TEISINGUMO TEISMO (didžioji kolegija)
SPRENDIMAS
2006 m. gegužės 30 d.(*)
„Fizinių asmenų apsauga tvarkant asmens duomenis – Oro transportas – Sprendimas 2004/496/EB – Europos bendrijos ir Jungtinių Amerikos Valstijų susitarimas – Jungtinių Amerikos Valstijų Muitinių ir sieno apsaugos biurui perduoti oro keleivių duomenys – Direktyva 95/46/EB – 25 straipsnis – Trečiosios valstybės – Sprendimas 2004/535/EB – Adekvatus apsaugos lygis“
Sujungtose bylose C‑317/04 ir C‑318/04
dėl 2004 m. liepos 27 d. pagal EB 230 straipsnį pareikštų ieškinių dėl panaikinimo
Europos Parlamentas, atstovaujamas R. Passos, N. Lorenz, H. Duintjer Tebbens ir A. Caiola, nurodęs adresą dokumentams įteikti Liuksemburge,
ieškovas,
palaikomas:
Europos duomenų apsaugos priežiūros pareigūno (EDAPP), atstovaujamo H. Hijmans ir V. Perez Asinari,
įstojusios į bylą šalies,
prieš
Europos Sąjungos Tarybą, atstovaujamą M. C. Giorgi Fort ir M. Bishop,
atsakovę byloje C‑317/04,
palaikomą:
Europos Bendrijų Komisijos, atstovaujamos P. J. Kuijper, A. van Solinge ir C. Docksey, nurodžiusios adresą dokumentams įteikti Liuksemburge,
Jungtinės Didžiosios Britanijos ir Šiaurės Airijos Karalystės, atstovaujamos M. Bethell, C. White ir T. Harris, padedamų barrister T. Ward, nurodžiusios adresą dokumentams įteikti Liuksemburge,
įstojusių į bylą šalių,
ir prieš
Europos Bendrijų Komisiją, atstovaujamą P. J. Kuijper, A. van Solinge, C. Docksey ir F. Benyon, nurodžiusią adresą dokumentams įteikti Liuksemburge,
atsakovę byloje C‑318/04,
palaikomą:
Jungtinės Didžiosios Britanijos ir Šiaures Airijos Karalystės, atstovaujamos M. Bethell, C. White ir T. Harris, padedamų barrister T. Ward, nurodžiusios adresą dokumentams įteikti Liuksemburge,
įstojusios į bylą šalies,
TEISINGUMO TEISMAS (didžioji kolegija),
kurį sudaro pirmininkas V. Skouris, kolegijų pirmininkai P. Jann, C. W. A. Timmermans, A. Rosas ir J. Malenovský, teisėjai N. Colneric (pranešėja), S. von Bahr, J. N. Cunha Rodrigues, R. Silva de Lapuerta, G. Arestis, A. Borg Barthet, M. Ilešič ir J. Klučka,
generalinis advokatas P. Léger,
posėdžio sekretorė M. Ferreira, vyriausioji administratorė,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2005 m. spalio 18 d. posėdžiui,
susipažinęs su 2005 m. lapkričio 22 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Savo ieškiniu byloje C‑317/04 Europos Parlamentas prašo panaikinti 2004 m. gegužės 17 d. Tarybos sprendimą 2004/496/EB dėl Europos bendrijos ir Jungtinių Amerikos Valstijų susitarimo dėl oro vežėjų PNR duomenų tvarkymo ir perdavimo Jungtinių Valstijų vidaus saugumo departamento Muitinių ir sienos apsaugos biurui sudarymo (OL L 183, p. 83 ir klaidų ištaisymas OL 2005, L 255, p. 168).
2 Savo ieškiniu byloje C‑318/04 Parlamentas prašo panaikinti 2004 m. gegužės 14 d. Komisijos sprendimą 2004/535/EB dėl Jungtinių Amerikos Valstijų Muitinių ir sienos apsaugos biurui perduodamų oro keleivių asmens duomenų, nurodytų Keleivio duomenų įraše (Passenger Name Record), tinkamos apsaugos (Pataisytas vertimas) (OL L 235, p. 11, toliau – sprendimas dėl tinkamumo).
Teisinis pagrindas
3 1950 m. lapkričio 4 d. Romoje pasirašytos Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos (toliau – EŽTK) 8 straipsnyje skelbiama:
„1 Kiekvienas turi teisę į tai, kad būtų gerbiamas jo asmeninis ir jo šeimos gyvenimas, buto neliečiamybė ir susirašinėjimo slaptumas.
2 Valdžios pareigūnai neturi teisės kištis į naudojimąsi šia teise, išskyrus įstatymo numatytus atvejus, ir kai tai būtina demokratinėje visuomenėje valstybės saugumo, viešosios tvarkos ar šalies ekonominės gerovės interesams, siekiant užkirsti kelią teisės pažeidimams ar nusikaltimams, taip pat gyventojų sveikatai ar dorovei arba kitų žmonių teisėms ir laisvėms apsaugoti.“
4 EB 95 straipsnio 1 dalies antrame sakinyje nurodyta:
„Taryba 251 straipsnyje nurodyta tvarka, pasikonsultavusi su Ekonomikos ir socialinių reikalų komitetu, nustato priemones valstybių narių įstatymų ir kitų teisės aktų nuostatoms, skirtoms vidaus rinkos sukūrimui ir veikimui, suderinti.“
5 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva (95/46/EB) dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, p. 31), iš dalies pakeista 2003 m. rugsėjo 29 d. Europos Parlamento ir Tarybos Reglamentu (EB) Nr. 1882/2003, suderinančiu su Tarybos sprendimu 1999/468/EB nuostatas, susijusias su komitetais, padedančiais Komisijai naudotis savo įgyvendinimo įgaliojimais, nustatytais dokumentuose, priimtuose vadovaujantis EB sutarties 251 straipsnyje nustatyta tvarka (OL L 284, p. 1) (toliau – direktyva), buvo priimta remiantis EB sutarties 100a straipsniu (po pakeitimo – EB 95 straipsnis).
6 Jos vienuoliktoje konstatuojamojoje dalyje nurodyta, kad „šioje direktyvoje apibrėžti asmens teisių ir laisvių, ypač privatumo teisės, apsaugos principai remia tuos principus, kurie pateikiami 1981 m. sausio 28 d. Europos Tarybos konvencijoje dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu“.
7 Pagal šios direktyvos tryliktą konstatuojamąją dalį:
„Bendrijos teisė neapima Europos Sąjungos sutarties V ir VI antraštinėse dalyse dėl visuomenės saugumo, gynybos ir nacionalinio saugumo nurodytos veiklos bei valstybės veiklos baudžiamosios teisės srityje, nepažeidžiant pagal Europos bendrijos steigimo sutarties 56 straipsnio 2 dalį, 57 ar 100a straipsnius valstybėms narėms priklausančius įsipareigojimus <...>.“
8 Direktyvos penkiasdešimt septintoje konstatuojamojoje dalyje nurodoma:
„<...> turi būti uždrausta perduoti asmens duomenis į trečiąją šalį, kuri neužtikrina adekvataus apsaugos lygio.“
9 Direktyvos 2 straipsnyje numatyta:
„Šioje direktyvoje:
a) „asmens duomenys“ reiškia bet kurią informaciją, susijusią su asmeniu (duomenų subjektu), kurio tapatybė yra nustatyta arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta, yra tas asmuo, kurio tapatybę galima nustatyti tiesiogiai ar netiesiogiai, ypač pasinaudojus nurodytu asmens identifikavimo kodu arba vienu ar keliais to asmens fizinei, fiziologinei, protinei, ekonominei, kultūrinei ar socialinei tapatybei būdingais veiksniais;
b) „asmens duomenų tvarkymas“ (tvarkymas) reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, kaip antai: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas;
<…>“
10 Pagal direktyvos 3 straipsnį:
„Taikymo sritis
1. Ši direktyva taikoma automatiniais būdais tvarkant asmens duomenis ištisai arba dalimis ir neautomatiniais būdais tvarkant asmens duomenis, kai tie duomenys sudaro arba yra skirti sudaryti rinkmenų sistemos dalį.
2. Ši direktyva netaikoma tvarkant asmens duomenis:
– kai užsiimama tokia veikla, kuri nepatenka į Bendrijos teisės taikymo sritį, kaip antai veikla, kuri numatyta Europos Sąjungos sutarties V ir VI dalyse, taip pat kai atliekamos tvarkymo operacijos, susijusios su visuomenės saugumu, gynyba, valstybės saugumu (taip pat ir valstybės ekonomine gerove, kai tvarkymo operacija susijusi su valstybės saugumo klausimais) ir su valstybės veiksmais baudžiamosios teisės srityje;
<…>“
11 Direktyvos 6 straipsnio 1 dalyje teigiama:
„Valstybės narės numato, kad asmens duomenys turi būti:
<…>
b) surinkti įvardytais, aiškiai apibrėžtais ir teisėtais tikslais, o paskui tvarkomi su šiais tikslais suderintais būdais. Tolesnis duomenų tvarkymas istoriniais, statistiniais ar moksliniais tikslais laikomas suderinamu dalyku, su sąlyga, kad valstybės narės numato atitinkamas apsaugos priemones;
c) adekvatūs, susiję ir savo apimtimi neviršijantys tikslų, kuriems jie renkami ir (arba) vėliau tvarkomi;
<…>
e) laikomi tokio pavidalo, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių duomenys buvo surinkti arba paskui tvarkomi. <…>“
12 Direktyvos 7 straipsnyje numatyta:
„Valstybės narės numato, kad asmens duomenis galima tvarkyti tik tuo atveju, jeigu:
<…>
c) tvarkyti reikia vykdant teisinę prievolę, kuri privaloma duomenų valdytojui;
<…>
arba
e) tvarkyti reikia vykdant užduotį, atliekamą visuomenės labui, arba įgyvendinant oficialius įgaliojimus, suteiktus duomenų valdytojui ar trečiajai šaliai, kuriai atskleidžiami duomenys;
arba
f) tvarkyti reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (šalys), kurioms atskleidžiami duomenys, išskyrus atvejus, kai duomenų subjekto, kuriam pagal 1 straipsnio 1 dalį reikalinga apsauga, teisės ir laisvės yra viršesnės nei šie interesai.“
13 Pagal direktyvos 8 straipsnio 5 dalies pirmąją pastraipą:
„Duomenys, susiję su nusikaltimais, nuteisimais ar valstybės saugumo priemonėmis, gali būti tvarkomi tik tuo atveju, jeigu tai kontroliuoja oficiali valdžios institucija arba jeigu nacionaliniai įstatymai užtikrina tinkamas saugumo priemones, bet galioja išimtys, kurias valstybė narė gali leisti pagal nacionalines nuostatas, numatančias tinkamas konkrečias apsaugos priemones. Tačiau išsamus nuteisimų registras gali būti vedamas tiktai kontroliuojant oficialiai valdžios institucijai.“
14 Direktyvos 12 straipsnyje numatyta:
„Valstybės narės garantuoja kiekvienam duomenų subjektui teisę reikalauti, kad duomenų valdytojas:
a) be apribojimų, priimtinais laiko tarpais, per daug nedelsdamas ir be pernelyg didelių išlaidų, pateiktų:
– patvirtinimą, ar su juo susiję duomenys yra tvarkomi, ir informaciją bent jau apie tvarkymo tikslus, duomenų kategorijas, gavėjus, kuriems atskleidžiami duomenys, arba jų kategorijas,
– pranešimą suprantamu pavidalu apie tvarkomus duomenis ir bet kurią prieinamą informaciją apie jų šaltinius,
– žinias apie loginius metodus, naudojamus automatiškai tvarkant duomenis apie duomenų subjektą, bent 15 straipsnio 1 dalyje nurodytų automatinių sprendimų atveju;
b) tinkamai ištaisytų, ištrintų arba blokuotų duomenis, kurie tvarkomi nesilaikant šios direktyvos nuostatų, ypač, kai tie duomenys yra neišsamūs ar netikslūs;
c) praneštų trečiosioms šalims, kurioms duomenys buvo atskleisti, kad pagal b punktą duomenys buvo ištaisyti, ištrinti ar blokuoti, nebent tai padaryti būtų neįmanoma arba pernelyg sunku.“
15 Direktyvos 13 straipsnio 1 dalyje nurodyta:
„Valstybės narės gali priimti teisines priemones, kad apribotų 6 straipsnio 1 dalyje, 10 straipsnyje, 11 straipsnio 1 dalyje bei 12 ir 21 straipsniuose numatytų prievolių ir teisių mastą, kai toks apribojimas yra reikalinga apsaugos priemonė norint užtikrinti:
a) nacionalinį saugumą;
b) gynybą;
c) visuomenės saugumą;
d) kriminalinių nusikaltimų bei reglamentuojamų profesijų etikos pažeidimų prevenciją, tyrimą, išaiškinimą ir persekiojimą;
e) svarbius ekonominius ar finansinius valstybės narės ar Europos Sąjungos interesus, įskaitant ir monetarinius, biudžeto ar mokesčių klausimus;
f) kontrolės, tikrinimo ar taisyklių nustatymo funkciją, kuri susijusi, bent atsitiktinai, su įgaliojimų vykdymu c, d ir e punktuose nurodytais atvejais;
g) duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą.“
16 Pagal direktyvos 22 straipsnį:
„Teisės gynimo būdai
Nepažeidžiant jokių nuostatų dėl administracinio poveikio priemonių, kurios, inter alia, gali būti numatytos prieš perduodant klausimą 28 straipsnyje nurodytai priežiūros institucijai ir prieš kreipiantis į teismo instituciją, valstybės narės numato, kad kiekvienas asmuo turi teisę į teisminę gynybą, jei pažeidžiamos teisės, kurias jam garantuoja nacionaliniai įstatymai, taikomi tvarkant tam tikru aptariamu būdu.“
17 Direktyvos 25 ir 26 straipsniai sudaro IV skyrių, susijusį su asmens duomenų perdavimu į trečiąsias valstybes.
18 Pagal direktyvos 25 straipsnį „Principai“:
„1. Valstybės narės numato, kad asmens duomenys, kurie yra tvarkomi arba kuriuos perdavus ketinama tvarkyti, gali būti perduodami į trečiąją šalį tik tuo atveju, jeigu nepažeidžiant nacionalinių nuostatų, priimtų pagal kitas šios direktyvos nuostatas, ši trečioji šalis užtikrina adekvatų apsaugos lygį.
2. Apsaugos, kurią suteikia trečioji šalis, lygio adekvatumas įvertinamas atsižvelgiant į duomenų perdavimo operacijos ar operacijų grupės aplinkybes; ypatingas dėmesys atkreipiamas į duomenų pobūdį, siūlomos tvarkymo operacijos ar operacijų tikslą ir trukmę, duomenų kilmės bei paskirties valstybę ar valstybes, bendrųjų ir atskiriems sektoriams taikomų įstatymų, galiojančių trečiojoje šalyje, nuostatas, taip pat profesines taisykles ir saugumo priemones, kurių laikomasi toje valstybėje.
3. Valstybės narės ir Komisija praneša vienos kitoms apie tokius atvejus, kai jos mano, kad kuri nors trečioji šalis neužtikrina adekvataus apsaugos lygio, kaip numatyta šio straipsnio 2 dalyje.
4. Jeigu 31 straipsnio 2 dalyje numatyta tvarka Komisija išsiaiškina, kad kuri nors trečioji šalis neužtikrina adekvataus apsaugos lygio, kaip numatyta šio straipsnio 2 dalyje, valstybės narės imasi reikalingų priemonių, kad to tipo duomenys aptariamai trečiajai šaliai nebūtų perduoti.
5. Reikiamu metu Komisija pradeda derybas, kad ištaisytų padėtį, susidariusią pagal šio straipsnio 4 dalį išsiaiškinus apsaugos stoką.
6. 31 straipsnio 2 dalyje nurodyta tvarka Komisija gali išsiaiškinti, kad adekvatų apsaugos lygį, kaip numatyta šio straipsnio 2 dalyje, trečioji šalis užtikrina savo šalies įstatymais arba tarptautiniais įsipareigojimais, kuriuos ji yra prisiėmusi, ypač po 5 dalyje nurodytų derybų dėl asmenų privataus gyvenimo ir pagrindinių laisvių bei teisių apsaugos.
Valstybės narės imasi reikalingų priemonių, kad būtų laikomasi Komisijos sprendimo.“
19 Pagal direktyvos 26 straipsnio „Nukrypimai“ 1 dalį:
„Nesilaikydamos 25 straipsnio nuostatų, išskyrus, kai konkrečius atvejus reglamentuojantys šalies įstatymai numato ką kita, valstybės narės numato, kad asmens duomenys gali būti perduodami trečiajai šaliai, kuri neužtikrina adekvataus apsaugos lygio, kaip numatyta 25 straipsnio 2 dalyje, su sąlyga, kad:
a) duomenų subjektas yra nedviprasmiškai davęs sutikimą perduoti siūlomus duomenis;
arba
b) duomenis perduoti būtina, kad būtų įvykdyti sutarties tarp duomenų subjekto ir duomenų valdytojo reikalavimai, arba kad būtų įgyvendintos priemonės, kurių prieš pasirašant sutartį imamasi duomenų subjekto prašymu;
arba
c) duomenis perduoti būtina, kad duomenų subjekto labui būtų sudaryta duomenų valdytojo ir trečios šalies sutartis ar būtų įvykdyti tokios sutarties reikalavimai;
arba
d) duomenis perduoti arba įstatymų numatyta dėl svarbių visuomenės interesų arba norint nustatyti, įvykdyti ar apginti teisinius ieškinius;
arba
e) duomenis perduoti būtina, kad būtų apsaugoti gyvybiniai duomenų subjektų interesai;
arba
f) duomenys perduodami iš registro, kuris pagal įstatymus ir norminius aktus turėtų suteikti informacijos visuomenei ir kuriuo gali naudotis plačioji visuomenė arba bet kuris teisėtai reikalaujantis asmuo, tačiau kiekvienu konkrečiu atveju turi būti įvykdytos įstatymo numatytos naudojimosi tokiu registru sąlygos.“
20 Remdamasi šia direktyva ir pirmiausia jos 25 straipsnio 6 dalimi Europos Bendrijų Komisija priėmė sprendimą dėl tinkamumo.
21 Šio sprendimo vienuoliktoje konstatuojamojoje dalyje nustatyta:
„CBP (United States Bureau of Customs and Border Protection; Jungtinių Valstijų Muitinių ir sienos apsaugos biuras) gautų oro keleivių asmens duomenų, nurodytų PNR („passenger name records“; keleivio duomenų įrašų), tvarkymą reglamentuoja 2004 m. gegužės 11 d. Jungtinių Amerikos Valstijų Krašto saugumo departamento Muitinių ir sienos apsaugos biuro (Department of Homeland Security Bureau of Customs and Border Protection of 11 May 2004, CBP) įsipareigojimuose (toliau – Įsipareigojimai) ir Įsipareigojimuose nurodytuose Jungtinių Amerikos Valstijų vidaus teisės aktuose nustatyti reikalavimai.“ (Pataisytas vertimas)
22 Pagal šio sprendimo penkioliktą konstatuojamąją dalį PNR duomenys turi būti iš esmės naudojami tik užkertant kelią terorizmui ir susijusiems nusikaltimams, kitiems tarpvalstybinio pobūdžio sunkiems nusikaltimams, įskaitant organizuotą nusikalstamumą, slėpimuisi nuo arešto ar įkalinimo už minėtus nusikaltimus bei su jais kovojant.
23 Pagal sprendimo dėl tinkamumo 1–4 straipsnius:
„1 straipsnis
Pagal Direktyvos 95/46/EB 25 straipsnio 2 dalį Jungtinių Amerikos Valstijų Muitinių ir sienos apsaugos biuras (United States' Bureau of Customs and Border Protection, toliau – CBP) yra laikoma institucija, užtikrinančia tinkamą iš Bendrijos gaunamų PNR duomenų dėl skrydžių į Jungtines Amerikos Valstijas ir iš jų apsaugos lygį pagal priede nustatytus Įsipareigojimus.
2 straipsnis
Šis sprendimas yra susijęs su CBP teikiamos apsaugos tinkamumu, atsižvelgiant į Direktyvos 95/46/EB 25 straipsnio 1 dalies reikalavimus, ir neturi įtakos kitoms sąlygoms arba apribojimams, įgyvendinant kitas tos direktyvos, kuri siejasi su asmens duomenų tvarkymu valstybėse narėse, nuostatas.
3 straipsnis
1. Nepažeisdamos savo galių imtis veiksmų, užtikrinančių nacionalinių nuostatų, priimtų pagal kitų nei Direktyvos 95/46/EB 25 straipsnio nuostatas, laikymąsi, valstybių narių kompetentingos institucijos gali pasinaudoti savo turimomis galiomis ir laikinai sustabdyti duomenų srautus į CBP, kad apsaugotų asmenis, kai tvarkomi jų asmens duomenys šiais atvejais:
a) jeigu kompetentinga Jungtinių Amerikos Valstijų institucija nustatė, kad CBP pažeidė taikomus apsaugos standartus; arba
b) jeigu yra reali tikimybė, kad pažeidinėjami priede nustatyti apsaugos standartai, yra pagrįstų priežasčių manyti, kad CBP nesiima arba nesiims tinkamų ir savalaikių priemonių konkrečiam atvejui išspręsti, tolesnis perdavimas sukels tiesioginį didelės žalos duomenų subjektams pavojų, ir tomis aplinkybėmis valstybių narių kompetentingos institucijos dėjo tinkamas pastangas, pateikdamos CBP pranešimą bei suteikdamos galimybę atsakyti į jį.
2. Laikinas sustabdymas galios tol, kol bus užtikrinti apsaugos standartai, ir apie tai bus pranešta atitinkamų valstybių narių kompetentingoms institucijoms.
4 straipsnis
1. Valstybės narės nedelsdamos praneša Komisijai, kada buvo priimtos 3 straipsnyje numatytos priemonės.
2. Valstybės narės ir Komisija praneša viena kitai apie bet kokius apsaugos standartų pasikeitimus ir apie atvejus, kuriais institucijų, atsakingų už tai, kad CBP laikytųsi apsaugos standartų, veiksmai, kaip nurodyta priede, neužtikrina tokio laikymosi.
3. Jeigu pagal 3 straipsnį ir pagal šio straipsnio 1 ir 2 dalis surinkta informacija įrodo, kad nebesilaikoma pagrindinių principų, kurie būtini užtikrinant fizinių asmenų tinkamą apsaugos lygį, arba kad institucija, kuri yra atsakinga už tai, kad CBP laikytųsi priede nustatytų apsaugos standartų, neveiksmingai atliko savo vaidmenį, būtina apie tai pranešti CBP, o prireikus, siekiant šį sprendimą panaikinti arba laikinai sustabdyti jo galiojimą, taikyti Direktyvos 95/46/EB 31 straipsnio 2 dalyje numatytą tvarką.“
24 „Krašto saugumo departamento Muitinių ir sienos apsaugos biuro įsipareigojimuose“, pridėtuose prie sprendimo dėl tinkamumo, teigiama:
„Remdama Europos Komisijos planą vykdyti jai Direktyvos 95/46/EB <...> 25 straipsnio 6 dalimi suteiktas galias ir priimti sprendimą, pripažįstantį, kad Krašto saugumo departamento (CBP) gali suteikti tinkamą Keleivio duomenų įrašo (PNR) informacijos, kurią perduoda vežėjai oro transportu ir kuriai gali būti taikomos šios direktyvos nuostatos, apsaugą, CBP įsipareigoja <...>“
25 Šiuos įsipareigojimus sudaro 48 punktai, suskirstyti į tokius skyrius: „Teisiniai įgaliojimai gauti PNR“; „CBP naudojimasis PNR duomenimis“; „Duomenų reikalavimai“; „Darbas su „jautriais“ duomenimis“; „PNR duomenų gavimo metodai“ (pataisytas vertimas); „PNR duomenų saugojimas“; „CBP kompiuterių sistemos saugumas“; „Kaip CBP elgiasi su PNR duomenimis ir kaip juos saugo“; „PNR duomenų perdavimas kitoms vyriausybės institucijoms“; „PNR duomenų subjektų informavimas, galimybė gauti informaciją ir pareikšti prieštaravimus“; „Įsipareigojimų laikymasis“; „Abipusiškumas“; „Įsipareigojimų peržiūra ir nutraukimas“ ir „Privačios teisės ir precedento nebuvimas“.
26 Pavyzdžiui, yra pateikta tokių įsipareigojimų:
„1) Remiantis įstatymu (title 49, United States Code, section 44909(c)(3) ) ir jo įgyvendinimo (laikinosiomis) taisyklėmis (title 19, Code of Federal Regulations, section 122.49b), visi užsienio oro transportu į Jungtines Amerikos Valstijas ir iš jų keleivių skrydžius vykdantys vežėjai turi leisti CBP elektroniniu būdu susipažinti su visais vežėjo oro transportu kompiuterinėje užsakymų ir (arba) išvykimo kontrolės sistemose (toliau – užsakymų sistemos) renkamais ir laikomais PNR duomenimis.
<…>
3) CBP naudojasi PNR duomenimis tik siekdama užkirsti kelią: 1) terorizmui ir su juo susijusiems nusikaltimams; 2) kitiems tarpvalstybinio pobūdžio sunkiems nusikaltimams, įskaitant organizuotą nusikalstamumą; 3) slėpimuisi nuo arešto ar įkalinimo už anksčiau minėtus nusikaltimus, bei su jais kovoti. Šiems tikslams naudojami PNR duomenys leidžia CBP sutelkti išteklius ypač didelį pavojų keliantiems dalykams, ir taip palengvinti bei apsaugoti bona fide keliones.
4) CBP reikalaujami duomenų elementai yra išvardyti A priedėlyje. <…>
<…>
27) Bet kokių administracinių ar teisminių procesų dėl FOIA (Freedom of Information Act, Informacijos laisvės aktas) prašymo pateikti iš vežėjų oro transportu gautus PNR duomenis atžvilgiu CBP laikosi pozicijos, kad FOIA leidžia tokių įrašų neatskleisti.
<…>
29) Siekiant išvengti šio dokumento 3 dalyje nurodytų nusikaltimų ir su jais kovoti, CBP savo nuožiūra, atskirai atsižvelgdama į kiekvieną atvejį, suteiks PNR duomenis kitoms su terorizmu kovojančioms ir teisėsaugos funkcijas atliekančioms vyriausybės institucijoms, įskaitant užsienio vyriausybių institucijas. (Institucijos, su kuriomis CBP gali dalytis tokia informacija, toliau vadinamos „Paskirtosiomis institucijomis“).
30) CBP apgalvotai naudosis teise savo nuožiūra perduoti PNR duomenis nustatytais tikslais. CBP pirmiausiai išsiaiškins, ar PNR duomenų atskleidimo kitai Paskirtajai institucijai priežastis atitinka nustatytą tikslą (žr. šio dokumento 29 dalį). Jei taip, CBP nustatys, ar Paskirtoji institucija yra atsakinga už pažeidimų prevenciją, tyrimą, ar persekiojimą arba su tuo tikslu susijusių teisės aktų ar taisyklių vykdymą arba įgyvendinimą, kai CBP žino apie tokio teisės pažeidimo arba potencialaus pažeidimo požymius. Sprendimas atskleisti duomenis turės būti peržiūrimas atsižvelgiant į visas nurodytas aplinkybes.
<…>
35) Jokia šių Įsipareigojimų nuostata negali trukdyti naudotis PNR duomenimis arba juos atskleisti baudžiamajame procese ar kitais teisės numatytais atvejais. CBP informuos Europos Komisiją apie visus išleistus Jungtinių Amerikos Valstijų teisės aktus, kurie iš esmės turės įtakos šių Įsipareigojimų nuostatoms.
<…>
46) Šie Įsipareigojimai taikomi trejus metus ir šešis mėnesius (3,5 metų) nuo Jungtinių Amerikos Valstijų ir Europos bendrijos susitarimo įsigaliojimo datos, leisdami vežėjams oro transportu tvarkyti PNR duomenis, siekiant juos perduoti CBP pagal direktyvos reikalavimus. <…>
47) Šie Įsipareigojimai nesukuria ir nesuteikia jokios teisės ar privilegijos jokiam privačiam ar viešajam asmeniui ar šaliai.
<…>“
27 Įsipareigojimų priedėlyje „A“ nurodyti „PNR duomenų elementai“, kurių CBP reikalauja iš vežėjų oro transportu. Tarp jų minimi būtent „PNR įrašų aptikimo kodas“, užsakymo data, vardas, pavardė, adresas, informacija apie visas mokėjimo formas, kontaktiniai telefono numeriai, kelionių agentūra, keleivio kelionės statusas, elektroninio pašto adresas, bendros pastabos, keleivio vietos numeris, informacija apie neatvykimą (no show) bei visa surinkta APIS informacija.
28 Sprendimą 2004/496 Taryba priėmė būtent remdamasi EB 95 straipsniu kartu su EB 300 straipsnio 2 dalies pirmosios pastraipos pirmu sakiniu.
29 Pagal šio sprendimo tris konstatuojamąsias dalis:
„1) 2004 vasario 23 d. Taryba suteikė įgaliojimus Komisijai Bendrijos vardu derėtis dėl Susitarimo su Jungtinėmis Amerikos Valstijomis dėl oro vežėjų PNR duomenų tvarkymo ir perdavimo Jungtinių Valstijų vidaus saugumo departamento Muitinių ir sienos apsaugos biurui.
2) Europos Parlamentas nepateikė nuomonės per laikotarpį, kurį, vadovaudamasi Sutarties 300 straipsnio 3 dalies pirmąja pastraipa, nustatė Taryba, atsižvelgdama į skubų poreikį ištaisyti neapibrėžtumą, į kurį pateko oro transporto įmonės ir keleiviai, taip pat apsaugoti su tuo susijusiųjų finansinius interesus.
3) šis Susitarimas turėtų būti patvirtintas.“
30 Pagal sprendimo 2004/496 1 straipsnį:
„Europos bendrijos ir Jungtinių Amerikos Valstijų susitarimas dėl oro vežėjų PNR duomenų tvarkymo ir perdavimo Jungtinių Valstijų vidaus saugumo departamento Muitinių ir sienos apsaugos biurui yra patvirtinamas Bendrijos vardu.
Susitarimo tekstas pridedamas prie šio sprendimo.“
31 Šiame susitarime (toliau – susitarimas) nurodyta:
„EUROPOS BENDRIJA IR JUNGTINĖS AMERIKOS VALSTIJOS,
PRIPAŽINDAMOS, kaip svarbu yra gerbti pagrindines teises ir laisves, ypač privatumo teisę, ir kaip svarbu vadovaujantis šiomis vertybėmis kartu kovoti su terorizmu ir susijusiais nusikaltimais bei kitais sunkiais nusikaltimais, kurie savo pobūdžiu peržengia atskirų valstybių sienas, įskaitant organizuotą nusikalstamumą, ir juos užkardyti;
ATSIŽVELGDAMOS į JAV įstatymus ir nuostatus, pagal kuriuos kiekvienas oro vežėjas, vykdantis tarptautinio keleivių pervežimo skrydžius į Jungtines Valstijas ar iš jų, turi suteikti Vidaus saugumo departamento (toliau – DHS) (CBP) elektroninę prieigą prie PNR duomenų, surinktų ir laikomų oro vežėjų automatinėse užsakymų ir išvykimo kontrolės sistemose;
ATSIŽVELGDAMOS į <...> Direktyvą 95/46/EB <...>, ir ypač jos 7 straipsnio c punktą;
ATSIŽVELGDAMOS į CBP 2004 m. gegužės 11 d. prisiimtus įsipareigojimus, kurie bus paskelbti Federaliniame registre (toliau – įsipareigojimai);
ATSIŽVELGDAMOS į pagal Direktyvos 95/46/EB 25 straipsnio 6 dalį 2004 m. gegužės 14 d. priimtą Komisijos sprendimą 2004/535/EB, pagal kurį laikoma, kad CBP suteikia tinkamą Europos bendrijos (toliau – Bendrija) perduodamų PNR duomenų dėl skrydžių į JAV ir iš JAV apsaugą, vadovaujantis prie jo pridedamais įsipareigojimais (toliau – Sprendimas);
PAŽYMĖDAMOS, kad automatines užsakymų ir išvykimo kontrolės sistemas Europos bendrijos valstybių narių teritorijose turintys oro vežėjai turėtų organizuoti PNR duomenų perdavimą CBP, kai tik tai taps techniškai įmanoma, tačiau iki to laiko, vadovaujantis šio Susitarimo nuostatomis, JAV valdžios institucijoms turėtų būti leidžiama tiesiogiai prieiti prie duomenų,
<…>
SUSITARĖ:
1. CBP gali elektroniniu būdu prieiti prie PNR duomenų, laikomų oro vežėjų užsakymų ir išvykimo kontrolės sistemose (toliau – užsakymų sistemos), kurios yra Europos bendrijos valstybių narių teritorijoje, griežtai vadovaujantis Sprendimu ir tol, kol Sprendimas yra taikomas bei tik iki tol, kol bus sukurta patenkinama sistema, per kurią oro vežėjai galėtų tokius duomenis perduoti.
(Versija anglų kalba skamba taip: „CBP may electronically access the PNR data from air carriers reservation/departure control systems („reservation systems”) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.”)
2. Oro vežėjai, vykdantys tarptautinio keleivių pervežimo skrydžius į Jungtines Valstijas ar iš jų, tvarko savo automatinėse užsakymų sistemose turimus PNR duomenis, kaip to reikalauja CBP pagal JAV teisę ir griežtai pagal Sprendimą, bei tol, kol Sprendimas yra taikomas.
3. CBP atkreipia dėmesį į Sprendimą ir pareiškia, kad ji įgyvendina prie jo pridedamus įsipareigojimus.
4. CBP tvarko gautus PNR duomenis ir subjektams, su kuriais susijęs toks duomenų tvarkymas, taiko atitinkamus JAV įstatymus ir konstitucinius reikalavimus neteisėtai jų nediskriminuojant, pirmiausia pilietybės ar gyvenamosios šalies pagrindu.
<…>
7. Šis Susitarimas įsigalioja jį pasirašius. Bet kuri Šalis bet kuriuo metu gali nutraukti šį Susitarimą, apie tai pranešdama diplomatiniais kanalais. Nutraukimas įsigalioja po devyniasdešimties (90) dienų nuo pranešimo kitai Šaliai apie nutraukimą dienos. Šis Susitarimas gali būti iš dalies pakeistas bet kuriuo metu abipusiu raštišku susitarimu.
8. Šiuo Susitarimu neketinama nukrypti nuo Šalių teisės aktų ar juos iš dalies keisti; taip pat šis Susitarimas kitam privačiam ar viešajam asmeniui ar organizacijai nesuteikia ir neperduoda kokių nors teisių ar lengvatų.“
32 Pagal Tarybos informaciją apie įsigaliojimo dieną (OL C 158, 2004, p. 1) 2004 m. gegužės 28 d. Tarybai pirmininkaujančios valstybės atstovo ir Jungtinių Amerikos Valstijų vidaus saugumo departamento sekretoriaus Vašingtone pasirašytas susitarimas įsigaliojo pasirašymo dieną pagal jo 7 punktą.
Bylos aplinkybės
33 Po 2001 m. rugsėjo 11 d. teroristinių išpuolių Jungtinės Valstijos tų pačių metų lapkričio mėnesį priėmė teisės aktus, nustatančius, kad visi oro vežėjai, vykdantys skrydžius į Jungtines Amerikos Valstijas ir iš jų arba per jų teritoriją tranzitu, turi leisti Jungtinių Valstijų muitinių įstaigoms elektroniniu būdu susipažinti su kompiuterinėse užsakymų ir išvykimo kontrolės sistemose laikomais duomenimis, vadinamais „passenger name records“ (toliau – PNR duomenys). Pripažindama su tuo susijusių saugumo interesų teisėtumą, 2002 m. birželio mėn. Komisija Jungtinių Valstijų valdžios institucijoms pranešė, kad šios nuostatos gali prieštarauti Bendrijos ir valstybių narių teisės aktams duomenų apsaugos srityje ir kai kurioms 1989 m. liepos 24 d. Tarybos reglamento (EEB) Nr. 2299/89 dėl elgesio su kompiuterinėmis rezervavimo sistemomis kodekso (OL L 220, p. 1), iš dalies pakeisto 1999 m. vasario 8 d. Tarybos reglamentu (EB) Nr. 323/1999 (OL L 40, p. 1), nuostatoms. Jungtinių Valstijų valdžios institucijos nukėlė naujų nuostatų įsigaliojimą, tačiau galiausiai atsisakė netaikyti sankcijų vežėjams oro transportu, nevykdantiems teisės aktų, susijusių su susipažinimu su PNR duomenimis elektroniniu būdu nuo 2003 m. kovo 5 dienos. Nuo tada daugelis didelių Europos Sąjungos vežėjų oro transportu šioms institucijoms suteikė galimybę susipažinti su jų PNR duomenimis.
34 Komisija, siekdama pagal direktyvos 25 straipsnio 6 dalį priimti sprendimą dėl tinkamumo, su Jungtinių Valstijų valdžios institucijomis pradėjo derybas, po kurių buvo sudarytas CBP įsipareigojimus („undertakings“) nurodantis dokumentas.
35 2003 m. birželio 13 d. darbo grupė asmenų apsaugai tvarkant asmens duomenis, įsteigta pagal direktyvos 29 straipsnį, pareiškė nuomonę, kurioje suabejojo šiuose įsipareigojimuose garantuojamu duomenų apsaugos lygiu, susijusiu su numatomu tvarkymu. Ji pakartojo savo abejones 2004 m. sausio 29 d. nuomonėje.
36 2004 m. kovo 1 d. Komisija Parlamentui pateikė sprendimo dėl tinkamumo pagal direktyvos 25 straipsnio 6 dalį projektą kartu su CBP įsipareigojimų projektu.
37 2004 m. kovo 17 d. Komisija konsultacijai su Parlamentu pagal EB 300 straipsnio 3 dalies pirmąją pastraipą pateikė Tarybos sprendimo pasiūlymą dėl susitarimo su Jungtinėmis Valstijomis sudarymo. 2004 m. kovo 25 d. laišku, remdamasi skubos tvarka, Taryba paprašė Parlamento pateikti nuomonę dėl šio pasiūlymo vėliausiai iki 2004 m. balandžio 22 dienos. Šiame laške Taryba pabrėžė, kad „kova su terorizmu, kuri pateisina siūlomas priemones, yra svarbus Europos Sąjungos prioritetas, (kad) šiuo metu vežėjų oro transportu ir keleivių padėtis yra neaiški ir ją reikia skubiai ištaisyti (ir kad), be to, yra svarbu saugoti susijusių šalių finansinius interesus“.
38 2004 m. kovo 31 d. Parlamentas pagal 1999 m. birželio 28 d. Tarybos sprendimo 1999/468/EB, nustatančio Komisijos naudojimosi jai suteiktais įgyvendinimo įgaliojimais tvarką (OL L 184, p. 23), 8 straipsnį priėmė rezoliuciją, nurodančią kelias teisines išlygas dėl jam pateikto pasiūlymo. Šioje rezoliucijoje jis būtent nurodė, kad sprendimo dėl tinkamumo projektas viršijo pagal direktyvos 25 straipsnį Komisijai suteiktą kompetenciją. Jis pasiūlė sudaryti atitinkamą tarptautinį susitarimą, kuriame būtų laikomasi pagrindinių teisių kai kuriais šioje rezoliucijoje nurodytais klausimais, ir Komisijai pasiūlė jam pateikti naują sprendimo projektą. Be to, pasiliko teisę kreiptis į Teisingumo Teismą siekiant patikrinti numatomo tarptautinio susitarimo teisėtumą ir pirmiausia jo suderinamumą su teisės į asmeninį gyvenimą apsauga.
39 2004 m. balandžio 21 d. Parlamentas pirmininko prašymu pritarė teisės ir vidaus rinkos komisijos rekomendacijai pagal EB 300 straipsnio 6 dalį gauti Teisingumo Teismo nuomonę dėl to, ar numatytas sudaryti susitarimas yra suderinamas su sutarties nuostatomis. Ši procedūra buvo pradėta tą pačią dieną.
40 Tą pačią dieną Parlamentas taip pat nusprendė komisijai perduoti pranešimą dėl Tarybos sprendimo pasiūlymo, taip netiesiogiai šiame etape atmesdamas kovo 25 d. Tarybos prašymą šį pasiūlymą nagrinėti skubos tvarka.
41 Balandžio 28 d. Taryba, remdamasi EB 300 straipsnio 3 dalies pirmąja pastraipa, Parlamentui nusiuntė laišką, prašydama savo nuomonę dėl sprendimo sudaryti susitarimą pasiūlymo pateikti iki 2004 m. gegužės 5 dienos. Grįsdama šio prašymo skubą, ji pakartojo 2004 m. kovo 25 d. laiške nurodytus motyvus.
42 Sužinojęs apie tai, kad Tarybos sprendimo pasiūlymas vis dar nėra parengtas visomis kalbomis, 2004 m. gegužės 4 d. Parlamentas atmetė balandžio 28 d. Tarybos prašymą nagrinėti šį pasiūlymą skubos tvarka.
43 Gegužės 14 d. Komisija priėmė sprendimą dėl tinkamumo, kuris yra bylos C‑318/04 dalykas. 2004 m. gegužės 17 d. Taryba priėmė Sprendimą 2004/496, kuris yra bylos C‑317/04 dalykas.
44 2004 m. birželio 4 d. laišku Tarybai pirmininkaujanti valstybė pranešė Parlamentui, kad Sprendimas 2004/496 atsižvelgia į – Sąjungai prioritetinę – kovą su terorizmu, taip pat į poreikį nutraukti vežėjų oro transportu bei jų finansinių interesų teisinio nesaugumo situaciją.
45 2004 m. liepos 9 d. laišku Parlamentas Teisingumo Teismui pranešė, kad atsiima prašymą pateikti nuomonę, kuriai suteiktas Nr. 1/04.
46 2004 m lapkričio 18 d. ir 2005 m. sausio 18 d. Teisingumo Teismo pirmininko nutartimis Komisijai ir Jungtinei Didžiosios Britanijos ir Šiaurės Airijos Karalystei buvo leista įstoti į bylą Tarybos pusėje byloje C‑317/04.
47 2004 m gruodžio 17 d. Teisingumo Teismo pirmininko nutartimi Jungtinei Karalystei buvo leista įstoti į bylą Komisijos pusėje byloje C‑318/04.
48 2005 m. kovo 17 d. Teisingumo Teismo nutartimis Europos duomenų apsaugos priežiūros pareigūnui buvo leista įstoti į abi bylas Parlamento pusėje.
49 Atsižvelgiant į žodinės procedūros dalies metu patvirtintą ryšį tarp šių bylų, pagal Procedūros reglamento 43 straipsnį reikia jas sujungti, kad būtų bendrai priimamas sprendimas.
Dėl ieškinio byloje C‑318/04
50 Parlamentas nurodo keturis panaikinimo pagrindus, grindžiamus atitinkamai piktnaudžiavimu įgaliojimais, pagrindinių direktyvos principų pažeidimu, pagrindinių teisių pažeidimu ir proporcingumo principo pažeidimu.
Dėl pirmojo pagrindo pirmos dalies, grindžiamos direktyvos 3 straipsnio 2 dalies pirmosios įtraukos pažeidimu
Šalių argumentai
51 Parlamentas teigia, kad Komisijos sprendimas buvo priimtas ultra vires, nes nebuvo laikytasi direktyvos nuostatų ir buvo pažeista būtent jos 3 straipsnio 2 dalies pirma įtrauka dėl veiklos, kuri nepatenka į Bendrijos teisės taikymo sritį.
52 Neabejotina, kad PNR duomenų tvarkymas, juos perdavus sprendime dėl tinkamumo nurodytai JAV valdžios institucijai, yra ir bus pačių valstybių veikla 2003 m. lapkričio 6 d. Sprendimo Lindqvist (C‑101/01, Rink. p. I‑12971) 43 punkto prasme.
53 Komisija, palaikoma Jungtinės Karalystės, teigia, kad vežėjų oro transportu veikla aiškiai patenka į Bendrijos teisės taikymo sritį. Ji teigia, kad šie privatūs subjektai tvarko PNR duomenis Bendrijos viduje ir organizuoja jų perdavimą į trečiąją valstybę. Taigi ši veikla priskirtina privatiems asmenims, o ne valstybės narės, kurioje veikia atitinkami vežėjai, arba valstybės institucijų, kaip Teisingumo Teismas apibrėžė minėto sprendimo Lindqvist 43 punkte, veiklai. Vežėjų oro transportu tikslas tvarkant PNR duomenis yra tiesiog laikytis Bendrijos teisės reikalavimų, įskaitant nurodytą susitarimo 2 punkte pareigą. Direktyvos 3 straipsnio 2 dalis nurodo valstybės institucijų veiklą, kuri nepatenka į Bendrijos teisės taikymo sritį.
Teisingumo Teismo vertinimas
54 Pagal direktyvos 3 straipsnio 2 dalies pirmąją įtrauką direktyva netaikoma tvarkant asmens duomenis, kai užsiimama tokia veikla, kuri nepatenka į Bendrijos teisės taikymo sritį, kaip antai veikla, kuri numatyta Europos Sąjungos sutarties V ir VI dalyse, taip pat kai atliekamos tvarkymo operacijos, susijusios su visuomenės saugumu, gynyba, valstybės saugumu ir su valstybės veiksmais baudžiamosios teisės srityje.
55 Sprendimas dėl tinkamumo yra susijęs tik su CBP perduotais PNR duomenimis. Iš šio sprendimo šeštos konstatuojamosios dalies išplaukia, kad šio perdavimo reikalavimai yra grindžiami Jungtinėse Amerikos Valstijose 2001 m. lapkričio mėn. priimtu įstatymu ir remiantis minėtu įstatymu CBP priimtomis įgyvendinimo taisyklėmis. Pagal šio sprendimo septintą konstatuojamąją dalį minėti Jungtinių Amerikos Valstijų teisės aktai apibrėžia saugumo stiprinimo bei atvykimo į valstybę ir išvykimo iš jos reikalavimus. Pagal aštuntą konstatuojamąją dalį Bendrijos teisės nustatytose ribose Bendrija visada įsipareigoja remti Jungtines Amerikos Valstijas kovoje su terorizmu. Šio sprendimo penkiolikta konstatuojamoji dalis nurodo, kad PNR duomenys bus iš esmės naudojami tik užkertant kelią terorizmui ir susijusiems nusikaltimams, kitiems tarpvalstybinio pobūdžio sunkiems nusikaltimams, įskaitant organizuotą nusikalstamumą, slėpimuisi nuo arešto ar įkalinimo už minėtus nusikaltimus bei su jais kovojant.
56 Iš to išplaukia, kad PNR duomenų perdavimas CBP laikytinas tvarkymo operacija, susijusia su visuomenės saugumu ir su valstybės veiksmais baudžiamosios teisės srityje.
57 Nors teisinga manyti, kad PNR duomenis pirmiausia surenka vežėjai oro transportu Bendrijos teisei priskirtoje veiklos srityje, t. y. parduodami lėktuvo bilietą, kuris suteikia teisę gauti paslaugą, duomenų tvarkymas, į kurį atsižvelgiama sprendime dėl tinkamumo, yra visai kito pobūdžio. Iš tikro, kaip teigiama šio sprendimo 55 punkte, sprendimas dėl tinkamumo yra susijęs ne su duomenų tvarkymu, būtinu suteikti paslaugas, bet su tvarkymu, būtinu apginti visuomenės saugumą ir nubaudimo tikslais.
58 Minėto sprendimo Lindqvist 43 punkte, kuriuo savo gynybai rėmėsi Komisija, Teisingumo Teismas nusprendė, kad direktyvos 3 straipsnio 2 dalies pirmoje įtraukoje kaip pavyzdžiai nurodytos veiklos rūšys visais atvejais priskirtinos valstybės ar valstybės institucijų, o ne privačių subjektų veiklos sritims. Tačiau iš to neišplaukia, jog dėl to, kad PNR duomenys komerciniais tikslais buvo surinkti privačių subjektų, organizuojančių jų perdavimą į trečiąją valstybę, nagrinėjamas perdavimas nepatenka į šios nuostatos taikymo sritį. Iš tikro šis perdavimas vyksta pagal valstybės institucijų nustatytą tvarką, susijusią su visuomenės saugumu.
59 Iš pirmesnių pastabų išplaukia, kad sprendimas dėl tinkamumo yra susijęs su asmens duomenų tvarkymu direktyvos 3 straipsnio 2 dalies pirmosios įtraukos prasme. Taigi šis sprendimas nepatenka į jos taikymo sritį.
60 Todėl ieškinio pirmojo pagrindo pirma dalis, grindžiama direktyvos 3 straipsnio 2 dalies pirmosios įtraukos pažeidimu, yra pagrįsta.
61 Dėl šių priežasčių sprendimas dėl tinkamumo naikintinas, nenagrinėjant kitų ieškinio pirmojo pagrindo dalių bei kitų Parlamento nurodytų ieškinio pagrindų.
Dėl ieškinio byloje C‑317/04
62 Parlamentas nurodo šešis panaikinimo pagrindus, grindžiamus klaidingu EB 95 straipsnio, kaip Sprendimo 2004/496 teisinio pagrindo, parinkimu ir atitinkamai EB 300 straipsnio 3 dalies antrosios pastraipos, EŽTK 8 straipsnio pažeidimu, proporcingumo principo, reikalavimo motyvuoti ir lojalaus bendradarbiavimo principo pažeidimu.
Dėl pirmojo pagrindo, susijusio su klaidingu EB 95 straipsnio, kaip Sprendimo 2004/496 teisinio pagrindo, pasirinkimu
Šalių argumentai
63 Parlamentas teigia, kad EB 95 straipsnis nėra tinkamas sprendimo 2004/496 teisinis pagrindas. Šio sprendimo tikslas ir turinys nėra vidaus rinkos sukūrimas ir veikimas, pašalinant laisvės teikti paslaugas kliūtis, ir jame nėra šio tikslo siekiančių nuostatų. Iš tikro jo tikslas yra legalizuoti Jungtinių Valstijų teisės aktuose numatytą asmens duomenų tvarkymą. Be to, EB 95 straipsnis negali pagrįsti Bendrijos kompetencijos sudaryti susitarimą, nes jis susijęs su duomenų, kurie nepriskirti direktyvos taikymo sričiai, tvarkymu.
64 Taryba teigia, kad direktyvos, teisėtai priimtos Sutarties 100a straipsnio pagrindu, 25 straipsnyje yra nuostatų, numatančių galimybę asmens duomenis perduoti trečiajai valstybei, užtikrinančiai adekvatų apsaugos lygį, įskaitant galimybę prireikus pradėti derybas dėl Bendrijos susitarimo su šia valstybe sudarymo. Susitarimas buvo susijęs su laisvu PNR duomenų judėjimu tarp Bendrijos ir Jungtinių Valstijų, o jo sąlygos nepažeidė laisvių ir pagrindinių žmogaus teisių, ypač teisės į asmeninį gyvenimą. Jis siekė panaikinti bet kokį konkurencijos tarp valstybių narių vežėjų oro transportu bei tarp šių ir trečiųjų valstybių bendrovių iškraipymą, kuris, Jungtinėms Valstijoms nustačius reikalavimus, galėjo atsirasti dėl priežasčių, susijusių su asmenų teisių ir laisvių apsauga. Konkurencijos tarp valstybių narių bendrovių, vykdančių tarptautinį keleivių vežimą į ir iš Jungtinių Valstijų, sąlygos galėjo būti iškreiptos dėl tos priežasties, kad tik kai kurios iš jų Jungtinių Valstijų institucijoms leido susipažinti su savo duomenų bazėmis. Susitarimas nustatytų suderintas visų susijusių bendrovių pareigas.
65 Komisija pabrėžia, kad tarp Jungtinių Valstijų ir Bendrijos teisės aktų egzistuoja „įstatymų kolizija“ tarptautinės viešosios teisės prasme ir juos būtina suderinti. Parlamentui, kuris ginčija EB 95 straipsnio galimybę būti Sprendimo 2004/496 teisiniu pagrindu, ji priekaištauja nepasiūlius tinkamo teisinio pagrindo. Komisijos nuomone, šis straipsnis yra šio sprendimo „natūralus teisinis pagrindas“, nes susitarimas yra susijęs su asmens duomenų apsaugos, juos perduodant Bendrijos viduje, išoriniu aspektu. Direktyvos 25 ir 26 straipsniai pagrindžia išimtinę išorinę Bendrijos kompetenciją.
66 Be to, Komisija teigia, kad vežėjai oro tranpsportu pradinį šių duomenų tvarkymą vykdo komerciniais sumetimais. Tai, kaip Jungtinių Valstijų valdžios institucijos naudoja šiuos duomenis, nepanaikina direktyvos poveikio jiems.
Teisingumo Teismo vertinimas
67 EB 95 straipsnis, nagrinėjamas kartu su direktyvos 25 straipsniu, nepagrindžia Bendrijos kompetencijos sudaryti susitarimą.
68 Susitarimas numato tą patį duomenų perdavimą kaip ir sprendimas dėl tinkamumo, taigi tokį, kuris, kaip paaiškinta pirmiau, nepatenka į šios direktyvos taikymo sritį.
69 Iš to išplaukia, kad sprendimas 2004/496 negalėjo būti teisėtai priimtas EB 95 straipsnio pagrindu.
70 Todėl šis sprendimas naikintinas, nenagrinėjant kitų Parlamento nurodytų ieškinio pagrindų.
Dėl šio sprendimo taikymo apribojimo
71 Iš susitarimo 7 punkto išplaukia, kad bet kuri šalis bet kuriuo metu gali jį nutraukti ir nutraukimas įsigalioja po devyniasdešimties dienų nuo pranešimo kitai šaliai apie nutraukimą dienos.
72 Tačiau pagal susitarimo 1 ir 2 punktus CBP teisė susipažinti su PNR duomenimis ir vežėjų oro transportu pareiga su jais elgtis pagal CBP prašymą egzistuoja tik tol, kol taikomas sprendimas dėl tinkamumo. Šio susitarimo 3 punkte CBP paskelbė, kad prisiima prie šio sprendimo pridėtus įsipareigojimus.
73 Atsižvelgiant į tai, kad, pirma, Bendrija negali remtis savo pačios teise pateisindama nevykdymą susitarimo, kuris taikytinas 90 dienų nuo nutraukimo, ir, antra, į glaudų ryšį tarp susitarimo ir sprendimo dėl tinkamumo, atrodo pateisinama, kad teisinio saugumo sumetimais ir siekiant apginti susijusius asmenis tą patį laiką sprendimo dėl tinkamumo pasekmės liks galioti. Be to, reikia turėti omeny laiko tarpą, kurio reikia šio Teisingumo Teismo sprendimo vykdymui būtinoms priemonėms priimti.
74 Taigi reikia palikti galioti sprendimo dėl tinkamumo pasekmes iki 2006 m. rugsėjo 30 d., tačiau ne ilgiau, nei galioja susitarimas.
Dėl bylinėjimosi išlaidų
75 Pagal Procedūros reglamento 69 straipsnio 2 dalį pralaimėjusiai šaliai nurodoma padengti bylinėjimosi išlaidas, jei laimėjusi šalis to reikalavo. Kadangi Parlamentas reikalavo priteisti bylinėjimosi išlaidas ir Taryba bei Komisija pralaimėjo bylą, pastarosios turi jas padengti. Pagal to paties straipsnio 4 dalies pirmąją pastraipą į šias bylas įstojusios šalys pačios padengia savo išlaidas.
Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia:
1. Panaikinti 2004 m. gegužės 17 d. Tarybos sprendimą 2004/496/EB dėl Europos bendrijos ir Jungtinių Amerikos Valstijų susitarimo dėl oro vežėjų PNR duomenų tvarkymo ir perdavimo Jungtinių Valstijų vidaus saugumo departamento Muitinių ir sienos apsaugos biurui sudarymo ir 2004 m. gegužės 14 d. Komisijos sprendimą 2004/535/EB dėl Jungtinių Amerikos Valstijų Muitinių ir sienos apsaugos biurui perduodamų oro keleivių asmens duomenų, nurodytų Keleivio duomenų įraše (Passenger Name Record), tinkamos apsaugos.
2. Sprendimo 2004/535 pasekmes palikti galioti iki 2006 m. rugsėjo 30 d., tačiau ne ilgiau, nei galioja minėtas susitarimas.
3. Priteisti iš Europos Sąjungos Tarybos bylinėjimosi išlaidas byloje C‑317/04.
4. Priteisti iš Europos Bendrijų Komisijos bylinėjimosi išlaidas byloje C‑318/04.
5. Europos Bendrijų Komisija padengia savo bylinėjimosi išlaidas byloje C‑317/04.
6. Jungtinė Didžiosios Britanijos ir Šiaurės Airijos Karalystė bei Europos duomenų apsaugos priežiūros pareigūnas padengia savo bylinėjimosi išlaidas.
Parašai.