PRESUDA SUDA (veliko vijeće)
6. listopada 2015.(*)
„Zahtjev za prethodnu odluku – Osobni podaci – Zaštita fizičkih osoba u pogledu obrade tih podataka – Povelja Europske unije o temeljnim pravima – Članci 7., 8. i 47. – Direktiva 95/46/EZ – Članci 25. i 28. – Prijenos osobnih podataka trećim zemljama – Odluka 2000/520/EZ – Prijenos osobnih podataka u SAD – Neodgovarajuća razina zaštite – Valjanost – Pritužba fizičke osobe čiji su podaci preneseni iz Europske unije u SAD – Ovlasti nacionalnih nadzornih tijela“
U predmetu C‑362/14,
povodom zahtjeva za prethodnu odluku na temelju članka 267. UFEU‑a, koji je uputio High Court (Visoki sud, Irska), odlukom od 17. srpnja 2014., koju je Sud zaprimio 25. srpnja 2014., u postupku
Maximillian Schrems
protiv
Data Protection Commissioner,
uz sudjelovanje:
Digital Rights Ireland Ltd,
SUD (veliko vijeće),
u sastavu: V. Skouris, predsjednik, K. Lenaerts, potpredsjednik, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (izvjestitelj), S. Rodin i K. Jürimäe, predsjednici vijeća, A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen i C. Lycourgos, suci,
nezavisni odvjetnik: Y. Bot,
tajnik: L. Hewlett, glavna administratorica,
uzimajući u obzir pisani postupak i nakon rasprave održane 24. ožujka 2015.,
uzimajući u obzir očitovanja koja su podnijeli:
– za M. Schremsa, N. Travers, SC, P. O’Shea, BL, i G. Rudden, solicitor, kao i H. Hofmann, Rechtsanwalt,
– za Data Protection Commissioner, P. McDermott, BL, S. More O’Ferrall i D. Young, solicitors,
– za Digital Rights Ireland Ltd, F. Crehan, BL, kao i S. McGarr i E. McGarr, solicitors,
– za Irsku, A. Joyce i B. Counihan kao i E. Creedon, u svojstvu agenata, uz asistenciju D. Fennellyja, BL,
– za belgijsku vladu, J.-C. Halleux i C. Pochet, u svojstvu agenata,
– za češku vladu, M. Smolek i J. Vláčil, u svojstvu agenata,
– za talijansku vladu, G. Palmieri, u svojstvu agenta, uz asistenciju P. Gentilija, avvocato dello Stato,
– za austrijsku vladu, G. Hesse i G. Kunnert, u svojstvu agenata,
– za poljsku vladu, M. Kamejsza, M. Pawlicka i B. Majczyna, u svojstvu agenata,
– za slovensku vladu, A. Grum i V. Klemenc, u svojstvu agenata,
– za vladu Ujedinjene Kraljevine, L. Christie i J. Beeko, u svojstvu agenata, uz asistenciju J. Holmesa, barrister,
– za Europski parlament, D. Moore i A. Caiola kao i M. Pencheva, u svojstvu agenata,
– za Europsku komisiju, B. Schima, B. Martenczuk, B. Smulders i J. Vondung, u svojstvu agenata,
– za Europskog nadzornika za zaštitu podataka (ENZP), C. Docksey, A. Buchta i V. Pérez Asinari, u svojstvu agenata,
saslušavši mišljenje nezavisnog odvjetnika na raspravi održanoj 23. rujna 2015.,
donosi sljedeću
Presudu
1 Zahtjev za prethodnu odluku odnosi se na tumačenje, s obzirom na članke 7., 8. i 47. Povelje Europske unije o temeljnim pravima (u daljnjem tekstu: Povelja), članka 25. stavka 6. i članka 28. Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, str. 31.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 7., str. 88.), kako je izmijenjena Uredbom (EZ) br. 1882/2003 Europskog parlamenta i Vijeća od 29. rujna 2003. (SL L 284, str. 1.; SL, posebno izdanje na hrvatskom jeziku, poglavlje 1., svezak 16., str. 96., u daljnjem tekstu: Direktiva 95/46), kao i na, u meritumu, valjanost Odluke Komisije 2000/520/EZ od 26. srpnja 2000. sukladno s Direktivom 95/46 o primjerenosti zaštite koju pružaju načela privatnosti „sigurne luke” i uz njih vezana često postavljana pitanja koje je izdalo Ministarstvo trgovine SAD‑a (SL L 215, str. 7.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 16., svezak 3., str. 9.).
2 Zahtjev je upućen u okviru spora između M. Schremsa i Data Protection Commissionera (povjerenik za zaštitu podataka, u daljnjem tekstu: povjerenik) u vezi s odbijanjem povjerenika da ispita pritužbu M. Schremsa o činjenici da Facebook Ireland Ltd (u daljnjem tekstu: Facebook Ireland) prenosi osobne podatke svojih korisnika u SAD te ih zadržava na poslužiteljima smještenima u toj zemlji.
Pravni okvir
Direktiva 95/46
3 Uvodne izjave 2., 10., 56., 57., 60., 62. i 63. Direktive 95/46 glase:
„(2) [...] sustavi za obradu podataka osmišljeni [su] da služe čovjeku; [...] moraju, bez obzira na nacionalnost ili boravište fizičkih osoba, pošt[o]vati njihova temeljna prava i slobode, pravo na privatnost, te doprinositi [...] dobrobiti pojedinaca;
[...]
(10) [...] cilj nacionalnog zakonodavstva u vezi obrade osobnih podataka [jest] zaštit[a] temeljn[ih] prava i slobod[a], posebno prav[a] na privatnost koje je priznato u članku 8. Europske konvencije za zaštitu ljudskih prava i temeljnih sloboda[, potpisane u Rimu 4. studenoga 1950.,] te u općim načelima prava Zajednice; [...] iz tog razloga usklađivanje tih zakona ne smije dovesti do bilo kakvog smanjenja zaštite koju pružaju, nego naprotiv moraju težiti tome da osiguraju visoku razinu zaštite u Zajednici;
[...]
(56) [...] prekogranični prijenos osobnih podataka potreban [je] radi širenja međunarodne trgovine; [...] zaštita pojedinaca zajamčena u Zajednici ovom Direktivom ne priječi prijenos osobnih podataka trećim zemljama koje osiguravaju odgovarajuću razinu zaštite; [...] odgovarajuća razina zaštite koju pruža treća zemlja procjenjuje [se] ovisno o svim okolnostima oko prijenosa ili skupa postupaka prijenosa;
(57) [...] s druge strane, prijenos osobnih podataka trećoj zemlji koja ne pruža odgovarajuću razinu zaštite mora [se] zabraniti;
[...]
(60) [...] u svakom slučaju prijenos u treće zemlje može [se] izvršiti jedino uz potpuno pošt[o]vanje odred[aba] koje su donijele države članice u skladu s ovom Direktivom, a posebno njenim člankom 8.;
[...]
(62) [...] osnivanje potpuno neovisnih nadzornih tijela u državama članicama osnovni [je] dio zaštite pojedinaca u vezi obrade osobnih podataka;
(63) [...] ta tijela moraju imati potrebna sredstva za izvršavanje svojih dužnosti, uključujući ovlasti istrage i intervencije, posebno u slučajevima žalbi pojedinaca, te ovlasti za sudjelovanje u sudskim postupcima; [...]“
4 Članci 1., 2., 25., 26., 28. i 31. Direktive 95/46 propisuju:
„Članak 1.
Cilj Direktive
1. U skladu s ovom Direktivom, države članice štite temeljna prava i slobode fizičkih osoba, a posebno njihova prava na privatnost u vezi s obradom osobnih podataka.
[...]
Članak 2.
Definicije
U smislu ove Direktive:
(a) ,osobni podaci' znači bilo koji podaci koji se odnose na utvrđenu fizičku osobu ili fizičku osobu koju se može utvrditi (,osoba čiji se podaci obrađuju'); osoba koja se može utvrditi je osoba čiji je identitet moguće utvrditi, izravno ili neizravno, a posebno navođenjem identifikacijskog broja ili jednog ili više činitelja značajnih za njegov fizički, fiziološki, mentalni, gospodarski, kulturni ili socijalni identitet;
(b) ,obrada osobnih podataka' (,obrada') znači bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima, bilo automatskim putem ili ne, kao što je prikupljanje, snimanje, organiziranje, pohrana, prilagođavanje ili mijenjanje, vraćanje, obavljanje uvida, uporaba, otkrivanje prijenosom i širenjem ili stavljanje na raspolaganje drugim načinom, poravnavanje ili kombiniranje, blokiranje, brisanje ili uništavanje;
[...]
(d) ,nadzornik' znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka; kada su svrha i načini obrade utvrđeni nacionalnim zakonodavstvom ili pravom Zajednice, nadzornik ili posebna mjerila za njegovo imenovanje mogu se utvrditi nacionalnim zakonodavstvom ili pravom Zajednice;
[...]
Članak 25.
Načela
1. Države članice osiguravaju da se prijenos osobnih podataka koji se obrađuju ili koje je potrebno obraditi nakon prijenosa trećoj zemlji može izvršiti jedino ako, ne dovodeći u pitanje nacionalne odredbe donesene u skladu s drugim odredbama ove Direktive, te treće zemlje osiguraju odgovarajuću razinu zaštite.
2. Odgovarajuća razina zaštite koju osiguravaju treće zemlje procjenjuje se ovisno o svim okolnostima u vezi s prijenosom podataka ili skupom postupaka prijenosa podataka; posebno se razmatra priroda podataka, svrha i trajanje predloženog postupka ili postupka obrade, država podrijetla i država konačnog odredišta, važeća pravna pravila, kako ona opća, tako i posebna, u toj trećoj zemlji te profesionalna pravila i mjere sigurnosti koje se primjenjuju u toj državi.
3. Države članice i Komisija međusobno se obavješćuju o slučajevima za koje smatraju da treća zemlja ne osigurava odgovarajuću razinu zaštite u smislu stavka 2. ovog članka.
4. Ako Komisija na temelju postupka iz članka 31. stavka 2. ove Direktive utvrdi da treća zemlja ne osigurava odgovarajuću razinu zaštite u smislu stavka 2. ovog članka, države članice poduzimaju mjere potrebne za sprečavanje bilo kakvog prijenosa podataka iste vrste toj trećoj zemlji.
5. Kada je primjereno, Komisija započinje pregovore s ciljem ispravljanja položaja koji je doveo do činjeničnog stanja iz stavka 4. ovog članka.
6. Komisija može u skladu s postupkom iz članka 31. stavka 2. ove Direktive, utvrditi da treća zemlja temeljem domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela, osigurava odgovarajuću razinu zaštite u smislu stavka 2. ovog članka, posebno nakon završetka pregovora iz stavka 5. ovog članka, za zaštitu privatnog života i osnovnih sloboda i prava pojedinaca.
Države članice poduzimaju mjere potrebne za usklađivanje s odlukom Komisije.
Članak 26.
Iznimke
1. Iznimno od članka 25. ove Direktive i ako nacionalno zakonodavstvo za pojedine slučajeve ne propisuje drugačije, države članice osiguravaju da se prijenos ili skup prijenosa osobnih podataka trećoj zemlji koja ne osigurava odgovarajuću razinu zaštite u smislu članka 25. stavka 2. ove Direktive može izvršiti pod uvjetom:
(a) da je osoba čiji se podaci obrađuju dala svoju nedvosmislenu suglasnost predloženom prijenosu; ili
(b) da je prijenos potreban radi izvršenja ugovora između osobe čiji se podaci obrađuju i nadzornika ili provedbe predugovornih mjera poduzetih na zahtjev osobe čiji se podaci obrađuju; ili
(c) da je prijenos potreban za sklapanje ili izvršenje ugovora sklopljenog u interesu osobe čiji se podaci obrađuju između nadzornika i treće stranke; ili
(d) da je prijenos potreban ili propisan zakonom radi važnog javnog interesa ili uspostave, izvršenja ili obrane prava na pravne zahtjeve; ili
(e) da je prijenos potreban kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju; ili
(f) prijenos se obavlja iz evidencije koja u skladu sa zakonima ili propisima treba javnosti pružiti podatke i koja je na raspolaganju javnosti općenito ili svakoj osobi koja može dokazati svoj zakoniti interes u mjeri u kojoj su u određenom slučaju ispunjeni uvjeti u vezi dostupnosti propisani zakonom.
2. Ne dovodeći u pitanje stavak 1. ovog članka, država članica može odobriti prijenos ili skup prijenosa osobnih podataka trećoj zemlji koja ne osigurava odgovarajuću razinu zaštite u smislu članka 25. stavka 2. ove Direktive, kada nadzornik daje dovoljna jamstva u vezi zaštite privatnosti i temeljnih prava i sloboda pojedinaca te u vezi ostvarivanja tih prava; takva jamstva mogu posebno proizlaziti iz odgovarajućih ugovornih klauzula.
3. Države članice obavješćuju Komisiju i druge države članice o odobrenjima koja su izdala u skladu sa stavkom 2. ovog članka.
Ako država članica ili Komisija prigovori iz zakonitih razloga u vezi zaštite privatnosti i temeljnih prava i sloboda pojedinaca, Komisija poduzima odgovarajuće mjere u skladu s postupkom iz članka 31. stavka 2. ove Direktive.
Države članice poduzimaju mjere potrebne za usklađivanje s odlukom Komisije.
[...]
Članak 28.
Nadzorno tijelo
1. Svaka država članica osigurava da je jedno ili više javnih tijela na njenom području odgovorno za nadzor primjene odredbi koje su donijele države članice u skladu s ovom Direktivom.
Ta tijela u provedbi funkcija koje su im povjerene djeluju potpuno neovisno.
2. Svaka država članica osigurava da se pri izradi zakonodavnih i upravnih akata u vezi zaštite prava i sloboda pojedinaca u odnosu na obradu osobnih podataka savjetuju nadzorna tijela.
3. Svako tijelo posebno ima:
– istražne ovlasti, kao što je ovlast pristupa podacima koji su predmet postupaka obrade i ovlasti za prikupljanje svih podataka potrebnih za izvršavanje svojih nadzornih dužnosti,
– učinkovite ovlasti za posredovanje, kao što je na primjer davanje mišljenja prije nego li se izvrše postupci obrade, u skladu s člankom 20. ove Direktive, te osiguranje odgovarajuće objave takvih mišljenja te ovlasti naređivanja blokiranja, brisanja ili uništavanja podataka, nametanja privremene ili konačne zabrane obrade, upozoravanja ili opominjanja nadzornika ili upućivanja predmeta nacionalnim parlamentima ili drugim političkim institucijama,
– ovlast za sudjelovanje u sudskim postupcima ako su prekršene nacionalne odredbe donesene u skladu s ovom Direktivom ili za upoznavanje sudskih tijela tim kršenjima.
Protiv odluka nadzornog tijela mogu se izjaviti žalbe putem sudova.
4. Svako nadzorno tijelo razmatra zahtjeve koje podnese bilo koja osoba ili bilo koja udruga koja zastupa tu osobu, u vezi zaštite njezinih prava i sloboda u odnosu na obradu osobnih podataka. Tu osobu se izvještava o ishodu tog zahtjeva.
Svako nadzorno tijelo posebno razmatra zahtjev za provjeru zakonitosti obrade podataka koji preda bilo koja osoba kada se primjenjuju nacionalne odredbe donesene u skladu s člankom 13. ove Direktive. Osobu se u svakom slučaju obavješćuje da je provjera u tijeku.
[...]
6. Svako nadzorno tijelo je na području svoje države članice nadležno za provedbu ovlasti koje su mu dodijeljene u skladu sa stavkom 3. ovog članka, neovisno o tome koje se nacionalno pravo primjenjuje na tu obradu. Svako tijelo može zatražiti tijelo druge države članice da provodi svoje ovlasti.
[...]
Članak 31.
[...]
2. Prilikom upućivanja na ovaj članak, primjenjuju se članci 4. i 7. Odluke [Vijeća] 1999/468/EZ [od 28. lipnja 1999. o utvrđivanju postupaka za izvršavanje provedbenih ovlasti dodijeljenih Komisiji (SL L 184, str. 23.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 1., svezak 17., str. 36.)], uzimajući u obzir odredbe njezinog članka 8.
[...]“
Odluka 2000/520
5 Odluku 2000/520 donijela je Komisija na temelju članka 25. stavka 6. Direktive 95/46.
6 Uvodne izjave 2., 5. i 8. te odluke glase:
„(2) Komisija može utvrditi da treća zemlja osigurava primjerenu razinu zaštite. U tom se slučaju osobni podaci mogu prenositi iz Države članice a da nisu potrebna dodatna jamstva.
[...]
(5) Trebala bi se postići primjerenu razinu zaštite prijenosa podataka iz Zajednice u Sjedinjene Američke Države koju priznaje ova Odluka, ako organizacije poštuju načela zaštite privatnosti ,sigurne luke' za zaštitu osobnih podataka koji se prenose iz države članice u Sjedinjene Američke Države (u daljnjem tekstu: načela) i često postavljana pitanja koja daju smjernice za provedbu načela koje je izdala Vlada Sjedinjenih Američkih Država 21. srpnja 2000. Nadalje, organizacije bi trebale javno objaviti svoje politike zaštite privatnosti i podlijegati nadležnošću Savezne trgovinske komisije (Federal Trade Commission, FTC), sukladno s odjeljkom 5. Federal Trade Commission Act‑a, koji zabranjuje nepravedne ili prijevarne radnje ili postupke u trgovini ili koje utječu na trgovinu, ili podlijegati nadležnosti nekog drugog državnog tijela koje će učinkovito osigurati usklađenost s načelima koja se provode u skladu s često postavljanim pitanjima.
[...]
(8) U interesu transparentnosti i radi zaštite sposobnost[i] nadležnih tijela u državama članicama da osiguraju zaštitu pojedinaca s obzirom na a obradu njihovih osobnih podataka, potrebno je u ovoj Odluci navesti iznimne okolnosti u kojima suspenzija određenih protoka podataka može biti opravdana, neovisno o pronalaženj[u] primjerene zaštite.“
7 U skladu s člancima 1. do 4. Odluke 2000/520:
„Članak 1.
1. Za potrebe članka 25. stavka 2. Direktive 95/46/EZ, u svim aktivnostima koje su obuhvaćene područjem primjene te Direktive, smatra se da ,načela privatnosti sigurne luke' (u daljnjem tekstu: načela) iz Priloga I. ove Odluke, provedena u skladu sa smjernicama iz često postavljanih pitanja [,frequently asked questions’ (FAQ)] koje je izdalo Ministarstvo trgovine SAD‑a 21. srpnja 2000., navedena u Prilogu II. ove Odluke, osiguravaju primjerenu razinu zaštite osobnih podataka, koji se prenose iz Zajednice u organizacije osnovane u Sjedinjenim Američkim Državama, uzimajući u obzir sljedeće dokumente koje je izdalo Ministarstvo trgovine SAD‑a:
(a) pregled provedbe ,sigurne luke' iz Priloga III.;
(b) memorandum o odštetama za kršenja privatnosti i izričitih ovlasti prema zakonima SAD–a iz Priloga IV.;
(c) pismo od Savezne trgovinske komisije iz Priloga V.;
(d) pismo od Ministarstva prometa SAD‑a iz Priloga VI.
2. Kod svakog prijenosa podataka moraju biti zadovoljeni sljedeći uvjeti:
(a) da je organizacija koja prima podatke nedvosmisleno i javno objavila svoju obvezu da poštuje načela provedena u skladu s često postavljanim pitanjima; i
(b) da organizacija podliježe zakonskim ovlastima nekog vladinog tijela u Sjedinjenim Američkim Državama navedenog u Prilogu VII. ovoj Odluci, ovlaštenog da istražuje pritužbe i da ostvari pravnu zaštitu od nepoštenih ili prijevarnih postupaka, kao i naknadu za pojedince, bez obzira na njihovu zemlju boravišta ili državljanstvo, u slučaju nepridržavanja načela provedenih u skladu s često postavljanim pitanjima.
3. Smatra se da je svaka organizacija ispunila uvjete iz stavka 2. ako sama potvrdi svoje pridržavanje načela provedenih u skladu s često postavljanim pitanjima od datuma kad organizacija obavijesti Ministarstvo trgovine SAD‑a (ili njegova ovlaštenog predstavnika) o javnoj objavi obveze iz stavka 2. točke (a) i o identitetu vladinog tijela iz stavka 2. točke (b).
Članak 2.
Ova se Odluka odnosi samo na primjerenost zaštite koju pružaju načela provedena u skladu s često postavljanim pitanjima u Sjedinjenim Američkim Državama s ciljem ispunjavanja zahtjeva članka 25. stavka 1. Direktive 95/46/EZ i ne utječe na primjenu ostalih odredaba Direktive koje se odnose na obradu osobnih podataka u državama članicama, a osobito na njezin članak 4.
Članak 3.
1. Ne dovodeći u pitanje svoje ovlasti da poduzimaju radnje koje bi osigurale usklađenost s nacionalnim odredbama usvojenima u skladu s odredbama koje nisu iz članka 25. Direktive 95/46/EZ, nadležna tijela država članica mogu iskoristiti svoje postojeće ovlasti da suspendiraju protok podataka prema organizaciji koja je sama potvrdila svoje pridržavanje načela provedenih u skladu s često postavljanim pitanjima, kako bi zaštitila pojedince s obzirom na obradu njihovih osobnih podataka u slučajevima da:
(a) je vladino tijelo u Sjedinjenim Američkim Državama, iz Priloga VII. ove Odluke, ili neovisni mehanizam pravne zaštite u smislu dopisa (a) provedbenih načela iz Priloga I. ove Odluke utvrdilo da organizacija krši načela provedena u skladu s često postavljanim pitanjima; ili
(b) da postoji stvarna vjerojatnost da se krše načela; ako postoje opravdani razlozi da se vjeruje da dotični mehanizam provedbe ne poduzima ili neće poduzeti primjerene i pravovremene korake da razriješi dotični slučaj; ako bi nastavak prijenosa stvorio trenutačnu opasnost da ozbiljno našteti osobama čiji se podaci obrađuju, te ako su nadležna tijela država članica poduzela odgovarajuće napore da u tim okolnostima obavijeste organizaciju i dala joj mogućnost da se očituje.
Suspenzija prestaje važiti čim se osigura primjena načela provedenih u skladu s često postavljanim pitanjima i čim dotično nadležno tijelo u Zajednici bude o tome obaviješteno.
2. Države članice obavješćuju Komisiju bez odlaganja kada se usvoje mjere na temelju stavka 1.
3. Države članice i Komisija obavješćuju jedne druge o slučajevima kada neka radnja tijela odgovornog za osiguranje usklađenosti s načelima provedenima u skladu s često postavljanim pitanjima ne osigura takvu usklađenost.
4. Ako podaci prikupljeni sukladno stavcima 1., 2. i 3. pruže dokaz da neko tijelo odgovorno za osiguranje usklađenosti s načelima provedenima u skladu s često postavljanim pitanjima u Sjedinjenim Američkim Državama stvarno ne izvršava svoju ulogu, Komisija obavješćuje Ministarstvo trgovine SAD‑a i prema potrebi, iznosi prijedloge mjera u skladu s postupkom iz članka 31. Direktive 95/46/EZ radi ukidanja ili suspenzije ove Odluke ili ograničenja njezina područja primjene.
Članak 4.
1. Ova se Odluka može izmijeniti bilo kada uzimajući u obzir iskustva u njezinoj provedbi i/ili ako razinu zaštite koju pružaju načela i često postavljana pitanja usvoji zakonodavstvo SAD‑a. Komisija u svakom slučaju ocjenjuje provedbu ove Odluke na temelju dostupnih informacija tri godine nakon njezina priopćenja državama članicama, te o relevantnim rezultatima izvješćuje Odbor osnovan sukladno s člankom 31. Direktive 95/46/EZ, uključujući sve dokaze koji mogu utjecati na procjenu da odredbe članka 1. ove Odluke pružaju adekvatnu zaštitu u smislu članka 25. Direktive 95/46/EZ te sve dokaze da se ova Odluka provodi na diskriminirajući način.
2. Komisija prema potrebi iznosi nacrt mjera u skladu s postupkom utvrđenim u članku 31. Direktive 95/46/EZ.“
8 Prilog I. Odluci 2000/520 glasi:
„NAČELA PRIVATNOSTI SIGURNE LUKE
koje je izdalo Ministarstvo trgovine SAD‑a 21. srpnja 2000.
[...]
[...] Ministarstvo trgovine izdaje ovaj dokument i često postavljana pitanja (,načela') prema svojoj zakonskoj ovlasti da jača, promiče i razvija međunarodnu trgovinu. Načela su izrađena u dogovoru s gospodarstvenicima i javnošću kako bi se olakšali trgovanje i trgovina između Sjedinjenih Američkih Država i Europske unije. Načela su namijenjena isključivo organizacijama SAD‑a koje primaju osobne podatke iz Europske unije radi kvalificiranja za ,sigurnu luku' i iz nje proizašlog preduvjeta ,primjerenosti' zaštite podataka. Budući da su načela bila namijenjena isključivo u ovu određenu svrhu, njihova primjena u ostale svrhe može biti neprikladna. [...]
Odluke organizacija za kvalificiranje za ,sigurnu luku' potpuno su dobrovoljne, a organizacije se mogu kvalificirati za ,sigurnu luku' na različite načine. [...]
Pridržavanje ovih načela može biti ograničeno: (a) u onoj mjeri koja je potrebna da se ispune uvjeti nacionalne sigurnosti, javnog interesa, ili uvjeti za provedbu zakona; (b) zakonom, vladinom uredbom ili sudskom praksom koji proizvode proturječne obveze ili izričita dopuštenja, ako pri korištenju takvog dopuštenja organizacija može dokazati da je njezino nepošt[o]vanje načela ograničeno u mjeri potrebnoj da se ostvare pretežući zakoniti interesi koje podupire takvo dopuštenje; ili (c) ako direktiva ili nacionalno pravo države članice predviđa iznimke ili odstupanja, uz uvjet da se takve iznimke ili odstupanja primjenjuju u sličnim kontekstima. U skladu s ciljem povećanja zaštite privatnosti, organizacije trebaju nastojati u potpunosti i transparentno provoditi ova načela, uključujući i tako da u svojim postupcima zaštite privatnosti navode kada će se redovito primjenjivati iznimke od načela, dopuštene u gore opisanom slučaju (b). Iz istog razloga, ako je mogućnost odabira dopuštena prema načelima i/ili zakonodavstvu SAD‑a, očekuje se da se organizacije odluče za veću zaštitu tamo gdje je moguće.
[...]“
9 Prilog II. Odluke 2000/520 glasi:
„ČESTO POSTAVLJANA PITANJA
[...]
ČESTO POSTAVLJANO PITANJE 6 – Vlastito potvrđivanje
P: Kako organizacija sama potvrđuje da se pridržava načela ,sigurne luke'?
O: Prednosti ,sigurne luke' osigurane su od datuma kada organizacija sama potvrdi Department of Commercu (ili njegovu ovlaštenom predstavniku) svoje pridržavanje načela u skladu s dolje navedenom smjernicom.
Da bi same potvrdile pridržavanje načela ,sigurne luke', organizacije mogu poslati u Department of Commerce (ili njegovu ovlaštenom predstavniku) pismo koje je potpisao rukovoditelj u ime organizacije koja prihvaća načela ,sigurne luke', a koje mora sadržavati najmanje sljedeće informacije:
1. naziv organizacije, adresu, internetsku adresu, broj telefona i telefaksa;
2. opis aktivnosti organizacije s obzirom na osobne podatke primljene iz EU‑a; i
3. opis politike organizacije u pogledu zaštite privatnosti takvih osobnih podataka, uključujući: (a) gdje javnost može pregledati tu politiku zaštite privatnosti; (b) datum od kojega se provodi; (c) kontaktni ured za rješavanje pritužbi, zahtjeva za pristup i sva ostala pitanja koja proizlaze iz načela ,sigurne luke'; (d) određeno državno tijelo koje je nadležno rješavati pritužbe protiv organizacije u pogledu mogućih nepoštenih ili prijevarnih praksi i kršenja zakona ili propisa koji uređuju privatnost (navedeno u prilogu načelima); (e) naziv programa za zaštitu privatnosti u kojima organizacija sudjeluje kao član; (f) metodu provjere (npr. unutar organizacije, treća osoba) [...]; i (g) neovisni mehanizam pravne zaštite koji je dostupan za istraživanje neriješenih pritužbi.
Ako organizacija želi da njezine pogodnosti ,sigurne luke' obuhvaćaju informacije o ljudskim potencijalima pren[esene] iz EU‑a za korištenje u kontekstu radnog odnosa, može to učiniti ako postoji državno tijelo s nadležnošću da rješava pritužbe protiv organizacije koje proizlaze iz informacija o ljudskim potencijalima, a koje je navedeno u Prilogu načelima. [...]
Department (ili njegov ovlašteni predstavnik) će voditi popis svih organizacija koje pošalju takva pisma, osiguravajući time pogodnosti ,sigurne luke' i ažurirat će takav popis na temelju pisama i obavijesti koje godišnje primi sukladno s često postavljanim pitanjem 11. [...]
[...]
ČESTO POSTAVLJANO PITANJE br. 11 – Rješavanje sporova i provedba
P: Kako treba provoditi zahtjeve načela provedbe o rješavanju sporova i kako će se postupati prema konstantnom neuspjehu organizacije da se pridržava načela?
O: Načelo provedbe navodi zahtjeve za provedbu „sigurne luke”. Kako ispuniti zahtjeve iz točke (b) načela navedeno je u često postavljanom pitanju o provjeri (često postavlj[a]no pitanje 7). Ovo često postavljano pitanje 11 raspravlja o točkama (a) i (c), koje obje traže neovisne mehanizme pravne zaštite. Ti mehanizmi mogu imati različite oblike, ali moraju ispunjavati zahtjeve načela provedbe. Organizacije mogu udovoljiti zahtjevima na sljedeće načine: 1. poštovanjem program[â] privatnosti koje je razvio privatni sektor koji imaju [ugrađena] načela ,sigurne luke' u svoja pravila i koji uključuju učinkovite mehanizme provedbe opisane u načelu provedbe; 2. poštovanjem zakonskih ili regulatornih nadzornih tijela koja predviđaju rješavanje pritužbi pojedinaca i sporova; ili 3. preuzimanjem obveze suradnje s tijelima nadležnima za zaštitu podataka smještenima u Europskoj uniji ili s njihovim ovlaštenim predstavnicima. Ovaj popis trebao bi biti ilustrativan, a ne ograničavajući. Privatni sektor može osmisliti druge mehanizme provedbe sve dok oni ispunjavaju zahtjeve načela provedbe i često postavljanih pitanja. Uzmite u obzir da su zahtjevi iz načela provedbe dodatak zahtjevima utvrđenima u stavku 3. uvoda u načela koji nalažu da samoregulatorni napori moraju biti provedivi prema članku 5. Fed[e]ral Trade Commission Act‑a ili sličnog propisa.
Mehanizmi pravne zaštite
Potrošače treba poticati da podnose pritužbe koje mogu imati na određenu organizaciju prije nego što prijeđu na neovisne mehanizme pravne zaštite. [...]
[...]
Djelovanje Federal Trade Commissiona
Federal Trade Commission obvezao se prioritetno razmatrati proslijeđene obavijesti primljene od organizacija koje same reguliraju privatnost, kao što su BBBOnline i TRUSTe, i od država članica EU‑a o navodnom nepoštovanju načela ,sigurne luke' kako bi utvrdi[o] je li prekršen odjeljak 5. Federal Trade Commission Acta koji zabranjuje nepošteno ili prijevarno djelovanje u trgovini. [...]
[...]“
10 U skladu s Prilogom IV. Odluke 2000/520:
„Odštete za kršenje privatnosti, zakonske ovlasti te spajanja i preuzimanja prema pravu SAD‑a
Ovo je odgovor na zahtjev Europske komisije za objašnjenje prava SAD‑a u odnosu na (a) zahtjeve za odštetu zbog kršenja privatnosti, (b) ,izričite ovlasti' u pravu SAD‑a za uporabu osobnih podataka na način koji je u skladu s načelima ,sigurne luke', te (c) utjecaj spajanja i preuzimanja na obveze preuzete sukladno načelima ,sigurne luke'.
[...]
B. Izričita zakonska ovlaštenja
Načela zaštite privatnosti sadrž[avaju] iznimku ako zakon, propis ili sudska praksa dovode do ,proturječnih obveza ili izričitih ovlaštenja, pod uvjetom da pri korištenju takvog ovlaštenja organizacija može pokazati da je njezino nepošt[o]vanje načela ograničeno u mjeri potrebnoj da bi ispunila više zakonske interese koje podupire takvo ovlaštenje'. Jasno je da ako pravo SAD‑a nameće proturječne obveze, organizacije iz SAD‑a bez obzira na to jesu li u ,sigurnoj luci' ili nisu moraju poštovati zakon. Dok je namjera načela ,sigurne luke' premostiti razlike između američkog i europskog režima zaštite privatnosti, u pogledu izričitih ovlaštenja dužni smo poštovati posebna zakonska prava naših izabranih zakonodavaca. Ograničeno odstupanje od strogog pridržavanja načela ,sigurne luke' usmjereno je na postizanje ravnoteže da bi se zadovoljili zakonski interesi obiju strana.
Iznimka je ograničena na slučajeve kada postoji izričito ovlaštenje. Stoga kad se radi o graničnom slučaju, određeni zakon, propis ili sudska odluka mora odobriti određeno ponašanje organizacija potpisnica sigurnosnih načela. Drugim riječima, iznimka se ne primjenjuje ako zakon [ništa ne kaže] o tome. Osim toga, iznimka se primjenjuje samo [ako je] izričito ovlaštenje proturječno pridržavanj[u] načela ,sigurne luke'. Čak i tada, iznimka ,je ograničena u onoj mjeri koja je to potrebna da bi se ispunili viši zakonski interesi koje podupire takvo ovlaštenje'. Primjera radi, ako zakon posebno ovlašćuje trgovačko društvo da proslijedi osobne podatke vladinome tijelu, iznimka se ne primjenjuje. I obrnuto, ako zakon izričito ovlašćuje trgovačko društvo da proslijedi osobne podatke vladinoj agenciji bez pojedinčeva pristanka, to predstavlja ,izričito ovlaštenje' da postupi na način suprotan ,sigurnoj luci'. Isto tako, određena odstupanja od pozitivnih zahtjeva za obavješćivanje i pristanak [su] iznimka ([jer] je to jednakovrijedno posebnom odobrenju da se podaci otkriju bez obavijesti i pristanka). Na primjer, zakon kojim se ovlašćuje liječnike da daju zdravstvene kartone svojih pacijenata na uvid zdravstvenim službama bez pacijentova prethodnog pristanka mogao bi odobriti izuzeće od načela obavijesti i mogućnosti izbora. Ovo ovlaštenje ne bi do[pušt]alo liječniku da iste zdravstvene kartone da na uvid organizacijama za očuvanje zdravlja ili komercijalnim farmaceutskim istraživačkim laboratorijima jer bi to prelazilo namjere zakonskog odobrenja i stoga bilo izvan područja primjene iznimke [...]. Ova konkretna zakonska ovlast može biti ,samostalno' ovlaštenje da se postupi na određeni način s osobnim podacima, ali, kao što dolje navedeni primjeri pokazuju, veća je vjerojatnost da [će] to b[iti] iznimka od nekog šireg zakona koji zabranjuje prikupljanje, korištenje ili otkrivanje osobnih podataka.
[...]“
Komunikacija Komisije COM(2013) 846 final
11 Komisija je 27. studenoga 2013. objavila Komunikaciju Europskom parlamentu i Vijeću o „Ponovnoj uspostavi povjerenja u protoku podataka između EU‑a i SAD‑a“ (COM(2013) 846 final, u daljnjem tekstu: Komunikacija COM(2013) 846 final). Ta je komunikacija popraćena izvješćem od 27. studenoga 2013. o „nalazima europskih supredsjedatelja ad hoc radne skupine EU‑a i SAD‑a o zaštiti osobnih podataka“ (Report on the Findings by the EU Co‑chairs of the ad hoc EU‑US Working Group on Data Protection). Izvješće je izrađeno, kao što se to navodi u njegovoj točki 1., u suradnji s SAD‑om nastavno na otkriće postojanja brojnih programa nadzora u SAD‑u, uključujući masovno prikupljanje i obradu osobnih podataka. Navedeno izvješće detaljno analizira pravni poredak SAD‑a posebno u odnosu na pravne osnove koje dopuštaju postojanje nadzornih programa te prikupljanje i obradu osobnih podataka od strane tijela SAD‑a.
12 U točki 1. Komunikacije COM(2013) 846 final Komisija navodi da su „[t]rgovinske razmjene predmet [...] Odluke 2000/520/EZ“ dodajući da se „[t]om [...] Odlukom pruža pravna osnova za prijenose osobnih podataka iz EU‑a poduzećima s poslovnim nastanom u SAD‑u koja poštuju načela privatnosti ,sigurne luke'“. Usto, u točki 1. Komisija ističe da protok osobnih podataka sve više dobiva na važnosti, osobito u vezi s razvojem digitalnog gospodarstva koje je dovelo „do eksponencijalnog rasta kvantitete, kvalitete, raznolikosti i prirode aktivnosti u vezi s obradom podataka“.
13 Komisija navodi u točki 2. te komunikacije da je „porasla [...] zabrinutost u vezi s razinom zaštite osobnih podataka građana [Unije] prenesenih u SAD u okviru programa ,sigurne luke'“ te da se „[z]bog dobrovoljne i deklaratorne prirode programa sve [...] veća pažnja pridaje njegovoj transparentnosti i provođenju“.
14 Usto, Komisija u toj točki 2. navodi da „[o]sobnim podacima građana [Unije] koji su poslani u SAD prema ,sigurnoj luci' mogu pristupiti i dalje ih obrađivati tijela SAD‑a na način koji nije u skladu s razlozima na temelju kojih su ti podaci izvorno prikupljeni u [Uniji] te svrhama zbog kojih su preneseni u SAD“ te da je „[v]ećina internetskih poduzeća iz SAD‑a za koje se čini da se na njih ti programi [nadzora] izravnije odnose certificirana [...] prema programu ,sigurne luke'“.
15 Komisija u točki 3.2. Komunikacije COM(2013) 846 final navodi niz slabosti u vezi s provedbom Odluke 2000/520. Komisija ističe, s jedne strane, da certificirana poduzeća iz SAD‑a ne poštuju načela iz članka 1. stavka 1. Odluke 2000/520 (u daljnjem tekstu: načela „sigurne luke“) te da bi se poboljšanja te odluke trebala odnositi na „strukturne nedostatke koji se odnose na transparentnost i provedbu, bitna načela ,sigurne luke' i funkcioniranje iznimke u vezi s nacionalnom sigurnošću“. S druge strane, Komisija primjećuje da „,[s]igurna luka' djeluje i kao posrednik za prijenos osobnih podataka građana EU‑a iz [Unije] prema SAD‑u od strane poduzeća koja su dužna predati podatke obavještajnim agencijama SAD‑a u okviru programa prikupljanja obavještajnih podataka koje provodi SAD“.
16 Komisija u istoj točki 3.2. zaključuje da „[s] obzirom na utvrđene slabosti, trenutačnu provedbu ,sigurne luke' nije moguće zadržati. Međutim, njezino bi ukidanje negativno utjecalo na interese poduzeća u EU‑u i SAD‑u koja su članovi tog programa“. Naposljetku, Komisija u istoj točki 3.2. dodaje da „će hitno kontaktirati tijela SAD‑a kako bi raspravili o utvrđenim nedostacima“.
Komunikacija COM(2013) 847 final
17 Komisija je 27. studenoga 2013. objavila i Komunikaciju Europskom parlamentu i Vijeću o funkcioniranju „sigurne luke” iz perspektive građana EU‑a i poduzeća s poslovnim nastanom u Europskoj uniji (COM(2013) 847 final, u daljnjem tekstu: Komunikacija COM(2013) 847 final). Kao što to proizlazi iz točke 1. te komunikacije, ona je utemeljena na informacijama dobivenima u okviru ad hoc radne skupine Europske unije i SAD‑a te se nastavlja na dva izvješća Komisije iz 2002. i 2004.
18 Točka 1. te komunikacije navodi da se funkcioniranje Odluke 2000/520 „oslanja [...] na preuzimanje obveza i samocertificiranje poduzeća koja se pridržavaju načela“ i dodaje da „[p]rihvaćanje [...] tih aranžmana [jest] dobrovoljno, ali su pravila obvezujuća za one koji ih prihvate“.
19 Usto, iz točke 2.2. Komunikacije COM(2013) 847 final proizlazi da je na dan 26. rujna 2013. broj certificiranih poduzeća iz brojnih gospodarskih i uslužnih sektora iznosio 3246. Ta su poduzeća uglavnom pružala usluge na unutarnjem tržištu Unije, osobito u internetskom sektoru, a dio njih su bila poduzeća Unije s društvima kćerima u SAD‑u. Dio tih poduzeća obrađuje podatke svojih zaposlenika u Europi koji se prenose u SAD za potrebe ljudskih potencijala.
20 Komisija u toj točki 2.2. naglašava da „[b]ilo kakvi nedostaci u transparentnosti i provedbi od strane SAD‑a dovode do prebacivanja odgovornosti na europska tijela za zaštitu podataka i na poduzeća koja koriste program“.
21 Iz točaka 3. do 5. i 8. Komunikacije COM(2013) 847 final proizlazi da u praksi značajan broj certificiranih poduzeća djelomično ili u cijelosti ne poštuje načela „sigurne luke”.
22 Usto, Komisija u točki 7. te komunikacije navodi da „su sva poduzeća uključena u program PRISM [program masovnog prikupljanja informacija], koja nadležnim tijelima SAD‑a omogućavaju pristup pohranjenim i obrađenim podacima u SAD‑u, članovi ,sigurne luke'“ te da je taj program „jed[an] od kanala kojim je obavještajnim agencijama SAD‑a omogućen pristup prikupljanju podataka koji su prvotno obrađeni u [Uniji]“. Komisija u tom pogledu navodi u točki 7.1. navedene komunikacije „da u zakonima SAD‑a postoji niz pravnih osnova na temelju kojih je dopušteno masovno prikupljanje i obrada osobnih podataka koje poduzeća iz SAD‑a pohranjuju ili na drugi način obrađuju“ te da „[m]asovni razmjer tih programa može dovesti do toga da agencije SAD‑a pristupaju podacima prenesenima u sklopu ,sigurne luke' i dalje ih obrađuju izvan okvira onoga što je nužno potrebno i razmjerno u odnosu na zaštitu nacionalne sigurnosti, kako je predviđeno izuzećem iz Odluke [2000/520]“.
23 Komisija naglašava u točki 7.2., naslovljenoj „[O]graničenja i mogućnosti pravne zaštite“, Komunikacije COM(2013) 847 final da „se zaštita koju pružaju zakoni SAD‑a odnosi uglavnom na državljane SAD‑a ili osobe s dozvolom boravka u SAD‑u“ te da „ne postoje mogućnosti da osobe čiji se podaci obrađuju, bilo iz [Unije] ili SAD‑a, dobiju mogućnost pristupa, ispravljanja ili brisanja podataka ili [upravnu] ili sudsku pravnu zaštitu u vezi s prikupljanjem i daljnjom obradom njihovih osobnih podataka koja se odvija u okviru programa nadzora SAD‑a“.
24 U točki 8. Komunikacije COM(2013) 847 final navodi se da se među certificiranim poduzećima nalaze „[i]nternetska poduzeća kao što su Google, Facebook, Microsoft, Apple i Yahoo“ koji „imaju stotine milijuna klijenata u Europi“ i prenose osobne podatke na obradu u SAD.
25 Komisija u toj točki 8. zaključuje da „masovni razmjer pristupa obavještajnih agencija podacima koje u SAD prenose certificirana poduzeća ,sigurne luke' izaziva dodatna ozbiljna pitanja o kontinuitetu prava na zaštitu podataka Europljana pri prijenosu njihovih podataka u SAD“.
Glavni postupak i prethodna pitanja
26 M. Schrems austrijski je državljanin s boravištem u Austriji koji je od 2008. korisnik društvene mreže Facebook (u daljnjem tekstu: Facebook).
27 Svaka osoba s boravištem na državnom području Unije koja se želi koristiti Facebookom dužna je prilikom registriranja sklopiti ugovor s Facebookom Ireland, društvom kćeri Facebooka Inc. koji ima sjedište u SAD‑u. Osobni podaci korisnika Facebooka koji borave na državnom području Unije prenose se u cijelosti ili djelomično na poslužitelje koji pripadaju Facebooku Inc., koji su smješteni na državnom području SAD‑a, gdje su predmet obrade.
28 M. Schrems uputio je 25. lipnja 2013. pritužbu povjereniku kojom je u biti od njega zatražio da provede svoje zakonske ovlasti i zabrani Facebooku Ireland da prenosi osobne podatke u SAD. On je u pritužbi tvrdio da važeće pravo i praksa u toj zemlji ne jamče dovoljnu razinu zaštite osobnih podataka pohranjenih na njezinu državnom području od nadzornih aktivnosti koje tamo provode javna tijela. U tom je pogledu M. Schrems uputio na otkrića Edwarda Snowdena u vezi s aktivnostima obavještajnih službi SAD‑a, posebice National Security Agencyja (u daljnjem tekstu: NSA).
29 Smatrajući da nije bio dužan provesti istragu o činjenicama koje je M. Schrems naveo u svojoj pritužbi, povjerenik ju je odbio kao neosnovanu. Povjerenik je smatrao da nisu postojali dokazi da je NSA pristupila osobnim podacima zainteresirane osobe. Povjerenik je dodao da prigovori u pritužbi M. Schremsa nisu mogli biti valjano istaknuti jer je o svakom pitanju u vezi s odgovarajućom zaštitom osobnih podataka u SAD‑u trebalo odlučiti u skladu s Odlukom 2000/520 te da je Komisija u toj odluci utvrdila da SAD osigurava odgovarajuću razinu zaštite.
30 M. Schrems podnio je tužbu pred High Courtom (Visoki sud) protiv predmetne odluke u glavnom postupku. Nakon ispitivanja dokaza koje su podnijele stranke u glavnom postupku, taj je sud utvrdio da su elektronički nadzor i presretanje osobnih podataka prenesenih iz Unije u SAD ispunjavali nužne i neophodne svrhe u javnom interesu. Ipak, navedeni je sud dodao da su otkrića E. Snowdena pokazala da su NSA i druga savezna tijela izvršili „značajna prekoračenja“.
31 Međutim, prema mišljenju tog suda, građani Unije ne raspolažu nikakvim djelotvornim pravom na saslušanje. Nadzor aktivnosti obavještajnih službi provodi se u okviru tajnog nekontradiktornog postupka. Nakon prenošenja osobnih podataka u SAD, NSA i druga savezna tijela, kao što je to Federal Bureau of Investigation (FBI), mogu pristupiti tim podacima u okviru provedbe nadzora i masovnog neselektivnog presretanja.
32 High Court (Visoki sud) je utvrdio da irsko pravo zabranjuje prijenos osobnih podataka izvan nacionalnog državnog područja, osim u slučajevima kada predmetna treća zemlja osigurava odgovarajuću razinu zaštite privatnog života te temeljnih prava i sloboda. Važnost pravâ na poštovanje privatnog života i nepovredivost doma, koje jamči irski ustav, zahtijeva da svako miješanje u ta prava bude proporcionalno i usklađeno sa zahtjevima predviđenima zakonom.
33 Međutim, masovan i neselektivan pristup osobnim podacima očito je protivan načelu proporcionalnosti i temeljnim vrijednostima koje su zaštićene irskim ustavom. Kako bi se presretanja elektroničkih komunikacija mogla smatrati usklađenima s tim ustavom, potrebno je dokazati da su ta presretanja ciljana, da je nadzor određenih osoba ili određenih skupina osoba objektivno opravdan u interesu nacionalne sigurnosti ili suzbijanja kriminaliteta te da postoje odgovarajuća i provjerljiva jamstva. Stoga High Court (Visoki sud) smatra da, iako se predmet u glavnom postupku mora riješiti samo na temelju irskog prava, valja ustvrditi da je, s obzirom na postojanje ozbiljne sumnje osigurava li SAD odgovarajuću razinu zaštite osobnih podataka, povjerenik trebao provesti istragu o činjenicama na koje je ukazao M. Schrems u svojoj pritužbi, koju je povjerenik neopravdano odbio.
34 Međutim, High Court (Visoki sud) smatra da se taj predmet odnosi na provedbu prava Unije u smislu članka 51. Povelje, na način da se zakonitost odluke o kojoj je riječ u glavnom postupku mora ocijeniti s obzirom na pravo Unije. Ali, prema mišljenju tog suda, Odluka 2000/520 nije ispunila ni zahtjeve koji proizlaze iz članaka 7. i 8. Povelje, ni načela koja je utvrdio Sud u presudi Digital Rights Ireland i dr. (C‑293/12 i C‑594/12, EU:C:2014:238). Pravo na poštovanje privatnog života, zajamčeno u članku 7. Povelje i u temeljnim vrijednostima koje su zajedničke tradicijama država članica, ne bi imalo učinka ako bi javne vlasti bile ovlaštene nasumično i općenito pristupati elektroničkim komunikacijama, a da ne postoji nikakvo objektivno opravdanje utemeljeno na razlozima nacionalne sigurnosti ili sprečavanja kriminaliteta koji su posebno povezani s dotičnim pojedincima i da te prakse nisu popraćene odgovarajućim i provjerljivim jamstvima.
35 High Court (Visoki sud) također primjećuje da M. Schrems u svojoj tužbi zapravo osporava zakonitost sustava „sigurne luke“ uspostavljenog Odlukom 2000/520, na koju upućuje odluka o kojoj je riječ u glavnom postupku. Stoga, iako M. Schrems nije formalno osporio valjanost ni Direktive 95/46 ni Odluke 2000/520, prema mišljenju tog suda postavlja se pitanje je li zbog članka 25. stavka 6. te direktive povjerenik bio vezan Komisijinim utvrđenjem u toj odluci, prema kojem SAD osigurava odgovarajuću razinu zaštite, ili je članak 8. Povelje ovlastio povjerenika da se po potrebi ogradi od takve tvrdnje.
36 U tim je okolnostima High Court (Visoki sud) odlučio prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:
„1. S obzirom na članke 7., 8. i 47. Povelje i ne dovodeći u pitanje odredbe članka 25. stavka 6. Direktive 95/46, je li prilikom odlučivanja o pritužbi u vezi s prenošenjem osobnih podataka u treću zemlju (u ovom slučaju SAD), u kojoj podnositelj pritužbe tvrdi da pravo i praksa ne pružaju odgovarajuću zaštitu osobi čiji se podaci obrađuju, neovisni povjerenik koji je zadužen za primjenu zakonodavstva o zaštiti podataka apsolutno vezan suprotnim stavom Unije koji je sadržan u Odluci 2000/520?
2. Ako nije, može li ili mora li provesti vlastitu istragu vodeći se činjeničnim razvojem događaja od kad je Komisijina odluka bila prvi puta objavljena?“
O prethodnim pitanjima
37 Svojim prethodnim pitanjima, koja valja ispitati zajedno, sud koji je uputio zahtjev u biti pita treba li i u kojoj mjeri članak 25. stavak 6. Direktive 95/46, promatran u svjetlu članaka 7., 8. i 47. Povelje, tumačiti na način da odluka donesena na temelju te odredbe, kao što je to Odluka 2000/520 kojom Komisija utvrđuje da treća zemlja osigurava odgovarajuću razinu zaštite, onemogućava nadzorno tijelo države članice u smislu članka 28. te direktive da ispita zahtjev osobe u vezi sa zaštitom njezinih prava i sloboda u pogledu obrade osobnih podataka koji se nju odnose i koji su preneseni iz države članice u tu treću zemlju, a nastavno na navode te osobe da važeće pravo i praksa u toj trećoj zemlji ne osiguravaju odgovarajuću razinu zaštite.
Ovlasti nacionalnih nadzornih tijela u smislu članka 28. Direktive 95/46 kada postoji Komisijina odluka donesena na temelju članka 25. stavka 6. te direktive
38 Uvodno valja podsjetiti da se odredbe Direktive 95/46, koje uređuju obradu osobnih podataka koja može povrijediti temeljne slobode i osobito pravo na privatnost, nužno moraju tumačiti u svjetlu temeljnih prava koja su zajamčena Poveljom (vidjeti presude Österreichischer Rundfunk i dr., C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, t. 68.; Google Spain i Google, C‑131/12, EU:C:2014:317, t. 68., kao i Ryneš, C‑212/13, EU:C:2014:2428, t. 29.).
39 Iz članka 1., kao i uvodnih izjava 2. i 10., Direktive 95/46 proizlazi da ona nastoji ne samo zajamčiti učinkovitu i potpunu zaštitu temeljnih prava i sloboda fizičkih osoba, a posebno temeljnog prava na poštovanje privatnosti u vezi s obradom osobnih podataka, nego i visoku razinu zaštite tih temeljnih prava i sloboda. Važnost kako temeljnog prava na poštovanje privatnog života, zajamčenog u članku 7. Povelje, tako i temeljnog prava na zaštitu osobnih podataka, zajamčenog u članku 8. Povelje, naglašava i sudska praksa Suda (vidjeti presude Rijkeboer, C‑553/07, EU:C:2009:293, t. 47.; Digital Rights Ireland i dr., C‑293/12 i C‑594/12, EU:C:2014:238, t. 53., kao i Google Spain i Google, C‑131/12, EU:C:2014:317, t. 53., 66. i 74. i navedenu sudsku praksu).
40 Kad je riječ o ovlastima kojima raspolažu nacionalna nadzorna tijela u pogledu prijenosa osobnih podataka u treće zemlje, valja navesti da članak 28. stavak 1. Direktive 95/46 obvezuje države članice da osnuju jedno ili više nacionalnih nadzornih tijela koja potpuno neovisno nadziru poštovanje pravila Unije o zaštiti fizičkih osoba u vezi s obradom takvih podataka. Taj zahtjev također proizlazi iz primarnog prava Unije, osobito iz članka 8. stavka 3. Povelje i članka 16. stavka 2. UFEU‑a (vidjeti u tom smislu presude Komisija/Austrija, C‑614/10, EU:C:2012:631, t. 36., i Komisija/Mađarska C‑288/12, EU:C:2014:237, t. 47.).
41 Jamstvo neovisnosti nacionalnih nadzornih tijela nastoji osigurati učinkovitost i pouzdanost nadzora poštovanja odredaba u području zaštite fizičkih osoba u pogledu obrade osobnih podataka i treba se tumačiti u svjetlu tog cilja. Ono je uspostavljeno kako bi ojačalo zaštitu osoba i tijela na koja se odnose odluke tih nacionalnih nadzornih tijela. Stoga je uspostava neovisnih nadzornih nacionalnih tijela u državama članicama, kao što se to navodi u uvodnoj izjavi 62. Direktive 95/46, osnovni dio poštovanja zaštite pojedinaca u vezi s obradom osobnih podataka (vidjeti presude Komisija/Njemačka, C‑518/07, EU:C:2010:125, t. 25. kao i Komisija/Mađarska C‑288/12, EU:C:2014:237, t. 48. i navedenu sudsku praksu).
42 Kako bi se zajamčila ta zaštita, nacionalna nadzorna tijela moraju posebno osigurati pravednu ravnotežu između, s jedne strane, poštovanja temeljnog prava na privatnost i, s druge strane, interesa koji zahtijevaju slobodno kretanje osobnih podataka (vidjeti u tom smislu presude Komisija/Njemačka, C‑518/07, EU:C:2010:125, t. 24., i Komisija/Mađarska C‑288/12, EU:C:2014:237, t. 51.).
43 Ta tijela u tu svrhu raspolažu širokim rasponom ovlasti, indikativno navedenih u članku 28. stavku 3. Direktive 95/46, koje predstavljaju sva nužna sredstva za provedbu njihovih zadaća, kao što se to naglašava u uvodnoj izjavi 63. te direktive. Zato navedena tijela imaju istražne ovlasti, kao što su to ovlasti za prikupljanje svih podataka potrebnih za izvršavanje njihovih nadzornih dužnosti, učinkovite ovlasti za posredovanje, kao što je to nametanje privremene ili konačne zabrane obrade, ili ovlasti za sudjelovanje u sudskim postupcima.
44 Doista, iz članka 28. stavaka 1. i 6. Direktive 95/46 proizlazi da se ovlasti nacionalnih nadzornih tijela odnose na obrade osobnih podataka koje se provode na državnom području države članice u kojoj se nalaze ta tijela, pa stoga na temelju tog članka 28. ne raspolažu ovlastima u pogledu obrada takvih podataka koje su provedene na državnom području treće zemlje.
45 Međutim, postupak prijenosa osobnih podataka iz države članice u treću zemlju jest obrada osobnih podataka u smislu članka 2. točke (b) Direktive 95/46 (vidjeti u tom smislu presudu Parlament/Vijeće i Komisija, C‑317/04 i C‑318/04, EU:C:2006:346, t. 56.) koja je provedena na državnom području države članice. Naime, ta odredba definira „obradu osobnih podataka“ kao „bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima, bilo automatskim putem ili ne“, te kao primjer navodi „otkrivanje prijenosom i širenjem ili stavljanje na raspolaganje drugim načinom“.
46 Uvodna izjava 60. Direktive 95/46 navodi da se prijenos u treće zemlje može izvršiti jedino uz potpuno poštovanje odredaba koje su donijele države članice u skladu s tom direktivom. U tom je pogledu poglavlje IV. navedene direktive, koje sadržava članke 25. i 26., uspostavilo sustav kojim se nastoji osigurati nadzor država članica nad prijenosom osobnih podataka u treće zemlje. Taj sustav dopunjuje opći sustav uspostavljen poglavljem II. te iste direktive kojim se propisuju opća pravila o zakonitosti obrade osobnih podataka (vidjeti u tom smislu presudu Lindqvist, C‑101/01, EU:C:2003:596, t. 63.).
47 Budući da su nacionalna nadzorna tijela, u skladu s člankom 8. stavkom 3. Povelje i člankom 28. Direktive 95/46, zadužena za nadzor poštovanja Unijinih pravila o zaštiti fizičkih osoba u vezi s obradom osobnih podataka, svako od tih tijela nadležno je stoga za provjeru poštuje li prijenos osobnih podataka iz države članice, u kojoj se ta tijela nalaze, u treću zemlju zahtjeve utvrđene u Direktivi 95/46.
48 Navodeći u uvodnoj izjavi 56. da su prijenosi osobnih podataka iz država članica u treće zemlje potrebni radi širenja međunarodne trgovine, Direktiva 95/46 u svom članku 25. stavku 1. postavlja kao načelo da se takav prijenos može izvršiti samo ako te treće zemlje osiguravaju odgovarajuću razinu zaštite.
49 Usto, uvodna izjava 57. navedene direktive navodi da se moraju zabraniti prijenosi osobnih podataka trećoj zemlji koja ne pruža odgovarajuću razinu zaštite.
50 Radi nadzora prijenosa osobnih podataka u treće zemlje s obzirom na razinu osigurane zaštite tih podataka u svakoj od tih zemalja, članak 25. Direktive 95/46 propisuje niz obveza država članica i Komisije. Iz tog članka osobito proizlazi da utvrđenje osigurava li ili ne osigurava treća zemlja odgovarajuću razinu zaštite mogu donijeti ili države članice ili Komisija, kao što to navodi nezavisni odvjetnik u točki 86. svojeg mišljenja.
51 Komisija može na temelju članka 25. stavka 6. Direktive 95/46 donijeti odluku kojom se utvrđuje da treća zemlja osigurava odgovarajuću razinu zaštite. U skladu s drugim podstavkom te odredbe, takva je odluka upućena državama članicama, koje su dužne poduzeti mjere potrebne za usklađivanje s tom odlukom. Na temelju članka 288. četvrtog stavka UFEU‑a, odluka je obvezujuća za sve države članice kojima je upućena te je, dakle, obvezujuća za sva njihova tijela (vidjeti u tom smislu presude Albako Margarinefabrik, 249/85, EU:C:1987:245, t. 17., i Mediaset, C‑69/13, EU:C:2014:71, t. 23.) jer se njome dopuštaju prijenosi osobnih podataka iz država članica u treće zemlje na koje se odnosi ta odluka.
52 Na taj način, sve dok Komisijinu odluku Sud ne proglasi nevaljanom, države članice i njihova tijela, uključujući neovisna nadzorna tijela, ne mogu donositi mjere koje su suprotne toj odluci, kao što su to akti kojima se s obvezujućim učinkom utvrđuje da treće zemlje na koje se odnosi ta odluka ne osiguravaju odgovarajuću razinu zaštite. Naime, akti Unijinih institucija načelno uživaju presumpciju zakonitosti i stoga proizvode pravne učinke sve dok ih se ne povuče, poništi u okviru tužbe za poništenje ili proglasi nevaljanim povodom zahtjeva za prethodnu odluku ili prigovora nezakonitosti (presuda Komisija/Grčka, C‑475/01, EU:C:2004:585, t. 18. i navedena sudska praksa).
53 Međutim, Komisijina odluka donesena na temelju članka 25. stavka 6. Direktive 95/46, kao što je to Odluka 2000/520, ne može spriječiti osobe čiji su osobni podaci preneseni ili bi mogli biti preneseni u treću zemlju da podnesu zahtjev nacionalnim nadzornim tijelima, u smislu članka 28. stavka 4. te direktive, u vezi sa zaštitom svojih prava i sloboda u odnosu na obradu tih podataka. Također, odluka takve naravi ne može, kao što je to naveo nezavisni odvjetnik osobito u točkama 61., 93. i 116. svojeg mišljenja, ni ukinuti ni smanjiti ovlasti koje članak 8. Povelje i članak 28. navedene direktive izričito priznaju nacionalnim nadzornim tijelima.
54 Ni članak 8. stavak 3. Povelje, ni članak 28. Direktive 95/46 ne isključuju iz područja nadležnosti nacionalnih nadzornih tijela nadzor prijenosa osobnih podataka u treće zemlje koje su predmet Komisijine odluke na temelju članka 25. stavka 6. te direktive.
55 Posebice, članak 28 stavak 4. podstavak prvi Direktive 95/46, koji propisuje da nacionalno nadzorno tijelo razmatra zahtjeve „koje podnese bilo koja osoba [...] u vezi zaštite njezinih prava i sloboda u odnosu na obradu osobnih podataka“, ne predviđa nikakvu iznimku u tom pogledu u slučaju da je Komisija bila donijela odluku na temelju članka 25. stavka 6. te direktive.
56 Usto, bilo bi protivno sustavu koji je uspostavljen Direktivom 95/46, kao i svrsi njezinih članaka 25. i 28., da Komisijina odluka donesena na temelju članka 25. stavka 6. navedene direktive onemogućava nacionalno nadzorno tijelo da ispita zahtjev osobe u vezi sa zaštitom njezinih prava i sloboda u pogledu obrade njezinih osobnih podataka koji su preneseni ili bi mogli biti preneseni iz države članice u treću zemlju na koju se odnosi ta odluka.
57 Nasuprot tomu, članak 28. Direktive 95/46 primjenjuje se po svojoj naravi na svaku obradu osobnih podataka. Zato, čak i kad postoji Komisijina odluka donesena na temelju članka 25. stavka 6. te direktive, nacionalna nadzorna tijela kod razmatranja zahtjeva, koji podnese bilo koja osoba u vezi sa zaštitom njezinih prava i sloboda u odnosu na obradu osobnih podataka koji se na nju odnose, moraju imati mogućnost potpuno neovisno ispitati poštuje li prijenos tih podataka zahtjeve utvrđene u navedenoj direktivi.
58 U protivnom bi osobama čiji su osobni podaci preneseni ili bi mogli biti preneseni u dotičnu treću zemlju bilo oduzeto pravo, zajamčeno u članku 8. stavcima 1. i 3. Povelje, na podnošenje zahtjeva za zaštitu njihovih temeljnih prava nacionalnim nadzornim tijelima (vidjeti analogijom presudu Digital Rights Ireland i dr., C‑293/12 i C‑594/12, EU:C:2014:238, t. 68.).
59 Zahtjev u smislu članka 28. stavka 4. Direktive 95/46 u kojem osoba čiji su osobni podaci preneseni ili bi mogli biti preneseni u treću zemlju navodi, kao što to čini u predmetu u glavnom postupku, da važeće pravo i praksa u toj zemlji ne osiguravaju odgovarajuću razinu zaštite, neovisno o Komisijinom utvrđenju u odluci donesenoj na temelju članka 25. stavka 6. te direktive, valja shvatiti na način da se u biti odnosi na usklađenost te odluke sa zaštitom privatnosti i temeljnih prava i sloboda pojedinaca.
60 U tom pogledu treba podsjetiti na ustaljenu sudsku praksu Suda prema kojoj je Unija Unija prava u kojoj su njezine institucije podvrgnute nadzoru usklađenosti svojih akata s, među ostalim, Ugovorima, općim načelima prava kao i temeljnim pravima (vidjeti u tom smislu presude Komisija i dr./Kadi, C‑584/10 P, C‑593/10 P i C‑595/10 P, EU:C:2013:518, t. 66.; Inuit Tapiriit Kanatami i dr./Parlament i Vijeće, C‑583/11 P, EU:C:2013:625, t. 91., kao i Telefónica/Komisija, C‑274/12 P, EU:C:2013:852, t. 56.). Dakle, Komisijine odluke donesene na temelju članka 25. stavka 6. Direktive 95/46 ne mogu izbjeći taj nadzor.
61 S obzirom na navedeno, jedino je Sud nadležan za proglašavanje nevaljanim akta Unije, kao što je to Komisijina odluka donesena na temelju članka 25. stavka 6. Direktive 95/46, a svrha te isključive nadležnosti jest jamstvo pravne sigurnosti kroz osiguranje ujednačene primjene prava Unije (vidjeti presude Melki i Abdeli, C‑188/10 i C‑189/10, EU:C:2010:363, t. 54., kao i CIVAD, C‑533/10, EU:C:2012:347, t. 40.).
62 Iako nacionalni sudovi dakako imaju pravo ispitati valjanost akta Unije, kao što je to Komisijina odluka donesena na temelju članka 25. stavka 6. Direktive 95/46, oni ipak nemaju ovlasti da sâmi proglase nevaljanost takvog akta (vidjeti u tom smislu presude Foto‑Frost, 314/85, EU:C:1987:452, t. 15. do 20., kao i IATA i ELFAA, C‑344/04, EU:C:2006:10, t. 27.). A fortiori, kod ispitivanja zahtjeva u smislu članka 28. stavka 4. te direktive, koji se odnosi na usklađenost Komisijine odluke donesene na temelju članka 25. stavka 6. navedene direktive sa zaštitom privatnosti i temeljnih prava i sloboda pojedinaca, nacionalna nadzorna tijela nemaju pravo sâma utvrditi nevaljanost takve odluke.
63 S obzirom na ta razmatranja, kada osoba čiji su osobni podaci preneseni ili bi mogli biti preneseni u treću zemlju na koju se odnosi Komisijina odluka na temelju članka 25. stavka 6. Direktive 95/46, podnese zahtjev nacionalnom nadzornom tijelu u vezi sa zaštitom svojih prava i sloboda u odnosu na obradu tih podataka i tom prilikom osporava, kao što je to slučaj u predmetu u glavnom postupku, usklađenost te odluke sa zaštitom privatnosti i temeljnih prava i sloboda pojedinaca, to tijelo mora ispitati navedeni zahtjev sa svom dužnom pažnjom.
64 U slučaju da navedeno tijelo zaključi da su elementi koji su istaknuti u prilog takvom zahtjevu neosnovani i zbog toga odbije taj zahtjev, osoba koja je podnijela navedeni zahtjev mora imati pristup, kao što to proizlazi iz članka 28. stavka 3. drugog podstavka Direktive 95/46, povezano s člankom 47. Povelje, sudskim pravnim sredstvima koja joj omogućuju pobijanje pred nacionalnim sudovima takve odluke kojom je oštećena. S obzirom na sudsku praksu navedenu u točkama 61. i 62. ove presude, ti sudovi moraju prekinuti postupak i obratiti se Sudu putem postupka povodom prethodnog pitanja koje se tiče valjanosti kada smatraju da su osnovani jedan ili više razloga nevaljanosti na koje se pozovu stranke ili, ako je primjenjivo, na koje sud pazi po službenoj dužnosti (vidjeti u tom smislu presudu T & L Sugars i Sidul Açúcares/Komisija, C‑456/13 P, EU:C:2015:284, t. 48. i navedenu sudsku praksu).
65 U protivnom slučaju, kada navedeno tijelo smatra da su prigovori osobe koja je podnijela zahtjev u vezi sa zaštitom svojih prava i sloboda u odnosu na obradu osobnih podataka osnovani, to isto tijelo mora u skladu s člankom 28. stavkom 3. prvim podstavkom trećom alinejom Direktive 95/46, povezano osobito s člankom 8. stavkom 3. Povelje, imati ovlasti za sudjelovanje u sudskim postupcima. U tom je pogledu nacionalni zakonodavac dužan predvidjeti pravna sredstva koja neovisnom nadzornom tijelu omogućavaju isticanje prigovora pred nacionalnim sudovima koje smatra osnovanima, kako bi ti sudovi mogli, u slučaju da dijele sumnje tog tijela u vezi s valjanošću Komisijine odluke, uputiti zahtjev za prethodnu odluku radi ispitivanja valjanosti te odluke.
66 S obzirom na prethodna razmatranja, na postavljena pitanja valja odgovoriti da članak 25. stavak 6. Direktive 95/46, tumačen u svjetlu članaka 7., 8. i 47. Povelje, treba tumačiti na način da odluka donesena na temelju te odredbe, kao što je to Odluka 2000/520 kojom Komisija utvrđuje da treća zemlja osigurava odgovarajuću razinu zaštite, ne onemogućava nadzorno tijelo države članice u smislu članka 28. te direktive da ispita zahtjev osobe u vezi sa zaštitom njezinih prava i sloboda u pogledu obrade osobnih podataka koji se nju odnose i koji su preneseni iz države članice u tu treću zemlju, a nastavno na navode te osobe da važeće pravo i praksa u toj trećoj zemlji ne osiguravaju odgovarajuću razinu zaštite.
Valjanost Odluke 2000/520
67 Kao što to proizlazi iz objašnjenja suda koji je uputio zahtjev u vezi s upućenim pitanjima, M. Schrems tvrdi u glavnom postupku da pravo i praksa u SAD‑u ne osiguravaju odgovarajuću razinu zaštite u smislu članka 25. Direktive 95/46. Kao što je to naveo nezavisni odvjetnik u točkama 123. i 124. svojeg mišljenja, M. Schrems izražava sumnje, za koje se čini da ih dijeli i taj sud, o valjanosti Odluke 2000/520. U tim okolnostima i s obzirom na utvrđenja iz točaka 60. do 63. ove presude, a u cilju davanja potpunog odgovora navedenom sudu, valja ispitati je li ta odluka usklađena sa zahtjevima koji proizlaze iz te direktive, tumačene u svjetlu Povelje.
Zahtjevi koji proizlaze iz članka 25. stavka 6. Direktive 95/46
68 Kao što je to već navedeno u točkama 48. i 49. ove presude, članak 25. stavak 1. Direktive 95/46 zabranjuje prijenose osobnih podataka trećoj zemlji koja ne osigurava odgovarajuću razinu zaštite.
69 Međutim, u svrhu nadzora takvih prijenosa, članak 25. stavak 6. prvi podstavak te direktive propisuje da Komisija „može [...] utvrditi da treća zemlja temeljem domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela osigurava odgovarajuću razinu zaštite u smislu stavka 2. [tog] članka [...] za zaštitu privatnog života i osnovnih sloboda i prava pojedinaca“.
70 Doista, ni članak 25. stavak 2. Direktive 95/46, ni ijedna druga njezina odredba ne sadržavaju definiciju pojma „odgovarajuća razina zaštite“. Naime, članak 25. stavak 2. navedene direktive ograničava se na utvrđivanje da se odgovarajuća razina zaštite koju pružaju treće zemlje „procjenjuje [...] ovisno o svim okolnostima u vezi s prijenosom podataka ili skupom postupaka prijenosa podataka“ te primjerice navodi okolnosti koje se moraju uzeti u obzir kod takve procjene.
71 Međutim, s jedne strane, kao što to proizlazi iz samog izričaja članka 25. stavka 6. Direktive 95/46, ta odredba zahtijeva da treća zemlja „osigurava“ odgovarajuću razinu zaštite temeljem domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela. S druge strane, ta odredba također navodi da se odgovarajuća razina zaštite koju osigurava treća zemlja procjenjuje „za zaštitu privatnog života i osnovnih sloboda i prava pojedinaca“.
72 Na taj način članak 25. stavak 6. Direktive 95/46 provodi izričitu obvezu zaštite osobnih podataka, propisanu u članku 8. stavku 1. Povelje, i nastoji osigurati, kao što je to naveo nezavisni odvjetnik u točki 139. svojeg mišljenja, kontinuitet visoke razine zaštite u slučaju prijenosa osobnih podataka u treću zemlju.
73 Dakako, izraz „odgovarajuća“ iz članka 25. stavka 6. Direktive 95/46 podrazumijeva da se od treće zemlje ne može zahtijevati da osigura istovjetnu razinu zaštite kao što je to ona koja se jamči u Unijinom pravnom poretku. Međutim, kao što je to naveo nezavisni odvjetnik u točki 141. svojeg mišljenja, izraz „odgovarajuća razina zaštite“ mora se shvatiti na način da zahtijeva da ta treća zemlja djelotvorno osigura, temeljem domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela, razinu zaštite temeljnih prava i sloboda koja je bitno ekvivalentna onoj zaštiti koja se jamči u okviru Unije na temelju Direktive 95/46, tumačene u svjetlu Povelje. Naime, kad ne bi postojao takav zahtjev, bio bi povrijeđen cilj naveden u prethodnoj točki ove presude. Usto, bilo bi lako moguće zaobići visoku razinu zaštite koja je zajamčena Direktivom 95/46, tumačenom u svjetlu Povelje, kod prijenosa osobnih podataka iz Unije u treće zemlje radi njihove obrade u tim zemljama.
74 Iz izričitog teksta članka 25. stavka 6. Direktive 95/46 proizlazi da pravni poredak treće zemlje na koju se odnosi Komisijina odluka mora osigurati odgovarajuću razinu zaštite. Čak i ako se u tom pogledu pravna sredstva kojima se koristi treća zemlja za osiguranje takve razine zaštite mogu razlikovati od onih koja se provode u Uniji kao jamstvo poštovanja zahtjeva koji proizlaze iz te direktive, tumačene u svjetlu Povelje, ta se sredstva ipak moraju u praksi pokazati djelotvornima za osiguranje bitno ekvivalentne zaštite poput one koja se jamči u okviru Unije.
75 U tim uvjetima Komisija je dužna kod ispitivanja razine zaštite koju pruža treća zemlja procijeniti sadržaj primjenjivih pravila u toj zemlji koja proizlaze iz domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela, kao i praksu kojoj je cilj osigurati poštovanje tih pravila, a ta institucija mora u skladu s člankom 25. stavkom 2. Direktive 95/46 uzeti u obzir sve okolnosti u vezi s prijenosom osobnih podataka u treću zemlju.
76 Također, s obzirom na činjenicu da se razina zaštite koju osigurava treća zemlja može mijenjati, Komisija je nakon donošenja odluke na temelju članka 25. stavka 6. Direktive 95/46 dužna periodično provjeravati činjeničnu i pravnu opravdanost utvrđenja o odgovarajućoj razini zaštite koju osigurava predmetna treća zemlja. Takva provjera se u svakom slučaju nameće kad na temelju indicija nastane sumnja u tom pogledu.
77 Usto, kao što je to naveo i nezavisni odvjetnik u točkama 134. i 135. svojeg mišljenja, prilikom ispitivanja valjanosti Komisijine odluke donesene na temelju članka 25. stavka 6. Direktive 95/46 potrebno je također uzeti u obzir i okolnosti koje su nastupile nakon donošenja te odluke.
78 U tom pogledu dostatno je navesti da s obzirom na, s jedne strane, važnu ulogu koju ima zaštita osobnih podataka u odnosu na temeljno pravo na poštovanje privatnog života i, s druge strane, značajan broj osoba čija se temeljna prava mogu povrijediti u slučaju prijenosa osobnih podataka u treću zemlju koja ne osigurava odgovarajuću razinu zaštite, ovlast Komisijine procjene odgovarajuće razine zaštite koju osigurava treća zemlja smanjena je pa je potrebno provesti strog nadzor zahtjeva koji proizlaze iz članka 25. Direktive 95/46, tumačen u svjetlu Povelje (vidjeti analogijom presudu Digital Rights Ireland i dr., C‑293/12 i C‑594/12, EU:C:2014:238, t. 47. i 48.).
Članak 1. Odluke 2000/520
79 Komisija je u članku 1. stavku 1. Odluke 2000/520 smatrala da načela iz njezina Priloga I., primijenjena u skladu sa smjernicama iz često postavljanih pitanja navedenih u Prilogu II. navedenoj odluci, osiguravaju primjerenu razinu zaštite osobnih podataka koji se prenose iz Unije u organizacije osnovane u SAD‑u. Iz te odredbe proizlazi da je Ministarstvo trgovine SAD‑a izdalo i ta načela i ta često postavljana pitanja.
80 Pristupanje organizacija načelima „sigurne luke“ provodi se na temelju sustava vlastitog potvrđivanja, kao što to proizlazi iz članka 1. stavaka 2. i 3. te odluke, tumačenog u vezi s često postavljanim pitanjem br. 6 iz Priloga II. navedenoj odluci.
81 Iako to što se treća zemlja koristi sustavom vlastitog potvrđivanja nije sâmo po sebi protivno zahtjevu propisanom u članku 25. stavku 6. Direktive 95/46, prema kojem dotična treća zemlja mora osigurati odgovarajuću razinu zaštite „temeljem domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela“, pouzdanost tog sustava u pogledu tog zahtjeva počiva u biti na provedbi učinkovitih mehanizama otkrivanja i nadzora koji omogućavaju praktično identificiranje i sankcioniranje mogućih povreda pravila koja osiguravaju zaštitu temeljnih prava, a osobito prava na poštovanje privatnosti, kao i prava na zaštitu osobnih podataka.
82 U ovom su slučaju načela „sigurne luke“ na temelju drugog stavka Priloga I. Odluci 2000/520 „namijenjena isključivo organizacijama SAD‑a koje primaju osobne podatke iz Europske unije radi kvalificiranja za ,sigurnu luku' i iz nje proizašlog preduvjeta ,primjerenosti' zaštite podataka“. Dakle, ta se načela primjenjuju jedino na organizacije iz SAD‑a koje su provele vlastito potvrđivanje i primaju osobne podatke iz Unije, a javna tijela SAD‑a nisu podvrgnuta poštovanju navedenih načela.
83 Usto, u skladu s člankom 2. Odluke 2000/520, ona se „odnosi samo na primjerenost zaštite koju pružaju načela [,sigurne luke'] provedena u skladu s često postavljanim pitanjima u Sjedinjenim Američkim Državama s ciljem ispunjavanja zahtjeva članka 25. stavka 1. Direktive [95/46]“, ali ne sadržava dovoljna utvrđenja o mjerama kojima SAD temeljem domaćeg zakonodavstva ili međunarodnih obveza koje je preuzeo osigurava odgovarajuću razinu zaštite u smislu članka 25. stavka 6. te direktive.
84 Tomu treba pridodati da se u skladu s četvrtim stavkom Priloga I. Odluci 2000/520 primjenjivost navedenih načela može ograničiti, među ostalim, „uvjeti[ma] nacionalne sigurnosti, javnog interesa, ili uvjeti[ma] za provedbu zakona [SAD‑a]“, kao i „zakonom, vladinom uredbom ili sudskom praksom koji proizvode proturječne obveze ili izričita dopuštenja, ako pri korištenju takvog dopuštenja organizacija može dokazati da je njezino nepošt[o]vanje načela ograničeno u mjeri potrebnoj da se ostvare pretežući zakoniti interesi koje podupire takvo dopuštenje“.
85 U tom pogledu se u poglavlju B Priloga IV. Odluci 2000/250 naglašava, kad je riječ o ograničenjima kojima je podvrgnuta primjenjivost načela „sigurne luke“, da „[je jasno] da ako pravo SAD‑a nameće proturječne obveze, organizacije iz SAD‑a bez obzira na to jesu li u ,sigurnoj luci' ili nisu moraju poštovati zakon“.
86 Na taj način Odluka 2000/250 propisuje nadređenost „uvjet[a] nacionalne sigurnosti, javnog interesa, ili uvjet[a] za provedbu zakona [SAD‑a]“ nad načelima „sigurne luke“, nadređenost na temelju koje su organizacije iz SAD‑a koje su provele vlastito potvrđivanje i primaju osobne podatke iz Unije dužne u potpunosti odbaciti ta načela ako su ona u sukobu s tim uvjetima te se, dakle, pokažu s njima nespojiva.
87 S obzirom na općenitost izuzeća u četvrtom stavku Priloga I. Odluci 2000/520, ta odluka na taj način omogućuje miješanje, na temelju uvjeta nacionalne sigurnosti, javnog interesa, ili uvjeta za provedbu zakona SAD‑a, u temeljna prava osoba čiji se osobni podaci prenose ili bi se mogli prenositi iz Unije u SAD. U tom je pogledu radi utvrđivanja postojanja miješanja u temeljno pravo na poštovanje privatnog života nevažno imaju li ili ne dotične informacije o privatnom životu osjetljiv karakter, odnosno jesu li ili ne zainteresirane osobe pretrpjele eventualne nepogodnosti zbog tog miješanja (presuda Digital Rights Ireland i dr., C‑293/12 i C‑594/12, EU:C:2014:238, t. 33. i navedena sudska praksa).
88 Nadalje, Odluka 2000/520 ne sadržava nikakvo utvrđenje o postojanju državnih pravila SAD‑a za ograničavanje mogućih miješanja u temeljna prava osoba čiji se podaci prenose iz Unije u SAD, miješanja koja su državna tijela te zemlje ovlaštena provoditi kada slijede legitimne ciljeve kao što je to nacionalna sigurnost.
89 Tomu se pridodaje činjenica da Odluka 2000/520 ne uspostavlja učinkovitu pravnu zaštitu protiv miješanja takve naravi. Kao što je to naveo nezavisni odvjetnik u točkama 204. do 206. svojeg mišljenja, mehanizmi privatne arbitraže i pravna sredstva pred Saveznom trgovinskom komisijom, čije se ovlasti posebno navode u često postavljanom pitanju br. 11 u Prilogu II. toj odluci, ograničeni su na trgovačke sporove koji se odnose na poštovanje načela „sigurne luke“ od strane poduzeća iz SAD‑a i ne mogu se primijeniti u okviru sporova koji se odnose na zakonitost miješanja u temeljna prava koja su rezultat državnih mjera.
90 Osim toga, prethodnu analizu Odluke 2000/520 podupire Komisijina ocjena situacije do koje je ona sama došla na temelju provedbe te odluke. Naime, ta je institucija utvrdila, osobito u točkama 2. i 3.2. Komunikacije COM(2013) 846 final te točkama 7.1., 7.2. i 8. Komunikacije COM(2013) 847 final, čiji je sadržaj naveden u točkama 13. do 16. te 22., 23. i 25. ove presude da su tijela SAD‑a mogla pristupati osobnim podacima koji su preneseni iz država članica u SAD i obrađivati ih na način koji nije bio u skladu, među ostalim, sa svrhama zbog kojih su bili preneseni i koji prekoračuje ono što je strogo nužno i proporcionalno za nacionalnu sigurnost. Također, Komisija je utvrdila da osobe čiji se podaci obrađuju nemaju mogućnost pristupa i po potrebi ispravljanja ili brisanja podataka o sebi upravnim ili sudskim putem.
91 Kad je riječ o razini zaštite temeljnih sloboda i prava zajamčenih u Uniji, propis Unije koji se miješa u temeljna prava zajamčena u člancima 7. i 8. Povelje mora prema ustaljenoj sudskoj praksi Suda predvidjeti jasna i precizna pravila koja uređuju doseg i primjenu mjere te propisati minimalne uvjete na način da osobe čiji se osobni podaci obrađuju raspolažu dostatnim jamstvima koja omogućuju učinkovitu zaštitu njihovih podataka od rizika zloporabe kao i od svih nezakonitih pristupa i uporabe tih podataka. Nužnost raspolaganja takvim jamstvima još je i značajnija kada su osobni podaci podvrgnuti automatskoj obradi te postoji značajan rizik od nezakonitog pristupa tim podacima (presuda Digital Rights Ireland i dr., C‑293/12 i C‑594/12, EU:C:2014:238, t. 54. i 55. kao i navedena sudska praksa).
92 Osim toga i nadasve, zaštita temeljnog prava na poštovanje privatnog života na razini Unije zahtijeva da su odstupanja i ograničenja u zaštiti osobnih podataka u granicama onog što je strogo nužno (presuda Digital Rights Ireland i dr., C‑293/12 i C‑594/12, EU:C:2014:238, t. 52. i navedena sudska praksa).
93 Stoga propis koji općenito dopušta zadržavanje cjelokupnih osobnih podataka svih osoba čiji su podaci preneseni iz Unije u SAD, bez ikakvog razlikovanja, ograničenja ili iznimke s obzirom na postavljeni cilj, i koji ne predviđa objektivan kriterij koji bi omogućavao ograničenje pristupa javnih tijela podacima i njihovu naknadnu uporabu u svrhe koje su točno određene, strogo ograničene i mogu opravdati miješanje koje obuhvaća i pristup i uporabu tih podataka, nije ograničeno na ono što je strogo nužno (vidjeti u tom smislu, što se tiče Direktive 2006/24/EZ Europskog parlamenta i Vijeća od 15. ožujka 2006. o zadržavanju podataka dobivenih ili obrađenih u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža i o izmjeni Direktive 2002/58/EZ (SL L 105, str. 54.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 50., str. 30.), presudu Digital Rights Ireland i dr., C‑293/12 i C‑594/12, EU:C:2014:238, t. 57. do 61.).
94 Posebice, nužno je smatrati da propis koji omogućava javnim tijelima općenit pristup sadržaju elektroničkih komunikacija povređuje bitan sadržaj temeljnog prava na poštovanje privatnog života koje je zajamčeno u članku 7. Povelje (vidjeti u tom smislu presudu Digital Rights Ireland i dr., C‑293/12 i C‑594/12, EU:C:2014:238, t. 39.).
95 Također, propis koji pojedincima ne pruža nikakvu mogućnost korištenja pravnim sredstvima radi pristupa osobnim podacima koji se na njih odnose, ili radi ispravka ili brisanja takvih podataka, ne poštuje bitan sadržaj temeljnog prava na djelotvornu sudsku zaštitu, kao što je to propisano u članku 47. Povelje. Naime, članak 47. stavak 1. Povelje zahtijeva da svatko čija su prava i slobode zajamčeni pravom Unije povrijeđeni ima pravo na djelotvoran pravni lijek pred sudom, u skladu s uvjetima utvrđenima tim člankom. U tom pogledu, sâmo postojanje djelotvornog sudskog nadzora radi osiguranja poštovanja Unijinih pravnih odredaba svojstveno je postojanju pravne države (vidjeti u tom smislu presude Les Verts/Parlament, 294/83, EU:C:1986:166, t. 23.; Johnston, 222/84, EU:C:1986:206, t. 18. i 19.; Heylens i dr., 222/86, EU:C:1987:442, t. 14., kao i UGT‑Rioja i dr., C‑428/06 do C‑434/06, EU:C:2008:488, t. 80.).
96 Kao što je to osobito utvrđeno u točkama 71., 73. i. 74. ove presude, Komisijino donošenje odluke na temelju članka 25. stavka 6. Direktive 95/46 zahtijeva valjano obrazloženo utvrđenje te institucije da dotična treća zemlja djelotvorno osigurava, temeljem svojeg domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela, razinu zaštite temeljnih prava koja je bitno ekvivalentna onoj koja se jamči u pravnom poretku Unije, kao što to posebice proizlazi iz prethodnih točaka ove presude.
97 Međutim, treba navesti da Komisija u Odluci 2000/520 nije dokazala da SAD djelotvorno „osigurava“ odgovarajuću razinu zaštite temeljem svojeg domaćeg zakonodavstva ili međunarodnih obveza koje je preuzeo.
98 Slijedom navedenoga, a da pritom ne treba ispitivati sadržaj načela „sigurne luke“, valja zaključiti da je članak 1. te odluke povrijedio zahtjeve utvrđene u članku 25. stavku 6. Direktive 95/46, tumačen u svjetlu Povelje, te je stoga nevaljan.
Članak 3. Odluke 2000/520
99 Iz razmatranja navedenih u točkama 53., 57. i 63. ove presude proizlazi da s obzirom na članak 28. Direktive 95/46, tumačen osobito u svjetlu članka 8. Povelje, nacionalna nadzorna tijela moraju imati mogućnost potpuno neovisno ispitivati svaki zahtjev u vezi sa zaštitom prava i sloboda osobe u pogledu obrade osobnih podataka koji se na nju odnose. Tomu je osobito tako ako prilikom isticanja takvog zahtjeva ta osoba postavlja upit o usklađenosti Komisijine odluke donesene na temelju članka 25. stavka 6. te direktive sa zaštitom privatnosti i temeljnih prava i sloboda pojedinaca.
100 Međutim, članak 3. stavak 1. prvi podstavak Odluke 2000/520 predviđa posebnu odredbu u vezi s ovlastima nacionalnih nadzornih tijela u pogledu Komisijinog utvrđenja o odgovarajućoj razini zaštite u smislu članka 25. Direktive 95/46.
101 Prema tome, ta tijela mogu u skladu s tom odredbom, „[n]e dovodeći u pitanje svoje ovlasti da poduzimaju radnje koje bi osigurale usklađenost s nacionalnim odredbama usvojenima u skladu s odredbama koje nisu iz članka 25. Direktive 95/46/EZ, [...] suspendira[ti] protok podataka prema organizaciji koja je sama potvrdila svoje pridržavanje načela [Odluke 2000/520]“, u ograničenim uvjetima koji uspostavljaju visok prag za intervenciju. Iako ta odredba ne narušava ovlasti tih tijela da poduzmu mjere za osiguranje poštovanja nacionalnih odredaba donesenih primjenom te Direktive, ona ipak isključuje mogućnost da navedena tijela poduzmu mjere za osiguranje poštovanja članka 25. te iste direktive.
102 Članak 3. stavak 1. prvi podstavak Odluke 2000/520 treba, dakle, shvatiti na način da nacionalnim nadzornim tijelima oduzima ovlasti koje ona imaju na temelju članka 28. Direktive 95/46 u slučaju kada osoba prilikom zahtjeva na temelju te odredbe navede elemente koji mogu dovesti u pitanje usklađenost Komisijine odluke, kojom je na temelju članka 25. stavka 6. te direktive utvrđeno da treća zemlja osigurava odgovarajuću razinu zaštite, sa zaštitom privatnosti i temeljnih sloboda i prava pojedinaca.
103 Međutim, provedbena ovlast koju je Unijin zakonodavac dodijelio Komisiji u članku 25. stavku 6. Direktive 95/46 ne daje joj nadležnost da ograniči ovlasti nacionalnih nadzornih tijela navedenih u prethodnoj točki ove presude.
104 U tim okolnostima valja utvrditi da je donošenjem članka 3. Odluke 2000/520 Komisija prekoračila nadležnost koja joj je dodijeljena u članku 25. stavku 6. Direktive 95/46, tumačenom u svjetlu Povelje, te je on stoga nevaljan.
105 Budući da su članci 1. i 3. Odluke 2000/520 neodvojivi od njezinih članaka 2. i 4., kao i od njezinih priloga, njihova nevaljanost utječe na valjanost te odluke u cjelini.
106 S obzirom na sva prethodna razmatranja, valja zaključiti da je Odluka 2000/520 nevaljana.
Troškovi
107 Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnog postupka pred sudom koji je uputio zahtjev, na tom je sudu da odluči o troškovima postupka. Troškovi podnošenja očitovanja Sudu, koji nisu troškovi spomenutih stranaka, ne nadoknađuju se.
Slijedom navedenoga, Sud (veliko vijeće) odlučuje:
1. Članak 25. stavak 6. Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka, kako je izmijenjena Uredbom (EZ) br. 1882/2003 Europskog parlamenta i Vijeća od 29. rujna 2003., tumačen u svjetlu članaka 7., 8. i 47. Povelje Europske unije o temeljnim pravima, treba tumačiti na način da odluka donesena na temelju te odredbe, kao što je to Odluka Komisije 2000/520/EZ od 26. srpnja 2000. sukladno s Direktivom 95/46 o primjerenosti zaštite koju pružaju načela privatnosti „sigurne luke” i uz njih vezana često postavljana pitanja koje je izdalo Ministarstvo trgovine SAD‑a, kojom Europska komisija utvrđuje da treća zemlja osigurava odgovarajuću razinu zaštite, ne onemogućava nadzorno tijelo države članice u smislu članka 28. te direktive, kako je izmijenjena, da ispita zahtjev osobe u vezi sa zaštitom njezinih prava i sloboda u pogledu obrade osobnih podataka koji se nju odnose i koji su preneseni iz države članice u tu treću zemlju, a nastavno na navode te osobe da važeće pravo i praksa u toj trećoj zemlji ne osiguravaju odgovarajuću razinu zaštite.
2. Odluka 2000/520 je nevaljana.
Potpisi