TEISINGUMO TEISMO (didžioji kolegija)
SPRENDIMAS
2010 m. kovo 9 d.(*)
„Valstybės įsipareigojimų neįvykdymas – Direktyva 95/46/EB – Fizinių asmenų apsauga tvarkant asmens duomenis ir laisvas tokių duomenų judėjimas – 28 straipsnio 1 dalis – Nacionalinės priežiūros institucijos – Nepriklausomumas – Administracinė šių institucijų kontrolė“
Byloje C‑518/07
dėl 2007 m. lapkričio 22 d. pagal EB 226 straipsnį pareikšto ieškinio dėl įsipareigojimų neįvykdymo
Europos Komisija, atstovaujama C. Docksey, C. Ladenburger ir H. Krämer, nurodžiusi adresą dokumentams įteikti Liuksemburge,
ieškovė,
palaikoma
Europos duomenų apsaugos priežiūros pareigūno, atstovaujamo H. Hijmans ir A. Scirocco, nurodžiusio adresą dokumentams įteikti Liuksemburge,
įstojusios į bylą šalies,
prieš
Vokietijos Federacinę Respubliką, atstovaujamą M. Lumma ir J. Möller, nurodžiusią adresą dokumentams įteikti Liuksemburge,
atsakovę,
TEISINGUMO TEISMAS (didžioji kolegija),
kurį sudaro pirmininkas V. Skouris, kolegijų pirmininkai A. Tizzano, J. N. Cunha Rodrigues, K. Lenaerts, J.‑C. Bonichot ir E. Levits, teisėjai A. Rosas, K. Schiemann (pranešėjas), J.‑J. Kasel, M. Safjan ir D. Šváby,
generalinis advokatas J. Mazák,
kancleris R. Grass,
atsižvelgęs į rašytinę proceso dalį,
susipažinęs su 2009 m. lapkričio 12 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Savo ieškiniu Europos Bendrijų Komisija prašo Teisingumo Teismo pripažinti, kad taikydama priežiūros institucijų, kompetentingų prižiūrėti asmens duomenų tvarkymą ne viešajame sektoriuje įvairiose žemėse (Länder), valstybės kontrolę ir dėl to neteisingai perkeldama reikalavimą, pagal kurį institucijos, įpareigotos užtikrinti šių duomenų apsaugą, turi būti „visiškai nepriklausomos“, Vokietijos Federacinė Respublika neįvykdė įsipareigojimų pagal 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281 p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15t., p. 355) 28 straipsnio 1 dalies antrą pastraipą.
Teisinis pagrindas
Bendrijos teisės aktai
2 Direktyva 95/46, priimta remiantis EB sutarties 100 A straipsniu (dabar – EB 95 straipsnis), siekiama suderinti su asmens duomenų tvarkymu susijusius nacionalinės teisės aktus.
3 Direktyvos 95/46 3, 7, 8, 10 ir 62 konstatuojamosiose dalyse nustatoma:
„(3) kadangi sukurti ir veikti vidaus rinkai, kurioje pagal Sutarties 7a straipsnį (dabar – EB 14 straipsnis) užtikrinamas laisvas prekių, žmonių, paslaugų ir kapitalo judėjimas, būtina ne tik galimybė asmens duomenims laisvai judėti iš vienos valstybės narės į kitą, bet taip pat ir asmens pagrindinių teisių apsauga;
<...>
(7) kadangi nevienodas asmenų teisių ir laisvių, ypač jų privatumo teisės, apsaugos lygis tvarkant asmens duomenis įvairiose valstybėse narėse gali trukdyti perduoti tokius duomenis iš vienos valstybės narės į kitą; kadangi šie skirtumai gali kliudyti užsiimti kai kuriomis ekonominės veiklos rūšimis Bendrijos lygiu, iškreipti konkurenciją ar trukdyti valdžios institucijoms vykdyti savo pareigas pagal Bendrijos teisę; kadangi šie apsaugos lygių skirtumai atsiranda dėl pernelyg didelės nacionalinių įstatymų ir kitų teisės aktų įvairovės;
(8) kadangi, siekiant pašalinti kliūtis asmens duomenims judėti, asmenų teisių ir laisvių apsauga tvarkant tokius duomenis turi būti lygiavertė visose valstybėse narėse; kadangi šis tikslas yra gyvybiškai svarbus vidaus rinkai, tačiau valstybės narės nepasieks jo vienos, ypač žinant, kokie dideli taikytinų valstybių narių įstatymų skirtumai ir kaip būtina koordinuoti valstybių narių įstatymus, kad būtų užtikrinta, jog asmens duomenų judėjimas iš vienos valstybės į kitą reglamentuojamas nuosekliai, t. y. laikantis vidaus rinkos tikslų, kaip numatyta Sutarties 7a straipsnyje; kadangi dėl to Bendrija turi imtis veiksmų, kad minėti įstatymai būtų suderinti;
<...>
(10) kadangi asmens duomenų tvarkymą reglamentuojančių nacionalinių įstatymų tikslas – apsaugoti pagrindines teises ir laisves, ypač privatumo teisę, ir tai pripažįstama (1950 m. lapkričio 4 d. Romoje pasirašytos) Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnyje, taip pat Bendrijos teisės aktų bendruosiuose principuose; kadangi dėl šios priežasties, suvienodinant tokius įstatymus, negali būti sumažinta juose numatyta apsauga, o priešingai – turi būti siekiama aukšto apsaugos lygio visoje Bendrijoje;
<...>
(62) kadangi valstybėse narėse įsteigus priežiūros institucijas, savo funkcijas vykdančias visiškai nepriklausomai, šios institucijos sudarys esminę asmenų apsaugos tvarkant asmens duomenis dalį.“
4 Direktyvos 95/46 1 straipsnis „Direktyvos paskirtis“ suformuluotas taip:
„1. Pagal šią direktyvą valstybės narės saugo fizinių asmenų pagrindines teises ir laisves, o ypač jų privatumo teisę tvarkant asmens duomenis.
2. Valstybės narės nevaržo ir nedraudžia laisvo asmens duomenų judėjimo tarp valstybių narių dėl priežasčių, susijusių su apsauga, skiriama pagal šio straipsnio 1 dalį.“
5 Direktyvos 95/46 28 straipsnyje „Priežiūros institucija“ nustatyta:
„1. Kiekviena valstybė narė numato, kad viena ar daugiau valdžios institucijų privalo kontroliuoti, kaip jos teritorijoje yra taikomos pagal šią direktyvą valstybių narių priimtos nuostatos.
Šios valdžios institucijos veikia visiškai nepriklausomai, vykdydamos joms patikėtas funkcijas.
2. Kiekviena valstybė narė numato, kad su priežiūros institucijomis turi būti tariamasi, kai rengiamos administracinės priemonės ar taisyklės dėl asmenų teisių ir laisvių apsaugos tvarkant asmens duomenis.
3. Kiekvienai kontrolės [priežiūros] institucijai suteikiami:
– įgaliojimai tirti, kaip antai: įgaliojimai sužinoti tvarkymo operacijų turinį ar įgaliojimai surinkti visą informaciją, reikalingą priežiūros funkcijoms atlikti,
– įgaliojimai veiksmingai įsikišti, pavyzdžiui, įgaliojimai pareikšti nuomonę, iš anksto įvertinus tvarkymo operacijas pagal 20 straipsnį, ir užtikrinti, kad tokios nuomonės būtų tinkamu būdu skelbiamos viešai, taip pat įgaliojimai nurodyti blokuoti, ištrinti arba sunaikinti duomenis, laikinai arba visiškai uždrausti tvarkyti duomenis, įspėti arba papeikti duomenų valdytoją arba įgaliojimai perduoti klausimą nacionaliniams parlamentams ar kitoms politinėms institucijoms svarstyti,
– įgaliojimai dalyvauti teismo procesuose, kai pažeidžiamos pagal šią direktyvą priimtos nacionalinės nuostatos, arba atkreipti teismo institucijų dėmesį į tokius pažeidimus.
Priežiūros institucijų priimti sprendimai, sukėlę nusiskundimų, gali būti skundžiami teismuose.
4. Kiekviena priežiūros institucija nagrinėja bet kurio asmens ar tam asmeniui atstovaujančios asociacijos iškeltus ieškinius [pareikštus skundus] dėl jo teisių ir laisvių apsaugos tvarkant asmens duomenis. Suinteresuotam asmeniui pranešama apie ieškinio [skundo] baigtį.
Kiekviena priežiūros institucija taip pat nagrinėja bet kurio asmens pareikštus skundus, reikalaujant patikrinti duomenų tvarkymo teisėtumą tais atvejais, kai taikomos pagal šios direktyvos 13 straipsnį priimtos nacionalinės nuostatos. Bet kuriuo atveju asmeniui pranešama, kad patikra buvo atlikta.
5. Kiekviena priežiūros institucija reguliariai parengia ataskaitą apie savo veiklą. Ši ataskaita skelbiama viešai.
6. Kad ir kokie nacionaliniai įstatymai būtų taikomi tvarkant aptariamus duomenis, kiekviena priežiūros institucija yra kompetentinga savo valstybės narės teritorijoje naudotis pagal šio straipsnio 3 dalį jai suteiktais įgaliojimais. Kiekviena valdžios institucija gali būti kitos valstybės narės institucijos paprašyta pasinaudoti savo įgaliojimais.
Priežiūros institucijos tarpusavyje bendradarbiauja tiek, kiek tai reikalinga jų pareigoms vykdyti, ypač keisdamosi visa naudinga informacija.
7. Valstybės narės numato, kad priežiūros institucijos nariai ir personalas, netgi jau nebedirbantys, privalo laikytis profesinės paslapties saugojimo prievolės dėl jų gaunamos konfidencialios informacijos.“
6 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001, p. 1; 2004 m. specialusis leidimas lietuvių k., 13 sk., 26 t., p. 102) buvo priimtas remiantis EB 286 straipsniu. Šio reglamento 44 straipsnio 1 ir 2 dalyse nustatoma:
„1. Europos duomenų apsaugos priežiūros pareigūnas [toliau –EDAPP] savo pareigas atlieka visiškai nepriklausomai.
2. [EDAPP] eidamas savo pareigas nei siekia gauti kitų nurodymus, nei juos vykdo.“
Nacionalinės teisės aktai
7 Pagal Vokietijos teisę fizinių asmenų apsauga tvarkant asmens duomenis skiriasi, atsižvelgiant į tai, ar juos tvarko viešasis subjektas, ar privatus.
8 Iš tikrųjų institucijos, įgaliotos kontroliuoti, kaip, viena vertus, viešieji subjektai ir, kita vertus, ne viešieji subjektai ir öffentlich-rechtliche Wettbewerbsunternehmen (rinkos konkurencijoje dalyvaujančios viešosios teisės įmonės) (toliau, kalbant bendrai, – ne viešasis sektorius) laikosi nuostatų šioje srityje, skiriasi.
9 Federaliniu lygiu viešųjų subjektų atliekamą asmens duomenų tvarkymą prižiūri Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Federalinis duomenų ir informacijos teisės apsaugos įgaliotinis), o žemėse – Landesdatenschutzbeauftragte (žemių duomenų apsaugos įgaliotiniai). Visi šie įgaliotiniai atsiskaito tik savo parlamentui ir paprastai viešieji subjektai, kurių priežiūrą jie vykdo; jų nekontroliuoja, neduoda jiems nurodymų ar nedaro kitokios įtakos.
10 Tačiau institucijų, įgaliotų prižiūrėti ne viešųjų subjektų atliekamą minėtų duomenų tvarkymą, struktūra atskirose žemėse (Land) skiriasi. Vis dėlto visų žemių (Länder) įstatymai aiškiai numato šių priežiūros institucijų valstybės kontrolę.
Ikiteisminė procedūra ir procesas Teisingumo Teisme
11 Manydama, jog institucijų, kompetentingų užtikrinti, kad ne viešasis sektorius laikytųsi nuostatų dėl asmenų apsaugos tvarkant asmens duomenis, valstybės kontrolė, kaip tai nustatyta visose Vokietijos žemėse (Länder), yra nesuderinama su Direktyvos 95/46 28 straipsnio 1 dalies antra pastraipa, Komisija 2005 m. liepos 5 d. nusiuntė Vokietijos Federacinei Respublikai oficialų pranešimą. Pastaroji į jį atsakė 2005 m. rugsėjo 12 d. laišku, kuriame tvirtino, kad Vokietijos kontrolės sistema šioje srityje atitinka minėtos direktyvos reikalavimus. Todėl Komisija 2006 m. gruodžio 12 d. išsiuntė Vokietijos Federacinei Respublikai pagrįstą nuomonę, pakartodama anksčiau suformuluotą reikalavimą. 2007 m. vasario 14 d. atsakyme ši valstybė narė pakartojo savo pirminę nuomonę.
12 Šiomis aplinkybėmis Komisija nusprendė pareikšti šį ieškinį.
13 2008 m. spalio 14 d. Teisingumo Teismo pirmininko nutartimi EDAPP leista įstoti į šią bylą palaikyti Komisijos reikalavimų.
Dėl ieškinio
Šalių argumentai
14 Šis ginčas kilo dėl dviejų priešingų Komisijos, palaikomos EDAPP, ir Vokietijos Federacinės Respublikos pateikiamų žodžių junginio „visiškai nepriklausomai“, esančio Direktyvos 95/46 28 straipsnio 1 dalies antroje pastraipoje, ir institucijų, prižiūrinčių asmenų apsaugą tvarkant asmens duomenis, funkcijų vykdymo sampratų.
15 Komisijos ir EDAPP nuomone, pagrįsta plačiu žodžių junginio „visiškai nepriklausomai“ aiškinimu, reikalavimas, jog priežiūros institucijos savo funkcijas vykdytų „visiškai nepriklausomai“, turi būti aiškinamas taip, kad priežiūros institucijoms negali būti daroma įtaka, nesvarbu, ar įtaka būtų daroma kitų administracinių institucijų ar ne valdžios institucijų. Todėl, vykdant institucijų, įpareigotų prižiūrėti, kaip ne viešajame sektoriuje laikomasi asmens apsaugą tvarkant asmens duomenis reglamentuojančių nuostatų, valstybės kontrolę, Vokietijoje pažeidžiamas minėtas reikalavimas.
16 Vokietijos Federacinė Respublika pripažįsta siauresnį žodžio junginio „visiškai nepriklausomai“ aiškinimą ir teigia, jog Direktyvos 95/46 28 straipsnio 1 dalies antra pastraipa reikalaujama, kad priežiūros institucijos vykdytų funkcijas nepriklausomai, t. y. kad šios institucijos turi būti nepriklausomos nuo jų kontroliuojamo ne viešojo sektoriaus ir kad joms neturi būti daroma išorinė įtaka. Jos nuomone, Vokietijos žemėse (Länder) vykdoma valstybės kontrolė yra ne tokia išorinė įtaka, o administracijos vidaus priežiūros mechanizmas, įgyvendinamas institucijų, susijusių su tuo pačiu kaip ir priežiūros institucijos administraciniu aparatu ir, kaip ir pastarosios, privalančių įgyvendinti Direktyvos 95/46 tikslus.
Teisingumo Teismo vertinimas
Dėl reikalavimo, kad priežiūros institucijos būtų nepriklausomos, apimties
17 Šio ieškinio pagrįstumo įvertinimas priklauso nuo Direktyvos 95/46 28 straipsnio 1 dalies antroje pastraipoje numatyto nepriklausomumo reikalavimo apimties, taigi nuo šios nuostatos aiškinimo. Šiomis aplinkybėmis reikia atsižvelgti į minėtos nuostatos formuluotę bei Direktyvos 95/46 tikslus ir struktūrą.
18 Visų pirma, dėl Direktyvos 95/46 28 straipsnio 1 dalies antros pastraipos formuluotės pažymėtina, jog kadangi žodžių junginys „visiškai nepriklausomai“ joje nėra apibrėžtas, reikia atsižvelgti į jo bendrinę reikšmę. Viešųjų organizacijų srityje terminas „nepriklausomai“ paprastai reiškia tokį statusą, kuris užtikrina tam tikrai organizacijai galimybę veikti visiškai laisvai, niekam nevadovaujant ir nedarant spaudimo.
19 Skirtingai nuo Vokietijos Federacinės Respublikos palaikomos pozicijos, Direktyvoje 95/46 nenurodoma, kad nepriklausomumo reikalavimas taikomas vien priežiūros institucijos santykiams su prižiūrimomis organizacijomis. Atvirkščiai, sąvoka „nepriklausomai“ sustiprinta prieveiksmiu „visiškai“, o tai reiškia kompetenciją priimti sprendimus, kai priežiūros institucijai nedaroma jokia, tiesioginė ar netiesioginė, išorinė įtaka.
20 Antra, dėl Direktyvos 95/46 tikslų pažymėtina, kad iš jos 3, 7 ir 8 konstatuojamųjų dalių matyti, kad derinant nacionalines taisykles, saugančias fizinius asmenis tvarkant asmens duomenis, šia direktyva iš esmės siekiama užtikrinti laisvą šių duomenų judėjimą iš vienos valstybės narės į kitą (šiuo klausimu žr. 2003 m. gegužės 20 d. Sprendimo Österreichischer Rundfunk ir kt., C‑465/00, C‑138/01 ir C‑139/01, Rink. p. I‑4989, 39 ir 70 punktus), kuris yra būtinas vidaus rinkai sukurti ir veikti EB 14 straipsnio 2 dalies prasme.
21 Tačiau laisvas asmens duomenų judėjimas gali pažeisti teisę į privatumą, kuri pripažįstama pagal Europos žmogaus teisių ir laisvių apsaugos konvencijos 8 straipsnį (šiuo klausimu žr. 2000 m. vasario 16 d. Europos žmogaus teisių teismo sprendimo Amann prieš Šveicariją, Recueil des arrêts et décisions 2000‑II, 69 ir 80 dalis ir 2000 m. gegužės 4 d. Europos žmogaus teisių teismo sprendimą Rotaru prieš Rumuniją, Recueil des arrêts et décisions 2000‑V, 43 ir 46 dalis) ir bendruosius Bendrijos teisės principus.
22 Dėl šios priežasties, be to, kaip matyti iš Direktyvos 95/46 10 konstatuojamosios dalies ir 1 straipsnio, ja taip pat siekiama ne sumažinti galiojančiomis nacionalinėmis taisyklėmis užtikrinamą apsaugą, o priešingai – tvarkant asmens duomenis garantuoti aukštą pagrindinių laisvių ir teisių apsaugos lygį visoje Bendrijoje (šiuo klausimu žr. minėto 2008 m. gruodžio 16 d. Sprendimo Österreichischer Rundfunk ir kt. 70 punktą ir 2008 m. gruodžio 16 d. Sprendimo Satakunnan Markkinapörssi ir Satamedia, C‑73/07, Rink. p. I‑0000, 52 punktą).
23 Vadinasi, Direktyvos 95/46 28 straipsnyje numatytos priežiūros institucijos yra šių teisių ir pagrindinių laisvių saugotojos ir, kaip matyti iš šios direktyvos 62 konstatuojamosios dalies, jų įsteigimas valstybėse narėse laikomas pagrindiniu asmenų apsaugos tvarkant asmens duomenis elementu.
24 Kad garantuotų šią apsaugą, priežiūros institucijos privalo užtikrinti tinkamą pusiausvyrą tarp pagarbos pagrindinei teisei į privatų gyvenimą ir laisvą asmens duomenų judėjimą reguliuojančių interesų. Be kita ko, pagal Direktyvos 95/46 28 straipsnio 6 dalį priežiūros institucijos turi bendradarbiauti tarpusavyje ir prireikus gali kitos valstybės narės priežiūros institucijos paprašytos pasinaudoti savo įgaliojimais.
25 Nacionalinių priežiūros institucijų nepriklausomumo garantija siekiama užtikrinti veiksmingą ir patikimą nuostatų, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis, laikymosi kontrolę ir ji turi būti aiškinama atsižvelgiant į šį tikslą. Ji buvo numatyta ne tam, kad šioms institucijoms bei jų tarnautojams būtų suteiktas ypatingas statusas, o tam, kad būtų sustiprinta su jų sprendimais susijusių asmenų ir organizacijų apsauga. Darytina išvada, kad vykdydamos savo funkcijas priežiūros institucijos turi veikti objektyviai ir nešališkai. Šiuo tikslu jų neturi veikti jokia valstybės ar Länder išorinė įtaka, įskaitant tiesioginę ar netiesioginę, o ne vien kontroliuojamų organizacijų įtaka.
26 Trečia, kalbant apie Direktyvos 95/46 struktūrą pažymėtina, kad ši direktyva turi būti suprantama kaip EB 286 straipsnio ir Reglamento Nr. 45/2001 atitikmuo. Pastarieji susiję su Bendrijos institucijų ir įstaigų tvarkomais asmens duomenimis bei laisvu jų judėjimu. Minėta direktyva taip pat siekiama šių tikslų, tačiau tvarkant asmens duomenis valstybėse narėse.
27 Taip pat kaip priežiūros institucijos veikia nacionaliniu lygiu, Bendrijos lygiu numatyta priežiūros įstaiga, įpareigota prižiūrėti, kaip taikomos fizinių asmenų apsaugos tvarkant asmens duomenis taisyklės, būtent EDAPP. Pagal Reglamento Nr. 45/2001 44 straipsnio 1 dalį ši įstaiga savo funkcijas vykdo visiškai nepriklausomai. Minėto straipsnio 2 dalyje paaiškinama sąvoka „nepriklausomai“, papildant, kad EDAPP vykdydamas pareigas nei siekia gauti nurodymų iš kitų, nei juos vykdo.
28 Atsižvelgiant į tai, kad Reglamento Nr. 45/2001 44 straipsnis ir Direktyvos 95/46 28 straipsnis yra pagrįsti ta pačia bendra koncepcija, šios dvi nuostatos aiškintinos vienodai, t. y. ne tik EDAPP, bet ir nacionalinių institucijų nepriklausomumas reiškia funkcijų vykdymą be nurodymų.
29 Remiantis pačia Direktyvos 95/46 28 straipsnio 1 dalies antros pastraipos formuluote bei šios direktyvos tikslais ir struktūra, galima pateikti aiškų minėto 28 straipsnio 1 dalies antros pastraipos aiškinimą. Todėl nėra būtina atsižvelgti į minėtos direktyvos rengimo istoriją ar išreikšti nuomonę dėl Vokietijos Federacinės Respublikos pateiktų šiuo atžvilgiu prieštaraujančių argumentų.
30 Atsižvelgiant į visa tai, kas išdėstyta, Direktyvos 95/46 28 straipsnio 1 dalies antra pastraipa turi būti aiškinama taip, kad priežiūros institucijos, įpareigotos prižiūrėti, kaip ne viešajame sektoriuje tvarkomi asmens duomenys, turi veikti nepriklausomai, t. y. vykdyti savo funkcijas be išorinės įtakos. Šis nepriklausomumas reiškia ne tik, kad jų prižiūrimos organizacijos nedaro joms jokios įtakos, bet taip pat kad nėra jokių nurodymų ir kitos išorinės, tiesioginės ar netiesioginės, įtakos, galinčios sutrukdyti minėtoms institucijoms vykdyti jų užduotį, t. y. nustatyti teisingą pusiausvyrą tarp teisės į privatų gyvenimą apsaugos ir laisvo asmens duomenų judėjimo.
Dėl valstybės kontrolės
31 Toliau reikia išnagrinėti, ar Vokietijoje vykdoma institucijų, prižiūrinčių ne viešojo sektoriaus atliekamą asmens duomenų tvarkymą, valstybės kontrolė suderinama su taip išaiškintu nepriklausomumo reikalavimu.
32 Šiuo klausimu reikia konstatuoti, kad bet kokia valstybės kontrolė iš esmės leidžia atitinkamos Land vyriausybei ar šiai vyriausybei pavaldžiai administravimo institucijai tiesiogiai ar netiesiogiai paveikti priežiūros institucijos sprendimus arba, jei reikia, juos panaikinti ar pakeisti.
33 Aišku, reikia a priori pripažinti, kaip tai nurodo Vokietijos Federacinė Respublika, jog valstybės kontrole tik siekiama garantuoti, kad priežiūros institucijų veikla atitiktų taikytinas nacionalines ir Bendrijos nuostatas, o ne priversti minėtas institucijas siekti politinių tikslų, prieštaraujančių fizinių asmenų apsaugai tvarkant asmens duomenis ir pagrindinėms teisėms.
34 Vis dėlto neatmestina tai, kad kontrolės institucijos, kurios yra bendrosios administracijos dalis ir todėl pavaldžios tam tikros Land vyriausybei, aiškindamos ir taikydamos nuostatas, susijusias su asmens duomenų tvarkymu, negali veikti objektyviai.
35 Iš tikrųjų, kaip savo pastabose nurodo EDAPP, tam tikros Land vyriausybė gali būti suinteresuota nesilaikyti nuostatų, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis, tokiu atveju, kai šiuos duomenis tvarko ne viešasis sektorius. Ši vyriausybė pati gali būti suinteresuota tokiu tvarkymu, jei ji jame dalyvauja arba galėtų dalyvauti, pavyzdžiui, viešojo ir privataus sektorių partnerytės atveju arba sudarant viešojo pirkimo sutartis su privačiu subjektu. Ši vyriausybė taip pat gali turėti specialių interesų, jei jai reikia arba tiesiog naudinga susipažinti su duomenų bazėmis vykdant tam tikras savo funkcijas, pavyzdžiui, mokesčių arba baudžiamaisiais tikslais. Ši vyriausybė, be kita ko, taip pat gali būti linkusi teikti pirmenybę Land arba regiono ekonominiams interesams, kai ekonominiu požiūriu svarbios bendrovės taiko minėtas nuostatas.
36 Be to, reikia pabrėžti, kad vien galimybės, jog kontrolės institucijos gali daryti politinę įtaką priežiūros institucijų sprendimams, pakanka, kad būtų pakenkta pastarųjų funkcijų nepriklausomam vykdymui. Viena vertus, kaip nurodė Komisija, kontrolės institucijų sprendimų priėmimo praktika gali lemti priežiūros institucijų „išankstinį paklusnumą“. Kita vertus, šių institucijų prisiimtas teisės į privataus gyvenimą saugotojų vaidmuo reikalauja, kad nei jų sprendimai, nei jos pačios nebūtų šališki.
37 Atsižvelgiant į visa, kas išdėstyta pirma, reikia konstatuoti, kad kompetentingų Vokietijos institucijų, prižiūrinčių asmens duomenų tvarkymą ne viešajame sektoriuje, atžvilgiu vykdoma valstybės kontrolė nėra suderinama su nepriklausomumo reikalavimu, kaip jis apibūdintas šio sprendimo 30 punkte.
Dėl Vokietijos Federacinės Respublikos nurodytų Bendrijos teisės principų
38 Vokietijos Federacinė Respublika nurodė, kad toks Direktyvos 95/46 28 straipsnio 1 dalies antroje pastraipoje įrašyto nepriklausomumo reikalavimo aiškinimas, pagal kurį ši valstybė narė būtų priversta pakeisti savo išbandytą ir veiksmingą institucijų, prižiūrinčių asmens duomenų ne viešajame sektoriuje tvarkymą, kontrolės sistemą, pažeistų tam tikrus Bendrijos teisės principus.
39 Pirma, šios valstybės narės nuomone, demokratijos principas ypač prieštarautų, kad šis nepriklausomumo reikalavimas būtų aiškinamas plačiai.
40 Šiuo principu, įtvirtintu ne tik Vokietijos Konstitucijoje, bet ir ES 6 straipsnio 1 dalyje, reikalaujama, kad administracija paklustų vyriausybei, kuri atsakinga parlamentui. Todėl turėtų būti numatyta, kad kompetentingas ministras kontroliuoja veiksmų, susijusių su piliečių ir įmonių teisėmis, teisėtumą. Kadangi priežiūros institucijos, veikiančios fizinių asmenų apsaugos tvarkant asmens duomenis srityje, pagal Direktyvos 95/46 28 straipsnio 3 dalį piliečių ir ne viešo sektoriaus atžvilgiu turi tam tikrų teisių įsikišti, būtina išplėsti jų veiksmų teisėtumo kontrolę, taikant teisėtumo ar pagrįstumo kontrolės būdus.
41 Šiuo klausimu reikia priminti, kad demokratijos principas yra Bendrijos teisinės sistemos dalis ir jis tiesiogiai įtvirtintas ES 6 straipsnio 1 dalyje kaip vienas iš Europos Sąjungos pagrindų. Kadangi jis yra ir valstybėms narėms bendras principas, į jį turi būti atsižvelgta aiškinant antrinės teisės aktą, pavyzdžiui, Direktyvos 95/46 28 straipsnį.
42 Šis principas nedraudžia to, kad, be klasikinės hierarchinės administracijos, veiktų daugiau ar mažiau nuo vyriausybės valdžios nepriklausomos institucijos. Valstybėse narėse šių institucijų veikimas ir veiklos sąlygos numatyti įstatymuose, o kai kuriose valstybėse narėse – konstitucijose; šios institucijos privalo laikytis įstatymo, o tai kontroliuoja kompetentingi teismai. Tokios nepriklausomos administracinės institucijos, kurios, be kita ko, egzistuoja Vokietijos teisinėje sistemoje, dažnai atlieka reguliuojamąsias funkcijas ar vykdo veiklą, kuriai neturi būti daroma politinė įtaka, tačiau jos privalo laikytis įstatymų, o jas kontroliuoja kompetentingi teismai. Būtent taip yra ir priežiūros institucijų funkcijų fizinių asmenų tvarkant asmens duomenis apsaugos srityje atžvilgiu.
43 Aišku, negali būti suprantama, kad šioms institucijoms nebus daroma parlamentinė įtaka. Tačiau pagal Direktyvą 95/46 valstybės narės ir nėra įpareigojamos vengti tokios parlamentinės įtakos.
44 Tad, pirma, priežiūros institucijų vadovybė gali būti skiriama parlamento arba vyriausybės. Antra, įstatymų leidėjas gali nustatyti šių institucijų kompetenciją.
45 Be to, įstatymų leidėjas gali numatyti priežiūros institucijoms pareigą atsiskaityti parlamentui už savo veiklą. Šiuo atžvilgiu galima būtų palyginti su Direktyvos 95/46 28 straipsnio 5 dalimi, kurioje numatyta, kad kiekviena priežiūros institucija reguliariai parengia ataskaitą apie savo veiklą, kuri vėliau skelbiama viešai.
46 Atsižvelgiant į tai, kas išdėstyta, pirma, ta aplinkybė, kad priežiūros institucijoms fizinių asmenų apsaugos tvarkant asmens duomenis ne viešame sektoriuje srityje suteikiamas nepriklausomas nuo bendrosios administracijos statusas, negali pati savaime paneigti šių institucijų demokratinio legitimumo.
47 Antra, kalbant apie kompetencijos suteikimo principą, numatytą EB 5 straipsnio pirmoje pastraipoje, kuriuo taip pat rėmėsi Vokietijos Federacinė Respublika, pažymėtina, kad jis įpareigoja Bendriją veikti neperžengiant EB sutarties jai suteiktų įgaliojimų ir paisant jai iškeltų tikslų.
48 Vokietijos Federacinė Respublika šiuo klausimu nurodo, kad priežiūros institucijų nepriklausomumo nuo aukštesnių administracinių institucijų negali būti reikalaujama remiantis EB sutarties 100 A straipsniu, kuriuo grindžiama Direktyva 95/46.
49 Ši nuostata įgalioja Bendrijos teisės leidėją priimti priemones, skirtas vidaus rinkos sukūrimo ir veikimo sąlygoms pagerinti; šios priemonės iš tikrųjų turi turėti tokį tikslą ir prisidėti prie kliūčių EB sutartimi užtikrinamoms ekonominėms laisvėms šalinimo (šiuo klausimu žr. būtent 2000 m. spalio 5 d. Sprendimo Vokietija prieš Parlamentą ir Tarybą, C‑376/98, Rink. p. I‑8419, 83, 84 ir 95 punktus, 2002 m. gruodžio 10 d. Sprendimo British American Tobacco (Investments) ir Imperial Tobacco, C‑491/01, Rink. p. I‑11453, 60 punktą ir 2006 m. gegužės 2 d. Sprendimo Parlamentas prieš Komisiją, C‑436/03, Rink. p. I‑3733, 38 punktą).
50 Kaip jau buvo išdėstyta, priežiūros institucijų, kurioms neturi būti daroma jokia išorinė įtaka, galinti paveikti jų sprendimus, nepriklausomumas yra pagrindinis elementas Direktyvos 95/46 tikslų atžvilgiu. Jis reikalingas siekiant visose valstybėse narėse sukurti tokį patį aukštą fizinių asmenų apsaugos tvarkant asmens duomenis lygį ir taip skatina šių duomenų laisvą judėjimą, būtiną vidaus rinkai sukurti ir veikti.
51 Atsižvelgiant į tai, kas išdėstyta pirma, platus priežiūros institucijų nepriklausomumo reikalavimo aiškinimas neviršija Bendrijai pagal EB sutarties 100 A straipsnį – Direktyvos 95/46 teisinį pagrindą – suteiktų įgaliojimų.
52 Trečia, Vokietijos Federacinė Respublika remiasi EB 5straipsnio antroje ir trečioje pastraipose nurodomais subsidiarumo ir proporcingumo principais bei EB 10 straipsnyje įtvirtintu valstybių narių ir Bendrijos institucijų lojalaus bendradarbiavimo principu.
53 Ji primena būtent Amsterdamo sutartimi prie ES ir EB sutarčių pridėto Protokolo dėl subsidiarumo ir proporcingumo principų taikymo 7 dalį, pagal kurią reikėtų gerbti galiojančią nacionalinę tvarką bei valstybių narių teisinių sistemų struktūrą ir veikimą.
54 Įpareigojimas, kad Vokietijos Federacinė Respublika priimtų naują, jos teisinei tvarkai svetimą, sistemą ir taip pakeistų veiksmingą, jau beveik trisdešimt metų veikiančią, įstatymų duomenų apsaugos srityje pavyzdžiu buvusią ir reikšmingą ne vien nacionaliniu lygiu kontrolės sistemą, prieštarautų šiam reikalavimui.
55 Su tokiais argumentais negalima sutikti. Iš tikrųjų, kaip buvo išdėstyta šio sprendimo 21–25 ir 50 punktuose, Direktyvos 95/46 28 straipsnio 1 dalies antroje pastraipoje numatytą nepriklausomumo reikalavimą aiškinant taip, kad jis prieštarauja valstybės kontrolei, neviršijama tai, kas būtina siekiant EB sutarties nustatytų tikslų.
56 Taigi, atsižvelgiant į visa tai, kas pasakyta, reikia pripažinti, kad taikiusi priežiūros institucijų, kompetentingų prižiūrėti, kaip tvarkomi asmens duomenys ne viešajame sektoriuje įvairiose žemėse (Länder), valstybės kontrolę ir dėl to neteisingai perkėlusi nuostatą, pagal kurią šios institucijos vykdo savo funkcijas „visiškai nepriklausomai“, Vokietijos Federacinė Respublika neįvykdė įsipareigojimų pagal Direktyvos 95/46 28 straipsnio 1 dalies antrą pastraipą.
Dėl bylinėjimosi išlaidų
57 Pagal Procedūros reglamento 69 straipsnio 2 dalį pralaimėjusiai šaliai nurodoma padengti bylinėjimosi išlaidas, jeigu laimėjusi šalis to reikalavo. Kadangi Komisija prašė priteisti bylinėjimosi išlaidas ir Vokietijos Federacinė Respublika pralaimėjo bylą, pastaroji turi jas padengti.
58 EDAPP padengia savo bylinėjimosi išlaidas.
Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia:
1. Taikiusi priežiūros institucijų, kompetentingų prižiūrėti, kaip ne viešieji subjektai ir rinkoje konkuruojančios viešosios teisės įmonės (öffentlich-rechtliche Wettbewerbsunternehmen) tvarko asmens duomenis įvairiose žemėse (Länder), valstybės kontrolę ir dėl to neteisingai perkėlusi nuostatą, pagal kurią šios institucijos vykdo savo funkcijas „visiškai nepriklausomai“, Vokietijos Federacinė Respublika neįvykdė įsipareigojimų pagal 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 28 straipsnio 1 dalies antrą pastraipą.
2. Vokietijos Federacinė Respublika padengia Europos Komisijos bylinėjimosi išlaidas.
3. Europos duomenų apsaugos priežiūros pareigūnas padengia savo bylinėjimosi išlaidas.
Parašai.