Cauza C‑362/14

Maximillian Schrems

împotriva

Data Protection Commissioner

[cerere de decizie preliminară formulată de High Court (Irlanda)]

„Trimitere preliminară – Date cu caracter personal – Protecția persoanelor fizice în ceea ce privește prelucrarea acestor date – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8 și 47 – Directiva 95/46/CE – Articolele 25 și 28 – Transfer de date cu caracter personal către țări terțe – Decizia 2000/520/CE – Transfer de date cu caracter personal către Statele Unite – Nivel de protecție neadecvat – Validitate – Plângere a unei persoane fizice ale cărei date au fost transferate din Uniunea Europeană către Statele Unite – Competențele autorităților naționale de supraveghere

Sumar – Hotărârea Curții (Camera a doua) din 6 octombrie 2015

1.        Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Interpretare în lumina drepturilor fundamentale

(Carta drepturilor fundamentale a Uniunii Europene; Directiva 95/46 a Parlamentului European și a Consiliului)

2.        Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Autorități naționale de supraveghere – Condiția independenței

[art. 16 alin. (2) TFUE; Carta drepturilor fundamentale a Uniunii Europene, art. 8 alin. (3); Directiva 95/46 a Parlamentului European și a Consiliului, considerentul (62) și art. 28 alin. (1)]

3.        Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Autorități naționale de supraveghere – Puteri – Controlul transferurilor de date cu caracter personal către țări terțe – Includere

[Carta drepturilor fundamentale a Uniunii Europene art. 8 alin. (3); Directiva 95/46 a Parlamentului European și a Consiliului, art. 28]

4.        Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Transfer de date cu caracter personal către țări terțe – Adoptarea de către Comisie a unei decizii de constatare a unui nivel de protecție adecvat într‑o țară terță – Decizie care are caracter obligatoriu pentru toate statele membre destinatare – Examinarea validității unei astfel de decizii – Rolurile respective ale autorităților naționale de supraveghere și ale instanțelor naționale

[art. 288 al patrulea paragraf TFUE; Carta drepturilor fundamentale a Uniunii Europene, art. 8 alin. (3) și art. 47; Directiva 95/46 a Parlamentului European și a Consiliului, art. 25 alin. (6) și art. 28 alin. (3) și (4)]

5.        Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Transfer de date cu caracter personal către țări terțe – Adoptarea de către Comisie a unei decizii de constatare a unui nivel de protecție adecvat într‑o țară terță – Autoritate națională de supraveghere sesizată cu o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor transferate care îl privesc pe solicitant – Solicitant care contestă nivelul de protecție adecvat în această țară terță – Obligația autorității menționate de a examina cererea – Întinderea examinării

[Carta drepturilor fundamentale a Uniunii Europene art. 7, 8 și 47; Directiva 95/46 a Parlamentului European și a Consiliului, art. 25 alin. (6) și art. 28]

6.        Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Transfer de date cu caracter personal către țări terțe – Adoptarea de către Comisie a unei decizii de constatare a unui nivel de protecție adecvat într‑o țară terță – Noțiunea de nivel de protecție adecvat – Criterii de apreciere – Putere de apreciere a Comisiei

[Directiva 95/46 a Parlamentului European și a Consiliului, art. 25 alin. (2) și (6)]

7.        Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Transfer de date cu caracter personal către țări terțe – Adoptarea de către Comisie a unei decizii de constatare a unui nivel de protecție adecvat într‑o țară terță – Decizia 2000/520 de constatare a unui nivel de protecție adecvat în Statele Unite – Nevaliditate

[Carta drepturilor fundamentale a Uniunii Europene; Directiva 95/46 a Parlamentului European și a Consiliului, art. 25 alin. (6) și art. 28; Decizia 2000/520 a Comisiei, art. 1-4]

8.        Drepturi fundamentale – Respectarea vieții private – Protecția datelor cu caracter personal – Reglementare a Uniunii care implică o ingerință în aceste drepturi fundamentale – Condiții – Garanții suficiente împotriva riscurilor de abuz – Respectarea principiului proporționalității

(Carta drepturilor fundamentale a Uniunii Europene, art. 7 și 8)

1.        A se vedea textul deciziei.

(a se vedea punctul 38)

2.        A se vedea textul deciziei.

(a se vedea punctele 40 și 41)

3.        Autoritățile naționale de supraveghere dispun de o gamă largă de competențe, iar acestea, enumerate în mod neexhaustiv la articolul 28 alineatul (3) din Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, constituie tot atâtea mijloace necesare pentru a‑și îndeplini sarcinile, după cum subliniază considerentul (63) al acestei directive. Astfel, autoritățile menționate beneficiază, printre altele, de competențe de investigare, cum ar fi aceea de a colecta toate informațiile necesare pentru îndeplinirea îndatoririlor de supraveghere, de competențe efective de intervenție, cum ar fi aceea de a impune interdicția temporară sau definitivă de prelucrare a datelor, sau de competența de a acționa în justiție.

În ceea ce privește competența de supraveghere a transferurilor de date cu caracter personal către țările terțe, din cuprinsul articolului 28 alineatele (1) și (6) din Directiva 95/46 reiese, desigur, că competențele autorităților naționale de supraveghere privesc prelucrările datelor cu caracter personal efectuate pe teritoriul statului membru din care aceste autorități provin, astfel încât ele nu dispun de competențe, în temeiul acestui articol 28, în ceea ce privește prelucrările unor astfel de date efectuate pe teritoriul unei țări terțe. Cu toate acestea, operațiunea care constă în transferarea de date cu caracter personal dintr‑un stat membru către o țară terță constituie, în sine, o prelucrare a datelor cu caracter personal în sensul articolului 2 litera (b) din Directiva 95/46 efectuată pe teritoriul unui stat membru. În consecință, autoritățile naționale de supraveghere fiind, conform articolului 8 alineatul (3) din Carta drepturilor fundamentale a Uniunii Europene și articolului 28 din Directiva 95/46, responsabile de supravegherea respectării normelor Uniunii referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, fiecare dintre acestea este învestită cu competența de a verifica dacă un transfer al acestor date din statul membru din care provine către o țară terță respectă cerințele stabilite de directiva menționată privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.

(a se vedea punctele 43-45 și 47)

4.        Comisia poate adopta, în temeiul articolului 25 alineatul (6) din Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, o decizie prin care să constate că o țară terță asigură un nivel de protecție adecvat. O astfel de decizie are drept destinatari, în conformitate cu cel de al doilea paragraf al dispoziției menționate, statele membre, care trebuie să ia măsurile necesare pentru a se conforma acesteia. În temeiul articolului 288 al patrulea paragraf TFUE, aceasta are un caracter obligatoriu pentru toate statele membre destinatare și este obligatorie, așadar, pentru toate organele lor, în măsura în care are drept efect autorizarea transferurilor de date cu caracter personal din statele membre către țările terțe vizate de aceasta.

În acest sens, atât timp cât decizia Comisiei nu a fost declarată nevalidă de către Curte, singura competentă să constate nevaliditatea unui act al Uniunii, statele membre și organele lor, printre care se numără și autoritățile lor de supraveghere independente, nu pot, desigur, să adopte măsuri contrare acestei decizii, cum ar fi acte prin care se urmărește să se constate cu efect obligatoriu că țara terță vizată de decizia menționată nu asigură un nivel de protecție adecvat. Astfel, actele instituțiilor Uniunii beneficiază în principiu de o prezumție de legalitate și produc, așadar, efecte juridice atât timp cât nu au fost revocate, anulate în cadrul unei acțiuni în anulare sau declarate nule în urma unei trimiteri preliminare ori a unei excepții de nelegalitate.

Deși instanțele naționale sunt, desigur, competente să examineze validitatea unui act al Uniunii, acestea nu dispun însă de competența de a constata ele însele nevaliditatea unui astfel de act. A fortiori, cu ocazia examinării unei cereri, în sensul articolului 28 alineatul (4) din această directivă, privind compatibilitatea unei decizii a Comisiei cu protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor, autoritățile naționale de supraveghere nu sunt abilitate să constate ele însele nevaliditatea unei astfel de decizii.

În ipoteza în care autoritatea menționată ajunge la concluzia că elementele invocate în susținerea unei astfel de cereri sunt nefondate și respinge, prin urmare, această cerere, persoana care a introdus cererea menționată trebuie, așa cum rezultă din cuprinsul articolului 28 alineatul (3) al doilea paragraf din Directiva 95/46 interpretat în lumina articolului 47 din Carta drepturilor fundamentale a Uniunii Europene, să aibă acces la căi de atac jurisdicționale care să îi permită să conteste o asemenea decizie cauzatoare de prejudicii la instanțele naționale. În aceste condiții, aceste instanțe sunt obligate să suspende judecarea cauzei și să sesizeze Curtea cu o procedură de trimitere preliminară în aprecierea validității atunci când consideră că unul sau mai multe motive de nevaliditate formulate de părți sau, dacă este cazul, invocate din oficiu sunt întemeiate.

În ipoteza contrară, în care autoritatea menționată consideră întemeiate motivele invocate de persoana care a sesizat‑o cu o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal, aceeași autoritate trebuie, conform articolului 28 alineatul (3) primul paragraf a treia liniuță din Directiva 95/46 interpretat în lumina în special a articolului 8 alineatul (3) din Carta drepturilor fundamentale a Uniunii Europene, să aibă competența de a acționa în justiție. În această privință, revine legiuitorului național sarcina de a prevedea căi de atac care să permită autorității naționale de supraveghere în cauză să invoce motivele pe care le consideră întemeiate în fața instanțelor naționale, astfel încât acestea din urmă să efectueze, dacă împărtășesc îndoielile acestei autorități în ceea ce privește validitatea deciziei Comisiei, o trimitere preliminară în vederea examinării validității acestei decizii.

(a se vedea punctele 51, 52, 61, 62, 64 și 65)

5.        Articolul 25 alineatul (6) din Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, înțeles în lumina articolelor 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene, trebuie interpretat în sensul că o decizie adoptată în temeiul acestei dispoziții, prin care Comisia constată că o țară terță asigură un nivel de protecție adecvat, nu se opune ca o autoritate de supraveghere dintr‑un stat membru, în sensul articolului 28 din această directivă, să examineze cererea unei persoane de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal care o privesc, care au fost transferate dintr‑un stat membru către această țară terță, atunci când această persoană invocă faptul că dreptul și practicile în vigoare în țara terță menționată nu asigură un nivel de protecție adecvat.

În caz contrar, persoanele ale căror date cu caracter personal au fost sau ar putea fi transferate către țara terță respectivă ar fi private de dreptul, garantat la articolul 8 alineatele (1) și (3) din Carta drepturilor fundamentale a Uniunii Europene, de a sesiza autoritățile naționale de supraveghere cu o cerere în vederea protecției drepturilor lor fundamentale.

În plus, o cerere, în sensul articolului 28 alineatul (4) din Directiva 95/46, prin care o astfel de persoană invocă faptul că dreptul și practicile acestei țări nu asigură, în pofida celor constatate de Comisie într‑o decizie adoptată în temeiul articolului 25 alineatul (6) din această directivă, un nivel de protecție adecvat trebuie înțeleasă în sensul că privește, în esență, compatibilitatea acestei decizii cu protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor. În aceste condiții, atunci când o persoană ale cărei date cu caracter personal au fost sau ar putea să fie transferate către o țară terță care a făcut obiectul unei decizii a Comisiei în temeiul articolului 25 alineatul (6) din Directiva 95/46 sesizează o autoritate națională de supraveghere cu o astfel de cerere, revine acestei autorități sarcina de a examina cererea menționată cu toată diligența necesară.

(a se vedea punctele 58, 59, 63 și 66 și dispozitiv 1)

6.        Expresia „nivel de protecție adecvat”, care figurează la articolul 25 alineatul (6) din Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, trebuie înțeleasă în sensul că impune ca această țară terță să asigure efectiv, în temeiul legislației interne sau al angajamentelor sale internaționale, un nivel de protecție a drepturilor și libertăților fundamentale în esență echivalent cu cel garantat în cadrul Uniunii în temeiul acestei directive, interpretată în lumina Cartei drepturilor fundamentale a Uniunii Europene.

În aceste condiții, în cadrul examinării nivelului de protecție oferit de o țară terță, Comisia este obligată să evalueze conținutul normelor aplicabile în această țară care rezultă din legislația internă sau din angajamentele sale internaționale, precum și practica ce vizează asigurarea respectării acestor norme, această instituție trebuind, conform articolului 25 alineatul (2) din Directiva 95/46, să ia în considerare toate circumstanțele referitoare la un transfer de date cu caracter personal către o țară terță. De asemenea, având în vedere că nivelul de protecție asigurat de o țară terță este susceptibil să evolueze, revine Comisiei, după adoptarea unei decizii în temeiul articolului 25 alineatul (6) din Directiva 95/46, sarcina de a verifica în mod periodic dacă constatarea referitoare la nivelul de protecție adecvat asigurat de țara terță în cauză este în continuare justificată în fapt și în drept. O astfel de verificare se impune, în orice caz, atunci când există indicii care dau naștere unei îndoieli în această privință.

Ținând seama, pe de o parte, de rolul important pe care îl are protecția datelor cu caracter personal în lumina dreptului fundamental la respectarea vieții private și, pe de altă parte, de numărul important de persoane ale căror drepturi fundamentale sunt susceptibile să fie încălcate în caz de transfer al datelor cu caracter personal către o țară terță care nu asigură un nivel de protecție adecvat, puterea de apreciere a Comisiei cu privire la caracterul adecvat al acestui nivel de protecție se dovedește redusă, astfel încât este necesară efectuarea unei supravegheri stricte a cerințelor care decurg din cuprinsul articolului 25 din Directiva 95/46, interpretat în lumina Cartei drepturilor fundamentale a Uniunii Europene.

(a se vedea punctele 73, 75, 76 și 78)

7.        Adoptarea de către Comisie a unei decizii în temeiul articolului 25 alineatul (6) din Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, precum Decizia 2000/520 privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A., necesită constatarea, motivată corespunzător de către această instituție, că țara terță respectivă asigură efectiv, în temeiul legislației interne sau al angajamentelor sale internaționale, un nivel de protecție a drepturilor fundamentale în esență echivalent cu cel garantat în ordinea juridică a Uniunii.

Or, întrucât Comisia, în Decizia 2000/520, nu a afirmat aceasta, articolul 1 din această decizie nu respectă cerințele stabilite la articolul 25 alineatul (6) din Directiva 95/46, interpretat în lumina Cartei drepturilor fundamentale a Uniunii Europene, și, din acest motiv, este nevalid. Astfel, principiile „sferei de siguranță” sunt aplicabile numai organizațiilor americane autocertificate care primesc date cu caracter personal din Uniune, fără a se impune ca autoritățile publice americane să fie supuse respectării principiilor menționate. În plus, Decizia 2000/520 face posibile unele ingerințe, întemeiate pe cerințe privind securitatea națională și interesul public sau pe legislația internă a Statelor Unite, în drepturile fundamentale ale persoanelor ale căror date cu caracter personal sunt sau ar putea fi transferate din Uniune către Statele Unite, fără a cuprinde nicio constatare în privința existenței în Statele Unite a unor norme cu caracter statal destinate să limiteze eventualele ingerințe în aceste drepturi și fără a menționa existența unei protecții juridice eficiente împotriva unor ingerințe de această natură.

În plus, Comisia și‑a depășit competența care îi este atribuită la articolul 25 alineatul (6) din Directiva 95/46, interpretat în lumina Cartei drepturilor fundamentale a Uniunii Europene, prin adoptarea articolului 3 din Decizia 2000/520, care, din acest motiv, este nevalid. Astfel, acest articol trebuie înțeles în sensul că privează autoritățile naționale de supraveghere de competențele întemeiate pe articolul 28 din Directiva 95/46 în cazul în care o persoană invocă, cu ocazia unei cereri în temeiul acestei dispoziții, elemente susceptibile să repună în discuție compatibilitatea cu protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor a unei decizii a Comisiei care a constatat, în temeiul articolului 25 alineatul (6) din această directivă, că o țară terță asigură un nivel de protecție adecvat. Or, competența de executare acordată Comisiei de legiuitorul Uniunii la articolul 25 alineatul (6) din Directiva 95/46 nu conferă acestei instituții competența de a restrânge competențele menționate ale autorităților naționale de supraveghere.

Întrucât articolele 1 și 3 din Decizia 2000/520 nu pot fi disociate de articolele 2 și 4 și nici de anexele la această directivă, nevaliditatea lor are drept efect afectarea validității acestei decizii în ansamblul său.

(a se vedea punctele 82, 87-89, 96-98 și 102-105 și dispozitiv 2)

8.        O reglementare a Uniunii care implică o ingerință în drepturile fundamentale garantate la articolele 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea unei măsuri și care să impună o serie de cerințe minime, astfel încât persoanele ale căror date cu caracter personal sunt vizate să dispună de garanții suficiente care să permită protejarea în mod eficient a datelor lor împotriva riscurilor de abuz, precum și împotriva oricărei accesări și a oricărei utilizări ilicite a acestor date. Necesitatea de a dispune de asemenea garanții este cu atât mai importantă în cazul în care datele cu caracter personal sunt supuse unei prelucrări automate și există un risc important privind un acces ilicit la aceste date. În plus și mai ales, protecția dreptului fundamental la respectarea vieții private la nivelul Uniunii impune ca derogările de la protecția datelor cu caracter personal și limitările acesteia să fie efectuate în limitele strictului necesar.

Astfel, nu este limitată la strictul necesar o reglementare care autorizează în mod generalizat stocarea integralității datelor cu caracter personal ale tuturor persoanelor ale căror date au fost transferate din Uniune, fără a se face vreo diferențiere, limitare sau excepție în funcție de obiectivul urmărit și fără a se prevedea un criteriu obiectiv care să permită delimitarea accesului autorităților publice la date și utilizarea lor ulterioară în scopuri precise, strict restrânse și susceptibile să justifice ingerința pe care o implică atât accesul, cât și utilizarea acestor date.

În special, trebuie să se considere că o reglementare care permite autorităților publice să acceadă în mod generalizat la conținutul comunicărilor electronice aduce atingere substanței dreptului fundamental la respectarea vieții private, astfel cum este garantat la articolul 7 din Carta drepturilor fundamentale a Uniunii Europene.

O reglementare care nu prevede nicio posibilitate a justițiabilului de a exercita căi legale pentru a avea acces la date cu caracter personal care îl privesc sau pentru a obține rectificarea sau ștergerea unor astfel de date nu respectă substanța dreptului fundamental la o protecție jurisdicțională efectivă, astfel cum este consacrat la articolul 47 din Carta drepturilor fundamentale a Uniunii Europene. Astfel, primul paragraf al acestui articol impune ca orice persoană ale cărei drepturi și libertăți garantate de dreptul Uniunii sunt încălcate să aibă dreptul la o cale de atac efectivă în fața unei instanțe judecătorești, în conformitate cu condițiile stabilite de acest articol. În această privință, existența însăși a unui control jurisdicțional efectiv destinat să asigure respectarea dispozițiilor dreptului Uniunii este inerentă existenței unui stat de drept.

(a se vedea punctele 91-95)