov“ sa obmedzuje na konštatovanie primeranosti úrovne ochrany osobných údajov prenášaných podľa zásad, ktoré sú v ňom uvedené, do podniku so sídlom v USA, ktorý sám osvedčil svoje dodržiavanie týchto zásad.(73) Odôvodnenia, ktoré sú v ňom uvedené, však presahujú kontext prenosov, na ktoré sa toto rozhodnutie vzťahuje, pretože sa týkajú práva a postupov platných v tejto tretej krajine, pokiaľ ide o spracúvanie prenášaných údajov na účely ochrany národnej bezpečnosti. Ako v podstate uviedli Facebook Ireland, pán Schrems, vláda USA a Komisia, sledovanie vykonávané spravodajskými orgánmi USA, ako aj záruky proti rizikám zneužitia, ktoré sú s ním spojené, a mechanizmy, ktorými sa má dohliadať nad dodržiavaním týchto záruk, sa z hľadiska práva Únie vzťahujú bez ohľadu na to, ktorý právny základ je uvedený ako základ prenosu.
177. Z tohto hľadiska sa otázka, či sú zistenia uvedené v tejto súvislosti v rozhodnutí o „štíte na ochranu osobných údajov“ záväzné pre dozorné orgány, keď tieto posudzujú zákonnosť prenosu uskutočneného na základe štandardných zmluvných doložiek, môže ukázať ako relevantná pre vybavenie sťažnosti pána Schremsa komisárom. V prípade kladnej odpovede na túto otázku by potom vznikla otázka, či je toto rozhodnutie naozaj platné.
178. Neodporúčam však Súdnemu dvoru, aby o týchto otázkach rozhodol len preto, aby komisárovi pomohol túto sťažnosť vybaviť, keďže ich zodpovedanie nie je nevyhnutné na to, aby vnútroštátny súd mohol vyriešiť spor vo veci samej. Keďže konanie upravené v článku 267 ZFEÚ zavádza medzi súdmi dialóg, od Súdneho dvora sa nežiada, aby poskytol objasnenie len preto, aby tým pomohol správnemu orgánu v rámci konania o tomto spore na prvom stupni.
179. Podľa môjho názoru sa táto výhrada vyžaduje o to viac, že otázka platnosti rozhodnutia o „štíte na ochranu osobných údajov“ nebola Súdnemu dvoru výslovne predložená – okrem toho je toto rozhodnutie už predmetom žaloby o neplatnosť, ktorú prejednáva Všeobecný súd Európskej únie.(74)
180. Navyše Súdny dvor by rozhodnutím o vyššie uvedenej problematike podľa môjho názoru narušil riadny priebeh konania, ktoré sa bude musieť uskutočniť po tom, ako Súdny dvor vydá svoj rozsudok v tejto veci. V rámci tohto konania bude komisár povinný vybaviť sťažnosť pána Schremsa so zreteľom na odpoveď, ktorú Súdny dvor poskytne na jedenástu prejudiciálnu otázku. Ak Súdny dvor rozhodne tak, ako to navrhujem ja, a odlišne od toho, čo pred ním tvrdil komisár, že rozhodnutie 2010/87 nie je neplatné vzhľadom na články 7, 8 a 47 Charty, komisárovi by sa podľa môjho názoru malo umožniť vec v rámci ním vedeného konania znovu preskúmať. Ak komisár dospeje k záveru, že o sťažnosti pána Schremsa bude schopný rozhodnúť až potom, ako Súdny dvor určí, či rozhodnutie o „štíte na ochranu osobných údajov“ bráni výkonu jeho právomocí pozastaviť predmetný prenos, a potvrdí, že pochybuje o platnosti tohto rozhodnutia, bude mať možnosť znova sa obrátiť na vnútroštátne súdy, aby tieto Súdnemu dvoru položili v tejto súvislosti otázku.(75)
181. Tým by sa začalo konanie, ktoré by každému účastníkovi konania a oprávnenému subjektu podľa článku 23 druhého odseku štatútu Súdneho dvora umožnilo, aby Súdnemu dvoru predložil pripomienky týkajúce sa špecificky platnosti rozhodnutia o „štíte na ochranu osobných údajov“ a podľa okolností označil konkrétne posúdenia, ktoré spochybňuje, ako aj dôvody, pre ktoré sa domnieva, že Komisia v ňom prekročila obmedzenú mieru voľnej úvahy, ktorou disponovala.(76) V rámci takého konania by Komisia mala príležitosť presne a detailne odpovedať na každú z prípadných výhrad namierených proti uvedenému rozhodnutiu. Hoci prejednávaná vec už poskytla účastníkom konania a oprávneným osobám, ktoré predložili pripomienky Súdnemu dvoru, príležitosť prediskutovať niektoré relevantné aspekty na účely posúdenia súladu rozhodnutia o „štíte na ochranu osobných údajov“ s článkami 7, 8 a 47 Charty, táto otázka si vzhľadom na svoju dôležitosť zaslúži, aby jej bola venovaná vyčerpávajúca a podrobná výmena názorov.
182. Podľa môjho názoru si opatrnosť vyžaduje, aby Súdny dvor skôr, než preskúma vplyv rozhodnutia o „štíte na ochranu osobných údajov“ na to, ako dozorný orgán vybavuje žiadosť o pozastavenie prenosu uskutočňovaného do USA na základe článku 46 ods. 1 nariadenia GDPR, a než rozhodne o platnosti tohto rozhodnutia, počkal, kým sa tieto procesné štádiá absolvujú.
183. To platí o to viac, že spis predložený Súdnemu dvoru neumožňuje vyvodiť záver, že vybavenie sťažnosti pána Schremsa komisárom bude nevyhnutne závisieť od toho, či rozhodnutie o „štíte na ochranu osobných údajov“ bráni výkonu právomoci dozorných orgánov pozastaviť prenos založený na štandardných zmluvných doložkách.
184. V tejto súvislosti v prvom rade nie je vylúčené, že komisár bude považovať za nevyhnutné pozastaviť predmetný prenos z iných dôvodov, než sú dôvody týkajúce sa údajnej neprimeranosti úrovne ochrany zabezpečovanej v USA proti zásahom do základných práv dotknutých osôb, ktoré sú dôsledkom činností spravodajských služieb USA. Vnútroštátny súd konkrétne spresnil, že pán Schrems vo svojej sťažnosti komisárovi tvrdí, že zmluvné doložky, na ktoré sa Facebook Ireland odvoláva ako na základ tohto prenosu, verne neodrážajú doložky uvedené v prílohe rozhodnutia 2010/87. Pán Schrems navyše tvrdí, že uvedený prenos nepatrí do pôsobnosti tohto rozhodnutia, ale do pôsobnosti iných rozhodnutí o štandardných zmluvných doložkách.(77)
185. V druhom rade komisár a vnútroštátny súd zdôraznili, že Facebook Ireland sa neodvolala na rozhodnutie o „štíte na ochranu osobných údajov“(78) ako na základ prenosu uvedeného v sťažnosti pána Schremsa, čo táto spoločnosť na pojednávaní potvrdila. Aj keď Facebook Inc. sama osvedčila svoje dodržiavanie zásad podľa štítu na ochranu osobných údajov od 30. septembra 2016(79), Facebook Ireland potvrdzuje, že toto dodržiavanie sa týka len prenosu určitých kategórií údajov, a to tých, ktoré sa týkajú obchodných partnerov spoločnosti Facebook Inc. Zdá sa mi, že by bolo nevhodné, aby Súdny dvor predvídal otázky, ktoré by v tejto súvislosti mohli vzniknúť, tým, že bude skúmať, či by v prípade, že by sa Facebook Ireland nemohla odvolávať na rozhodnutie 2010/87 ako na základ predmetného prenosu, tento prenos napriek tomu patril do pôsobnosti rozhodnutia o „štíte na ochranu osobných údajov“, hoci Facebook Ireland toto tvrdenie nepredložila ani vnútroštátnemu súdu, ani komisárovi.
186. Z vyššie uvedeného vyvodzujem, že nie je potrebné odpovedať na druhú až piatu prejudiciálnu otázku, ako ani na deviatu a desiatu prejudiciálnu otázku, ani preskúmať platnosť rozhodnutia o „štíte na ochranu osobných údajov“.
G. Subsidiárne pripomienky týkajúce sa účinkov a platnosti rozhodnutia o „štíte na ochranu osobných údajov“
187. Napriek tomu, že v dôsledku vyššie uvedenej analýzy Súdnemu dvoru navrhujem, aby sa primárne nevyjadril k vplyvu rozhodnutia o „štíte na ochranu osobných údajov“ na vybavenie sťažnosti predloženej komisárovi pánom Schremsom a k platnosti tohto rozhodnutia, v tejto súvislosti považujem za užitočné uviesť subsidiárne a s výhradami niekoľko poznámok, ktoré nie sú vyčerpávajúce.
1. O vplyve rozhodnutia o „štíte na ochranu osobných údajov“ na to, ako dozorný orgán vybavuje sťažnosť týkajúcu sa zákonnosti prenosu založeného na zmluvných zárukách
188. Deviata prejudiciálna otázka nastoľuje otázku, či zistenie v rozhodnutí o „štíte na ochranu osobných údajov“ týkajúce sa primeranosti ochrany zabezpečenej v USA vzhľadom na obmedzenia vzťahujúce sa na prístup k preneseným údajom a na ich využívanie orgánmi USA na účely národnej bezpečnosti, ako aj vzhľadom na právnu ochranu dotknutých osôb, bráni tomu, aby dozorný orgán pozastavil prenos do tejto tretej krajiny vykonávaný na základe štandardných zmluvných doložiek.
189. Domnievam sa, že táto problematika sa musí posudzovať s ohľadom na body 51 a 52 rozsudku Schrems, z ktorých vyplýva, že rozhodnutie o primeranosti je pre dozorné orgány záväzné, až kým nie je vyhlásené za neplatné. Dozorný orgán rozhodujúci o sťažnosti osoby, ktorej údaje sú prenášané do tretej krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti, preto nemôže pozastaviť prenos z dôvodu, že úroveň ochrany tam je neprimeraná, až kým Súdny dvor najprv nevyhlási toto rozhodnutie za neplatné.(80)
190. Vnútroštátny súd sa v podstate pýta, či pri rozhodnutí o primeranosti – akým je rozhodnutie o „štíte na ochranu osobných údajov“ alebo ešte pred ním rozhodnutie o „bezpečnom prístave“ – ktoré spočíva na tom, že podniky dobrovoľne dodržiavajú v ňom stanovené zásady, tento záver platí, len pokiaľ prenos do dotknutej tretej krajiny patrí do pôsobnosti tohto rozhodnutia, alebo či tento záver platí aj vtedy, ak je tento prenos založený na odlišnom právnom základe.
191. Podľa pána Schremsa, nemeckej, holandskej, poľskej a portugalskej vlády, ako aj Komisie, zistenie o primeranosti vyslovené v rozhodnutí o „štíte na ochranu osobných údajov“ nezbavuje dozorné orgány ich právomoci pozastaviť alebo zakázať prenos do USA uskutočňovaný na základe štandardných zmluvných doložiek. Ak sa prenos do USA nezakladá na rozhodnutí o „štíte na ochranu osobných údajov“, dozorné orgány nie sú týmto rozhodnutím formálne viazané v rámci výkonu právomocí, ktoré im zveruje článok 58 ods. 2 nariadenia GDPR. Inými slovami, tieto orgány sa môžu dištancovať od zistení Komisie o primeranosti úrovne ochrany pred zásahmi orgánov verejnej moci USA do výkonu základných práv dotknutých osôb. Holandská vláda a Komisia spresňujú, že dozorné orgány musia v prípade, že tieto právomoci využívajú, tieto zistenia napriek tomu zohľadniť. Podľa názoru nemeckej vlády môžu tieto orgány dospieť k opačnému záveru až po meritórnom preskúmaní zistení Komisie zahŕňajúcom príslušné vyšetrovania.
192. Naproti tomu Facebook Ireland a vláda USA v podstate tvrdia, že záväzný účinok rozhodnutia o primeranosti vzhľadom na požiadavky právnej istoty a jednotného uplatňovania práva Únie znamená, že dozorné orgány nie sú oprávnené spochybniť zistenia uvedené v uvedenom rozhodnutí, a to ani pri vybavovaní sťažnosti, ktorou sa žiada pozastavenie prenosov uskutočňovaných do predmetnej tretej krajiny na inom základe, než je toto rozhodnutie.
193. Ja súhlasím s prvým z týchto dvoch prístupov. Keďže pôsobnosť rozhodnutia o „štíte na ochranu osobných údajov“ sa obmedzuje na prenosy uskutočnené do podniku, ktorý sa na základe tohto rozhodnutia sám osvedčil, uvedené rozhodnutie nemôže dozorné orgány formálne obmedzovať, pokiaľ ide o prenosy, ktoré do tejto pôsobnosti nepatria. Podobne rozhodnutie o „štíte na ochranu osobných údajov“ má za cieľ zabezpečiť právnu istotu len v prospech vývozcov prenášajúcich údaje v tom rámci, ktorý je ním vytvorený. Podľa môjho názoru nezávislosť, ktorú článok 52 nariadenia GDPR dozorným orgánom priznáva, takisto bráni tomu, aby boli viazané zisteniami, ktoré Komisia vyslovila v rozhodnutí o primeranosti, nad rámec jeho pôsobnosti.
194. Je zrejmé, že zistenia uvedené v rozhodnutí o „ochrane osobných údajov“ týkajúce sa primeranosti úrovne ochrany zabezpečenej v USA pred zásahmi súvisiacimi s činnosťami ich spravodajských služieb predstavujú východiskový bod analýzy, v rámci ktorej dozorný orgán v každom jednotlivom prípade posudzuje, či prenos založený na štandardných zmluvných doložkách musí byť z dôvodu takýchto zásahov pozastavený. Ak sa však príslušný dozorný orgán po dôkladnom vyšetrovaní domnieva, že s týmito zisteniami nemôže súhlasiť, pokiaľ ide o prenos, na ktorý bol upozornený, podľa môjho názoru má stále možnosť vykonať právomoci, ktoré mu priznáva článok 58 ods. 2 písm. f) a j) nariadenia GDPR.
195. Pokiaľ by sa však Súdny dvor rozhodol na tu preskúmanú otázku odpovedať inak, ako to navrhujem ja, potom by bolo potrebné preskúmať, či by sa tieto právomoci nemali aj tak priznať z dôvodu neplatnosti rozhodnutia o „štíte na ochranu osobných údajov“.
2. O platnosti rozhodnutia o „štíte na ochranu osobných údajov“
196. V nižšie uvedených pripomienkach sa prednesú určité pochybnosti o dôvodnosti posúdení uvedených v rozhodnutí o „štíte na ochranu osobných údajov“, pokiaľ ide o primeranosť úrovne ochrany v zmysle článku 45 ods. 1 nariadenia GDPR, ktorú USA zabezpečujú v súvislosti s činnosťami sledovania elektronických komunikácií vykonávaných spravodajskými orgánmi USA. Tieto pripomienky nemajú za cieľ predložiť konečné alebo vyčerpávajúce stanovisko k platnosti tohto rozhodnutia. Obmedzujú sa na predloženie určitých úvah, ktoré by Súdny dvor mohol považovať za užitočné, ak by chcel napriek tomu, čo odporúčam, o tejto problematike rozhodnúť.
197. V tejto súvislosti z odôvodnenia 64 a bodu I.5 prílohy II rozhodnutia o „štíte na ochranu osobných údajov“ vyplýva, že dodržiavanie zásad uvedených v tomto rozhodnutí podnikmi môže byť obmedzené najmä požiadavkami týkajúcimi sa národnej bezpečnosti, verejného záujmu a presadzovania práva, alebo protichodnými povinnosťami stanovenými právom USA.
198. Komisia preto posúdila záruky stanovené v práve USA, pokiaľ ide o prístup k prenášaným údajom a ich využitie orgánmi verejnej moci USA najmä na účely národnej bezpečnosti.(81) Od vlády USA získala určité záväzky týkajúce sa jednak obmedzení vzťahujúcich sa na prístup k prenášaným údajom a ich využívanie orgánmi USA a jednak právnej ochrany poskytovanej dotknutým osobám.(82)
199. Pán Schrems sa na Súdnom dvore dovoláva neplatnosti rozhodnutia o „štíte na ochranu osobných údajov“ z dôvodu, že takto opísané záruky nestačia na zabezpečenie primeranej úrovne ochrany základných práv osôb, ktorých údaje sú do USA prenášané. Komisár, EPIC, ako aj rakúska, poľská a portugalská vláda platnosť tohto rozhodnutia priamo nespochybňujú, spochybňujú však posúdenia Komisie, ktoré sú v ňom uvedené v súvislosti s primeranosťou úrovne ochrany pred zásahmi vyplývajúcimi z činností spravodajských služieb USA. Tieto pochybnosti odrážajú obavy vyjadrené Parlamentom(83), EDPB(84) a Európskym dozorným úradníkom pre ochranu údajov (ďalej len „EDPS“)(85).
200. Pred preskúmaním dôvodnosti zistenia o primeranosti vykonaného v rozhodnutí o „štíte na ochranu osobných údajov“ je potrebné spresniť metodológiu, ktorou sa má toto preskúmanie riadiť.
a) Spresnenia týkajúce sa obsahu preskúmania platnosti rozhodnutia o primeranosti
1) O podmienkach porovnania umožňujúcich posúdiť „podstatnú rovnocennosť“ úrovne ochrany
201. Komisia môže podľa článku 45 ods. 3 nariadenia GDPR a judikatúry Súdneho dvora(86) konštatovať, že tretia krajina zaisťuje primeranú úroveň ochrany, iba pokiaľ dospeje k riadne odôvodnenému záveru, že úroveň ochrany základných práv dotknutých osôb v nej je „v podstate rovnocenná“ tej, ktorá sa vyžaduje v Únii na základe tohto nariadenia v spojení s Chartou.
202. Overenie primeranosti úrovne ochrany zabezpečenej v tretej krajine tak nevyhnutne zahŕňa porovnanie pravidiel a postupov, ktoré v tejto tretej krajine prevládajú, na jednej strane, so štandardmi ochrany, ktoré sú platné v Únii, na strane druhej. Svojou druhou otázkou vnútroštátny súd žiada Súdny dvor, aby spresnil podmienky tohto porovnania.(87)
203. Vnútroštátny súd sa konkrétne snaží zistiť, či výhrada právomoci, ktorú priznáva článok 4 ods. 2 ZEÚ a článok 2 ods. 2 nariadenia GDPR členským štátom v oblasti ochrany národnej bezpečnosti, znamená, že právny poriadok Únie neobsahuje štandardy ochrany, podľa ktorých by sa malo vykonať porovnanie, aby sa zhodnotila primeranosť záruk poskytnutých v tretej krajine v súvislosti so spracúvaním údajov, ktoré sú do nej prenášané, vykonávaným orgánmi verejnej moci na účely ochrany národnej bezpečnosti. V prípade kladnej odpovede sa vnútroštátny súd pýta, ako sa má tento relevantný referenčný rámec určiť.
204. V tejto súvislosti treba mať na zreteli, že dôvodom existencie obmedzení, ktoré právo Únie uplatňuje na medzinárodné prenosy osobných údajov, keď vyžaduje, aby bola zabezpečená kontinuita úrovne ochrany práv dotknutých osôb, je zabránenie obchádzania štandardov uplatniteľných v rámci Únie.(88) Ako uviedla Facebook Ireland, vzhľadom na tento cieľ nie je vôbec dôvodné od tretej krajiny očakávať dodržiavanie požiadaviek, ktoré nezodpovedajú povinnostiam uloženým členským štátom.
205. Podľa článku 51 ods. 1 Charty sa na členské štáty Charta uplatňuje výlučne vtedy, ak tieto vykonávajú právo Únie. V dôsledku toho platnosť rozhodnutia o primeranosti, berúc do úvahy obmedzenia výkonu základných práv dotknutých osôb vyplývajúce z právnej úpravy tretej krajiny určenia, závisí od porovnania medzi týmito obmedzeniami a obmedzeniami, ktoré členským štátom povoľujú ustanovenia Charty, len pokiaľ podobná právna úprava členského štátu patrí do pôsobnosti práva Únie.
206. Primeranosť úrovne ochrany zabezpečenej v treťom štáte určenia však nemožno posudzovať bez zohľadnenia prípadných zásahov do výkonu základných práv dotknutých osôb spôsobených štátnymi opatreniami, okrem iného v oblasti národnej bezpečnosti, ktoré by v prípade, že by ich prijali členské štáty, patrili mimo pôsobnosti práva Únie. Na účely tohto posúdenia článok 45 ods. 2 písm. a) nariadenia GDPR vyžaduje, aby sa bez akéhokoľvek obmedzenia zohľadnili právne predpisy v oblasti národnej bezpečnosti platné v tomto treťom štáte.
207. Posúdenie primeranosti úrovne ochrany z hľadiska takýchto štátnych opatrení podľa môjho názoru znamená, že je potrebné porovnať záruky spojené s úrovňou ochrany vyžadovanou v rámci Únie podľa práva členských štátov vrátane ich záväzkov podľa EDĽP. Vzhľadom na to, že pristúpenie členských štátov k EDĽP tieto zaväzuje, aby svoje vnútorné právo zosúladili s ustanoveniami tohto dohovoru, a teda predstavuje, ako to v podstate zdôraznili Facebook Ireland, nemecká a česká vláda, ako aj Komisia, spoločného menovateľa členských štátov, budem tieto ustanovenia brať ako relevantný komparátor na účely tohto posúdenia.
208. Ako je uvedené vyššie,(89) v prejednávanej veci majú požiadavky týkajúce sa národnej bezpečnosti USA prednosť pred povinnosťami podnikov, ktoré sa osvedčili samy na základe rozhodnutia o „štíte na ochranu osobných údajov“. Platnosť uvedeného rozhodnutia závisí tiež od toho, či sú tieto požiadavky sprevádzané zárukami poskytujúcimi takú úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany, ktorá sa musí zabezpečiť v Únii.
209. Odpoveď na túto otázku si vyžaduje, aby sa najprv identifikovali štandardy – a to štandardy vyvodené z Charty alebo práve z EDĽP – ktorým by v rámci Únie mali zodpovedať právne úpravy v oblasti sledovania elektronických komunikácií, ktoré sú porovnateľné s tými, ktoré Komisia preskúmala v rozhodnutí o „štíte na ochranu osobných údajov“. Určenie uplatniteľných štandardov závisí od toho, či by právne úpravy, ako sú článok 702 zákona FISA a vykonávacie nariadenie č. 12333, patrili alebo nepatrili pod obmedzenie, ktoré sa uplatňuje na pôsobnosť nariadenia GDPR podľa článku 2 ods. 2 tohto nariadenia v spojení s článkom 4 ods. 2 ZEÚ, ak by tieto právne úpravy mali pôvod v členskom štáte.
210. V tejto súvislosti zo znenia článku 4 ods. 2 ZEÚ a z ustálenej judikatúry vyplýva, že právo Únie a najmä nástroje sekundárneho práva týkajúce sa ochrany osobných údajov sa neuplatňujú na činnosti v oblasti ochrany národnej bezpečnosti, keďže tieto predstavujú činnosti, ktoré patria štátu alebo štátnym orgánom a nepatria do oblasti činností jednotlivcov.(90)
211. Táto zásada na jednej strane znamená, že právne predpisy v oblasti ochrany národnej bezpečnosti nepatria do pôsobnosti práva Únie, pokiaľ upravujú výlučne štátne činnosti, pričom neupravujú žiadnu činnosť, ktorú vykonávajú jednotlivci. V dôsledku toho sa toto právo podľa môjho názoru neuplatňuje na vnútroštátne opatrenia týkajúce sa získavania a využívania osobných údajov uskutočňovaného priamo štátom na účely ochrany národnej bezpečnosti bez toho, aby boli súkromným subjektom uložené osobitné povinnosti. Konkrétne, ako tvrdila Komisia na pojednávaní, opatrenie prijaté členským štátom, ktoré by podobne ako vykonávacie nariadenie č. 12333 povoľovalo priamy prístup bezpečnostných služieb k údajom v tranzite, by bolo z pôsobnosti práva Únie vylúčené.(91)
212. Oveľa zložitejšia je na druhej strane otázka, či vnútroštátne ustanovenia, ktoré rovnako ako článok 702 zákona FISA ukladajú poskytovateľom elektronických komunikačných služieb povinnosť poskytnúť orgánom príslušným v oblasti národnej bezpečnosti svoju súčinnosť, aby im umožnili prístup k určitým osobným údajom, takisto patria mimo pôsobnosť práva Únie.
213. Zatiaľ čo rozsudok z PNR svedčí v prospech kladnej odpovede na túto otázku, odôvodnenie prijaté v rozsudkoch Tele2 Sverige a Ministerio Fiscal by mohlo byť dôvodom na to, aby sa na ňu odpovedalo záporne.
214. V rozsudku PNR Súdny dvor vyhlásil za neplatné rozhodnutie, v ktorom Komisia konštatovala primeranosť úrovne ochrany osobných údajov obsiahnutých v záznamoch cestujúcich lietadlom (Passenger Name Records, ďalej len „PNR“), ktoré boli prenášané orgánu USA príslušnému v oblasti ciel a ochrany hraníc.(92) Súdny dvor rozhodol, že spracúvanie, ktorého sa toto rozhodnutie týkalo – t. j. prenos údajov z PNR leteckými spoločnosťami predmetnému orgánu – patrilo vzhľadom na svoj účel pod výnimku z pôsobnosti smernice 95/46 stanovenú v jej článku 3 ods. 2 Podľa Súdneho dvora bolo toto spracúvanie nevyhnutné nie na poskytovanie služieb, ale na ochranu verejnej bezpečnosti a na represívne účely. Keďže predmetný prenos bol súčasťou rámca vytvoreného orgánmi verejnej moci a vzťahujúceho sa na verejnú bezpečnosť, bol vylúčený z pôsobnosti tejto smernice napriek tomu, že údaje z PNR boli pôvodne zhromaždené súkromnými subjektmi v rámci obchodnej činnosti patriacej do tejto pôsobnosti, a napriek tomu, že tento prenos bol týmito subjektmi organizovaný.(93)
215. V rozsudku Tele2 Sverige(94), ktorý nasledoval, Súdny dvor rozhodol, že vnútroštátne ustanovenia založené na článku 15 ods. 1 smernice 2002/58/ES(95), ktoré upravujú tak uchovávanie údajov o prenose dát a polohe poskytovateľmi telekomunikačných služieb, ako aj prístup verejných orgánov k uchovávaným údajom na účely uvedené v tomto ustanovení – ktoré zahŕňajú presadzovanie trestného práva a ochranu národnej bezpečnosti – patria do pôsobnosti tejto smernice, a teda aj Charty. Podľa Súdneho dvora sa na ustanovenia o uchovávaní údajov ani na ustanovenia o prístupe k uchovávaným údajom nevzťahuje výnimka z pôsobnosti tejto smernice podľa jej článku 1 ods. 3, ktorý okrem iného odkazuje na činnosti štátu v oblasti presadzovania trestného práva a ochrany národnej bezpečnosti.(96) Súdny dvor túto judikatúru potvrdil v rozsudku Ministerio Fiscal(97).
216. Článok 702 zákona FISA sa však od takýchto právnych predpisov líši tým, že poskytovateľom elektronických komunikačných služieb neukladá povinnosť uchovávať údaje ani uskutočňovať žiadne iné spracúvanie, ak spravodajské orgány o prístup k údajom nepožiadajú.
217. Vzniká teda otázka, či do pôsobnosti nariadenia GDPR, a teda Charty, patria tie vnútroštátne opatrenia, ktoré týmto poskytovateľom ukladajú povinnosť sprístupniť údaje orgánom verejnej moci na účely národnej bezpečnosti bez ohľadu na akúkoľvek povinnosť uchovávania údajov.(98)
218. Prvý prístup by mohol spočívať v tom, že sa dva vyššie uvedené smery judikatúry čo možno najviac zosúladia tak, že záver vyvodený Súdnym dvorom v rozsudkoch Tele2 Sverige a Ministerio Fiscal o uplatniteľnosti práva Únie na opatrenia, ktoré upravujú prístup k údajom zo strany vnútroštátnych orgánov okrem iného na účely ochrany národnej bezpečnosti(99), sa vyloží ako obmedzený na prípady, v ktorých sú údaje uchované na základe zákonnej povinnosti stanovenej podľa článku 15 ods. 1 smernice 2002/58. Tento záver by naproti tomu neplatil pre osobitný skutkový kontext rozsudku PNR, ktorý sa týkal prenosu údajov, ktoré boli uchovávané leteckými spoločnosťami na obchodné účely, príslušnému orgánu USA v oblasti vnútornej bezpečnosti, a to z ich vlastnej iniciatívy.
219. Podľa druhého prístupu, ktorý odporúča Komisia a ktorý považujem za presvedčivejší, by odôvodnenie prijaté v rozsudkoch Tele2 Sverige a Ministerio Fiscal odôvodňovalo uplatniteľnosť práva Únie na vnútroštátne pravidlá ukladajúce poskytovateľom elektronických komunikačných služieb povinnosť poskytnúť súčinnosť orgánom zodpovedným za národnú bezpečnosť, aby tieto mohli mať prístup k určitým údajom, pričom by nebolo dôležité, či tieto pravidlá sú alebo nie sú sprievodnými k predchádzajúcej povinnosti uchovávať údaje.
220. Jadro tohto odôvodnenia totiž nespočíva v účele dotknutých ustanovení, ako v prípade rozsudku PNR, ale v skutočnosti, že tieto ustanovenia upravovali činnosť poskytovateľov a zaväzovali ich uskutočňovať spracúvanie údajov. Tieto činnosti nepredstavovali činnosti štátu v oblastiach uvedených v článku 1 ods. 3 smernice 2002/58 a v článku 3 ods. 2 smernice 95/46, ktorého obsah je v podstate prevzatý v článku 2 ods. 2 nariadenia GDPR.
221. Súdny dvor tak v rozsudku Tele2 Sverige poznamenal, že „prístup k údajom uchovávaným… poskytovateľmi sa týka spracovania osobných údajov [týmito poskytovateľmi], pričom ide o spracovania, ktoré patria do rozsahu pôsobnosti tejto smernice“(100). V rozsudku Ministerio Fiscal Súdny dvor rovnako rozhodol, že legislatívne opatrenia ukladajúce poskytovateľom povinnosť sprístupniť uchovávané údaje „nevyhnutne zahŕňajú spracúvanie týchto údajov uvedenými poskytovateľmi“(101).
222. Sprístupnenie údajov prevádzkovateľom v prospech orgánu verejnej moci zodpovedá definícii „spracúvania“ uvedenej v článku 4 ods. 2 nariadenia GDPR.(102) To isté platí pre predchádzajúce filtrovanie údajov prostredníctvom kritérií vyhľadávania na účely vyčlenenia tých, ku ktorým si orgány verejnej moci vyžiadali prístup.(103)
223. Z toho vyvodzujem, že podľa úvah Súdneho dvora v rozsudkoch Tele2 Sverige a Ministerio Fiscal sa nariadenie GDPR, a teda aj Charta uplatňujú na vnútroštátne právne predpisy, ktoré poskytovateľovi elektronických komunikačných služieb ukladajú povinnosť poskytnúť svoju súčinnosť orgánom zodpovedným za národnú bezpečnosť tým, že im sprístupnia údaje, podľa okolností po ich filtrovaní, a to aj nezávisle od akejkoľvek zákonnej povinnosti tieto údaje uchovávať.
224. Navyše sa zdá, že tento výklad vyplýva, prinajmenšom implicitne, z rozsudku Schrems. Ako zdôraznili komisár, rakúska a poľská vláda, ako aj Komisia, Súdny dvor v rámci preskúmania platnosti rozhodnutia o „bezpečnom prístave“ rozhodol, že právo tretej krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti, musí vo vzťahu k zásahom svojich orgánov verejnej moci do základných práv dotknutých osôb na účely národnej bezpečnosti stanoviť záruky, ktoré sú v podstate rovnocenné tým, ktoré vyplývajú najmä z článkov 7, 8 a 47 Charty.(104)
225. Z toho presnejšie vyplýva, že do pôsobnosti článku 2 ods. 2 nariadenia GDPR by nepatrilo vnútroštátne opatrenie, ktoré ukladá poskytovateľom elektronických komunikačných služieb povinnosť, aby na žiadosť o prístup od orgánov príslušných v oblasti národnej bezpečnosti k určitým údajom uchovávaným týmito poskytovateľmi v rámci ich obchodných činností reagovali nezávisle od akejkoľvek zákonnej povinnosti tak, že najprv identifikujú požadované údaje aplikovaním selektorov (ako v rámci programu PRISM). To isté by platilo o vnútroštátnom opatrení, ktoré od podnikov prevádzkujúcich „chrbtovú“ sieť telekomunikácií vyžaduje, aby orgánom zodpovedným za národnú bezpečnosť poskytli prístup k údajom prechádzajúcim cez nimi prevádzkovanú infraštruktúru (ako v rámci programu Upstream).
226. Naproti tomu, keď sa už predmetné údaje dostanú do rúk štátnych orgánov, ich uchovanie a neskoršie využitie týmito orgánmi na účely národnej bezpečnosti patria podľa môjho názoru z rovnakých dôvodov, ako sú dôvody uvedené v bode 211 týchto návrhov, pod výnimku stanovenú v článku 2 ods. 2 nariadenia GDPR, takže nepatria do pôsobnosti tohto nariadenia, a teda ani Charty.
227. Vzhľadom na všetky predchádzajúce úvahy sa domnievam, že preskúmanie platnosti rozhodnutia o „štíte na ochranu osobných údajov“ so zreteľom na obmedzenia zásad uvedených v tomto rozhodnutí, ku ktorým môže v dôsledku činností spravodajských orgánov USA dôjsť, si vyžaduje dvojité overenie.
228. V prvom rade bude potrebné preskúmať, či USA zabezpečujú úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany vyplývajúcej z ustanovení nariadenia GDPR a Charty, proti obmedzeniam vyplývajúcim z uplatnenia článku 702 zákona FISA, ktoré spočívajú v tom, že toto ustanovenie povoľuje agentúre NSA vyžadovať od poskytovateľov, aby jej sprístupnili osobné údaje.
229. V druhom rade budú ustanovenia EDĽP predstavovať relevantný referenčný rámec na posúdenie toho, či je primeranosť úrovne ochrany zabezpečenej v USA spochybnená obmedzeniami, ku ktorým by mohlo vykonaním vykonávacieho nariadenia č. 12333 dôjsť, keďže toto spravodajským orgánom povoľuje, aby samy bez súčinnosti súkromných subjektov zhromažďovali osobné údaje. Tieto ustanovenia zároveň poskytnú štandardy pre porovnanie, ktoré umožnia posúdiť primeranosť tejto úrovne ochrany vzhľadom na uchovávanie a využívanie údajov získaných uvedenými orgánmi na účely národnej bezpečnosti.
230. Treba však ešte určiť, či zistenie o primeranosti znamená, že zhromažďovanie údajov na základe vykonávacieho nariadenia č. 12333 je spojené s úrovňou ochrany, ktorá je v podstate rovnocenná tej, ktorá musí byť zabezpečená v rámci Únie, aj pokiaľ k zhromažďovaniu dôjde mimo územia USA počas fázy tranzitu údajov z Únie do tejto tretej krajiny.
2) O potrebe zabezpečiť primeranú úroveň ochrany počas fázy tranzitu údajov
231. Súdnemu dvoru boli prednesené obhajoby troch rôznych prístupov k otázke, či Komisia bola alebo nebola povinná pri posudzovaní primeranosti úrovne ochrany zabezpečenej v tretej krajine zohľadniť vnútroštátne opatrenia, ktoré sa týkali prístupu orgánov tejto tretej krajiny k údajom mimo jej územia počas toho, ako sa údaje nachádzali vo fáze tranzitu z Únie na toto územie.
232. Po prvé Facebook Ireland, ako aj vlády USA a Spojeného kráľovstva v podstate tvrdia, že existencia takýchto opatrení nie je v rámci konštatovania primeranosti relevantná. Na podporu tohto prístupu sa odvolávajú na to, že pre tretí štát je nemožné monitorovať všetky komunikačné kanály nachádzajúce sa mimo jeho územia, cez ktoré údaje pochádzajúce z Únie prechádzajú, takže teoreticky nikdy nie je možné zaručiť, že iný tretí štát nebude údaje počas ich tranzitu tajne zhromažďovať.
233. Po druhé komisár, pán Schrems, EPIC, rakúska a holandská vláda, Parlament a EDPB tvrdia, že požiadavka kontinuity úrovne ochrany uvedenej v článku 44 nariadenia GDPR znamená, že táto úroveň musí byť primeraná počas celého tranzitu vrátane prípadu, keď údaje skôr, ako prídu na územie tretej krajiny určenia, prechádzajú cez podmorské káble.
234. Po tretie, hoci Komisia túto zásadu uznáva, tvrdí, že predmet konštatovania primeranosti sa obmedzuje na ochranu zabezpečovanú dotknutou treťou krajinou v rámci jej hraníc, takže okolnosť, že primeraná úroveň ochrany nie je zaručená počas tranzitu do tejto tretej krajiny, nevyvoláva pochybnosti o platnosti rozhodnutia o primeranosti. Podľa nej je však na prevádzkovateľovi, aby podľa článku 32 nariadenia GDPR dbal na bezpečnosť prenosu tak, že bude čo možno najviac chrániť osobné údaje počas fázy ich tranzitu do uvedenej tretej krajiny.
235. V tejto súvislosti pripomínam, že článok 44 nariadenia GDPR podmieňuje prenos do tretej krajiny dodržaním podmienok uvedených v ustanoveniach kapitoly V tohto nariadenia, pokiaľ údaje môžu byť „po [tomto – neoficiálny preklad] prenose“ spracúvané. Tieto pojmy by mohli byť chápané buď tak, ako to tvrdila vláda USA vo svojej písomnej odpovedi na otázky Súdneho dvora, že tieto podmienky musia byť dodržané, keď údaje prídu na miesto určenia, alebo tak, že sú záväzné po začatí prenosu (aj počas fázy tranzitu).
236. Vzhľadom na to, že znenie článku 44 nariadenia GDPR nie je jednoznačné, v dôsledku teleologického výkladu si osvojujem druhý z týchto výkladov, a teda súhlasím s druhým z vyššie uvedených prístupov. Ak by sa totiž konštatovalo, že požiadavka kontinuity úrovne ochrany stanovená v tomto ustanovení sa vzťahuje len na opatrenia sledovania vykonávané v rámci územia tretej krajiny určenia, bolo by ju možné obísť, ak by táto tretia krajina takéto opatrenia uplatnila mimo svojho územia počas fázy tranzitu údajov. Aby sa tomuto riziku predišlo, posúdenie primeranosti úrovne ochrany zabezpečenej treťou krajinou sa musí vzťahovať na všetky ustanovenia právneho poriadku tejto tretej krajiny,(105) najmä v oblasti národnej bezpečnosti, ktoré zahŕňajú tak ustanovenia týkajúce sa sledovania vykonávaného na jej území, ako aj ustanovenia, ktoré umožňujú sledovanie údajov v tranzite na toto územie.(106)
237. Vzhľadom na uvedené nikto nepopiera, ako to zdôraznil EDPB, že posúdenie primeranosti úrovne ochrany sa podľa toho, čo vyplýva z článku 45 ods. 1 nariadenia GDPR, týka výlučne ustanovení právneho poriadku tretej krajiny určenia údajov. Toto posúdenie nie je dotknuté skutočnosťou, na ktorú sa odvolávajú Facebook Ireland, ako aj vlády USA a Spojeného kráľovstva, že nemožno zaručiť, že iný štát nebude tieto údaje počas ich tranzitu tajne zhromažďovať. Okrem toho takéto riziko nemožno vylúčiť ani potom, keď už údaje prídu na územie tretej krajiny určenia.
238. Ďalej je tiež pravda, že Komisia pri posudzovaní primeranosti úrovne ochrany zabezpečenej treťou krajinou sa prípadne môže stretnúť s tým, že táto tretia krajina jej neoznámi existenciu určitých tajných programov sledovania. Z toho však nevyplýva, že v prípade, že sa Komisia o takýchto programoch dozvie, môže ich v rámci jej preskúmania primeranosti úrovne ochrany nezohľadniť. Podobne, ak po prijatí rozhodnutia o primeranosti vyjde najavo, že existujú určité tajné programy sledovania, ktoré dotknutá tretia krajina uskutočňuje na jej území alebo počas tranzitu na jej územie, Komisia je povinná, ak takéto odhalenie vyvolá v tejto súvislosti pochybnosť, opätovne preskúmať svoje zistenie týkajúce sa primeranosti úrovne ochrany zabezpečenej touto treťou krajinou.(107)
3) O zohľadnení skutkových zistení vyslovených Komisiou a vnútroštátnym súdom o práve USA
239. Aj keď je nesporné, že Súdny dvor nemá právomoc podať výklad práva tretej krajiny, ktorý by bol v jej právnom poriadku záväzný, platnosť rozhodnutia o „štíte na ochranu osobných údajov“ závisí od dôvodnosti posúdení Komisie o úrovni ochrany, ktorú právo a postupy USA zabezpečujú pre základné práva osôb, ktorých údaje sú do tejto tretej krajiny prenášané. Komisia bola totiž povinná odôvodniť svoje zistenie o primeranosti vzhľadom na tie skutočnosti, týkajúce sa najmä obsahu práva uvedenej tretej krajiny, ktoré sú uvedené v článku 45 ods. 2 nariadenia GDPR.(108)
240. High Court (Vyšší súd) po posúdení dôkazov predložených účastníkmi konania predniesol vo svojom rozsudku z 3. októbra 2017 podrobné zistenia opisujúce relevantné aspekty práva USA.(109) Tento opis do veľkej miery zodpovedá zisteniam, ktoré vyslovila Komisia v rozhodnutí o „štíte na ochranu osobných údajov“ v súvislosti s obsahom pravidiel týkajúcich sa zhromažďovania prenášaných údajov a prístupu k nim spravodajskými orgánmi USA, a tiež v súvislosti s prostriedkami nápravy a mechanizmami dohľadu spojenými s týmito činnosťami.
241. Vnútroštátny súd, rovnako ako viacerí účastníci konania a oprávnené osoby, ktorí predložili Súdnemu dvoru pripomienky, spochybňujú skôr právne dôsledky, ktoré Komisia z týchto zistení vyvodila – t. j. záver, že USA zaručujú primeranú úroveň ochrany základných práv osôb, ktorých údaje sú na základe tohto rozhodnutia prenášané – než opis obsahu práva USA, ktorý Komisia predložila.
242. Za týchto okolností posúdim najmä platnosť rozhodnutia o „štíte na ochranu osobných údajov“ s prihliadnutím na zistenia, ku ktorým dospela samotná Komisia v súvislosti s obsahom práva USA, pričom preskúmam, či tieto zistenia odôvodňovali prijatie tohto rozhodnutia o primeranosti.
243. V tejto súvislosti sa nestotožňujem s názorom, ktorý obhajujú komisár a pán Schrems, že zistenia, ktoré vyslovil High Court (Vyšší súd) o práve USA, sú pre Súdny dvor záväzné v rámci preskúmania platnosti rozhodnutia o „štíte na ochranu osobných údajov“. Komisár a pán Schrems tvrdia, že vzhľadom na to, že cudzie právo predstavuje podľa írskeho procesného práva skutkovú otázku, vnútroštátny súd je ako jediný príslušný na určenie jeho obsahu.
244. Ustálená judikatúra nepochybne priznáva vnútroštátnemu súdu výlučnú právomoc zistiť relevantné skutkové okolnosti, ako aj vyložiť právo členského štátu a uplatniť ho na spor, ktorý prejednáva.(110) Táto judikatúra odráža rozdelenie funkcií medzi Súdnym dvorom a vnútroštátnym súdom v rámci konania zavedeného článkom 267 ZFEÚ. Zatiaľ čo Súdny dvor má ako jediný právomoc vykladať právo Únie a rozhodovať o platnosti sekundárneho práva, vnútroštátnemu súdu rozhodujúcemu o konkrétnom spore, ktorý mu bol predložený, prináleží zistiť skutkový a právny kontext tohto sporu, aby mu Súdny dvor mohol poskytnúť užitočnú odpoveď.
245. Dôvod existencie tejto výlučnej právomoci vnútroštátneho súdu podľa môjho názoru nemožno uplatniť na zistenie o práve tretích krajín ako na skutočnosť, ktorá by mohla ovplyvniť záver Súdneho dvora o platnosti aktu sekundárneho práva.(111) Keďže vyhlásenie neplatnosti takéhoto aktu je v právnom poriadku Únie účinné erga omnes(112), záver Súdneho dvora nemôže závisieť od miesta pôvodu návrhu na začatie prejudiciálneho konania. Ako však zdôraznili Facebook Ireland a vláda USA, závisel by od neho, ak by bol Súdny dvor viazaný zisteniami vyslovenými vnútroštátnym súdom o práve tretieho štátu, pričom tieto by sa mohli líšiť v závislosti od vnútroštátneho súdu, ktorý ich vyslovil.
246. Vzhľadom na tieto úvahy sa domnievam, že v prípade, keď si odpoveď na prejudiciálnu otázku týkajúcu sa platnosti aktu Únie vyžaduje posúdenie obsahu práva tretieho štátu, Súdny dvor môže zistenia vnútroštátneho súdu o práve tohto tretieho štátu zohľadniť, avšak nie je nimi viazaný. V prípade potreby sa od nich môže odchýliť alebo ich môže pri dodržaní zásady kontradiktórnosti doplniť tak, že zohľadní iné zdroje na účely zistenia skutočností nevyhnutných na posúdenie platnosti predmetného aktu.(113)
4) O rozsahu štandardu „podstatnej rovnocennosti“
247. Pripomínam, že platnosť rozhodnutia o „štíte na ochranu osobných údajov“ závisí od toho, či právny poriadok USA zabezpečuje v prospech osôb, ktorých údaje sú z Únie do tejto tretej krajiny prenášané, úroveň ochrany, ktorá je „v podstate rovnocenná“ úrovni ochrany zaručenej v členských štátoch na základe nariadenia GDPR a Charty, ako aj na základe ich záväzkov podľa EDĽP v oblastiach, ktoré sú z pôsobnosti práva Únie vylúčené.
248. Ako Súdny dvor zdôraznil v rozsudku Schrems(114), tento štandard neznamená, že úroveň ochrany musí byť „rovnaká“ ako úroveň ochrany, ktorá sa vyžaduje v Únii. Aj keď sa prostriedky, ktoré táto tretia krajina využije na ochranu práv dotknutých osôb, môžu líšiť od tých, ktoré predpisuje nariadenie GDPR v spojení s Chartou, „tieto prostriedky musia byť v praxi efektívne s cieľom zaručiť ochranu, ktorá je v podstate rovnocenná úrovni zaručenej v rámci Únie“.
249. Z tohto rozsudku podľa môjho názoru tiež vyplýva, že právo tretieho štátu určenia môže odrážať vlastnú stupnicu hodnôt, podľa ktorej sa príslušný význam jednotlivých dotknutých záujmov môže líšiť od významu, ktorý im je pripisovaný v právnom poriadku Únie. Okrem toho ochrana osobných údajov, ktorá v rámci Únie prevažuje, zodpovedá mimoriadne vysokému štandardu v porovnaní s úrovňou ochrany, ktorá platí vo zvyšku sveta. Kritérium „podstatnej rovnocennosti“ by sa preto podľa môjho názoru malo uplatňovať tak, že sa zachová určitá flexibilita na zohľadnenie rôznych právnych a kultúrnych tradícií. Toto kritérium, pokiaľ nemá prísť o svoj zmysel, pritom predpokladá, že určité minimálne záruky a všeobecné požiadavky na ochranu základných práv, ktoré vyplývajú z Charty a EDĽP, majú v právnom poriadku tretej krajiny určenia svoj ekvivalent.(115)
250. V tomto ohľade musí byť podľa článku 52 ods. 1 Charty akékoľvek obmedzenie výkonu práv a slobôd zakotvených Chartou stanovené zákonom, musí rešpektovať podstatu týchto práv a slobôd a musí byť pri dodržaní zásady proporcionality nevyhnutné a skutočne zodpovedať cieľu verejného záujmu uznaného Úniou alebo potrebe chrániť práva a slobody iných. Tieto požiadavky v podstate zodpovedajú požiadavkám uvedeným v článku 8 ods. 2 EDĽP.(116)
251. Podľa článku 52 ods. 3 Charty majú práva zaručené v jej článkoch 7, 8 a 47 rovnaký význam a rozsah ako práva zakotvené v článku 8 a 13 EDĽP v rozsahu, v akom týmto zodpovedajú, pričom právo Únie im napriek tomu môže poskytnúť širšiu ochranu. Z tohto hľadiska a ako to vyplynie aj z mojich pripomienok, sú štandardy vyplývajúce z článkov 7, 8 a 47 Charty, ako ich vykladá Súdny dvor, v určitých ohľadoch prísnejšie ako tie, ktoré vyplývajú z článku 8 EDĽP podľa ich výkladu podaného Európskym súdom pre ľudské práva (ďalej len „ESĽP“).
252. Poznamenávam tiež, že v určitých veciach, o ktorých tieto dva súdy práve rozhodujú, sa od nich žiada, aby prehodnotili niektoré aspekty svojej judikatúry. Na jednej strane tak boli proti dvom nedávnym rozsudkom ESĽP v oblasti sledovania elektronických komunikácií – t. j. rozsudkom Centrüm för Rättvisa v. Suède(117) a Big Brother Watch v. Spojené kráľovstvo(118) – podané odvolania na účely ich preskúmania veľkou komorou. Na druhej strane podali tri vnútroštátne súdy na Súdny dvor návrhy na začatie prejudiciálneho konania, ktorými sa otvára diskusia o tom, či je alebo nie je potrebné upraviť jeho judikatúru vyplývajúcu z rozsudku Tele2 Sverige.(119)
253. Po týchto spresneniach teraz preskúmam platnosť rozhodnutia o „štíte na ochranu osobných údajov“ vzhľadom na článok 45 ods. 1 nariadenia GDPR v spojení s Chartou a s EDĽP v rozsahu, v akom tieto zabezpečujú jednak práva na rešpektovanie súkromného života, ako aj na ochranu osobných údajov [časť b)], a jednak práva na účinnú súdnu ochranu [časť c)].
b) O platnosti rozhodnutia o „štíte na ochranu osobných údajov“ vzhľadom na práva na rešpektovanie súkromného života a na ochranu osobných údajov
254. V rámci svojej štvrtej otázky vnútroštátny súd v podstate spochybnil podstatnú rovnocennosť medzi úrovňou ochrany zabezpečenou USA a úrovňou ochrany, ktorá plynie pre dotknuté osoby v rámci Únie z ich základných práv na rešpektovanie súkromného života a na ochranu osobných údajov.
1) O existencii zásahov
255. V odôvodneniach 67 až 124 rozhodnutia o „štíte na ochranu osobných údajov“ Komisia poukazuje na možnosť, že orgány verejnej moci USA získajú prístup k údajom prenášaným z Únie a použijú ich na účely národnej bezpečnosti v rámci programov založených okrem iného na článku 702 zákona FISA alebo na vykonávacom nariadení č. 12333.
256. Fungovanie týchto programov so sebou prináša zásahy zo strany spravodajských služieb USA, ktoré by v prípade, že by pochádzali od orgánov členského štátu, boli považované za zásahy do výkonu práva na rešpektovanie súkromného života zaručeného v článku 7 Charty a článku 8 EDĽP. Ich fungovanie takisto vystavuje dotknuté osoby riziku, že ich osobné údaje prejdú spracúvaním, ktoré nezodpovedá požiadavkám stanoveným v článku 8 Charty.(120)
257. Hneď na úvod spresňujem, že práva na rešpektovanie súkromného života a na ochranu osobných údajov zahŕňajú nielen ochranu obsahu komunikácie, ale aj ochranu prevádzkových údajov(121) a údajov o polohe (tieto sú spoločne označované pojmom „metaúdaje“). Tak Súdny dvor, ako aj ESĽP totiž uznali, že metaúdaje môžu rovnako ako údaje o obsahu odhaliť veľmi presné informácie týkajúce sa súkromného života jednotlivca.(122)
258. Podľa judikatúry Súdneho dvora nie je na účely preukázania existencie zásahu do výkonu práva zaručeného v článku 7 Charty dôležité, či pri dotknutých údajoch ide o citlivé údaje a či predmetné opatrenie sledovania spôsobilo dotknutým osobám prípadné ťažkosti.(123)
259. Berúc do úvahy tieto pripomienky, programy sledovania založené na článku 702 zákona FISA v prvom rade spôsobujú zásahy do výkonu základných práv osôb, ktorých komunikácie zodpovedajú selektorom zvoleným agentúrou NSA a ktoré sú z toho dôvodu tejto agentúre zasielané poskytovateľmi elektronických komunikačných služieb.(124) Presnejšie, povinnosť poskytovateľov sprístupniť údaje agentúre NSA tým, že predstavuje výnimku zo zásady dôvernosti komunikácie,(125) sama osebe predstavuje zásah, a to aj v prípade, že spravodajské orgány tieto údaje následne neprezrú a nepoužijú.(126)Uchovanie a skutočný prístup týchto orgánov k metaúdajom a k obsahu komunikácií, ktoré im boli poskytnuté, rovnako ako aj použitie týchto údajov, predstavujú ďalšie zásahy.(127)
260. Navyše podľa zistení vnútroštátneho súdu(128) a podľa iných zdrojov, ako napríklad správy PCLOB o programoch zavedených na základe článku 702 zákona FISA, na ktorú Súdny dvor upozornila vláda USA(129), agentúra NSA mala už v rámci programu Upstream prístup na účely filtrovania k obrovským „balíkom“ dát, ktoré tvora komunikačné toky prechádzajúce cez telekomunikačnú „chrbtovú“ sieť a zahŕňajú komunikácie neobsahujúce selektory označené agentúrou NSA. Agentúra NSA tieto balíky údajov môže skúmať len na rýchle automatizované určenie toho, či tieto selektory obsahujú. Iba tie komunikácie, ktoré boli takto prefiltrované, sú následne uložené v databázach agentúry NSA. Tento prístup k údajom na účely ich filtrovania podľa môjho názoru takisto predstavuje zásah do výkonu práva na rešpektovanie súkromného života dotknutých osôb bez ohľadu na neskoršie použitie uchovaných údajov.(130)
261. Okrem toho sprístupnenie a filtrovanie predmetných údajov,(131) prístup k týmto údajom zo strany spravodajských orgánov, ako aj uchovávanie, analýza a prípadné použitie uvedených údajov patria pod pojem „spracúvanie“ v zmysle článku 4 bodu 2 nariadenia GDPR a článku 8 ods. 2 Charty. Toto spracúvanie preto musí spĺňať požiadavky stanovené v tomto poslednom uvedenom ustanovení.(132)
262. Sledovanie na základe vykonávacieho nariadenia č. 12333 by mohlo byť ako také spojené s priamym prístupom spravodajských orgánov k údajom v tranzite, čím by došlo k zásahu do výkonu práva zaručeného v článku 8 EDĽP. K tomuto zásahu by sa pridal zásah spočívajúci v prípadnom neskoršom použití týchto údajov.
2) O povahe zásahov „stanovených zákonom“
263. Podľa judikatúry Súdneho dvora(133) a ESĽP(134) znamená požiadavka, že každý zásah do výkonu základných práv musí byť „stanovený zákonom“ v zmysle článku 52 ods. 1 Charty a článku 8 ods. 2 EDĽP, nielen to, že opatrenie stanovujúce zásah musí mať právny základ vo vnútroštátnom práve, ale aj to, že tento právny základ musí vykazovať určité vlastnosti dostupnosti a predvídateľnosti spôsobom, ktorým sa predíde riziku svojvôle.
264. V tejto súvislosti sa tvrdenia účastníkov konania a oprávnených osôb, ktoré predložili Súdnemu dvoru pripomienky, rozchádzajú v podstate v tom, či článok 702 zákona FISA a vykonávacie nariadenie č. 12333 spĺňajú podmienku týkajúcu sa predvídateľnosti zákona.
265. Táto podmienka, ako ju vykladá Súdny dvor(135) a ESĽP(136), si vyžaduje, aby právna úprava, ktorá obsahuje zásah do výkonu práva na rešpektovanie súkromného života, zaviedla jasné a presné pravidlá upravujúce rozsah a uplatnenie predmetného opatrenia a ukladajúce minimálne požiadavky tak, aby sa dotknutým osobám poskytli dostatočné záruky na ochranu ich údajov pred rizikami zneužitia, ako aj pred akýmkoľvek nezákonným prístupom alebo použitím týchto údajov. Takéto pravidlá musia uvádzať najmä to, za akých okolností a za akých podmienok môžu orgány verejnej moci osobné údaje uchovávať, mať k nim prístup a používať ich.(137) Okrem toho samotný právny základ, ktorý zásah umožňuje, musí vymedziť rozsah obmedzenia výkonu práva na rešpektovanie súkromného života.(138)
266. Pochybujem, rovnako ako pán Schrems a EPIC, že vykonávacie nariadenie č. 12333, ako aj smernica PPD 28, ktorá uvádza záruky ku všetkým činnostiam v oblasti signálových prenosov(139), sú dostatočne predvídateľné na to, aby mohli mať „povahu zákona“.
267. Tieto nástroje výslovne uvádzajú, že dotknutým osobám nepriznávajú právne vymáhateľné práva.(140) Dotknuté osoby sa teda na súdoch nemôžu dovolávať záruk stanovených v smernici PPD 28.(141) Komisia okrem toho v rozhodnutí o „štíte na ochranu osobných údajov“ konštatovala, že aj keď záruky stanovené v tejto prezidentskej smernici majú pre spravodajské služby záväznú povahu(142), „nie sú formulované v týchto právnych pojmoch“(143). Vykonávacie nariadenie č. 12333 a smernica PPD 28 sa podobajú skôr na interné administratívne pokyny, ktoré môžu byť prezidentom USA zrušené alebo zmenené. ESĽP pritom už rozhodol, že interné administratívne smernice nemajú silu „zákona“(144).
268. Pokiaľ ide o článok 702 zákona FISA, predvídateľnosť tohto ustanovenia bola pánom Schremsom spochybnená z dôvodu, že neohraničuje výber selektívnych kritérií používaných na filtrovanie údajov dostatočnými zárukami proti rizikám zneužitia. Vzhľadom na to, že táto problematika sa týka aj striktne nevyhnutnej povahy zásahov stanovených v článku 702 zákona FISA, preskúmam ju v ďalšej časti mojich návrhov.(145)
269. Tretia prejudiciálna otázka sa prekrýva s problematikou dodržania podmienky týkajúcej sa „sily zákona“. Touto otázkou sa vnútroštátny súd v podstate pýta, či primeranosť úrovne ochrany zabezpečenej v tretej krajine musí byť preskúmaná len s ohľadom na právne záväzné pravidlá platné v tejto tretej krajine a na postupy, ktorých cieľom je zabezpečiť ich dodržiavanie, alebo aj s ohľadom na rôzne nezáväzné nástroje a mimosúdne kontrolné mechanizmy, ktoré sa v tejto krajine uplatňujú.
270. V tejto súvislosti článok 45 ods. 2 písm. a) nariadenia GDPR uvádza demonštratívny zoznam okolností, ktoré musí Komisia zohľadniť na účely posúdenia primeranosti úrovne ochrany poskytovanej treťou krajinou. Medzi týmito okolnosťami sú uvedené uplatniteľné právne predpisy, ako aj spôsob, akým sú vykonávané. Toto ustanovenie uvádza aj vplyv iných druhov noriem, ako sú profesijné pravidlá a bezpečnostné opatrenia. Okrem toho vyžaduje, aby boli zohľadnené „účinné a vymáhateľné práva“ a „účinné správne a súdne prostriedky nápravy pre dotknuté osoby, ktorých osobné údaje sa prenášajú“(146).
271. Uvedené ustanovenie vykladané ako celok a vzhľadom na nevyčerpávajúcu povahu zoznamu, ktorý je v ňom obsiahnutý, podľa môjho názoru znamená, že postupy alebo nástroje, ktoré nie sú založené na dostupnom a predvídateľnom právnom základe, môžu byť v rámci celkového posúdenia úrovne ochrany zabezpečenej dotknutou treťou krajinou zohľadnené ako podporujúce tie záruky, ktoré samy osebe majú právny základ, ktorý je dostupný a predvídateľný. No ako v podstate uviedli komisár, pán Schrems, rakúska vláda a EDPB, takéto postupy alebo nástroje nemôžu tieto záruky nahradiť, a preto ani nemôžu samy osebe zabezpečiť požadovanú úroveň ochrany.
3) O neexistencii narušenia podstaty základných práv
272. Požiadavka stanovená v článku 52 ods. 1 Charty, podľa ktorej každé obmedzenie práv alebo slobôd zaručených Chartou musí rešpektovať podstatu týchto práv alebo slobôd, znamená, že keď ich určitý zásah narušuje, tento nemôže byť odôvodnený žiadnym legitímnym cieľom. Zásah sa potom považuje za odporujúci Charte, pričom nie je potrebné skúmať, či je primeraný a nevyhnutný na dosiahnutie sledovaného cieľa.
273. V tejto súvislosti Súdny dvor rozhodol, že vnútroštátna právna úprava, ktorá umožňuje všeobecný prístup k obsahu elektronických komunikácií orgánmi verejnej moci, narúša samotnú podstatu práva na rešpektovanie súkromného života zaručeného v článku 7 Charty.(147) Naproti tomu, hoci zdôraznil riziká spojené s prístupom k prevádzkovým údajom a údajom o polohe(148) a s ich analýzou, Súdny dvor konštatoval, že podstata tohto práva nie je dotknutá, keď vnútroštátne právne predpisy povoľujú štátnym orgánom všeobecný prístup k týmto údajom.(149)
274. Článok 702 zákona FISA nemožno podľa môjho názoru považovať za článok oprávňujúci spravodajské orgány USA na všeobecný prístup k obsahu elektronických komunikácií.
275. Prístup k údajom spravodajskými orgánmi na základe článku 702 zákona FISA na účely ich prípadnej analýzy a prípadného použitia je totiž na jednej strane obmedzený na údaje zodpovedajúce kritériám selekcie súvisiacim s jednotlivými cieľmi.
276. Na druhej strane je pravda, že program Upstream by mohol zahŕňať všeobecný prístup k obsahu elektronických komunikácií na účely ich automatizovaného filtrovania, pokiaľ by boli selektory aplikované nielen na polia „z“ a „do“, ale aj na celý obsah komunikačných tokov (vyhľadávanie „o“ selektore)(150). Ako však tvrdí Komisia a na rozdiel od toho, čo tvrdia pán Schrems a EPIC, dočasný prístup spravodajských orgánov k celému obsahu elektronických komunikácií len na účely ich filtrovania prostredníctvom aplikácie kritérií selekcie nemožno prirovnávať k všeobecnému prístupu k tomuto obsahu.(151) Podľa môjho názoru závažnosť zásahu vyplývajúceho z tohto časovo obmedzeného prístupu na účely automatizovaného filtrovania nedosahuje závažnosť, ktorá vyplýva zo všeobecného prístupu k tomuto obsahu orgánmi verejnej moci na účely jeho analýzy a prípadného použitia.(152) Dočasný prístup na účely filtrovania týmto orgánom neumožňuje uchovávať metaúdaje alebo obsah komunikácií, ktoré nespĺňajú kritériá selekcie, a najmä im neumožňuje, ako to poznamenala vláda USA, vytvárať profily osôb, ktoré nie sú týmito kritériami zacielené.
277. Vzhľadom na uvedené je otázka, či zacielenie prostredníctvom selektorov v rámci programov založených na článku 702 zákona FISA účinne obmedzuje právomoci spravodajských orgánov, závislá od toho, ako je výber týchto selektorov ohraničený.(153) Pán Schrems v tejto súvislosti tvrdí, že keďže v tomto ohľade neexistuje dostatočný dohľad, právo USA nestanovuje záruku proti všeobecnému prístupu k obsahu komunikácií už vo fáze filtrovania, a teda narúša podstatu práva dotknutých osôb na rešpektovanie súkromného života.
278. Ako podrobnejšie uvediem nižšie,(154) prikláňam sa k pochybnostiam o dostatočnosti zákonného ohraničenia výberu selektorov na účely splnenia kritérií predvídateľnosti a proporcionality zásahov do výkonu základných práv dotknutých osôb. Existencia tohto ohraničenia, aj keď je nedokonalé, však bráni vyvodeniu záveru, že článok 702 zákona FISA umožňuje všeobecný prístup orgánov verejnej moci k obsahu elektronických komunikácií, a teda predstavuje narušenie samotnej podstaty práva zakotveného v článku 7 Charty.
279. Tiež zdôrazňujem, že v stanovisku 1/15 Súdny dvor konštatoval, že podstata práva na ochranu osobných údajov zaručeného článkom 8 Charty je zachovaná, ak sú účely spracovania obmedzené a ak sa na spracovanie vzťahujú pravidlá určené najmä na zabezpečenie bezpečnosti, dôvernosti a integrity údajov, ako aj na ich ochranu pred nezákonným prístupom k nim alebo ich nezákonnému spracúvaniu.(155)
280. V rozhodnutí o „štíte na ochranu osobných údajov“ Komisia konštatovala, že tak článok 702 zákona FISA, ako aj smernica PPD 28 vymedzujú účely, na ktoré môžu byť údaje zhromažďované v rámci programov realizovaných na základe článku 702 zákona FISA.(156) Komisia v ňom tiež uviedla, že smernica PPD 28 stanovuje pravidlá obmedzujúce prístup k údajom, ako aj ich ukladanie a šírenie, aby sa zaistila ich bezpečnosť a ochrana pred neoprávneným prístupom.(157) Ako ukáže nasledujúca časť mojich návrhov,(158) mám pochybnosti najmä o tom, či sú účely predmetného spracúvania definované dostatočne jasne a presne na to, aby zabezpečila úroveň ochrany, ktorá je v podstate rovnocenná tej, ktorá prevažuje v právnom poriadku Únie. Podľa môjho názoru by však tieto prípadné nedostatky nestačili na odôvodnenie konštatovania, že takéto programy by v prípade, ak by boli zavedené v rámci Únie, porušovali podstatu práva na ochranu osobných údajov.
281. Ďalej pripomínam, že primeranosť úrovne ochrany zabezpečenej v rámci činností sledovania na základe vykonávacieho nariadenia č. 12333 treba posudzovať vzhľadom na ustanovenia EDĽP. V tejto súvislosti z rozhodnutia o „štíte na ochranu osobných údajov“ vyplýva, že jedinými obmedzeniami vzťahujúcimi sa na výkon opatrení založených na vykonávacom nariadení č. 12333 na účely zhromažďovania údajov o osobách, ktoré nie sú občanmi ani rezidentmi USA, sú obmedzenia, ktoré stanovuje smernica PPD 28.(159) Táto prezidentská smernica stanovuje, že využitie zahraničného spravodajstva musí byť „čo možno najpresnejšie zacielené“. Výslovne sa v nej však spomína možnosť „hromadného“ zhromažďovania údajov mimo územia USA na účely dosiahnutia určitých špecifických cieľov národnej bezpečnosti.(160) Podľa názoru pána Schremsa ustanovenia smernice PPD 28, ktorá mimochodom nezakladá práva pre jednotlivcov, nechránia dotknuté osoby proti riziku všeobecného prístupu k obsahu ich elektronických komunikácií.
282. V tejto súvislosti len podotýkam, že ESĽP sa vo svojej judikatúre týkajúcej sa článku 8 EDĽP neodvolával na koncepciu narušenia podstaty alebo samotnej podstaty práva na rešpektovanie súkromného života.(161) ESĽP doposiaľ nekonštatoval, že by systémy umožňujúce zachytenie elektronických komunikácií, aj keď hromadne, prekračovali ako také voľnú úvahu členských štátov. ESĽP sa domnieva, že takéto systémy sú v súlade s článkom 8 ods. 2 EDĽP, pokiaľ ich sprevádza určitý počet minimálnych záruk.(162) Za týchto okolností sa mi nezdá vhodné dospieť k záveru, že systém sledovania, aký stanovuje vykonávacie nariadenie č. 12333, prekračuje mieru voľnej úvahy členských štátov, ak nevykonám žiadne preskúmanie prípadných záruk, ktoré ho sprevádzajú.
4) O sledovaní legitímneho cieľa
283. Podľa článku 52 ods. 1 Charty musí akékoľvek obmedzenie výkonu práv zakotvených v tejto Charte skutočne zodpovedať cieľu všeobecného záujmu uznaného Úniou. Článok 8 ods. 2 Charty tiež stanovuje, že každé spracovanie osobných údajov, ktoré sa nezakladá na súhlase dotknutej osoby, musí spočívať na „oprávnenom základe ustanovenom zákonom“. V článku 8 ods. 2 EDĽP sú vymenované ciele, ktoré môžu odôvodňovať zásah do výkonu práva na rešpektovanie súkromného života.
284. Podľa rozhodnutia o „štíte na ochranu osobných údajov“ môže byť dodržiavanie v ňom uvedených zásad obmedzené na účely splnenia povinností týkajúcich sa národnej bezpečnosti, verejného záujmu a presadzovania práva.(163) Odôvodnenia 67 až 124 tohto rozhodnutia osobitnejšie skúmajú obmedzenia, ktoré vyplývajú z prístupu k údajom a z ich použitia orgánmi USA na účely národnej bezpečnosti.
285. Je nesporné, že ochrana národnej bezpečnosti predstavuje legitímny cieľ, ktorý môže odôvodniť výnimky z požiadaviek vyplývajúcich z nariadenia GDPR,(164) ako aj zo základných práv zakotvených v článkoch 7 a 8 Charty(165) a tiež v článku 8 ods. 2 EDĽP. Pán Schrems však poukazuje na to, že ciele sledované v rámci programov sledovania založených na článku 702 zákona FISA a na vykonávacom nariadení č. 12333 presahujú národnú bezpečnosť ako takú. Účelom týchto nástrojov je totiž získanie „zahraničného spravodajstva“, pričom tento pojem sa vzťahuje na rôzne druhy informácií, medzi ktoré patria, nie však výlučne, informácie týkajúce sa národnej bezpečnosti.(166) Pojem „zahraničné spravodajstvo“ v zmysle článku 702 zákona FISA tak zahŕňa údaje týkajúce sa riadenia zahraničných vecí.(167) Vykonávacie nariadenie č. 12333 definuje tento pojem tak, že zahŕňa aj informácie týkajúce sa schopností, úmyslov alebo činností zahraničných vlád, zahraničných organizácií alebo zahraničných osôb.(168) Pán Schrems spochybňuje oprávnenosť takto uvedeného cieľa, pretože ide nad rámec národnej bezpečnosti.
286. Podľa môjho názoru môže okruh národnej bezpečnosti do určitej miery zahŕňať ochranu záujmov týkajúcich sa riadenia zahraničných vecí(169). Okrem toho nemožno vylúčiť, že niektoré z cieľov odlišných od ochrany národnej bezpečnosti, ktoré patria pod pojem „zahraničné spravodajstvo“ v zmysle jeho definície v článku 702 zákona FISA a vo vykonávacom nariadení č. 12333, zodpovedajú dôležitým cieľom všeobecného záujmu, ktoré môžu odôvodniť zásah do základných práv na rešpektovanie súkromného života a na ochranu osobných údajov. Tieto ciele by v každom prípade zavážili menej než ochrana národnej bezpečnosti v rámci porovnania závažnosti základných práv dotknutých osôb so závažnosťou cieľa, ktorý je zásahom sledovaný.(170)
287. Podľa článku 52 ods. 1 Charty je však ešte potrebné, aby opatrenia stanovujúce predmetné zásahy skutočne sledovali cieľ národnej bezpečnosti alebo iný legitímny cieľ.(171) Okrem toho musia byť ciele zásahov definované tak, aby zodpovedali požiadavkám jasnosti a presnosti.(172)
288. Podľa pána Schremsa však cieľ opatrení sledovania stanovených v článku 702 zákona FISA a vo vykonávacom nariadení č. 12333 nie je uvedený dostatočne presne na to, aby spĺňal záruky predvídateľnosti a proporcionality. Ide najmä o to, že rozsah definície pojmu „zahraničné spravodajstvo“ je v týchto nástrojoch veľmi široký. Navyše, keďže Komisia v odôvodnení 109 rozhodnutia o „štíte na ochranu osobných údajov“ konštatovala, že článok 702 zákona FISA vyžaduje, aby zhromažďovanie zahraničných spravodajských informácií predstavovalo „významný účel“ zberu, táto slovná formulácia, ako poznamenala EPIC, na prvý pohľad nevylučuje sledovanie iných nedefinovaných cieľov.
289. Z týchto dôvodov je možné položiť si otázku, pričom sa nevylučuje, že opatrenia sledovania založené na článku 702 zákona FISA alebo na vykonávacom nariadení č. 12333 zodpovedajú legitímnym cieľom, či sú tieto ciele definované dostatočne jasne a presne na to, aby predišli rizikám zneužitia a aby umožnili preskúmanie primeranosti zásahov, ktoré z nich vyplývajú.(173)
5) O nevyhnutnosti a primeranosti zásahov
290. Súdny dvor opakovane zdôraznil, že práva zakotvené v článkoch 7 a 8 Charty nie sú absolútnymi výsadami, ale musia sa posudzovať vzhľadom na ich funkciu v spoločnosti a na ich závažnosť v porovnaní s inými základnými právami v súlade so zásadou proporcionality.(174) Ako zdôraznila Facebook Ireland, medzi tieto iné práva patrí aj právo na bezpečnosť zaručené v článku 6 Charty.
291. V tejto súvislosti musí byť podľa judikatúry, ktorá je takisto ustálená, akýkoľvek zásah do výkonu práv zaručených v článkoch 7 a 8 Charty podrobený prísnemu preskúmaniu primeranosti.(175)
292. Z rozsudku Schrems konkrétne vyplýva, že „na prísnu nevyhnutnosť tak nie je obmedzená právna úprava, ktorá všeobecne oprávňuje uchovávanie všetkých osobných údajov… bez toho, aby stanovovala akékoľvek rozlíšenie, obmedzenie alebo výnimku na základe sledovaného cieľa, a bez toho, aby sa stanovilo objektívne kritérium umožňujúce vymedziť prístup orgánov verejnej moci k údajom a ich neskoršie použitie na účely, ktoré sú presné, prísne obmedzené a spôsobilé odôvodniť zásah, ktorý spôsobuje tak prístup, ako aj používanie týchto údajov“(176).
293. Súdny dvor tiež rozhodol, že s výnimkou náležite odôvodnených prípadov musí byť prístup podmienený predchádzajúcim preskúmaním vykonaným buď súdom, alebo nezávislým správnym orgánom, ktorých rozhodnutie má za cieľ obmedziť prístup k údajom a ich použitie na to, čo je striktne nevyhnutné na dosiahnutie sledovaného cieľa.(177)
294. Článok 23 ods. 2 nariadenia GDPR teraz uvádza súbor záruk, ktoré musí členský štát stanoviť v prípade, že uplatní z ustanovení tohto nariadenia výnimku. Právna úprava povoľujúca takúto výnimku musí obsahovať ustanovenia, ktoré sa týkajú najmä účelov spracúvania, rozsahu tejto výnimky, záruk určených na predchádzanie zneužitiu, dôb uchovávania, ako aj práva dotknutých osôb byť o výnimke informované, pokiaľ nehrozí, že sa tým oslabí jej účel.
295. V prejednávanej veci pán Schrems tvrdí, že článok 702 zákona FISA nie je sprevádzaný dostatočnými zárukami proti rizikám zneužitia a nezákonného prístupu k údajom. Predovšetkým tvrdí, že výber kritérií selekcie nie je dostatočne ohraničený, takže toto ustanovenie neposkytuje záruku proti všeobecnému prístupu k obsahu komunikácií.
296. Vláda USA a Komisia naproti tomu tvrdia, že článok 702 zákona FISA obmedzuje výber selektorov prostredníctvom objektívnych kritérií, keďže toto ustanovenie umožňuje len zhromažďovanie údajov o elektronických komunikáciách osôb, ktoré nie sú občanmi ani rezidentmi USA, nachádzajúcich sa mimo USA, a to na účely získania informácií v oblasti zahraničného spravodajstva.
297. Podľa môjho názoru je možné pochybovať o dostatočne jasnej a presnej povahe týchto kritérií, ako aj o existencii dostatočných záruk na predchádzanie nebezpečenstvu zneužitia.
298. V prvom rade odôvodnenie 109 rozhodnutia o „štíte na ochranu osobných údajov“ uvádza, že selektory nie sú pred ich aplikáciou individuálne schvaľované súdom FISC ani iným nezávislým súdnym alebo správnym orgánom. Komisia v tomto rozhodnutí konštatovala, že „súd FISC nepovoľuje jednotlivé opatrenia sledovania; povoľuje skôr programy sledovania… na základe každoročných certifikácií“, a vláda USA to pre Súdny dvor potvrdila. Toto odôvodnenie spresňuje, že „certifikácie, ktoré schvaľuje súd FISC, neobsahujú žiadne informácie o jednotlivých osobách, ktoré majú byť zacielené, ale identifikujú kategórie zahraničných spravodajských informácií“, ktoré môžu byť zhromažďované. Komisia v ňom takisto konštatovala, že „súd FISC neposudzuje – na základe pravdepodobnej príčiny alebo inej normy –, či boli osoby správne zacielené s cieľom získať zahraničné spravodajské informácie“, aj keď kontroluje podmienku, že „významným účelom získavania údajov je získať zahraničné spravodajské informácie“.
299. Ďalej podľa znenia uvedeného odôvodnenia článok 702 zákona FISA oprávňuje agentúru NSA na zhromažďovanie komunikácií „iba v prípade, ak sa možno odôvodnene domnievať, že daný komunikačný prostriedok sa používa na komunikáciu zahraničných spravodajských informácií“. V odôvodnení 70 rozhodnutia o „štíte na ochranu osobných údajov“ sa dodáva, že stanovenie selektorov sa vykonáva v rámci priorít národného spravodajstva (National Intelligence Priorities Framework, ďalej len „NIPF“). Toto rozhodnutie neuvádza presnejšie požiadavky na uvedenie dôvodov alebo poskytnutie odôvodnenia výberu selektorov vzhľadom na tieto administratívne priority, ktorými je agentúra NSA viazaná.(178)
300. Nakoniec odôvodnenie 71 rozhodnutia o „štíte na ochranu osobných údajov“ odkazuje na požiadavku stanovenú v smernici PPD 28, podľa ktorej musí byť zhromažďovanie zahraničného spravodajstva „v čo najväčšej uskutočniteľnej miere prispôsobené [čo možno najpresnejšie zacielené – neoficiálny preklad]“. Okrem toho, že táto prezidentská smernica nevytvára práva pre jednotlivcov, podstatná rovnocennosť medzi kritériom, že činnosť má byť „čo možno najpresnejšie zacielená“, a kritériom „prísnej nevyhnutnosti“, ktorú článok 52 ods. 1 Charty vyžaduje na účely odôvodnenia zásahu do výkonu práv zaručených v jej článkoch 7 a 8, podľa mňa nie je ani zďaleka zjavná.(179)
301. Vzhľadom na tieto úvahy nie je isté, že podľa skutočností uvedených v rozhodnutí o „štíte na ochranu osobných údajov“ sú opatrenia sledovania založené na článku 702 zákona FISA sprevádzané zárukami týkajúcimi sa obmedzenia jednotlivcov, na ktorých sa môže opatrenie sledovania vzťahovať, a cieľov, na ktoré môžu byť údaje zhromaždené, ktoré sú v podstate rovnocenné s údajmi požadovanými podľa nariadenia GDPR v spojení s článkami 7 a 8 Charty.(180)
302. Okrem toho, pokiaľ ide o posúdenie primeranosti úrovne ochrany, ktorá sprevádza sledovanie na základe vykonávacieho nariadenia č. 12333, ESĽP uznáva, že členské štáty majú širokú mieru voľnej úvahy na účely výberu prostriedkov na ochranu ich národnej bezpečnosti, avšak s tým, že táto miera voľnej úvahy je obmedzená požiadavkou stanovenia primeraných a dostatočných záruk proti zneužívaniu.(181) Vo svojej judikatúre týkajúcej sa opatrení tajného sledovania ESĽP overuje, či vnútroštátne právo, na ktorom sú tieto opatrenia založené, obsahuje záruky a dostatočné a účinné ochranné opatrenia spôsobilé splniť požiadavky „predvídateľnosti“ a „nevyhnutnosti v demokratickej spoločnosti“.(182)
303. ESĽP v tejto súvislosti uvádza určitý počet minimálnych záruk. Pri týchto zárukách ide o jasné uvedenie povahy trestných činov, pri ktorých možno udeliť povolenie na zachytenie komunikácie, vymedzenie kategórií jednotlivcov, ktorých komunikácia môže byť zachytená, stanovenie maximálneho trvania výkonu opatrenia, postup, ktorý sa má použiť pri preskúmaní, použitie a uchovávanie zhromaždených údajov, preventívne opatrenia, ktoré sa majú prijať v súvislosti s oznámením údajov iným stranám, a okolnosti, za ktorých sa môže alebo musí uskutočniť výmaz alebo zničenie záznamov.(183)
304. Primeranosť a účinnosť záruk, ktoré zásah ohraničujú, závisí od všetkých okolností prípadu, vrátane povahy, rozsahu a trvania opatrení, dôvodov potrebných na nariadenie týchto opatrení, orgánov príslušných na ich povoľovanie, vykonanie a kontrolu, a od druhu prostriedku nápravy poskytnutého vnútroštátnym právom.(184)
305. Konkrétne ESĽP na účely posúdenia odôvodnenia opatrenia tajného sledovania zohľadňuje všetky preskúmania vykonávané „pri jeho nariadení“, „počas jeho výkonu“ a „po jeho skončení“.(185) Pokiaľ ide o prvé z týchto troch štádií, ESĽP vyžaduje, aby povolenie na takéto opatrenie udelil nezávislý orgán. Hoci súdna právomoc predstavuje podľa ESĽP najlepšie záruky nezávislosti, nestrannosti a riadneho priebehu konania, dotknutý orgán nemusí nevyhnutne patriť pod súdnictvo(186). Podrobné súdne preskúmanie v neskoršom štádiu môže vyvážiť prípadné nedostatky povoľovacieho konania(187).
306. V prejednávanej veci z rozhodnutia o „štíte na ochranu osobných údajov“ vyplýva, že jediné záruky, ktoré obmedzujú zhromažďovanie a používanie údajov mimo územia USA, sa nachádzajú v smernici PPD 28, keďže článok 702 zákona FISA sa mimo tohto územia neuplatňuje. Nie som presvedčený o tom, že tieto záruky môžu stačiť na splnenie podmienok „predvídateľnosti“ a „nevyhnutnosti v demokratickej spoločnosti“.
307. V prvom rade, už som poznamenal, že táto prezidentská smernica nezakladá práva pre jednotlivcov. Ďalej pochybujem, že požiadavka zabezpečiť „čo možno najpresnejšie zacielené“ sledovanie je formulovaná dostatočne jasne a presne na to, aby primerane chránila dotknuté osoby pred rizikami zneužitia.(188) Nakoniec v rozhodnutí o „štíte na ochranu osobných údajov“ nie je preukázané, že by sledovanie založené na vykonávacom nariadení č. 12333 podliehalo predchádzajúcemu preskúmaniu zo strany nezávislého orgánu alebo že by mohlo byť predmetom súdneho preskúmania a posteriori.(189)
308. Za týchto okolností pochybujem o dôvodnosti konštatovania, že USA v rámci činností svojich spravodajských služieb založených na článku 702 zákona FISA a na vykonávacom nariadení č. 12333 zabezpečujú primeranú úroveň ochrany v zmysle článku 45 ods. 1 nariadenia GDPR v spojení s článkami 7 a 8 Charty, ako aj s článkom 8 EDĽP.
c) O platnosti rozhodnutia o „štíte na ochranu osobných údajov“ z hľadiska práva na účinný prostriedok nápravy
309. Piatou prejudiciálnou otázkou sa od Súdneho dvora žiada, aby určil, či osoby, ktorých údaje sú prenášané do USA, požívajú v USA právnu ochranu, ktorá je v podstate rovnocenná s ochranou, ktorá sa musí zabezpečiť v Únii na základe článku 47 Charty. Svojou desiatou otázkou sa vnútroštátny súd Súdneho dvora v podstate pýta, či na piatu otázku treba odpovedať kladne vzhľadom na to, že rozhodnutie o „štíte na ochranu osobných údajov“ zaviedlo mechanizmus ombudsmana.
310. Hneď na úvod konštatujem, že v odôvodnení 115 tohto rozhodnutia Komisia uznáva, že právny systém USA má medzery, pokiaľ ide o súdnu ochranu jednotlivcov.
311. Toto odôvodnenie po prvé uvádza, že možnosti súdneho prostriedku nápravy „sa nevzťahujú aspoň na niektoré právne základy, ktoré spravodajské orgány USA môžu využiť (napr. vykonávacie nariadenie č. 12333)“. Vykonávacie nariadenie č. 12333 a smernica PPD 28 totiž nepriznávajú práva dotknutým osobám a tieto sa ich nemôžu na súdoch dovolávať. Účinná súdna ochrana pritom predpokladá prinajmenšom to, že jednotlivci majú práva, ktoré si môžu uplatniť na súde.
312. Po druhé „aj v tých prípadoch, keď v zásade existujú možnosti súdnej nápravy pre osoby, ktoré nie sú občanmi ani rezidentmi USA, napríklad v prípade sledovania na základe zákona FISA, sú dostupné dôvody žaloby obmedzené, pretože žaloby podané… budú vyhlásené za neprípustné, ak nedokážu preukázať ‚aktívnu legitimáciu‘, čo obmedzuje prístup k všeobecným súdom“.
313. Z odôvodnení 116 až 124 rozhodnutia „o štíte na ochranu osobných údajov“ vyplýva, že inštitúcia ombudsmana má za cieľ vynahradiť tieto nedostatky. V odôvodnení 139 tohto rozhodnutia Komisia dospela k záveru, že „dohľad a mechanizmy nápravy, ktoré poskytuje štít na ochranu osobných údajov, ako celok… poskytujú právne prostriedky nápravy, prostredníctvom ktorých môže dotknutá osoba získať prístup k osobným údajom, ktoré sa jej týkajú, a domôcť sa opravy alebo vymazania týchto údajov“ (kurzívou zvýraznil generálny advokát).
314. Po pripomenutí všeobecných zásad, ktoré vyplývajú z judikatúry Súdneho dvora a ESĽP o práve na nápravu proti opatreniam sledovania komunikácií, preskúmam, či súdne prostriedky nápravy upravené právom USA, ktoré sú opísané v rozhodnutí o „štíte na ochranu osobných údajov“, umožňujú zabezpečiť primeranú súdnu ochranu dotknutých osôb (oddiel 1). Následne určím, či zavedenie mimosúdneho mechanizmu ombudsmana umožňuje podľa okolností vyplniť prípadné medzery, ktorými sa vyznačuje súdna ochrana týchto osôb (oddiel 2).
1) O účinnosti súdnych prostriedkov nápravy stanovených právom USA
315. V prvom rade článok 47 prvý odsek Charty zakotvuje právo každého, koho práva a slobody zaručené právom Únie boli porušené, na účinný prostriedok nápravy pred súdom.(190) Podľa znenia druhého odseku tohto článku má každý právo na to, aby jeho záležitosť bola prejednaná nezávislým a nestranným súdom.(191) Prístup k nezávislému súdu vychádza z podstaty práva zaručeného v článku 47 Charty.(192)
316. Toto právo na individuálnu súdnu ochranu je doplňujúcim k povinnosti členských štátov na základe článkov 7 a 8 Charty podrobiť všetky opatrenia sledovania, s výnimkou riadne odôvodnených naliehavých prípadov, predchádzajúcemu preskúmaniu súdom alebo nezávislým správnym orgánom.(193)
317. Je pravda, ako uviedli nemecká a francúzska vláda, že právo na účinný súdny prostriedok nápravy nepredstavuje absolútnu záruku,(194) keďže toto právo môže byť obmedzené z dôvodov národnej bezpečnosti. Výnimky sú však povolené, len pokiaľ neohrozujú jeho podstatný obsah a sú striktne nevyhnutné na dosiahnutie legitímneho cieľa.
318. V tejto súvislosti Súdny dvor v rozsudku Schrems rozhodol, že právna úprava, ktorá neupravuje nijakú možnosť fyzickej osoby podliehajúcej súdnej právomoci uplatniť právne prostriedky nápravy, aby mala prístup k osobným údajom, ktoré sa jej týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov, nerešpektuje podstatu základného práva zakotveného článkom 47 Charty.(195)
319. Zdôrazňujem, že toto právo na prístup znamená, že osoba má možnosť získať, s výhradou výnimiek, ktoré sú striktne nevyhnutné na sledovanie legitímneho záujmu, od verejných orgánov potvrdenie o tom, či spracúvajú alebo nespracúvajú osobné údaje, ktoré sa jej týkajú.(196) Taký je podľa môjho názoru praktický rozsah práva na prístup v prípade, že dotknutá osoba nevie, či si verejné orgány ponechali osobné údaje, ktoré sa jej týkajú, po tom, ako sa napríklad skončil proces automatického filtrovania tokov elektronických komunikácií.
320. Okrem toho z judikatúry vyplýva, že orgány členského štátu sú v zásade povinné oznamovať prístup k údajom od okamihu, keď oznámenie už nemôže ohroziť vykonávané vyšetrovania.(197) Takéto oznámenie totiž predstavuje predpoklad výkonu práva na prostriedok nápravy na základe článku 47 Charty.(198) Táto povinnosť je v súčasnosti uvedená v článku 23 ods. 2 písm. h) nariadenia GDPR.
321. Odôvodnenia 111 až 135 rozhodnutia o „štíte na ochranu osobných údajov“ stručne uvádzajú všetky prostriedky nápravy dostupné osobám, ktorých údaje sú prenášané, v prípade, že sa obávajú, že tieto údaje boli po prenose spracované spravodajskými službami USA. Tieto prostriedky nápravy boli opísané aj v rozsudku High Court (Vyšší súd) z 3. októbra 2017, ako aj v pripomienkach vrátane pripomienok vlády USA.
322. Obsah týchto opisov nie je potrebné podrobne pripomenúť. Vnútroštátny súd totiž spochybňuje primeranosť záruk týkajúcich sa právnej ochrany dotknutých osôb najmä z dôvodu, že mimoriadne prísne požiadavky v oblasti aktívnej legitimácie (standing)(199) v spojení s tým, že neexistuje žiadna povinnosť poskytnúť oznámenie osobám, na ktoré sa vzťahovalo opatrenie sledovania, dokonca ani v prípade, keď by už oznámenie neohrozilo ciele, spôsobujú v praxi sťaženie alebo dokonca znemožnenie uplatnenia prostriedkov nápravy stanovených v práve USA. Tieto pochybnosti majú aj komisár, pán Schrems, rakúska, poľská a portugalská vláda, ako aj EDPB.(200)
323. V tejto súvislosti iba pripomeniem, že pravidlá v oblasti aktívnej legitimácie nemôžu narúšať účinnú súdnu ochranu.(201) a tiež konštatujem, že rozhodnutie o „štíte na ochranu osobných údajov“ neuvádza žiadnu požiadavku informovať dotknuté osoby o tom, že sa na ne vzťahovalo opatrenie sledovania.(202) To, že neexistuje žiadna povinnosť takéto opatrenie oznámiť, dokonca ani v prípade, že by už jeho účinnosť nebola informovaním dotknutej osoby narušená, sa zdá byť problematické vzhľadom na judikatúru uvedenú v bode 320 týchto návrhov, pretože to pravdepodobne bráni výkonu súdnych prostriedkov nápravy.
324. V poznámke pod čiarou 169 rozhodnutia o „štíte na ochranu osobných údajov“ sa okrem toho uznáva, že v dostupných konaniach sa „vyžaduje buď existencia ujmy…, alebo preukázanie, že vláda má v úmysle použiť alebo zverejniť informácie zhromaždené… z elektronického sledovania dotknutej osoby proti tejto osobe“. Ako zdôraznili vnútroštátny súd, komisár a pán Schrems, táto požiadavka protirečí judikatúre Súdneho dvora, podľa ktorej nie je na účely preukázania zásahu do práva na rešpektovanie súkromného života dotknutej osoby nevyhnutné, aby jej vznikli v dôsledku údajného zásahu prípadné ťažkosti.(203)
325. Okrem toho ma nepresvedčil názor vyjadrený spoločnosťou Facebook Ireland a vládou USA, podľa ktorého sú nedostatky charakteristické pre súdnu ochranu osôb, ktorých údaje sú prenášané do USA, vynahradené predchádzajúcimi a následnými preskúmaniami vykonávanými súdom FISC, ako aj viacerými mechanizmami dohľadu zriadenými v rámci výkonnej a zákonodarnej moci.(204)
326. Na jednej strane som už uviedol, že podľa konštatovaní uvedených v rozhodnutí o „štíte na ochranu osobných údajov“ súd FISC neskúma individuálne opatrenia sledovania pred ich vykonaním.(205) Ako vyplýva z odôvodnenia 109 tohto rozhodnutia a ako to potvrdila vláda USA vo svojej písomnej odpovedi na otázky, ktoré jej položil Súdny dvor, cieľom preskúmania selektorov ex post je na druhej strane overiť dodržanie podmienok upravujúcich výber selektorov stanovených v každoročnom osvedčení v prípade, keď je súd FISC na udalosť týkajúcu sa možného nedodržania postupov zacielenia a minimalizácie upozornený spravodajskou agentúrou.(206) Konanie na súde FISC teda podľa všetkého neposkytuje osobám, ktorých údaje sú prenášané do USA, účinné prostriedky nápravy.
327. Aj keď mechanizmy mimosúdneho preskúmania uvedené v odôvodneniach 95 až 110 rozhodnutia o „štíte na ochranu osobných údajov“ môžu byť podľa okolností posilnením pre prípadné súdne prostriedky nápravy, podľa môjho názoru nemôžu postačovať na zabezpečenie primeranej úrovne ochrany, pokiaľ ide o právo dotknutých osôb na prostriedok nápravy. Konkrétne, generálni inšpektori, ktorí sú súčasťou vnútornej štruktúry každej agentúry, podľa mňa nepredstavujú nezávislé mechanizmy preskúmania. Dohľad, ktorý vykonávajú PCLOB a spravodajské výbory Kongresu USA, nie je ako taký rovnocenný mechanizmu individuálneho prostriedku nápravy proti opatreniam sledovania.
328. Bude teda potrebné preskúmať, či inštitúcia ombudsmana tieto medzery napravuje tým, že dotknutým osobám poskytuje účinný prostriedok nápravy pred nezávislým a nestranným orgánom.(207)
329. V druhom rade pripomínam, že relevantný referenčný rámec pre posúdenie dôvodnosti konštatovania primeranosti vykonaného v rozhodnutí o „štíte na ochranu osobných údajov“ vzhľadom na prostriedky nápravy dostupné pre osoby, ktoré sa domnievajú, že boli predmetom sledovania na základe vykonávacieho nariadenia č. 12333, spočíva v ustanoveniach EDĽP.
330. Ako už bolo uvedené vyššie(208), ESĽP na účely posúdenia, či opatrenie sledovania vyhovuje podmienkam „predvídateľnosti“ a „nevyhnutnosti v demokratickej spoločnosti“ v zmysle článku 8 ods. 2 EDĽP(209), vykonáva preskúmanie všetkých mechanizmov kontroly a dohľadu využitých „pred, počas a po“ vykonaní tohto opatrenia. Ak výkonu individuálneho prostriedku nápravy bráni to, že opatrenie sledovania nemožno oznámiť bez ohrozenia jeho účinnosti,(210) tento nedostatok môže byť vyvážený vykonaním nezávislého preskúmania pred tým, ako sa predmetné opatrenie uplatní.(211) Aj keď teda ESĽP považuje takéto oznámenie za „žiaduce“, hneď ako k nemu môže dôjsť bez ovplyvnenia účinnosti opatrenia sledovania, nestanovil to ako požiadavku.(212)
331. V tejto súvislosti z rozhodnutia o „štíte na ochranu osobných údajov“ nie je zrejmé, že by boli opatrenia sledovania na základe vykonávacieho nariadenia č. 12333 dotknutým jednotlivcom oznamované alebo sprevádzané mechanizmami súdneho alebo nezávislého správneho preskúmania v ktoromkoľvek štádiu ich prijatia alebo vykonania.
332. Za týchto okolností treba preskúmať, či prostriedok nápravy pred ombudsmanom napriek tomu umožňuje zabezpečiť nezávislé preskúmanie opatrení sledovania vrátane tých, ktoré sú založené na vykonávacom nariadení č. 12333.
2) O vplyve mechanizmu ombudsmana na úroveň ochrany práva na účinný prostriedok nápravy
333. Podľa odôvodnenia 116 rozhodnutia o „štíte na ochranu osobných údajov“ je cieľom mechanizmu ombudsmana opísaného v prílohe III A tohto rozhodnutia poskytnúť ďalšiu možnosť nápravy pre všetky osoby, ktorých údaje sú prenášané z Únie do USA.
334. Ako zdôraznila vláda USA, prípustnosť sťažnosti podanej ombudsmanovi nie je podmienená dodržaním pravidiel v oblasti aktívnej legitimácie podobných tým, ktoré upravujú prístup k americkým súdom. Odôvodnenie 119 uvedeného rozhodnutia v tejto súvislosti spresňuje, že prostriedok nápravy pred ombudsmanom si nevyžaduje, aby dotknutá osoba preukázala, že vláda USA nazrela do osobných údajov, ktoré sa jej týkajú.
335. Pochybujem, podobne ako komisár, pán Schrems, poľská a portugalská vláda, ako aj EPIC, o schopnosti tohto mechanizmu vynahradiť nedostatky súdnej ochrany poskytovanej osobám, ktorých údaje sú prenášané z Únie do USA.
336. V prvom rade, aj keď mimosúdny mechanizmus nápravy môže predstavovať účinný prostriedok nápravy v zmysle článku 47 ZFEÚ, platí to predovšetkým len vtedy, ak má dotknutý orgán svoj pôvod v zákone a spĺňa podmienku nezávislosti.(213)
337. Z rozhodnutia o „štíte na ochranu osobných údajov“ však vyplýva, že mechanizmus ombudsmana, ktorý vychádza zo smernice PPD 28(214), nemá pôvod v zákone. Ombudsmana vymenúva minister zahraničných vecí a je neoddeliteľnou súčasťou ministerstva zahraničných vecí USA.(215) Toto rozhodnutie neobsahuje žiadnu zmienku o tom, že by sa s odvolaním ombudsmana alebo zrušením jeho vymenovania spájali osobitné záruky.(216) Aj keď je ombudsman prezentovaný ako nezávislý od „spravodajského spoločenstva“, zodpovedá sa ministrovi zahraničných veci, a teda nie je nezávislý od výkonnej moci.(217)
338. Ďalej, účinnosť mimosúdneho prostriedku nápravy závisí podľa môjho názoru takisto od schopnosti predmetného orgánu prijímať záväzné a odôvodnené rozhodnutia. V tejto súvislosti rozhodnutie o „štíte na ochranu osobných údajov“ neobsahuje žiadnu zmienku o tom, že by ombudsman takéto rozhodnutia prijímal. Nekonštatuje sa v ňom, že inštitúcia ombudsmana umožní sťažovateľom prístup k údajom, ktoré sa ich týkajú, a ich opravu alebo odstránenie, ani že ombudsman prizná osobám poškodeným opatrením sledovania odškodnenie. Presnejšie, ako vyplýva z prílohy III A bodu 4 písm. e) tohto rozhodnutia, „ombudsman… nepotvrdí ani nepoprie, že jednotlivec bol cieľom sledovania, a ani nepotvrdí, že sa uplatnilo konkrétne nápravné opatrenie“(218). Aj keď vláda USA sa zaviazala, že príslušná zložka spravodajských služieb bude povinná napraviť všetky porušenia uplatniteľných noriem, ktoré ombudsman zistí,(219) uvedené rozhodnutie neuvádza zákonné záruky, ktoré by boli s týmto záväzkom spojené a ktorých by sa dotknutí jednotlivci mohli dovolávať.
339. Preto inštitúcia ombudsmana podľa môjho názoru neposkytuje prostriedok nápravy pred nezávislým orgánom umožňujúci osobám, ktorých údaje sú prenášané, uplatniť si svoje právo na prístup k údajom alebo napadnúť prípadné porušenia uplatniteľných pravidiel zo strany spravodajských služieb.
340. Nakoniec, podľa judikatúry je predpokladom dodržania práva zaručeného v článku 47 Charty to, že rozhodnutie tohto správneho orgánu, ktorý sám osebe nespĺňa podmienku nezávislosti, podlieha následnému preskúmaniu súdnym orgánom s právomocou rozhodnúť o všetkých relevantných otázkach.(220) Podľa údajov uvedených v rozhodnutí o „štíte na ochranu osobných údajov“ však rozhodnutia ombudsmana nepodliehajú nezávislému súdnemu preskúmaniu.
341. Za týchto okolností považujem za sporné, rovnako ako to tvrdia komisár, pán Schrems, EPIC, ako aj poľská a portugalská vláda, či je súdna ochrana poskytovaná právnym poriadkom USA pre osoby, ktorých údaje sú do USA prenášané z Únie, v podstate rovnocenná s právnou ochranou, ktorá vyplýva z nariadenia GDPR v spojení s článkom 47 Charty a článkom 8 EDĽP.
342. Vzhľadom na všetky vyššie uvedené úvahy mám určité pochybnosti o súlade rozhodnutia o „štíte na ochranu osobných údajov“ s článkom 45 ods. 1 nariadenia GDPR v spojení s článkami 7, 8 a 47 Charty, ako aj s článkom 8 EDĽP.
V. Návrh
343. Navrhujem, aby Súdny dvor odpovedal na prejudiciálne otázky, ktoré položil High Court (Vyšší súd, Írsko), takto:
Analýza prejudiciálnych otázok neodhalila nič, čo by mohlo mať vplyv na platnosť rozhodnutia Komisie 2010/87/EÚ z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES v znení zmien vykonávacieho rozhodnutia Komisie (EÚ) 2016/2297 zo 16. decembra 2016.