SODBA SODIŠČA (veliki senat)
z dne 30. maja 2006(*)
„Varstvo posameznikov pri obdelavi osebnih podatkov – Letalski promet – Sklep 2004/496/ES – Sporazum med Evropsko skupnostjo in Združenimi državami Amerike – Evidence imen letalskih potnikov, posredovane uradu za carinsko in mejno zaščito Združenih držav Amerike – Direktiva 95/46/ES – Člen 25 – Tretje države – Odločba 2004/535/ES – Ustrezno varstvo osebnih podatkov“
V združenih zadevah C-317/04 in C-318/04,
zaradi ničnostnih tožb na podlagi člena 230 ES, vloženih 27. julija 2004,
Evropski parlament, ki ga zastopajo R. Passos, N. Lorenz, H. Duintjer Tebbens in A. Caiola, zastopniki, z naslovom za vročanje v Luxembourgu,
tožeča stranka,
ob intervenciji
Evropskega nadzornika za varstvo podatkov (ENVP), ki ga zastopata H. Hijmans in V. Perez Asinari, zastopnika,
intervenient,
proti
Svetu Evropske unije, ki ga zastopata M. C. Giorgi Fort in M. Bishop, zastopnika,
tožena stranka v zadevi C-317/04,
ob intervenciji
Komisije Evropskih skupnosti, ki jo zastopajo P. J. Kuijper, A. van Solinge in C. Docksey, zastopniki, z naslovom za vročanje v Luxembourgu,
Združenega kraljestva Velika Britanija in Severna Irska, ki ga zastopajo M. Bethell, C. White in T. Harris, zastopniki, skupaj s T. Ward, barrister, z naslovom za vročanje v Luxembourgu,
intervenienta,
in proti
Komisiji Evropskih skupnosti, ki jo zastopajo P. J. Kuijper, A. van Solinge, C. Docksey in F. Benyon, zastopniki, z naslovom za vročanje v Luxembourgu,
tožena stranka v zadevi C-318/04,
ob intervenciji
Združenega kraljestva Velika Britanija in Severna Irska, ki ga zastopajo M. Bethell, C. White in T. Harris, zastopniki, skupaj z T. Ward, barrister, z naslovom za vročanje v Luxembourgu,
intervenient,
SODIŠČE (veliki senat),
v sestavi V. Skouris, predsednik, P. Jann, C. W. A. Timmermans, A. Rosas in J. Malenovský, predsedniki senata, N. Colneric (poročevalka), S. von Bahr, J. N. Cunha Rodrigues, sodnica in sodnika, R. Silva de Lapuerta, sodnica, G. Arestis, A. Borg Barthet, M. Ilešič in J. Klučka, sodniki,
generalni pravobranilec: P. Léger,
sodna tajnica: M. Ferreira, glavna administratorka,
na podlagi pisnega postopka in obravnave z dne 18. oktobra 2005,
po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 22. novembra 2005
izreka naslednjo
Sodbo
1 Evropski parlament s tožbo v zadevi C-317/04 predlaga razglasitev ničnosti Sklepa Sveta 2004/496/ES z dne 17. maja 2004 o sklenitvi Sporazuma med Evropsko skupnostjo in Združenimi državami Amerike o obdelavi in prenosu podatkov PNR s strani letalskih prevoznikov uradu za carine in varovanje meja pri ministrstvu Združenih držav za domovinsko varnost (UL L 183, str. 83, in popravek UL 2005, L 255, str. 168).
2 Parlament s tožbo v zadevi C-318/04 predlaga razglasitev ničnosti Odločbe Komisije 2004/535/ES z dne 14. maja 2004 o ustreznem varstvu osebnih podatkov, vsebovanih v evidenci imen letalskih potnikov, posredovani uradu za carinsko in mejno zaščito Združenih držav Amerike (UL L 235, str. 11, v nadaljevanju: odločba o ustreznosti).
Pravni okvir
3 Člen 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin, podpisane v Rimu 4. novembra 1950 (v nadaljevanju: EKČP), določa:
„1 Vsakdo ima pravico do spoštovanja njegovega zasebnega in družinskega življenja, doma in dopisovanja.
2 Javna oblast se ne sme vmešavati v izvrševanje te pravice, razen, če je to določeno z zakonom in nujno v demokratični družbi zaradi državne varnosti, javne varnosti ali ekonomske blaginje države, zato, da se prepreči nered ali kaznivo dejanje, da se zavaruje zdravje ali morala, ali da se zavarujejo pravice in svoboščine drugih ljudi.“
4 Člen 95(1), drugi stavek, ES določa:
„Svet v skladu s postopkom iz člena 251 in po posvetovanju z Ekonomsko-socialnim odborom sprejme ukrepe za približevanje določb zakonov in drugih predpisov v državah članicah, katerih predmet je vzpostavitev in delovanje notranjega trga.“
5 Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, str. 31), kot je bila spremenjena z Uredbo (ES) št. 1882/2003 Evropskega parlamenta in Sveta z dne 29. septembra 2003 o prilagoditvi določb glede odborov, ki pomagajo Komisiji pri uresničevanju njenih izvedbenih pooblastil, predvidenih v aktih, za katere se uporablja postopek iz člena 251 Pogodbe ES, Sklepu Sveta 1999/468/ES (UL L 284, str. 1, v nadaljevanju: Direktiva) je bila sprejeta na podlagi člena 100a Pogodbe ES (po spremembi postal člen 95 ES).
6 V enajsti uvodna izjavi Direktive je navedeno, da „načela varstva pravic in svoboščin posameznikov, predvsem pravice do zasebnosti, ki jih vsebuje ta direktiva, dajejo vsebino in razširjajo tista, ki jih vsebuje Konvencija Sveta Evrope z dne 28. januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov“.
7 Na podlagi trinajste uvodne izjave Direktive:
„Dejavnosti iz naslovov V in VI Pogodbe o Evropski uniji glede javne varnosti, obrambe, državne varnosti ali dejavnosti države na področju kazenskega prava ne sodijo na področje uporabe zakonodaje Skupnosti, brez poseganja v obveznosti, ki so jim zavezane države članice na podlagi člena 56(2), 57 ali 100a Pogodbe […]“
8 Sedeminpetdeseta uvodna izjava Direktive navaja, da
„se mora […] prepovedati prenos osebnih podatkov v tretjo državo, ki ne zagotavlja primerne ravni varstva“.
9 Člen 2 Direktive določa:
„V tej direktivi:
a) ‚osebni podatek‘ pomeni katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo (‚posameznik, na katerega se nanašajo osebni podatki‘); določljiva oseba je tista, ki se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno identiteto;
b) ‚obdelava osebnih podatkov‘ (‚obdelava‘) pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje;
[…]“
10 Na podlagi člena 3 Direktive:
„Področje uporabe
1. Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni sestavljanju dela zbirke.
2. Ta direktiva se ne uporablja za obdelavo osebnih podatkov:
– med dejavnostjo, ki ne sodi na področje uporabe zakonodaje Skupnosti, kot so tiste, opredeljene v naslovih V in VI Pogodbe o Evropski uniji, in v vsakem primeru v postopkih obdelave v zvezi z javno varnostjo, obrambo, državno varnostjo (vključno z gospodarsko blaginjo države, kadar se postopek obdelave nanaša na zadeve državne varnosti) in pri dejavnostih države na področju kazenskega prava,
[…]“
11 Člen 6(1) Direktive se glasi:
„Države članice določijo, da morajo biti osebni podatki:
[…]
b) zbrani za določene, izrecne ter zakonite namene in se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi nameni. Nadaljnja obdelava podatkov v zgodovinske, statistične ali znanstvene namene se ne šteje za nezdružljivo, če države članice zagotovijo ustrezne zaščitne ukrepe;
c) primerni, ustrezni in ne pretirani glede na namene, za katere se zbirajo in naprej obdelujejo;
[…]
e) shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, le toliko časa, kolikor je potrebno za namene, za katere so bili podatki zbrani ali za katere se naprej obdelujejo. […]“
12 Člen 7 Direktive določa:
„Države članice določijo, da se lahko osebni podatki obdelujejo samo, če:
[…]
c) je obdelava potrebna za skladnost z zakonsko obveznostjo, ki velja za upravljavca;
[…]
ali
e) je obdelava potrebna za izvajanje naloge, ki se opravlja v javnem interesu ali pri izvrševanju javne oblasti, dodeljene upravljavcu ali tretji stranki, ki so ji posredovani podatki;
ali
f) je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka ali stranke, ki so jim podatki posredovani, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo, ki se varujejo na podlagi člena 1(1).“
13 V členu 8(5), prvi pododstavek, Direktive je navedeno:
„Obdelava podatkov v zvezi s prekrški, kazenskimi obsodbami ali varnostnimi ukrepi se lahko izvaja samo pod nadzorom uradnega organa ali pa če nacionalna zakonodaja določi ustrezne posebne zaščitne ukrepe ob upoštevanju odstopanj, ki jih lahko zagotovi država članica na podlagi nacionalnih predpisov, ki določajo ustrezne posebne zaščitne ukrepe. Vendar pa se popoln register kazenskih obsodb lahko vodi samo pod nadzorom uradnega organa.“
14 Člen 12 Direktive določa:
„Države članice jamčijo vsakemu posamezniku, na katerega se osebni podatki nanašajo, pravico, da pridobi od upravljavca:
a) brez omejitev v razumnem času in brez večjih zamud ali stroškov:
– potrditev tega, ali se podatki v zvezi z njim obdelujejo ali ne, in informacije vsaj glede namenov obdelave, vrste zadevnih podatkov in prejemnikov ali vrste prejemnikov, ki so jim podatki posredovani,
– sporočilo v razumljivi obliki o osebnih podatkih, ki so v obdelavi, in vseh razpoložljivih informacijah glede njihovega vira,
– informacije o logiki, zajeti v vse avtomatske obdelave podatkov, ki se nanašajo nanj, vsaj pri avtomatiziranih odločitvah iz člena 15(1);
b) po potrebi popravke, izbris ali blokiranje podatkov, katerih obdelava ni v skladu z določbami te direktive, predvsem zaradi nepopolnih ali netočnih podatkov;
c) uradno obvestilo tretjim strankam, ki so jim bili posredovani podatki, o vseh popravkih, izbrisu ali blokiranju, izvedenem v skladu z b), razen če se to izkaže za nemogoče ali če vključuje nesorazmeren napor.“
15 Člen 13(1) Direktive se glasi:
„Države članice lahko sprejmejo predpise za omejitev obsega obveznosti in pravic, opredeljenih v členih 6(1), 10, 11(1), 12 in 21, kadar taka omejitev predstavlja potrebni ukrep za zaščito:
a) državne varnosti;
b) obrambe;
c) javne varnosti;
d) preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali kršitve etike za zakonsko urejene poklice;
e) pomembnega gospodarskega ali finančnega interesa države članice ali Evropske unije, vključno z denarnimi, proračunskimi in davčnimi zadevami;
f) spremljanja, pregledovanja ali urejanja, povezanega, četudi občasno, z izvajanjem javne oblasti v primerih iz (c), (d) in (e);
g) posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.“
16 Člen 22 Direktive določa:
„Pravna sredstva
Brez poseganja v upravnopravna pravna sredstva pred predložitvijo zadeve sodnemu organu, ki jih je možno med drugim predvideti pred nadzornim organom iz člena 28, države članice zagotovijo, da ima vsaka oseba v primeru kršitve pravic, zagotovljenih z nacionalno zakonodajo, ki se nanaša na zadevno obdelavo, pravico vložiti pravno sredstvo na sodišču.“
17 Člena 25 in 26 Direktive sestavljata poglavje IV o posredovanju osebnih podatkov tretjim državam.
18 Člen 25 Direktive z naslovom „Načela“ določa:
„1. Države članice predvidijo, da se lahko prenos osebnih podatkov, ki so v obdelavi ali so namenjeni obdelavi po dovoljenem prenosu, v tretjo državo izvede le, če brez poseganja v skladnost z nacionalnimi določbami, ki so sprejete v skladu z drugimi določbami te direktive, ta tretja država zagotovi ustrezno raven varstva.
2. Ustreznost ravni varstva, ki jo nudi tretja država, se oceni glede na vse okoliščine, ki so povezane s postopkom prenosa ali z nizom postopkov prenosa podatkov; predvsem je treba upoštevati značaj podatkov, namen in trajanje predlaganega postopka ali postopkov obdelave, državo izvora in ciljno državo, pravno ureditev, bodisi splošno ali sektorsko, ki je v veljavi v tretji državi, ter strokovne predpise in varnostne ukrepe, ki se uporabljajo v tej državi.
3. Države članice in Komisija se medsebojno obveščajo o primerih, za katere menijo, da tretja država ne zagotavlja ustrezne ravni varstva v smislu odstavka 2.
4. Kadar Komisija na podlagi postopka iz člena 31(2) ugotovi, da tretja država ne zagotavlja ustrezne ravni varstva v smislu odstavka 2 tega člena, države članice sprejmejo ukrepe, ki so potrebni za preprečevanje kakršnih koli prenosov podatkov iste vrste v to tretjo državo.
5. Ko je ustrezno, Komisija začne pogajanja glede ureditve položaja, ki izhaja iz ugotovitve po odstavku 4.
6. Komisija lahko v skladu s postopkom iz člena 31(2) ugotovi, da tretja država zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena zaradi svoje domače zakonodaje ali mednarodnih obveznosti, ki jih je prevzela, predvsem na podlagi zaključka pogajanj iz odstavka 5, za zaščito zasebnega življenja in temeljnih svoboščin in pravic posameznikov.
Države članice sprejmejo ukrepe, ki so potrebni za uskladitev z odločitvijo Komisije.“
19 Člen 26(1) Direktive z naslovom „Odstopanja“ določa:
„Z odstopanjem od člena 25 in če nacionalno pravo za posamične primere ne določa drugače, države članice določijo, da se prenos ali niz prenosov osebnih podatkov v tretjo državo, ki ne zagotavlja ustrezne ravni varstva v smislu člena 25(2), lahko izvede pod pogojem, da:
a) je posameznik, na katerega se osebni podatki nanašajo, nedvoumno dal svojo privolitev k predlaganemu prenosu;
ali
b) je prenos potreben za izvedbo pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki;
ali
c) je prenos potreben za sklenitev ali izvedbo pogodbe med upravljavcem in tretjo stranko, ki je v korist posameznika, na katerega se osebni podatki nanašajo;
ali
d) je prenos potreben oziroma ga zahteva zakon na temelju pomembnega javnega interesa ali pa za uveljavitev, izvajanje ali obdržanje pravice do pravnih zahtevkov;
ali
e) je prenos potreben, da bi zaščitili življenjske interese posameznikov, na katere se osebni podatki nanašajo;
ali
f) se prenos opravi iz registra, ki je skladno z zakoni ali predpisi namenjen zagotavljanju informacij javnosti in je na voljo za vpogled javnosti na splošno ali kateri koli osebi, ki lahko izkaže zakoniti interes, v kolikor so v posameznem primeru izpolnjeni pogoji, ki jih za vpogled določa zakon.
20 Komisija Evropskih skupnosti je na podlagi Direktive in zlasti njenega člena 25(6) sprejela odločbo o ustreznosti.
21 Enajsta uvodna izjava te odločbe se glasi:
„Urad CBP (United States Bureau of Customs and Border Protection (urad za carinsko in mejno zaščito Združenih držav)) obdela prejete osebne podatke, vsebovane v PNR (‚Passenger Name Records‘ (evidenca imen potnikov)), letalskih potnikov v skladu s pogoji, določenimi v ‚zavezah urada za carinsko in mejno zaščito (urad CBP) ministrstva za domovinsko varnost z dne 11. maja 2004‘ (v nadaljevanju: zaveze) in v domači zakonodaji Združenih držav, v obsegu, podanem v zavezah.“
22 Na podlagi petnajste uvodne izjave iste odločbe se bodo podatki PNR uporabili izključno za preprečevanje in boj proti terorizmu ter z njim povezanimi kaznivimi dejanji, proti drugim hudim kaznivim dejanjem, vključno z organiziranim kriminalom, ki so po naravi transnacionalna, in proti izogibanju sodnim nalogom ali priporu zaradi navedenih kaznivih dejanj.
23 V smislu členov od 1 do 4 odločbe o ustreznosti:
„Člen 1
Za namene člena 25(2) Direktive 95/46/ES velja, da urad za carinsko in mejno zaščito Združenih držav (United States' Bureau of Customs and Border Protection, v nadaljevanju: urad CBP) zagotavlja primerno raven varstva za podatke PNR, prenesene iz Skupnosti, v zvezi z leti v smeri proti in iz Združenih držav, v skladu z zavezami, določenimi v prilogi.
Člen 2
Ta odločba zadeva ustreznost varstva, ki ga zagotavlja urad CBP, z namenom spoštovati zahteve iz člena 25(1) Direktive 95/46/ES, in ne bo vplivala na druge pogoje ali omejitve za izvajanje drugih določb navedene direktive, ki zadevajo obdelavo osebnih podatkov znotraj držav članic.
Člen 3
Brez poseganja v njihove pristojnosti za sprejetje ukrepov za zagotavljanje skladnosti z nacionalnimi določbami, ki so bile sprejete na podlagi drugih določb, razen člena 25 Direktive 95/46/ES, lahko pristojni organi v državah članicah uporabijo svoja obstoječa pooblastila, da prekinejo posredovanje podatkov uradu CBP zato, da bi zavarovali posameznike v zvezi z obdelavo njihovih osebnih podatkov, v naslednjih primerih:
a) če je pristojni organ Združenih držav ugotovil, da urad CBP krši veljavne standarde varstva;
b) če obstaja znatna možnost, da so kršeni standardi varstva, določeni v prilogi, obstajajo upravičeni razlogi za prepričanje, da urad CBP ne sprejema ali ne bo sprejel ustreznih in pravočasnih ukrepov za rešitev zadevnega vprašanja, stalni prenos podatkov bi ustvaril neposredno nevarnost za povzročitev hude škode posameznikom, na katere se podatki nanašajo, in so se pristojni organi v državah članicah primerno trudili, da bi v danih okoliščinah obvestili urad CBP in mu dali priložnost, da se odzove.
2. Začasna prekinitev se konča takoj, ko so zagotovljeni standardi varstva in je pristojni organ države članice o tem obveščen.
Člen 4
1. Države članice nemudoma obvestijo Komisijo, ko sprejmejo ukrepe v skladu s členom 3.
2. Države članice in Komisija se medsebojno obveščajo o katerih koli spremembah v standardih varstva in o primerih, v katerih ukrepi organov, odgovornih za zagotavljanje skladnosti s standardi varstva s strani urada CBP, določenimi v Prilogi, ne uspejo zagotoviti take skladnosti.
3. Če informacije, ki so zbrane v skladu s členom 3 in z odstavkoma 1 in 2 tega člena, dokazujejo, da se osnovna načela, potrebna za primerno raven varstva za fizične osebe, ne spoštujejo več, ali da kateri koli organ, odgovoren za zagotavljanje skladnosti s standardi varstva s strani urada CBP, kot so določeni v prilogi, ne izpolnjuje učinkovito svoje vloge, se obvesti urad CBP in se po potrebi uporabi postopek iz člena 31(2) Direktive 95/46/ES z namenom razveljaviti ali prekiniti izvajanje te odločbe.
24 „Zaveze urada za carinsko in mejno zaščito ministrstva za domovinsko varnost“, priložene k odločbi o ustreznosti, določajo:
„V podporo načrtu Evropske komisije o izvajanju pooblastil, ki so ji bila dodeljena s členom 25(6) Direktive 95/46/ES […] in o sprejetju odločbe, s katero bo potrjeno, da urad CBP ministrstva za domovinsko varnost (Department of Homeland Security) nudi ustrezno varstvo pri posredovanju evidence imen letalskih potnikov (PNR) s strani letalskih družb, v okviru Direktive, se urad CBP zavezuje […]“
25 Te zaveze vsebujejo 48 točk, ki so združene pod naslednjimi naslovi: „Pravni naslov za pridobitev PNR“; „Uporaba podatkov PNR s strani urada CBP“; „Zahtevani podatki“; „Ravnanje z ‚občutljivimi‘ podatki“; „Metoda dostopanja do podatkov PNR“; „Shranjevanje podatkov PNR“; „Varnost računalniškega sistema urada CBP“; „Ravnanje in varstvo podatkov PNR s strani urada CBP“; „Prenos podatkov PNR na druge vladne organe“; „Obveščanje, dostop in možnosti za odškodnino posameznikom, na katere se nanašajo podatki PNR“; „Skladnost“; „Vzajemnost“; „Pregled in prenehanje zavez“; „Odsotnost zasebne pravice in precedensa“.
26 Med navedenimi zavezami so navedene zlasti:
„1. V skladu z zakonom (title 49, United States Code, section 44909(c)(3)) in izvedbenimi (začasnimi) zakonskimi predpisi (title 19, Code of Federal Regulations, section 122.49b) mora vsak letalski prevoznik, ki opravlja potniške lete v Združene države ali iz njih, uradu za carinsko in mejno zaščito omogočiti elektronski dostop do podatkov PNR v takšni meri, kot so ti zbrani in se nahajajo v avtomatskih rezervacijskih sistemih oziroma sistemih za nadzor odhodov pri letalskem prevozniku (v nadaljevanju: rezervacijski sistemi).
[…]
3. Urad CBP uporablja podatke PNR izrecno za namene preprečevanja in boja proti: 1. terorizmu in z njim povezanimi kaznivimi dejanji, 2. drugim hudim kaznivim dejanjem, vključno z organiziranim kriminalom, ki so po naravi transnacionalna, in 3. izogibanju sodnim nalogom ali priporu zaradi zgoraj navedenih kaznivih dejanj. Uporaba podatkov PNR v te namene omogoča uradu CBP, da se usmeri na zadeve, ki pomenijo visoko stopnjo tveganja ter tako olajša in zavaruje dobronamerno potovanje.
4. Elementi podatkov, ki jih zahteva urad CBP, so našteti v dodatku A. […]
[…]
27. V zvezi z vsakršnim upravnim ali sodnim postopkom, ki izhaja iz zahtevka v okviru zakona FOIA po podatkih PNR, do katerih je možen dostop prek letalskih družb, bo urad CBP zavzel stališče, da so takšne evidence izvzete iz razkritja v okviru Zakona FOIA.
[…]
29. Urad CBP bo po lastni presoji posredoval podatke PNR drugim vladnim organom, vključno s tujimi vladnimi organi, katerih naloga je boj proti terorizmu, in sicer posamično, za namene preprečevanja ali boja proti kaznivim dejanjem, določenim v odstavku 3. Organi, s katerimi lahko urad CBP izmenjuje takšne podatke, bodo v nadaljevanju imenovani: pristojni organi.
30. Urad CBP bo preudarno uveljavljal svojo diskrecijsko pravico pri prenašanju podatkov za navedene namene. Urad CBP bo najprej presodil, ali razlog za razkritje podatkov PNR drugemu pristojnemu organu ustreza navedenemu namenu (glej odstavek 29 zavez). Če bo ta pogoj izpolnjen, bo urad CBP presodil, ali je pristojni organ odgovoren za preprečevanje, preiskovanje ali pregon kršitev zakona ali predpisa, ki se nanaša na ta namen, ali za njegovo uveljavljanje oziroma izvajanje, če bo urad CBP opazil znake kršitve ali možne kršitve zakona. Treba bo preveriti ustreznost razkritja glede na vse predstavljene okoliščine.
[…]
35. Nobena izjava v teh zavezah ne preprečuje uporabe ali razkritja podatkov PNR v kakršnem koli kazenskem postopku ali če to drugače zahteva zakon. Urad CBP bo svetoval Komisiji v zvezi s sprejetjem vsakršnega zakona Združenih držav, ki bi bistveno vplival na izjave v teh zavezah.
[…]
46. Te zaveze veljajo za obdobje treh let in šest mesecev in se začnejo z dnem začetka veljavnosti sporazuma med Združenimi državami Amerike in Skupnostjo, ki dovoljuje obdelavo podatkov PNR, posredovanih s strani letalskih družb, za namene prenosa teh podatkov na urad CBP, v skladu z Direktivo. […]
47. Te zaveze ne ustvarijo oziroma nobeni osebi ali stranki, zasebni ali javni, ne dodelijo pravic ali ugodnosti.
[…]“
27 Priloga „A“ zavez vsebuje „rubrike PNR“, ki jih urad CBP zahteva od letalskih družb. Del teh rubrik so zlasti „koda lokatorja evidence PNR“, „datum rezervacije“, „ime“, „naslov“, „način plačila“, „telefonske številke“, „turistična agencija“, „potovalni status potnika“ („travel status of passenger“), „elektronski naslov“, „splošne opombe“, „številka sedeža“, podatek o zgodovini neizkoriščenih in neodpovedanih rezervacij in kakršne koli zbrane „informacije v zvezi s sistemom APIS“.
28 Svet je sprejel Sklep 2004/496 zlasti na podlagi člena 95 ES v povezavi s členom 300(2), prvi pododstavek, prvi stavek, ES.
29 V treh uvodnih izjavah tega sklepa je navedeno:
„1. 23. februarja 2004 je Svet pooblastil Komisijo, da se v imenu Skupnosti z Združenimi državami Amerike pogaja o Sporazumu o obdelavi in prenosu podatkov PNR s strani letalskih prevoznikov uradu za carinsko in mejno zaščito pri ministrstvu Združenih držav za domovinsko varnost.
2. Evropski parlament v roku, ki ga je Svet določil na podlagi prvega pododstavka člena 300(3) Pogodbe zaradi nujnosti razrešitve negotovega položaja, v katerem so se znašle letalske družbe in potniki, kot tudi zaradi zaščite finančnih interesov prizadetih strank, ni podal svojega mnenja.
3. Sporazum je treba odobriti.“
30 Člen 1 Sklepa 2004/496 določa:
„V imenu Skupnosti se odobri Sporazum med Evropsko skupnostjo in Združenimi državami Amerike o obdelavi in prenosu podatkov PNR s strani letalskih prevoznikov uradu za carinsko in mejno zaščito pri ministrstvu Združenih držav za domovinsko varnost.
Besedilo Sporazuma je priloženo temu sklepu.“
31 Navedeni sporazum (v nadaljevanju: Sporazum) se glasi:
„Evropska skupnost in Združene države Amerike
ob priznavanju pomena, ki ga ima spoštovanje temeljnih pravic in svoboščin, zlasti zasebnosti, ter pomena spoštovanja teh vrednot, ob hkratnem preprečevanju in boju proti terorizmu in z njim povezanih mednarodnih težkih kaznivih dejanj, vključno z organiziranim kriminalom,
ob upoštevanju zakonov in podzakonskih predpisov ZDA, po katerih mora vsak letalski prevoznik, ki opravlja potniške lete v mednarodnem letalskem prometu v Združene države ali iz njih uradu za carinsko in mejno zaščito (urad CBP) pri ministrstvu za domovinsko varnost (Department of Homeland Security, v nadaljevanju: DHS) zagotavljati elektronski dostop do podatkov iz evidence imen letalskih potnikov [PNR], kolikor se ti zbirajo in hranijo v avtomatiziranih rezervacijskih/odpremnih nadzornih sistemih letalskih prevoznikov,
ob upoštevanju Direktive 95/46/ES […] ter zlasti njenega člena 7(c),
ob upoštevanju zavez urada CBP z dne 11. maja 2004 (v nadaljevanju: zaveze), ki bodo objavljene v Zveznem registru ZDA (Federal Register),
ob upoštevanju Odločbe Komisije 2004/535/ES, sprejete dne 14. maja 2004 na podlagi člena 25(6) Direktive 95/46/ES, v kateri se ugotavlja, da urad CBP v skladu s priloženimi zavezami zagotavlja ustrezno raven varstva podatkov PNR, ki so preneseni iz Evropske skupnosti (v nadaljevanju: Skupnost) v zvezi z leti v ZDA ali iz njih (v nadaljevanju: Odločba),
ob ugotovitvi, da bi se letalski prevozniki z rezervacijskimi/odpremnimi nadzornimi sistemi na ozemlju držav članic Evropske skupnosti morali pripraviti za posredovanje podatkov PNR uradu CBP takoj, ko bo to tehnično izvedljivo, da pa je do takrat treba organom ZDA omogočiti neposreden dostop do podatkov v skladu z določbami tega sporazuma,
[…]
dogovorile o naslednjem:
1. Uradu CBP se dovoli elektronski dostop do podatkov PNR v rezervacijskih/odpremnih nadzornih sistemih („rezervacijski sistemi“) letalskih družb na ozemlju držav članic Evropske skupnosti dosledno v skladu z Odločbo in dokler se Odločba uporablja ter le do vzpostavitve zadovoljivega sistema, ki bo omogočil, da bodo takšne podatke posredovali letalski prevozniki.
[Angleška različica se glasi: „CBP may electronically access the PNR data from air carriers reservation/departure control systems (‚reservation systems‘) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.“]
2. Letalski prevozniki, ki opravljajo potniške lete v mednarodnem letalskem prometu v Združene države ali iz njih, obdelujejo podatke PNR v svojih avtomatiziranih rezervacijskih sistemih tako, kot to zahteva urad CBP na podlagi prava ZDA in dosledno v skladu z odločbo, dokler se Odločba uporablja.
3. Urad CBP se seznanja z Odločbo in izjavlja, da izvaja zaveze, ki so ji priložene.
4. Urad CBP obdeluje prejete podatke PNR in ravna z osebami, na katere se podatki nanašajo, v skladu z veljavnimi zakoni ter ustavnimi pravili ZDA brez nezakonite diskriminacije, zlasti na podlagi državljanstva in države dejanskega bivališča.
[…]
7. Ta sporazum začne veljati s podpisom. Vsaka od pogodbenic ga lahko kadar koli odpove z uradnim obvestilom po diplomatski poti. Odpoved začne učinkovati devetdeset (90) dni od dne uradnega obvestila druge pogodbenice o odpovedi. Ta sporazum se lahko kadar koli spremeni z medsebojnim pisnim sporazumom.
8. Namen tega sporazuma ni odstopati ali spreminjati zakonodaje pogodbenic; prav tako ta ne ustvarja ali podeljuje pravic ali koristi drugim osebam oziroma subjektom zasebnega ali javnega prava.“
32 Po podatkih Sveta o datumu začetka njegove veljavnosti (UL 2004, C 158, str. 1) je Sporazum, ki sta ga v Washingtonu podpisala 28. maja 2004 predstavnik tedanjega predsedstva Sveta in sekretar za notranjo varnost Združenih držav Amerike, v skladu s točko 7 začel veljati na dan podpisa.
Dejansko stanje
33 Združene države so po terorističnih napadih 11. septembra 2001 v novembru istega leta sprejele zakonodajo, ki določa, da morajo letalski prevozniki, ki zagotavljajo povezave v Združene države ali iz njih oziroma prečkajo ozemlje le-teh, carinskim organom Združenih držav zagotoviti elektronski dostop do podatkov svojih avtomatskih rezervacijskih sistemov in sistemov za nadzor odhodov, označenih z izrazi „Passenger Name Records“ (v nadaljevanju: podatki PNR). Komisija je, priznavajoč legitimnost zadevnih varnostnih interesov, junija 2002 obvestila organe Združenih držav, da te določbe lahko privedejo do kolizije z zakonodajo Skupnosti in držav članic na področju zaščite podatkov in z nekaterimi določbami Uredbe Sveta (EGS) št. 2299/89 z dne 24. julija 1989 o kodeksu poslovanja računalniških sistemov rezervacij (UL L 220, str. 1), kot je bila spremenjena z Uredbo Sveta (ES) št. 323/1999 z dne 8. februarja 1999 (UL L 40, str. 1). Organi Združenih držav so sicer preložili začetek veljavnosti novih določb, vendar pa so zavrnili, da se odpovedo naložitvi sankcij letalskim družbam, ki se ne podredijo zakonodaji glede elektronskega dostopa do podatkov PNR po 5. marcu 2003. Od tedaj je več velikih letalskih družb Evropske unije navedenim organom omogočilo dostop do svojih podatkov PNR.
34 Komisija je začela s pogajanji z organi Združenih držav, ki so privedla do dokumenta, ki vsebuje zaveze („undertakings“), ki jih je sprejel urad CBP, da bi Komisija na podlagi člena 25(6) Direktive sprejela odločbo o ustreznosti.
35 Delovna skupina za varstvo posameznikov pri obdelavi osebnih podatkov, uvedena s členom 29 Direktive je 13. junija 2003 izdala mnenje, v katerem je izrazila dvome o stopnji zaščite podatkov, zagotovljeni s temi zavezami glede nameravanih obdelav. V mnenju z dne 29. januarja 2004 je ponovila te dvome.
36 Komisija je 1. marca 2004 Parlamentu na podlagi člena 25(6) Direktive predložila osnutek odločbe o ustreznosti, skladen z osnutkom zavez urada CBP.
37 Komisija je 17. marca 2004 Parlamentu zaradi posvetovanja na podlagi člena 300(3), prvi pododstavek, ES predložila predlog sklepa Sveta glede sklenitve sporazuma z Združenimi državami. Z dopisom z dne 25. marca 2004, ki se sklicuje na nujni postopek, je Svet predlagal Parlamentu, naj poda mnenje k temu predlogu najpozneje do 22. aprila 2004. V tem dopisu je Svet poudaril, da je „boj proti terorizmu, ki upravičuje predlagane ukrepe, bistvena prioriteta Evropske unije, [da] so trenutno letalski prevozniki in potniki v negotovem položaju, ki ga je treba nujno odpraviti, [ter da] je poleg tega bistveno, da se zavarujejo finančni interesi zadevnih strank“.
38 Parlament je 31. marca 2004 ob uporabi člena 8 Sklepa Sveta 2004/496/ES z dne 28. junija 1999 o določitvi postopkov za uresničevanje Komisiji podeljenih izvedbenih pooblastil (UL L 184, str. 23) sprejel resolucijo, v kateri je navedel določeno število pravnih pridržkov na predlog, ki mu je bil predložen. V tej resoluciji zlasti meni, da je osnutek odločbe o ustreznosti presegal pristojnosti, ki jih Komisiji podeljuje člen 25 Direktive. Pozval je k sklenitvi primernega mednarodnega sporazuma, ki spoštuje temeljne pravice v določenem številu točk, podrobno razloženih v tej resoluciji, in predlagal Komisiji, naj mu predloži nov osnutek odločbe. Poleg tega si je pridržal pravico, da zadevo predloži Sodišču zaradi preveritve zakonitosti nameravanega mednarodnega sporazuma in zlasti njegove skladnosti z zaščito zasebnega življenja.
39 Parlament je 21. aprila 2004 na predlog svojega predsednika odobril priporočilo Odbora za pravne zadeve in notranji trg, da bi se v skladu s členom 300(6) ES pridobilo mnenje Sodišča o skladnosti nameravanega sporazuma z določbami Pogodbe. Ta postopek se je začel še isti dan.
40 Parlament je prav tako isti dan odločil, da pošlje odboru v preučitev poročilo o predlogu sklepa Sveta, ki ga je Svet predstavil 25. marca, in tako na tej stopnji z molkom zavrnil predlog za obravnavo navedenega predloga po nujnem postopku.
41 Svet je 28. aprila na podlagi člena 300(3), prvi pododstavek, ES na Parlament naslovil dopis, s katerim ga je zaprosil, naj poda svoje mnenje o predlogu sklepa o sklenitvi sporazuma pred 5. majem 2004. V utemeljitev predloga za obravnavo po nujnem postopku je povzel obrazložitev v svojem dopisu z dne 25. marca 2004.
42 Parlament je, ko je ugotovil, da še vedno ni nobene od jezikovnih različic sklepa Sveta, 4. maja 2004 zavrnil predlog za obravnavo po nujnem postopku tega predloga, ki mu ga je Svet predložil 28. aprila.
43 Komisija je 14. maja sprejela odločbo o ustreznosti, ki je predmet zadeve C-318/04. Svet pa je 17. maja 2004 sprejel Sklep 2004/496, ki je predmet zadeve C-317/04.
44 Tedanje predsedstvo Sveta je z dopisom z dne 4. junija 2004 obvestilo Parlament, da je Sklep 2004/496 upošteval boj proti terorizmu – prednosten za Unijo –, vendar tudi potrebo po soočenju s položajem pravne negotovosti letalskih družb in tudi njihovih finančnih interesov.
45 Parlament je z dopisom z dne 9. julija 2004 obvestil Sodišče, da je umaknil svoj predlog za mnenje, vpisan pod št. 1/04.
46 V zadevi C-317/04 je bila s sklepoma predsednika Sodišča z dne 18. novembra 2004 ter z dne 18. januarja 2005 Komisiji in Združenemu kraljestvu Velika Britanija in Severna Irska dopuščena intervencija v podporo predlogom Sveta.
47 V zadevi C-318/04 je bila s sklepom predsednika Sodišča z dne 17. decembra 2004 Združenemu kraljestvu dopuščena intervencija v podporo predlogom Komisije.
48 S sklepoma z dne 17. marca 2005 je bila evropskemu nadzorniku za varstvo podatkov dopuščena intervencija v podporo predlogom Parlamenta v teh dveh zadevah.
49 Glede na povezanost navedenih zadev, potrjenih med ustnim postopkom, se ju v skladu s členom 43 Poslovnika združi za izdajo sodbe.
Tožba v zadevi C-318/04
50 Parlament navaja štiri ničnostne tožbene razloge, ki so prekoračitev pooblastil, kršitev bistvenih načel Direktive, kršitev temeljnih pravic in kršitev načela sorazmernosti.
Prvi del prvega tožbenega razloga: kršitev člena 3(2), prva alinea, Direktive
Trditve strank
51 Parlement navaja, da je bila odločba Komisije sprejeta ultra vires v trenutku, ko niso bile spoštovane določbe Direktive in ob kršenju zlasti člena 3(2), prvi pododstavek, le-te o izključitvi dejavnosti, ki ne spadajo v področje uporabe prava Skupnosti.
52 Naj ne bi bilo dvoma, da je obdelava podatkov PNR, po prenosu na ameriški organ iz odločbe o ustreznosti, opravljena in tudi bo opravljena za izvajanje dejavnosti, značilnih za države v smislu točke 43 sodbe z dne 6. novembra 2003 v zadevi Lindquist (C-101/01, Recueil, str. I-12971).
53 Komisija, ob intervenciji Združenega kraljestva, meni, da dejavnosti letalskih prevoznikov jasno spadajo na področje uporabe prava Skupnosti. Navaja, da ti zasebni subjekti obdelajo podatke PNR v Skupnosti in pripravijo njihov prenos v tretjo državo. Šlo naj bi torej za dejavnosti posameznikov in ne dejavnosti države članice, v kateri delujejo zadevni prevozniki, ali njihovih javnih organov, kot je razsodilo Sodišče v točki 43 zgoraj navedene sodbe Lindquist. Cilj, ki ga zasledujejo letalski prevozniki pri obdelavi podatkov PNR, naj bi bil spoštovanje zahtev prava Skupnosti, vključno z obveznostjo, zapisano v točki 2 Sporazuma. Člen 3(2) Direktive naj bi se skliceval na dejavnosti javnih organov, ki ne spadajo na področje uporabe prava Skupnosti.
Presoja Sodišča
54 Člen 3(2), prva alinea, Direktive s področja uporabe izključuje obdelavo osebnih podatkov za izvedbo dejavnosti, ki ne sodijo na področje uporabe zakonodaje Skupnosti, kot so tiste, opredeljene v naslovih V in VI Pogodbe o Evropski uniji, in v vsakem primeru v postopkih obdelave v zvezi z javno varnostjo, obrambo, državno varnostjo in pri dejavnostih države na področju kazenskega prava.
55 Odločba o ustreznosti se nanaša le na podatke PNR, posredovane uradu CBP. Iz šeste uvodne izjave te odločbe izhaja, da zahteve, da se osebni podatki o letalskih potnikih PNR posredujejo uradu CBP, temeljijo na zakonu, ki so ga sprejele Združene države novembra 2001, in na izvedbenih uredbah, ki jih je v okviru tega zakona sprejel urad CBP. Po sedmi uvodni izjavi te odločbe zadevna zakonodaja Združenih držav obravnava povečanje varnosti in pogoje, pod katerimi lahko posamezniki vstopijo v to državo in jo zapustijo. Na podlagi osme uvodne izjave Skupnost v celoti podpira Združene države v boju proti terorizmu v skladu z omejitvami, ki jih postavlja pravo Skupnosti. Petnajsta uvodna izjava te iste odločbe navaja, da se bodo podatki PNR uporabili izključno za preprečevanje in boj proti terorizmu in z njim povezanimi kaznivimi dejanji, drugim hudim kaznivim dejanjem, vključno z organiziranim kriminalom, ki so po naravi transnacionalna, in proti izogibanju sodnim nalogom ali priporu zaradi navedenih kaznivih dejanj.
56 Iz tega izhaja, da predstavlja prenos podatkov PNR uradu CBP obdelavo, katere predmet je javna varnost in dejavnosti države na področju kazenskega prava.
57 Če je pravilno, da se šteje, da podatke PNR najprej zbirajo letalske družbe v okviru dejavnosti, ki sodi v pravo Skupnosti, kar pomeni prodaja letalskih vozovnic, ki daje pravico do opravljanja storitev, pa ima obdelava podatkov, ki se upošteva v odločbi o ustreznosti vendarle povsem drugo naravo. Dejansko se ta odločba, kot je bilo opozorjeno v točki 55 te sodbe, ne nanaša na obdelavo podatkov, potrebno za opravljanje storitev, ampak se šteje za nujno za zaščito javne varnosti in za namene kazenski pregon.
58 V točki 43 zgoraj navedene sodbe Lindquist, na katero se sklicuje Komisija v odgovoru na tožbo, je Sodišče razsodilo, da so dejavnosti, omenjene kot primer v členu 3(2), prva alinea, Direktive v vseh primerih dejavnosti, značilne za države ali državne organe in tuje organe na področjih dejavnosti posameznikov. Vendar pa iz tega ne izhaja, da zaradi dejstva, da so podatke PNR zbrali zasebni subjekti za ekonomske namene in da jih ti prenesejo v tretjo državo, zadevni prenos ne spada na področje uporabe te določbe. Dejansko spada ta prenos v okvir, ki ga določijo javni organi, in se nanaša na javno varnost.
59 Iz navedenih preudarkov izhaja, da se odločba o ustreznosti nanaša na obdelavo osebnih podatkov v smislu člena 3(2), prva alinea, Direktive. Ta odločba torej ne sodi na področje uporabe le-te.
60 Zato je prvi del prvega tožbenega razloga, ki je kršitev člena 3(2), prva alinea, Direktive, utemeljen.
61 Posledično se, ne da bi bilo treba preučiti druge dele prvega tožbenega razloga in druge tožbene razloge Parlamenta, odločbo o ustreznosti razglasi za nično.
Tožba v zadevi C-317/04
62 Parlament navaja šest ničnostih tožbenih razlogov, ki so: napačna uporaba člena 95 ES kot pravne podlage Sklepa 2004/496 in kršitev člena 300(3), drugi pododstavek, ES, člena 8 EKČP, načela sorazmernosti, obveznosti obrazložitve in načela lojalnega sodelovanja.
Prvi tožbeni razlog: napačna uporaba člena 95 ES kot pravne podlage Sklepa 2004/496
Trditve strank
63 Parlament navaja, da člen 95 ES ni primerna pravna podlaga za Sklep 2004/496. Cilj in namen tega sklepa naj ne bi bila vzpostavitev in delovanje notranjega trga s prispevanjem k odstranitvi ovir prostega pretoka storitev ter naj ne bi vseboval določb za uresničitev takega cilja. Dejansko naj bi bil njegov namen uzakoniti obdelavo osebnih podatkov, ki jo določa zakonodaja Združenih držav. Še več, člen 95 ES ne ustvari pristojnosti Skupnosti za sklenitev sporazuma, saj se le-ta nanaša na obdelavo podatkov, izključenih s področja uporabe Direktive.
64 Svet navaja, da Direktiva, veljavno sprejeta na podlagi člena 100a Pogodbe, v svojem členu 25 vsebuje določbe, ki predvidevajo možnost prenosa osebnih podatkov v tretjo državo z zagotovitvijo ustrezne stopnje varnosti, vključno z možnostjo, da se po potrebi začnejo pogajanja, ki privedejo do tega, da Skupnost sklene sporazum s to državo. Sporazum naj bi se nanašal na prosti pretok podatkov PNR med Skupnostjo in Združenimi državami pod pogoji, ki spoštujejo svoboščine in temeljne pravice oseb, zlasti zasebno življenje. Ciljal naj bi na odpravo vsakega izkrivljanja konkurence med letalskimi družbami držav članic in le-temi ter letalskimi prevozniki tretjih držav, ki bi lahko izhajala iz zahtev Združenih držav zaradi varovanja pravic in svoboščin oseb. Pogoji konkurenčnosti med družbami držav članic, ki zagotavljajo potniške lete v mednarodnem letalskem prometu v Združene države ali iz njih, bi lahko bili izkrivljeni, ker so samo nekateri med njimi organom Združenih držav dovolili dostop do svojih baz podatkov. Sporazum naj bi poskušal naložiti vsem zadevnim prevoznikom usklajene obveznosti.
65 Komisija poudarja obstoj „kolizije“ v smislu mednarodnega javnega prava med zakoni Združenih držav in ureditvijo Skupnosti, kot tudi nujnost, da se odpravi kolizijo teh. Komisija očita Parlamentu – ki prereka, da bi bil lahko člen 95 ES pravna podlaga Sklepa 2004/496 –, da ni predlagal primerne pravne podlage. Po mnenju Komisije navedeni člen predstavlja „naravno pravno podlago“ tega sklepa, saj se Sporazum nanaša na zunanji vidik varstva osebni podatkov med njihovim prenosom znotraj Skupnosti. Člena 25 in 26 Direktive naj bi ustvarila izključno zunanjo pristojnost v korist Skupnosti.
66 Poleg tega Komisija navaja, da te podatke najprej obdelajo letalske družbe za ekonomske namene. Uporaba teh podatkov s strani organov Združenih držav naj ne bi privedla do tega, da se izogne vplivu Direktive.
Presoja Sodišča
67 Člen 95 ES, bran v povezavi s členom 25 Direktive, ne ustvarja pristojnosti Skupnosti za sklenitev Sporazuma.
68 Dejansko se Sporazum nanaša na enak prenos podatkov kot odločba o ustreznosti in torej obdelave podatkov, ki so, kot je bilo razloženo zgoraj, izključene s področja uporabe Direktive.
69 Zato Sklep 2004/496 ni mogel biti veljavno sprejet na podlagi člena 95 ES.
70 Ne da bi bilo treba preučiti druge tožbene razloge Parlamenta, se ta sklep razglasi za ničen.
Omejitve učinkov sodbe
71 Iz točke 7 Sporazuma izhaja, da ga vsaka od pogodbenic lahko kadar koli odpove in da odpoved začne učinkovati 90 dni od dne uradnega obvestila druge pogodbenice o odpovedi.
72 Vendar pa v skladu s točkama 1 in 2 Sporazuma pravica dostopa urada CBP do podatkov PNR in obveznost, naložena letalskim prevoznikom, da jih obdelajo, kot zahteva urad CBP, obstajajo le toliko časa, dokler velja odločba o ustreznosti. V točki 3 navedenega sporazuma je urad CBP izjavil, da izvaja zaveze, priložene k tej odločbi.
73 Ob upoštevanju dejstva, da se Skupnost ne more sklicevati na svoje pravo v utemeljitev neizpolnitve sporazuma, ki ostane v uporabi v obdobju 90 dni od njegove odpovedi, in tesni povezavi, ki obstaja med Sporazumom in odločbo o ustreznosti, se zdi – zaradi pravne varnosti in da se zavaruje zadevne osebe – utemeljeno, da se ohrani učinke odločbe o ustreznosti med tem obdobjem. Poleg tega je treba upoštevati rok, potreben za sprejetje ukrepov za izvršitev te sodbe.
74 Učinke odločbe o ustreznosti je torej treba ohraniti do 30. septembra 2006, vendar pa teh učinkov ni mogoče ohraniti po dnevu prenehanja veljavnosti sporazuma.
Stroški
75 V skladu s členom 69(2) Poslovnika se neuspeli stranki naloži plačilo stroškov, če so bili ti priglašeni. Parlament je predlagal, naj se Svetu in Komisiji naloži plačilo stroškov, in ker ta s tožbenimi razlogi nista uspela, se jima naloži plačilo stroškov. Na podlagi člena 69(4), prvi pododstavek, istega člena intervenienti v teh sporih nosijo svoje stroške.
Iz teh razlogov je Sodišče (veliki senat) razsodilo:
1) Sklep Sveta 2004/496/ES z dne 17. maja 2004 o sklenitvi Sporazuma med Evropsko skupnostjo in Združenimi državami Amerike o obdelavi in prenosu podatkov PNR s strani letalskih prevoznikov uradu za carine in varovanje meja pri ministrstvu Združenih držav za domovinsko varnost in Odločba Komisije 2004/535/ES z dne 14. maja 2004 o ustreznem varstvu osebnih podatkov, vsebovanih v evidenci imen letalskih potnikov, posredovani uradu za carinsko in mejno zaščito Združenih držav Amerike, se razlasita za nična.
2) Učinki odločbe o ustreznosti se ohranijo do 30. septembra 2006, vendar pa teh učinkov ni mogoče ohraniti po dnevu ugasnitve navedenega sporazuma.
3) Svetu Evropske unije se naloži plačilo stroškov v zadevi C-317/04.
4) Komisiji Evropskih skupnosti se naloži plačilo stroškov v zadevi C‑318/04.
5) Komisija Evropskih skupnosti nosi svoje stroške v zadevi C-317/04.
6) Združeno kraljestvo Velika Britanija in Severna Irska in evropski nadzornik za varstvo podatkov nosita svoje stroške.
Podpisi