WYROK TRYBUNAŁU (wielka izba)
z dnia 9 marca 2010 r.(*)
Uchybienie zobowiązaniom państwa członkowskiego – Dyrektywa 95/46/WE – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych i swobodny przepływ tych danych – Artykuł 28 ust. 1 – Krajowe organy kontroli – Niezależność – Nadzór administracyjny nad tymi organami
W sprawie C‑518/07
mającej za przedmiot skargę o stwierdzenie, na podstawie art. 226 WE, uchybienia zobowiązaniom państwa członkowskiego, wniesioną w dniu 22 listopada 2007 r.,
Komisja Europejska, reprezentowana przez C. Dockseya, C. Ladenburgera oraz H. Krämera, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu,
strona skarżąca,
popierana przez:
Europejskiego Inspektora Ochrony Danych, reprezentowanego przez H. Hijmansa oraz A. Sciroccę, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu,
interwenient,
przeciwko
Republice Federalnej Niemiec, reprezentowanej przez M. Lummę oraz J. Möllera, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu,
strona pozwana,
TRYBUNAŁ (wielka izba),
w składzie: V. Skouris, prezes, A. Tizzano, J.N. Cunha Rodrigues, K. Lenaerts, J.C. Bonichot i E. Levits, prezesi izb, A. Rosas, K. Schiemann (sprawozdawca), J.J. Kasel, M. Safjan i D. Šváby, sędziowie,
rzecznik generalny: J. Mazák,
sekretarz: R. Grass,
uwzględniając procedurę pisemną,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 12 listopada 2009 r.,
wydaje następujący
Wyrok
1 W swojej skardze Komisja Wspólnot Europejskich wnosi do Trybunału o stwierdzenie, że Republika Federalna Niemiec, poddając organy kontroli właściwe w dziedzinie przetwarzania danych osobowych w sektorze niepublicznym w niektórych krajach związkowych nadzorowi państwowemu i dokonując w związku z tym nieprawidłowej implementacji wymogu „całkowitej niezależności” organów odpowiedzialnych za zagwarantowanie ochrony tych danych, uchybiła zobowiązaniom ciążącym na niej na mocy art. 28 ust. 1 akapit drugi dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31).
Ramy prawne
Uregulowania wspólnotowe
2 Dyrektywa 95/46 została przyjęta na podstawie art. 100a traktatu WE (po zmianie art. 95 WE) i ma na celu harmonizację krajowych systemów prawnych w zakresie przetwarzania danych osobowych.
3 Motywy 3, 7, 8, 10 i 62 dyrektywy 95/46 mają następujące brzmienie:
„(3) Ustanowienie i funkcjonowanie rynku wewnętrznego, na którym zgodnie z art. 7a traktatu [WE (po zmianie art. 14 WE)], zapewniony jest swobodny przepływ towarów, osób, usług i kapitału, wymaga nie tylko zapewnienia swobodnego przepływu danych osobowych z jednego państwa członkowskiego do drugiego, lecz również ochrony praw podstawowych osób fizycznych;
[…]
(7) Różnica w stopniu ochrony praw i wolności jednostek, szczególnie prawa do prywatności, w odniesieniu do przetwarzania danych osobowych, zapewnionego w poszczególnych państwach członkowskich może uniemożliwiać przesyłanie tych danych z terytorium jednego państwa członkowskiego do drugiego państwa członkowskiego; różnica ta może zatem stanowić przeszkodę w realizacji szeregu przedsięwzięć ekonomicznych na poziomie wspólnotowym, zakłócać konkurencję i utrudniać władzom wykonywanie ich obowiązków wynikających z przepisów prawa wspólnotowego; wspomniana różnica w stopniu ochrony jest wynikiem istnienia wielkiej różnorodności krajowych przepisów ustawowych, wykonawczych i administracyjnych;
(8) W celu zniesienia przeszkód w przepływie danych osobowych stopień ochrony praw i wolności jednostek w zakresie przetwarzania tych danych musi być jednakowy we wszystkich państwach członkowskich; cel ten ma żywotne znaczenie dla rynku wewnętrznego, lecz nie może on być osiągnięty przez same państwa członkowskie, szczególnie mając na uwadze skalę rozbieżności, jakie obecnie występują między odpowiednimi ustawodawstwami krajowymi oraz potrzebę dokonania koordynacji ustawodawstw państw członkowskich w celu zapewnienia jednolitej regulacji transgranicznego przepływu danych osobowych, zgodnie z celem rynku wewnętrznego przewidzianego w art. 7a traktatu; konieczne są wspólnotowe działania na rzecz zbliżenia ustawodawstw;
[…]
(10) Celem krajowych przepisów prawa dotyczących przetwarzania danych osobowych jest ochrona podstawowych praw i wolności, szczególnie prawa do prywatności, które zostało uznane zarówno w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności [podpisanej w Rzymie w dniu 4 listopada 1950 r.] oraz w zasadach ogólnych prawa wspólnotowego; z tego powodu zbliżanie przepisów prawa nie powinno wpłynąć na zmniejszenie ochrony, jaką gwarantują, lecz przeciwnie, musi dążyć do zapewnienia jak najwyższego stopnia ochrony we Wspólnocie;
[…]
(62) Utworzenie w państwach członkowskich organów nadzorczych [kontroli] wykonujących swoje funkcje w sposób całkowicie niezależny jest zasadniczym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych”.
4 Artykuł 1 dyrektywy 95/46, zatytułowany „Cel dyrektywy”, jest zredagowany w następujący sposób:
„1. Zgodnie z przepisami niniejszej dyrektywy państwa członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych.
2. Państwa członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między państwami członkowskimi ze względów związanych z ochroną przewidzianą w ust. 1”.
5 Artykuł 28 dyrektywy 95/46, zatytułowany „Organ nadzorczy [kontroli]”, stanowi:
„1. Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.
Organy te postępują w sposób całkowicie niezależny przy wykonywaniu powierzonych im funkcji.
2. Każde państwo członkowskie wprowadza obowiązek konsultowania się z organami nadzorczymi [kontroli] przy opracowywaniu środków administracyjnych lub przepisów dotyczących ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych.
3. Każdy organ jest w szczególności wyposażony w:
– uprawnienia dochodzeniowe, jak np. prawo dostępu do danych stanowiących przedmiot operacji przetwarzania danych oraz prawo gromadzenia wszelkich informacji potrzebnych do wykonywania jego funkcji nadzorczych [kontrolnych],
– skuteczne uprawnienia interwencyjne, jak np. prawo do wyrażania opinii przed przystąpieniem do operacji przetwarzania danych zgodnie z art. 20, oraz zapewnienia odpowiedniej publikacji swoich opinii, zarządzania blokady, usunięcia lub zniszczenia danych, nakładania czasowego lub ostatecznego zakazu przetwarzania danych, ostrzegania lub upominania administratora danych, lub też prawo kierowania sprawy do parlamentów narodowych lub innych instytucji politycznych,
– prawo pozywania w przypadku naruszenia krajowych przepisów przyjętych zgodnie z niniejszą dyrektywą lub powiadomienie organów sądowych o takim naruszeniu.
Od decyzji organu nadzorczego [kontroli], [z którą wiążą się skutki negatywne] przysługuje odwołanie do właściwego sądu.
4. Każdy organ nadzorczy [kontroli] rozpatruje skargi zgłaszane przez dowolną osobę lub przez stowarzyszenie ją reprezentujące, odnośnie do ochrony jej praw i wolności w zakresie przetwarzania danych osobowych. Zainteresowana osoba zostanie poinformowana o wyniku sprawy.
Każdy organ nadzorczy [kontroli] w szczególności rozpatruje skargi dotyczące kontroli legalności przetwarzania danych, zgłaszane przez dowolną osobę, kiedy mają zastosowanie krajowe przepisy przyjęte zgodnie z art. 13 niniejszej dyrektywy. Osoba ta zostanie w każdym przypadku poinformowana o przeprowadzeniu kontroli.
5. Każdy organ nadzorczy [kontroli] regularnie sporządza sprawozdanie ze swojej działalności. Sprawozdanie jest podawane do wiadomości publicznej.
6. Każdy organ nadzorczy [kontroli] jest właściwy, niezależnie od krajowych przepisów dotyczących danego przypadku przetwarzania danych, do wykonywania na terytorium państwa członkowskiego uprawnień powierzonych mu zgodnie z ust. 3. Do każdego organu moż[e] […] zwrócić [się] z żądaniem wykonania jego uprawnień […] odpowiedni organ innego państwa członkowskiego.
Organy nadzorcze [kontroli] współpracują ze sobą w zakresie koniecznym do wykonywania swoich obowiązków, zwłaszcza poprzez wymianę wszelkich przydatnych informacji.
7. Państwa członkowskie [dopełnią starań], aby członkowie kierownictwa i personel organu nadzorczego [kontroli] podlegali obowiązkowi zachowania tajemnicy zawodowej również po rozwiązaniu stosunku pracy, w odniesieniu do poufnych informacji, do których mają dostęp”.
6 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. 2001, L 8, s. 1) zostało przyjęte na podstawie art. 286 WE. Artykuł 44 ust. 1 i 2 tego rozporządzenia stanowi:
„1. Europejski Inspektor Ochrony Danych [(zwany dalej »EIOD«)] wykonuje swoje obowiązki w sposób całkowicie niezależny.
2. [EIOD] podczas wykonywania swoich obowiązków nie oczekuje i nie przyjmuje instrukcji od nikogo”.
Uregulowania krajowe
7 Prawo niemieckie dokonuje rozróżnienia odnośnie do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zależności od tego, czy dane przetwarzane są przez instytucje publiczne czy niepubliczne.
8 Organy odpowiedzialne za kontrolę przestrzegania przepisów w tej dziedzinie różnią się bowiem w zależności od tego, czy mamy do czynienia z instytucjami publicznymi, czy z instytucjami niepublicznymi i przedsiębiorstwami publicznymi działającymi na konkurencyjnym rynku (öffentlich‑rechtliche Wettbewerbsunternehmen) (zwane dalej łącznie „sektorem niepublicznym”).
9 Przetwarzanie danych osobowych przez instytucje publiczne jest nadzorowane na szczeblu federalnym przez Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (pełnomocnika federalnego w zakresie ochrony danych i swobody informacyjnej), a na poziomie krajów związkowych – przez Landesdatenschutzbeauftragte (pełnomocników w zakresie ochrony danych krajów związkowych). Wszyscy ci pełnomocnicy są odpowiedzialni wyłącznie przed swoimi parlamentami krajowymi i zwykle nie podlegają żadnemu nadzorowi, instrukcjom czy innym wpływom ze strony instytucji publicznych, które podlegają ich kontroli.
10 Natomiast struktura organów czuwających nad przetwarzaniem tych danych przez sektor niepubliczny różni się w zależności od kraju związkowego. Jednak wszystkie systemy prawne krajów związkowych charakteryzują się tym, że wyraźnie poddają nadzorowi państwowemu te organy kontroli.
Postępowanie poprzedzające wniesienie skargi i postępowanie przed Trybunałem
11 Uznając, że poddanie nadzorowi państwowemu organu odpowiedzialnego za kontrolowanie przestrzegania przepisów dotyczących ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez sektor niepubliczny, jak ma to miejsce w przypadku wszystkich niemieckich krajów związkowych, jest niezgodne z art. 28 ust. 1 akapit drugi dyrektywy 95/46, Komisja w dniu 5 lipca 2005 r. skierowała do Republiki Federalnej Niemiec wezwanie do usunięcia uchybienia. Państwo to odpowiedziało pismem z dnia 12 września 2005 r., w którym stwierdziło, że niemiecki system kontroli w tym zakresie odpowiada wymogom tej dyrektywy. Komisja skierowała następnie w dniu 12 grudnia 2006 r. do Republiki Federalnej Niemiec uzasadnioną opinię, powtarzając wcześniej sformułowany zarzut. W odpowiedzi z dnia 14 lutego 2007 r. państwo to potwierdziło swój początkowy punkt widzenia.
12 W tych okolicznościach Komisja postanowiła wnieść niniejszą skargę.
13 Postanowieniem prezesa Trybunału z dnia 14 października 2008 r. EIOD został dopuszczony do sprawy w charakterze interwenienta na poparcie żądań Komisji.
W przedmiocie skargi
Argumenty stron
14 Niniejszy spór dotyczy dwóch sprzecznych koncepcji wyrażenia „całkowicie niezależny”, zawartego w art. 28 ust. 1 akapit drugi dyrektywy 95/46, oraz wykonywania zadań organów kontroli w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, przedstawianych przez Komisję popieraną przez EIOD oraz Republikę Federalną Niemiec.
15 Według Komisji i EIOD, które opierają się na szerszej wykładni wyrażenia „całkowicie niezależny”, wymóg wykonywania zadań przez organy kontroli w sposób „całkowicie niezależny” należy interpretować w ten sposób, że organ kontroli powinien być wyłączony spod jakiegokolwiek wpływu, bez względu na to, czy wywieranego przez inne władze, czy poza administracją publiczną. Nadzór państwowy, jakiemu podlegają organy kontrolujące przestrzeganie przepisów w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w sektorze niepublicznym w Niemczech, stanowi tym samym naruszenie tego wymogu.
16 Republika Federalna Niemiec jest za węższą wykładnią wyrażenia „całkowicie niezależny” i podnosi, że art. 28 ust. 1 akapit drugi dyrektywy 95/46 wymaga niezależności funkcjonalnej organów kontroli w tym sensie, że organy te powinny być niezależne od sektora niepublicznego podlegającego ich kontroli i że nie powinny być poddane wpływom z zewnątrz. Tymczasem według niej nadzór państwowy w niemieckich krajach związkowych nie stanowi takiego wpływu zewnętrznego, lecz wewnętrzny mechanizm kontroli w administracji, wprowadzony przez władze należące do tego samego aparatu administracyjnego co organy kontroli i zobowiązane jak te ostatnie do wypełniania celów dyrektywy 95/46.
Ocena Trybunału
W przedmiocie zakresu wymogu niezależności organów kontroli
17 Ocena zasadności niniejszej skargi zależy od zakresu wymogu niezależności zawartego w art. 28 ust. 1 akapit drugi dyrektywy 95/46, a tym samym od wykładni tego przepisu. W tym kontekście należy uwzględnić brzmienie tego przepisu, a także cele i systematykę dyrektywy 95/46.
18 Co się tyczy po pierwsze, brzmienia art. 28 ust. 1 akapit drugi dyrektywy 95/46, to skoro wyrażenie „całkowicie niezależny” nie jest w niej zdefiniowane, należy uwzględnić jego potoczne rozumienie. W odniesieniu do organu publicznego określenie „niezależny” oznacza zwykle status, który zapewnia danemu organowi możliwość w pełni swobodnego działania, z wyłączeniem jakichkolwiek instrukcji czy nacisków.
19 W przeciwieństwie do stanowiska Republiki Federalnej Niemiec nic nie wskazuje na to, że wymóg niezależności dotyczy wyłącznie stosunku między organami kontroli a instytucjami podlegającymi kontroli. Przeciwnie, pojęcie „niezależny” zostało wzmocnione przysłówkiem „całkowicie”, co oznacza, że uprawnienia decyzyjne wyłączone są spod jakiegokolwiek wpływu spoza organu kontroli, bez względu na to, czy pośredniego, czy bezpośredniego.
20 Co się tyczy po drugie, celów dyrektywy 95/46, to z jej motywów 3, 7 i 8 wynika w szczególności, że poprzez harmonizację norm krajowych chroniących osoby fizyczne w związku z przetwarzaniem danych osobowych dyrektywa ta ma na celu zasadniczo zapewnienie swobody przepływu takich danych między państwami członkowskimi (zob. podobnie wyrok z dnia 20 maja 2003 r. w sprawach połączonych C‑465/00, C‑138/01 i C‑139/01 Österreichischer Rundfunk i in., Rec. s. I‑4989, pkt 39, 70), co jest niezbędne dla utworzenia i funkcjonowania rynku wewnętrznego w rozumieniu art. 14 ust. 2 WE.
21 Tymczasem swobodny przepływ danych osobowych może naruszać prawo do poszanowania życia prywatnego, zapisane między innymi w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (zob. podobnie wyroki Europejskiego Trybunału Praw Człowieka: z dnia 16 lutego 2000 r. w sprawie Amann przeciwko Szwajcarii, Recueil des arrêts et décisions, 2000‑II, §§ 69, 80; z dnia 4 maja 2000 r. w sprawie Rotaru przeciwko Rumunii, Recueil des arrêts et décisions, 2000‑V, §§ 43, 46) i uznane za jedną z ogólnych zasad prawa wspólnotowego.
22 Z tego względu i jak to wynika między innymi z motywu 10 i z art. 1 dyrektywy 95/46, dyrektywa ma na celu również nie zmniejszanie ochrony, jaką zapewniają istniejące normy krajowe, lecz przeciwnie, zagwarantowanie we Wspólnocie wyższego poziomu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych (zob. podobnie ww. wyrok w sprawach połączonych Österreichischer Rundfunk i in., pkt 70; wyrok z dnia 16 grudnia 2008 r. w sprawie C‑73/07 Satakunnan Markkinapörssi i Satamedia, Zb.Orz. s. I‑9831, pkt 52).
23 Organy kontroli przewidziane w art. 28 dyrektywy 95/46 są zatem strażnikami tych podstawowych praw i wolności, a ich ustanowienie w państwach członkowskich uważa się, jak to wynika z motywu 62 tej dyrektywy, za istotny element ochrony osób w związku z przetwarzaniem danych osobowych.
24 Celem zagwarantowania takiej ochrony organy kontroli powinny zapewnić słuszną równowagę pomiędzy przestrzeganiem podstawowego prawa do poszanowania życia prywatnego a interesami, które wymagają swobodnego przepływu danych osobowych. Ponadto na podstawie art. 28 ust. 6 dyrektywy 95/46 krajowe organy powinny współpracować ze sobą w zakresie koniecznym do wykonywania swoich obowiązków, na wniosek organu innego państwa członkowskiego.
25 Zagwarantowanie niezależności krajowych organów kontroli ma na celu zapewnienie skuteczności i pewności kontroli przestrzegania przepisów w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i powinno być interpretowane w świetle tego celu. Niezależność została przyjęta nie celem przyznania tym organom i ich pracownikom szczególnego statusu, lecz celem wzmocnienia ochrony osób i instytucji, których dotyczą decyzje tych organów. Z tego wynika, że przy wykonywaniu swoich obowiązków organy kontroli powinny działać w sposób obiektywny i bezstronny. W tym celu powinny pozostawać poza jakimkolwiek wpływem z zewnątrz, w tym bezpośrednim czy pośrednim wpływem państwa czy krajów związkowych, a nie tylko poza wpływem organów kontrolowanych.
26 Co się tyczy, po trzecie, systematyki dyrektywy 95/46, dyrektywa ta powinna być rozumiana jako odpowiednik art. 286 WE i rozporządzenia nr 45/2001. Ten przepis traktatowy i rozporządzenie dotyczą przetwarzania danych osobowych przez instytucje i organy wspólnotowe, jak również swobodnego przepływu tych danych. Dyrektywa 95/46 również wytycza takie cele w odniesieniu do przetwarzania takich danych w państwach członkowskich.
27 Podobnie jak organy kontroli istnieją na szczeblu krajowym, organ kontroli odpowiedzialny za nadzorowanie stosowania norm z zakresu ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest również przewidziany na szczeblu wspólnotowym – jest to EIOD. Zgodnie z art. 44 ust. 1 rozporządzenia nr 45/2001 organ ten wykonuje zadania przy zachowaniu całkowitej niezależności. Artykuł 44 ust. 2 wyjaśnia to pojęcie niezależności, dodając, że podczas wykonywania swoich obowiązków EIOD nie oczekuje i nie przyjmuje instrukcji od nikogo.
28 Biorąc pod uwagę okoliczność, że art. 44 rozporządzenia nr 45/2001 i art. 28 dyrektywy 95/46 opierają się na tym samym ogólnym zamyśle, wykładni obu tych przepisów należy dokonywać w sposób homogeniczny, czyli że nie tylko niezależność EIOD, lecz również organów krajowych pociąga za sobą brak jakichkolwiek instrukcji przy wykonywaniu ich zadań.
29 Opierając się na samym brzmieniu art. 28 ust. 1 akapit drugi dyrektywy 95/46, jak również na celach i systematyce tej dyrektywy, można dojść do jasnej wykładni tego art. 28 ust. 1 akapit drugi. W rezultacie nie jest konieczne uwzględnianie genezy tej dyrektywy czy wypowiadanie się w przedmiocie argumentacji, sprzecznej w tym zakresie, przedstawionej przez Komisję i Republikę Federalną Niemiec.
30 Z powyższego wynika, że wykładni art. 28 ust. 1 akapit drugi dyrektywy 95/46 należy dokonywać w ten sposób, że organy kontroli właściwe w zakresie przetwarzania danych osobowych w sektorze niepublicznym powinny cechować się niezależnością pozwalającą im na wykonywanie ich zadań bez wpływu z zewnątrz. Ta niezależność wyklucza nie tylko jakikolwiek wpływ ze strony instytucji kontrolowanych, lecz również jakiekolwiek nakazy i jakikolwiek inny wpływ z zewnątrz, bez względu na to, czy bezpośredni, czy pośredni, który mógłby podważyć wykonywanie przez te organy ich zadań polegających na ustaleniu słusznej równowagi pomiędzy ochroną prawa do poszanowania życia prywatnego a swobodą przepływu danych osobowych.
W przedmiocie nadzoru państwowego
31 Należy następnie zbadać, czy nadzór państwowy, któremu podlegają organy kontrolujące przetwarzanie danych osobowych przez sektor niepubliczny w Niemczech, jest zgodny z tak zdefiniowanym wymogiem niezależności.
32 W tym względzie należy stwierdzić, że nadzór państwowy jakiegokolwiek charakteru pozwala zasadniczo rządowi danego kraju związkowego lub organowi administracji podlegającemu temu rządowi na wpływanie bezpośrednio lub pośrednio na decyzje organów kontroli lub, w odpowiednim razie, na uchylanie lub zastępowanie jego decyzji.
33 Oczywiście należy przyznać a priori, jak zauważa Republika Federalna Niemiec, że nadzór państwowy ma na celu jedynie zagwarantowanie, by działanie organów kontroli było zgodne z obowiązującymi przepisami krajowymi i wspólnotowymi, i że jego celem nie jest zatem zmuszanie tych organów do ewentualnego osiągania celów politycznych sprzecznych z ochroną osób fizycznych w związku z przetwarzaniem danych osobowych i z prawami podstawowymi.
34 Jednak nie można wykluczyć, że organy nadzoru, stanowiące część administracji ogólnej, a tym samym podlegające rządowi odpowiedniego kraju związkowego, nie będą w stanie działać obiektywnie przy interpretowaniu i stosowaniu przepisów dotyczących przetwarzania danych osobowych.
35 Jak bowiem podnosi w swych uwagach EIOD, rząd danego kraju związkowego może mieć interes w nieprzestrzeganiu przepisów dotyczących ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, jeśli kwestią jest przetwarzanie takich danych przez sektor niepubliczny. Rząd ten sam może być stroną zainteresowaną tym przetwarzaniem, jeśli w nim uczestniczy lub mógłby uczestniczyć, na przykład w przypadku partnerstwa publiczno‑prywatnego lub w ramach przetargów w sektorze prywatnym. Rząd ten może również mieć szczególny interes, jeśli jest dla niego konieczny, czy po prostu przydatny, dostęp do bazy danych celem wykonania pewnych zadań, w szczególności o charakterze fiskalnym czy represyjnym. Ten sam rząd może zresztą również mieć tendencję do uprzywilejowywania interesów ekonomicznych w stosowaniu tych przepisów przez pewne ważne z ekonomicznego punktu widzenia dla kraju związkowego czy regionu spółki.
36 Ponadto należy podkreślić, że samo tylko zagrożenie możliwości wpływu politycznego organów nadzoru na decyzje organów kontroli jest wystarczającą przeszkodą w niezależnym wykonywaniu przez nie zadań. Po pierwsze, jak podniosła Komisja, może mieć miejsce „przewidywane posłuszeństwo” tych organów kontroli w świetle praktyki decyzyjnej organu nadzoru. Po drugie, rola strażników prawa do poszanowania życia prywatnego, jaką wypełniają te organy, wymaga, by ich decyzje, a tym samym one same, pozostawały poza jakimkolwiek podejrzeniem stronniczości.
37 W świetle powyższego należy stwierdzić, że kontrola państwowa wykonywana nad niemieckimi organami kontroli właściwymi w zakresie przetwarzania danych osobowych w sektorze niepublicznym jest niezgodna z wymogiem niezależności, opisanym w pkt 30 niniejszego wyroku.
W przedmiocie zasad prawa wspólnotowego podnoszonych przez Republikę Federalną Niemiec
38 Republika Federalna Niemiec podnosi, że wykładnia wymogu niezależności, zapisanego w art. 28 ust. 1 akapit drugi dyrektywy 95/46 w taki sposób, że wymóg ten zmuszałby to państwo członkowskie do zarzucenia wypróbowanego i skutecznego systemu kontroli nad organami kontroli w zakresie przetwarzania danych osobowych w sektorze niepublicznym, byłaby sprzeczna z niektórymi zasadami prawa wspólnotowego.
39 Po pierwsze, zdaniem tego państwa członkowskiego zasada demokracji, w szczególności, stoi na przeszkodzie szerokiej wykładni tego wymogu niezależności.
40 Zasada ta wpisana nie tylko do niemieckiej konstytucji, lecz również do art. 6 ust. 1 UE, wymaga podległości administracji instrukcjom rządu odpowiedzialnego przed parlamentem. Również interwencje dotyczące praw obywateli i przedsiębiorstw powinny podlegać kontroli właściwego ministra w zakresie zgodności z prawem. Ponieważ organy kontroli w dziedzinie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych korzystają z pewnych uprawnień interwencyjnych względem obywateli i sektora niepublicznego na podstawie art. 28 ust. 3 dyrektywy 95/46, rozszerzona kontrola zgodności ich działań z prawem za pomocą instrumentów kontroli zgodności z prawem lub kontroli merytorycznej jest bezwzględnie konieczna.
41 W tym względzie należy przypomnieć, że zasada demokracji należy do wspólnotowego porządku prawnego i została wyraźnie zapisana w art. 6 ust. 1 UE jako jedna z podstaw Unii Europejskiej. Jako zasada wspólna państwom członkowskim powinna być uwzględniana przy wykładni aktu prawa wtórnego, takiego jak art. 28 dyrektywy 95/46.
42 Zasada ta nie stoi na przeszkodzie istnieniu organów publicznych usytuowanych poza klasyczną zhierarchizowaną administracją i mniej więcej niezależnych od rządu. Istnienie i warunki funkcjonowania takich organów są określone w państwach członkowskich w ustawie, czy nawet, w pewnych państwach członkowskich, w konstytucji, a władze te podlegają ustawie pod kontrolą właściwych sądów. Takie niezależne organy administracyjne, istniejące ponadto w niemieckim systemie prawnym, sprawują często funkcje regulacyjne lub wykonują zadania, które muszą być wyłączone spod wpływu politycznego, a jednocześnie podlegają ustawie pod kontrolą właściwych sądów. Tak jest właśnie dokładnie w przypadku zadań organów kontroli w dziedzinie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.
43 Oczywiście brak jakiegokolwiek wpływu parlamentarnego na te organy nie może mieć miejsca. Jednak należy zauważyć, że dyrektywa 95/46 nie nakłada w żadnym razie na państwa członkowskie obowiązku pozostawania poza takim wpływem parlamentarnym.
44 A więc z jednej strony osoby wykonujące funkcje zarządcze w organach kontroli mogą być mianowane przez parlament lub rząd. Z drugiej strony prawodawca może określić kompetencje tych organów.
45 Ponadto prawodawca może nałożyć na organy kontroli obowiązek przedkładania parlamentowi sprawozdania z ich działalności. W tym względzie można dokonać porównania z art. 28 ust. 5 dyrektywy 95/46 przewidującym, że każdy organ kontroli sporządza regularnie sprawozdanie ze swojej działalności, które jest publikowane.
46 Biorąc pod uwagę powyższe, okoliczność nadania organom kontroli w dziedzinie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych statusu niezależnego od administracji ogólnej w sektorze niepublicznym nie może sama w sobie pozbawić tych organów demokratycznej legitymacji.
47 Po drugie, jeśli chodzi o zawartą w art. 5 akapit pierwszy WE zasadę kompetencji powierzonych, również podniesioną przez Republikę Federalną Niemiec, zasada ta zobowiązuje Wspólnotę do działania wyłącznie w granicach powierzonych jej kompetencji i celów wyznaczonych przez traktat WE.
48 Republika Federalna Niemiec podnosi w tym kontekście, że nie można wymagać na podstawie art. 100a traktatu WE, na którego podstawie przyjęto dyrektywę 95/46, niezależności organów kontroli w stosunku do wyższych władz administracyjnych.
49 Przepis ten umożliwia prawodawcy wspólnotowemu wydanie przepisów, których celem jest poprawa warunków tworzenia i funkcjonowania rynku wewnętrznego, które to przepisy muszą mieć rzeczywiście na celu przyczynienie się do wyeliminowania przeszkód w wykonywaniu swobód ekonomicznych przewidzianych w traktacie WE (zob. podobnie w szczególności wyroki: z dnia 5 października 2000 r. w sprawie C‑376/98 Niemcy przeciwko Parlamentowi i Radzie, Rec. s. I‑8419, pkt 83, 84, 95; z dnia 10 grudnia 2002 r. w sprawie C‑491/01 British American Tobacco (Investments) i Imperial Tobacco, Rec. s. I‑11453, pkt 60; z dnia 2 maja 2006 r. w sprawie C‑436/03 Parlament przeciwko Radzie, Zb.Orz. s. I‑3733, pkt 38).
50 Jak zostało to już przedstawione, niezależność organów kontroli w zakresie, w jakim powinny być wyłączone spod jakiegokolwiek wpływu z zewnątrz mogącego nadawać kierunek ich decyzjom, stanowi istotny element w świetle celów dyrektywy 95/46. Jest konieczna dla stworzenia, we wszystkich państwach członkowskich, równie wysokiego poziomu ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w ten sposób ma udział w swobodnym przepływie danych, koniecznym dla utworzenia i funkcjonowania rynku wewnętrznego.
51 Biorąc powyższe pod uwagę, szeroka wykładnia wymogu niezależności organów kontroli nie wykracza poza granice uprawnień przyznanych Wspólnocie na podstawie art. 100a traktatu WE, który stanowi podstawę prawną dyrektywy 95/46.
52 Po trzecie, Republika Federalna Niemiec powołuje się na zasady pomocniczości i proporcjonalności, zawarte w art. 5 akapity drugi i trzeci WE, jak również na obowiązek lojalnej współpracy między państwami członkowskimi a instytucjami wspólnotowymi zapisany w art. 10 WE.
53 Przypomina w szczególności ust. 7 protokołu w sprawie stosowania zasad pomocniczości i proporcjonalności, załączonego do traktatu UE i traktatu WE przez traktat z Amsterdamu, zgodnie z którym z zastrzeżeniem poszanowania prawa wspólnotowego należy dokładać starań, aby przestrzegać ugruntowanych rozwiązań krajowych oraz organizacji i działania systemów prawnych państw członkowskich.
54 Zobowiązanie Republiki Federalnej Niemiec do przyjęcia systemu nieznanego jej porządkowi prawnemu i tym samym do zarzucenia systemu skutecznej kontroli, który sprawdzał się od prawie trzydziestu lat i który stanowił przykład ustawodawstwa w dziedzinie ochrony danych, z którego czerpały też inne państwa, byłoby sprzeczne z tym wymogiem.
55 Nie można zgodzić się z tą argumentacją. Jak zostało już bowiem wyjaśnione w pkt 21–25 oraz w pkt 50 niniejszego wyroku, wykładnia wymogu niezależności wpisanego do art. 28 ust. 1 akapit drugi dyrektywy 95/46 dokonywana w taki sposób, że stoi on na przeszkodzie nadzorowi państwowemu, nie wykracza poza to, co jest konieczne do osiągnięcia celów traktatu WE.
56 Uwzględniając całość powyższych rozważań, należy stwierdzić, że Republika Federalna Niemiec, poddając nadzorowi państwowemu organy kontroli właściwe w zakresie przetwarzania danych osobowych przez sektor niepubliczny w niektórych krajach związkowych i dokonując w ten sposób błędnej implementacji wymogu, zgodnie z którym organy te wykonują zadania „całkowicie niezależnie”, uchybiła zobowiązaniom ciążącym na niej na podstawie art. 28 ust. 1 akapit drugi dyrektywy 95/46.
W przedmiocie kosztów
57 Zgodnie z art. 69 § 2 regulaminu kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę. Ponieważ Komisja wniosła o obciążenie Republiki Federalnej Niemiec kosztami postępowania, a Republika Federalna Niemiec przegrała sprawę, należy obciążyć ją kosztami postępowania.
58 EIOD pokryje własne koszty postępowania.
Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:
1) Republika Federalna Niemiec, poddając nadzorowi państwowemu organy kontroli właściwe w zakresie przetwarzania danych osobowych przez instytucje niepubliczne i przedsiębiorstwa publiczne działające na konkurencyjnym rynku (öffentlich‑rechtliche Wettbewerbsunternehmen) w niektórych krajach związkowych i dokonując w ten sposób błędnej implementacji wymogu, zgodnie z którym organy te wykonują zadania „całkowicie niezależnie” uchybiła zobowiązaniom ciążącym na niej na podstawie art. 28 ust. 1 akapit drugi dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
2) Republika Federalna Niemiec zostaje obciążona kosztami poniesionymi przez Komisję Europejską.
3) Europejski Inspektor Ochrony Danych pokryje własne koszty postępowania.
Podpisy