SODBA SODIŠČA (veliki senat)
z dne 9. marca 2010(*)
„Neizpolnitev obveznosti države – Direktiva 95/46/ES – Varstvo posameznikov pri obdelavi osebnih podatkov in prosti pretok takih podatkov – Člen 28(1) – Nacionalni nadzorni organi – Samostojnost – Upravni nadzor teh organov“
V zadevi C‑518/07,
zaradi tožbe zaradi neizpolnitve obveznosti na podlagi člena 226 ES, vložene 22. novembra 2007,
Evropska komisija, ki jo zastopajo C. Docksey, C. Ladenburger in H. Krämer, zastopniki, z naslovom za vročanje v Luxembourgu,
tožeča stranka,
ob intervenciji
evropskega nadzornika za varstvo podatkov, ki ga zastopata H. Hijmans in A. Scirocco, zastopnika, z naslovom za vročanje v Luxembourgu,
intervenient,
proti
Zvezni republiki Nemčiji, ki jo zastopata M. Lumma in J. Möller, zastopnika, z naslovom za vročanje v Luxembourgu,
tožena stranka,
SODIŠČE (veliki senat),
v sestavi V. Skouris, predsednik, A. Tizzano, J. N. Cunha Rodrigues, K. Lenaerts, J.-C. Bonichot in E. Levits, predsedniki senatov, A. Rosas, K. Schiemann (poročevalec), J.-J. Kasel, M. Safjan in D. Šváby, sodniki,
generalni pravobranilec: J. Mazák,
sodni tajnik: R. Grass,
na podlagi pisnega postopka,
po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 12. novembra 2009
izreka naslednjo
Sodbo
1 Komisija Evropskih skupnosti s tožbo Sodišču predlaga, naj ugotovi, da Zvezna republika Nemčija s tem, da je nadzorne organe, odgovorne za spremljanje obdelave osebnih podatkov v zasebnem sektorju v različnih deželah, podvrgla državnemu nadzoru in tako nepravilno prenesla zahtevo po „popolni samostojnosti“ organov, odgovornih za zagotavljanje varstva teh podatkov, ni izpolnila obveznosti iz člena 28(1), drugi pododstavek, Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, str. 31).
Pravni okvir
Skupnostna ureditev
2 Direktiva 95/46 je bila sprejeta na podlagi člena 100a Pogodbe ES (po spremembi postal člen 95 ES) in je namenjena usklajevanju nacionalnih zakonodaj o obdelavi osebnih podatkov.
3 V uvodnih izjavah 3, 7, 8, 10 in 62 Direktive 95/46 je navedeno:
„(3) ker ustanovitev in delovanje notranjega trga, na katerem je v skladu s členom 7a Pogodbe [ES, po spremembi postal člen 14 ES] zagotovljen prosti pretok blaga, oseb, storitev in kapitala, zahteva ne le, da se osebni podatki lahko prosto prenašajo iz ene države članice v drugo, ampak tudi, da se zaščitijo temeljne pravice posameznikov;
[…]
(7) ker lahko razlika v ravneh varstva pravic in svoboščin posameznikov, predvsem pravice do zasebnosti glede obdelave osebnih podatkov, ki je zagotovljena v državah članicah, prepreči prenos takih podatkov z ozemlja ene države članice na ozemlje druge države članice; ker zato ta razlika lahko predstavlja oviro pri izvajanju številnih gospodarskih dejavnosti na ravni Skupnosti, izkrivlja konkurenco in ovira organe pri opravljanju njihovih obveznosti na podlagi zakonodaje Skupnosti; ker je ta razlika na ravni varstva posledica obstoja velike raznolikosti nacionalnih zakonov in drugih predpisov;
(8) ker mora biti zato, da bi odstranili ovire za prenos osebnih podatkov, raven varstva pravic in svoboščin posameznikov glede obdelave takih podatkov enakovredna v vseh državah članicah; ker je ta cilj bistven za notranji trg, vendar ga države članice same ne morejo doseči, predvsem zaradi obsega razlik, ki trenutno obstajajo med zadevno zakonodajo v državah članicah in potrebo po usklajevanju zakonodaj držav članic za zagotovitev, da se čezmejni prenos osebnih podatkov ureja na dosleden način, ki sledi cilju notranjega trga, kakor ga opredeljuje člen 7a Pogodbe; ker je za približanje teh zakonodaj potrebno ukrepanje Skupnosti;
[…]
(10) ker je namen nacionalne zakonodaje o obdelavi osebnih podatkov varovati temeljne pravice in svoboščine, predvsem pravico do zasebnosti, ki jo priznava člen 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin [podpisane v Rimu 4. novembra 1950], pa tudi splošna načela zakonodaje Skupnosti; ker zato približevanje teh zakonodaj ne sme povzročiti zmanjšanja varstva, ki ga zagotavljajo, ampak mora imeti za cilj zagotovitev visoke ravni varstva v Skupnosti;
[…]
(62) ker je v državah članicah ustanovitev nadzornih organov, ki opravljajo svoje naloge popolnoma samostojno, bistvena sestavina varstva posameznikov pri obdelavi osebnih podatkov“.
4 Člen 1 Direktive 95/46 z naslovom „Namen direktive“ določa:
„1. V skladu s to direktivo države članice varujejo temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov.
2. Države članice ne omejujejo niti ne prepovedujejo prostega prenosa osebnih podatkov med državami članicami zaradi razlogov, povezanih z varstvom, ki je zagotovljeno na podlagi odstavka 1.“
5 Člen 28 Direktive 95/46 z naslovom „Nadzorni organ“ določa:
„1. Vsaka država članica določi, da je eden ali več javnih organov na njenem ozemlju odgovornih za spremljanje uporabe predpisov, ki so jih sprejele države članice v skladu s to direktivo.
Ti organi pri izvajanju nalog, ki so jim zaupane, delujejo popolnoma samostojno.
2. Vsaka država članica zagotovi, da se ob pripravi zakonodajnih in upravnih aktov, ki se nanašajo na varstvo posameznikovih pravic in svoboščin pri obdelavi osebnih podatkov, posvetuje z nadzornimi organi.
3. Vsakemu organu se podeli predvsem:
– preiskovalna pooblastila, kakršna so pooblastila za dostop do podatkov, ki sestavljajo vsebino postopkov obdelave, in pooblastila za zbiranje vseh informacij, ki so potrebne za izvajanje njegovih nadzornih nalog,
– učinkovita pooblastila za posredovanje, kakšna so npr. dajanje mnenj pred izvajanjem postopkov obdelave v skladu s členom 20 in zagotavljanje ustrezne objave takih mnenj, odrejanje blokiranja, izbrisa ali uničenja podatkov, naložitev začasne ali dokončne prepovedi obdelave, opozarjanje ali opominjanje upravljavca ali napotitev zadeve v nacionalne parlamente ali druge politične institucije,
– pooblastila za sodelovanje v sodnih postopkih, kadar so kršene nacionalne določbe, sprejete v skladu s to direktivo, ali za seznanitev sodnih organov s temi kršitvami.
Zoper odločitve nadzornega organa je zagotovljeno sodno pravno sredstvo.
4. Vsak nadzorni organ obravnava zahtevke, ki jih je vložila katera koli oseba ali združenje, ki predstavlja to osebo, v zvezi z varstvom svojih pravic in svoboščin glede obdelave osebnih podatkov. Zadevna oseba je obveščena o odločitvah o zahtevkih.
Vsak nadzorni organ obravnava predvsem zahtevke za preverjanje zakonitosti obdelave podatkov, ki jih vloži katera koli oseba, kadar se uporabljajo nacionalne določbe, sprejete v skladu s členom 13 te direktive. Oseba mora biti v vsakem primeru obveščena, da je bilo opravljeno preverjanje.
5. Vsak nadzorni organ redno pripravi poročilo o svojih dejavnostih. Poročilo se objavi.
6. Vsak nadzorni organ je pristojen, da na ozemlju lastne države članice izvaja pooblastila, ki so mu bila podeljena v skladu z odstavkom 3, ne glede na to, kateri nacionalni zakon se uporablja za zadevno obdelavo. Od vsakega nadzornega organa je mogoče zahtevati, da izvaja svoja pooblastila na prošnjo nadzornega organa druge države članice.
Nadzorni organi sodelujejo drug z drugim v obsegu, ki je potreben za izvedbo njihovih dolžnosti, predvsem z izmenjavo vseh koristnih informacij.
7. Države članice določijo, da so člani in uslužbenci nadzornega organa celo po tem, ko je njihova zaposlitev končana, zavezani dolžnosti poklicne molčečnosti glede zaupnih informacij, do katerih imajo dostop.“
6 Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL 2001, L 8, str. 1) je bila sprejeta na podlagi člena 286 ES. Člen 44(1) in (2) te uredbe določa:
„1. Evropski nadzornik za varstvo podatkov [(v nadaljevanju: ENVP)] ravna pri izvajanju svojih nalog popolnoma neodvisno.
2. [ENVP] pri izvajanju svojih nalog pri nikomer ne išče in od nikogar ne prevzema navodil.“
Nacionalna ureditev
7 Nemško pravo različno ureja varstvo fizičnih oseb pri obdelavi osebnih podatkov glede na to, ali podatke obdelujejo javni organi.
8 Organi, odgovorni za nadzor, ali spoštujejo določbe s tega področja javni organi, in organi, odgovorni za nadzor, ali te določbe spoštujejo zasebni organi in podjetja javnega prava, ki nastopajo v konkurenci na trgu (öffentlich-rechtliche Wettbewerbsunternehmen) (v nadaljevanju skupaj: zasebni sektor), so namreč različni.
9 Obdelavo osebnih podatkov s strani javnih organov na zvezni ravni spremlja Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (zvezni nadzornik za varstvo podatkov in svobodo informacij), na deželni ravni pa Landesdatenschutzbeauftragte (deželni nadzorniki za varstvo podatkov). Vsi ti nadzorniki odgovarjajo le parlamentu in običajno niso podvrženi nobenemu nadzoru, navodilom ali drugemu vplivu s strani javnih organov, ki so podvrženi njihovemu nadzoru.
10 Nasprotno pa je struktura organov, odgovornih za spremljanje obdelave podatkov s strani zasebnega sektorja, po posameznih deželah različna. Vendar je skupna značilnost deželnih zakonov, da te nadzorne organe izrecno podrejajo državnemu nadzoru.
Predhodni postopek in postopek pred Sodiščem
11 Po tem, ko je Komisija ocenila, da člen 28(1), drugi pododstavek, Direktive 95/46 nasprotuje temu, da se organ, ki je odgovoren za zagotavljanje spoštovanja določb o varstvu osebnih podatkov pri obdelavi osebnih podatkov s strani zasebnega sektorja, podvrže državnemu nadzoru, kot je to v primeru vseh nemških dežel, je 5. julija 2005 Zvezni republiki Nemčiji poslala opomin. Ta je z dopisom z dne 12. septembra 2005 odgovorila, da zadevni nemški nadzorni sistem ustreza zahtevam iz navedene direktive. Komisija je nato 12. decembra 2006 Zvezni republiki Nemčiji poslala obrazloženo mnenje, v katerem je ponovila predhodno opredeljen očitek. V odgovoru z dne 14. februarja 2007 je Zvezna republika Nemčija svoje stališče potrdila.
12 V teh okoliščinah se je Komisija odločila vložiti to tožbo.
13 Predsednik Sodišča je s sklepom z dne 14. oktobra 2008 v tej zadevi odobril intervencijo ENVP v podporo predlogom Komisije.
Tožba
Trditve strank
14 Ta spor zajema dve nasprotujoči si ideji, ki ju imata Komisija, ki jo podpira ENVP, in Zvezna republika Nemčija o izrazu „popolnoma samostojno“, navedenem v členu 28(1), drugi pododstavek, Direktive 95/46, in o izvajanju nalog nadzornih organov na področju varstva posameznikov pri obdelavi osebnih podatkov.
15 Po mnenju Komisije in ENVP, ki se sklicujeta na širšo razlago izraza „popolnoma samostojno“, je treba zahtevo, da nadzorni organi izvajajo naloge „popolnoma samostojno“, razlagati tako, da se mora nadzorni organ izogniti vsakršnemu vplivu s strani drugih organov ali vplivu zunaj upravnega okvira. Državni nadzor, ki so mu podvrženi nadzorni organi v Nemčiji, odgovorni za zagotavljanje spoštovanja predpisov s področja varstva fizičnih oseb pri obdelavi osebnih podatkov v zasebnem sektorju, pomeni torej neizpolnjevanje navedene zahteve.
16 Zvezna republika Nemčija širšo razlago izraza „popolnoma samostojno“ zavrača in trdi, da člen 28(1), drugi pododstavek, Direktive 95/46 zahteva funkcionalno samostojnost nadzornih organov v tem smislu, da morajo biti ti organi neodvisni od zasebnega sektorja, ki je podvržen njihovemu nadzoru, in da ne smejo biti izpostavljeni zunanjim vplivom. Po njenem mnenju državni nadzor, ki se izvaja v nemških deželah, ni tak zunanji vpliv, temveč le nadzorni mehanizem znotraj uprave, ki ga izvajajo organi, ki pripadajo istemu upravnemu aparatu kot nadzorni organi in morajo kot ti izpolnjevati cilje Direktive 95/46.
Presoja Sodišča
Obseg zahteve po samostojnosti nadzornih organov
17 Vprašanje utemeljenosti obravnavane tožbe je odvisno od obsega zahteve po samostojnosti, ki je določena v členu 28(1), drugi pododstavek, Direktive 95/46, in zato od razlage te določbe. Pri tem je treba upoštevati besedilo navedene določbe ter cilje in sistematiko Direktive 95/46.
18 Glede na to, da izraz „popolnoma samostojno“ v besedilu člena 28(1), drugi pododstavek, Direktive 95/46 ni opredeljen, je treba upoštevati njegov običajen pomen. V zvezi z javnim organom izraz „samostojno“ navadno pomeni položaj, ki zadevnemu organu zagotavlja možnost popolnoma svobodnega delovanja, brez sprejemanja navodil in ne da bi bil pod kakršnim koli pritiskom.
19 V nasprotju s stališčem Zvezne republike Nemčije nič ne nakazuje na to, da se zahteva po samostojnosti nanaša izključno na razmerje med nadzornimi organi in organi, ki so podvrženi njihovemu nadzoru. Nasprotno, pojem „samostojno“ je okrepljen s pridevnikom „popolnoma“, kar pomeni pristojnost za odločanje brez vsakršnega zunanjega vpliva na nadzorni organ, bodisi neposrednega bodisi posrednega.
20 Drugič, glede ciljev Direktive 95/46 je zlasti iz njenih uvodnih izjav 3, 7 in 8 razvidno, da je njen namen z usklajevanjem nacionalnih predpisov, ki varujejo posameznike pri obdelavi osebnih podatkov, zagotoviti prosti pretok takih podatkov med državami članicami (glej v tem smislu sodbo z dne 20. maja 2003 v združenih zadevah Österreichischer Rundfunk in drugi, C‑465/00, C‑138/01 in C‑139/01, Recueil, str. I-4989, točki 39 in 70), kar je nujno za ustanovitev in delovanje notranjega trga v smislu člena 14(2) ES.
21 Prosti pretok osebnih podatkov pa lahko ogrozi pravico do zasebnosti, kot jo priznava člen 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin (glej v tem smislu sodbi Evropskega sodišča za človekove pravice z dne 16. februarja 2000 v zadevi Amann proti Švici, Recueil des arrêts et décisions 2000-II, točki 69 in 80, in z dne 4. maja 2000 v zadevi Rotaru proti Romuniji, Recueil des arrêts et décisions 2000-V, točki 43 in 46), in splošna načela prava Skupnosti.
22 Iz tega razloga in kot je razvidno iz uvodne izjave 10 in člena 1 Direktive 95/46, je njen cilj tudi, da se ne oslabi varstvo, ki ga zagotavljajo zdajšnja nacionalna pravila, temveč nasprotno, da se v Skupnosti zagotavlja visoka raven varstva temeljnih svoboščin in pravic pri obdelavi osebnih podatkov (glej v tem smislu zgoraj navedeno sodbo Österreichischer Rundfunk in drugi, točka 70, in sodbo z dne 16. decembra 2008 v zadevi Satakunnan Markkinapörssi in Satamedia, C‑73/07, ZOdl., str. I-9831, točka 52).
23 Nadzorni organi, določeni v členu 28 Direktive 95/46, so torej varuhi teh temeljnih pravic in svoboščin, njihova ustanovitev v državah članicah pa šteje, kot je razvidno iz uvodne izjave 62 te direktive, za bistven element varstva oseb pri obdelavi osebnih podatkov.
24 Za zagotovitev tega varstva morajo nadzorni organi vzpostaviti pravo ravnotežje med spoštovanjem temeljnih pravic do zasebnosti in interesi, ki narekujejo prosti pretok osebnih podatkov. Na podlagi člena 28(6) Direktive 95/46 je več nacionalnih organov pozvanih k medsebojnemu sodelovanju in v danem primeru k izvajanju svojih pooblastil na prošnjo organa druge države članice.
25 Cilj zagotavljanja samostojnosti nacionalnih nadzornih organov je učinkovit in zanesljiv nadzor spoštovanja določb na področju varstva fizičnih oseb pri obdelavi osebnih podatkov, zato ga je treba s tega vidika tudi razlagati. Ta cilj ni bil določen zaradi dodelitve posebnega statusa tem organom samim in njihovim zastopnikom, temveč za krepitev varstva oseb in organov, na katere se odločbe teh organov nanašajo. Zato morajo nadzorni organi pri izvajanju nalog ravnati objektivno in nepristransko. Zaradi tega ne smejo podleči nobenemu zunanjemu vplivu – niti neposrednim ali posrednim vplivom države ali dežel –, ne le vplivu nadzorovanih organov.
26 Tretjič, glede sistematike Direktive 95/46 je treba to direktivo razumeti, kot je razvidno iz člena 286 ES in Uredbe št. 45/2001. Ta se nanašata na obdelavo osebnih podatkov s strani institucij in organov Skupnosti in na prosti pretok teh podatkov. Tudi navedena Direktiva 95/46 sledi tem ciljem, vendar glede obdelave takšnih podatkov v državah članicah.
27 Poleg nadzornih organov na nacionalni ravni pa je predviden tudi nadzorni organ, ki spremlja uporabo predpisov s področja varstva posameznikov pri obdelavi osebnih podatkov na ravni Skupnosti, in sicer ENVP. V skladu s členom 44(1) Uredbe št. 45/2001 ta organ izvaja svoje naloge popolnoma neodvisno. V odstavku 2 tega člena je v zvezi s pojmom neodvisnosti dodatno pojasnjeno, da ENVP pri izvajanju svojih nalog pri nikomer ne išče in od nikogar ne prevzema navodil.
28 Upoštevajoč dejstvo, da člen 44 Uredbe št. 45/2001 in člen 28 Direktive 95/46 temeljita na isti splošni ideji, je treba ti določbi razlagati enotno, namreč da tako samostojnost ENVP kot tudi samostojnost nacionalnih organov pomeni odsotnost vsakršnega sprejemanja navodil pri izvajanju njihovih nalog.
29 Ob opiranju na samo besedilo člena 28(1), drugi pododstavek, Direktive 95/46 ter na cilje in sistematiko te direktive, je mogoče priti do jasne razlage drugega pododstavka člena 28(1). Zato ni treba upoštevati razvoja te direktive ali se opredeliti glede ugotovitev Komisije in Zvezne republike Nemčije, ki temu nasprotujejo.
30 Glede na vse navedeno je treba člen 28(1), drugi pododstavek, Direktive 95/46 razlagati tako, da morajo biti nadzorni organi, odgovorni za spremljanje obdelave osebnih podatkov v zasebnem sektorju, samostojni, tako da lahko svoje naloge izvajajo brez zunanjega vpliva. Ta samostojnost ne izključuje le vsakršnega vpliva s strani nadziranih organov, temveč tudi kakršno koli navodilo in drug zunanji vpliv, bodisi neposreden bodisi posreden, ki bi lahko ogrožal navedene organe pri izvajanju njihove naloge ohranjanja pravega ravnotežja med pravnim varstvom zasebnosti in prostim pretokom osebnih podatkov.
Državni nadzor
31 Zato je treba preučiti, ali je državni nadzor, ki so mu podvrženi nadzorni organi v Nemčiji, ki so odgovorni za spremljanje obdelave osebnih podatkov v zasebnem sektorju, skladen z zahtevo po samostojnosti, kot je bila opredeljena zgoraj.
32 Treba je ugotoviti, da državni nadzor v kakršni koli obliki zadevni deželni vladi ali njej podrejenemu upravnemu organu načeloma omogoča, da neposredno ali posredno vpliva na odločbe nadzornih organov ali da te odločbe razveljavi in nadomesti.
33 Seveda je treba a priori priznati, kot trdi Zvezna republika Nemčija, da je namen državnega nadzora le zagotavljanje delovanja nadzornih organov v skladu z nacionalnimi predpisi in predpisi Skupnosti in torej njegov cilj ni prisiliti te organe k temu, da morebiti sledijo političnim ciljem, ki bi bili v nasprotju z varstvom posameznikov pri obdelavi osebnih podatkov in temeljnimi pravicami.
34 Vendar ni mogoče izključiti, da nadzorni organi, ki so del splošne uprave in zato podrejeni svojim deželnim vladam, niso sposobni objektivno razlagati in uporabljati določb v zvezi z obdelavo osebnih podatkov.
35 Dejansko, kot je navedel ENVP v svojih stališčih, ima lahko deželna vlada interes, da ne upošteva določb o varstvu osebnih podatkov, kadar te podatke obdeluje zasebni sektor. Ta vlada je namreč sama lahko zainteresirana stranka pri tej obdelavi, če v njej sodeluje ali bi lahko sodelovala, na primer kot javno-zasebni partner ali v okviru javnih naročil z zasebnim sektorjem. Vlada ima lahko poseben interes tudi, če je zanjo nujno ali koristno, da pri izpolnjevanju nekaterih nalog, tudi za namene obdavčitve ali kazenskega pregona, dostopi do podatkovnih baz. Dalje lahko ista vlada pri uporabi teh določb daje prednost gospodarskim interesom določenih podjetij, ki so za državo ali regijo gospodarsko pomembni.
36 Poleg tega je treba opozoriti, da že samo tveganje, da lahko državni organi izvajajo politični vpliv na odločitve nadzornih organov, zadostuje, da je ovirano samostojno izvajanje nalog teh organov. Prvič, kot je ugotovila Komisija, bi lahko šlo za „vnaprejšnjo poslušnost“ teh organov z vidika prakse odločanja državnega organa. Po drugi strani pa vloga varuhov pravice do zasebnosti, ki naj bi jo imeli navedeni organi, zahteva, da so njihove odločitve in s tem organi brez vsakega suma pristranskosti.
37 Glede na predhodne ugotovitve je treba ugotoviti, da državni nadzor, ki se izvaja nad nemškimi nadzornimi organi, pristojnimi za spremljanje obdelave osebnih podatkov v zasebnem sektorju, ni v skladu z zahtevo po samostojnosti, kot je opisana v točki 30 te sodbe.
Načela prava Skupnosti, ki jih uveljavlja Zvezna republika Nemčija
38 Zvezna republika Nemčija trdi, da bi bilo v nasprotju z nekaterimi načeli prava Skupnosti razlagati zahtevo po samostojnosti, zapisano v členu 28(1), drugi pododstavek, Direktive 95/46, tako, da je z njo država članica zavezana opustiti svoj preizkušen in učinkovit sistem državnega nadzora nad nadzornimi organi glede obdelave osebnih podatkov v zasebnem sektorju.
39 Najprej po mnenju te države članice predvsem načelo demokracije nasprotuje široki razlagi navedene zahteve po samostojnosti.
40 To načelo, ki je uzakonjeno ne le v nemški ustavi, ampak tudi v členu 6(1) EU, naj bi zahtevalo, da se uprava podredi navodilom vlade, ki odgovarja parlamentu. Tako morajo biti intervencije, ki se nanašajo na pravice državljanov in podjetij, pod zakonskim nadzorom pristojnega ministra. Glede na to, da imajo nadzorni organi za varstvo posameznikov pri obdelavi osebnih podatkov nekatera pooblastila za posredovanje v zvezi z državljani in zasebnim sektorjem v skladu s členom 28(3) Direktive 95/46, je razširjen nadzor zakonitosti njihovih dejavnosti z instrumenti nadzora zakonitosti ali vsebine nujno potreben.
41 V zvezi s tem je treba spomniti, da je načelo demokracije del pravnega reda Skupnosti in je bilo izrecno uzakonjeno v členu 6(1) EU kot eden od temeljev Evropske unije. Kot načelo, ki je skupno državam članicam, ga je treba upoštevati pri razlagi akta sekundarnega prava, kot je člen 28 Direktive 95/46.
42 To načelo ne izključuje obstoja javnih organov zunaj klasične hierarhične uprave, ki so bolj ali manj neodvisni od vlade. Obstoj in pogoji delovanja teh organov so v državah članicah zakonsko urejeni, v nekaterih državah članicah celo ustavno; ti organi so podrejeni zakonu in nadzoru pristojnih sodišč. Taki neodvisni upravni organi, ki obstajajo tudi v nemškem pravnem sistemu, imajo pogosto ureditveno funkcijo ali opravljajo naloge, ki ne smejo biti pod političnim vplivom, medtem ko ostanejo podrejeni zakonu in nadzoru pristojnih sodišč. Natanko tako je pri nalogah nadzornih organov s področja varstva fizičnih oseb pri obdelavi osebnih podatkov.
43 Seveda je nepredstavljivo, da ne bi bilo nobenega parlamentarnega vpliva na te organe. Zato je treba opozoriti, da Direktiva 95/46 državam članicam nikjer ne nalaga, da ti organi ne smejo biti pod parlamentarnim vplivom.
44 Tako lahko po eni strani direkcijo nadzornih organov imenuje parlament ali vlada. Po drugi strani pa lahko zakonodajalec opredeli pristojnosti teh organov.
45 Poleg tega lahko zakonodajalec naloži nadzornim organom, da parlamentu poročajo o svojih dejavnostih. Skladno s tem člen 28(5) Direktive 95/46 določa, da vsak organ redno pripravi poročilo o svojih dejavnostih, ki je nato objavljeno.
46 Glede na navedeno dejstvo, da se nadzornim organom za varstvo posameznikov pri obdelavi osebnih podatkov v zasebnem sektorju dodeli status, ki je neodvisen od splošne uprave, samo po sebi tem organom ne odvzame njihove demokratične legitimnosti.
47 Drugič, načelo dodeljenih pristojnosti, določeno v členu 5, prvi odstavek, ES, ki ga uveljavlja tudi Zvezna republika Nemčija, zavezuje Skupnost k delovanju le v mejah pristojnosti in ciljev, ki jih določa Pogodba ES.
48 Zvezna republika Nemčija v zvezi s tem trdi, da neodvisnosti nadzornih organov v razmerju do višjih upravnih organov ni mogoče zahtevati na podlagi člena 100a Pogodbe ES, na katerem temelji Direktiva 95/46.
49 Ta določba pooblašča zakonodajalca Skupnosti, da sprejme ukrepe za izboljšanje pogojev za vzpostavitev in delovanje notranjega trga, pri čemer morajo ti ukrepi dejansko imeti ta cilj, s tem da prispevajo k odstranjevanju ovir pri ekonomskih svoboščinah, za katere jamči Pogodba ES (glej v tem smislu predvsem sodbe z dne 5. oktobra 2000 v zadevi Nemčija proti Parlamentu in Svetu, C‑376/98, Recueil, str. I-8419, točke 83, 84 in 95; z dne 10. decembra 2002 v zadevi British American Tobacco (Investments) in Imperial Tobacco, C‑491/01, Recueil, str. I‑11453, točka 60, in z dne 2. maja 2006 v zadevi Parlament proti Svetu, C‑436/03, ZOdl., str. I-3733, točka 38).
50 Kot je bilo že navedeno, je neodvisnost nadzornih organov v tem smislu, da ne smejo biti pod nikakršnim zunanjim vplivom, ki bi lahko usmerjal njihovo odločitev, bistvenega pomena za cilje Direktive 95/46. Zato je treba v vseh državah članicah ustvariti enako visoko raven varstva fizičnih oseb pri obdelavi osebnih podatkov in tako prispevati k prostemu pretoku podatkov, ki je nujen za vzpostavitev in delovanje notranjega trga.
51 Glede na navedeno široka razlaga zahteve po samostojnosti nadzornih organov ne presega omejitev pooblastil Skupnosti na podlagi člena 100a Pogodbe ES, ki je pravna podlaga Direktive 95/46.
52 Tretjič, Zvezna republika Nemčija se sklicuje na načeli subsidiarnosti in sorazmernosti iz člena 5, drugi in tretji odstavek, ES ter načelo lojalnega sodelovanja med državami članicami in institucijami Skupnosti, uzakonjeno v členu 10 ES.
53 Opozarja predvsem na uvodno izjavo 7 Protokola o uporabi načel subsidiarnosti in sorazmernosti, ki je priložen Pogodbi EU in Pogodbi ES z Amsterdamsko pogodbo, v skladu s katerim je treba ne glede na zakonodajo Skupnosti paziti na spoštovanje ustaljenih nacionalnih praks ter strukturo in način delovanja pravnih sistemov držav članic.
54 V nasprotju s to zahtevo bi bilo zavezati Zvezno republiko Nemčijo, da v svoj pravni red sprejme tuj sistem in s tem opusti učinkovit sistem nadzora, ki naj bi se izkazal v skoraj tridesetih letih in naj bi bil zgled zakonodajam s področja varstva podatkov daleč zunaj nacionalnega okvirja.
55 Te utemeljitve ni mogoče sprejeti. Kot je bilo navedeno v točkah od 21 do 25 in 50 te sodbe, razlaga zahteve po samostojnosti, zapisana v členu 28(1), drugi pododstavek, Direktive 95/46, v smislu, da nasprotuje državnemu nadzoru, namreč ne presega tega, kar je potrebno za doseganje ciljev Pogodbe ES.
56 Glede na vse zgoraj navedeno je treba torej ugotoviti, da Zvezna republika Nemčija s tem, da je nadzorne organe, odgovorne za spremljanje obdelave osebnih podatkov s strani zasebnega sektorja v različnih deželah, podvrgla državnemu nadzoru in tako nepravilno prenesla zahtevo, da ti organi izvajajo naloge „popolnoma samostojno“, ni izpolnila obveznosti iz člena 28(1), drugi pododstavek, Direktive 95/46.
Stroški
57 V skladu s členom 69(2) Poslovnika se neuspeli stranki naloži plačilo stroškov, če so bili ti priglašeni. Ker je Komisija predlagala, naj se Zvezni republiki Nemčiji naloži plačilo stroškov, in ker ta s tožbenimi razlogi ni uspela, se ji naloži plačilo stroškov.
58 ENVP nosi svoje stroške.
Iz teh razlogov je Sodišče (veliki senat) razsodilo:
1. Zvezna republika Nemčija s tem, da je nadzorne organe, odgovorne za spremljanje obdelave osebnih podatkov zasebnih organov in podjetij javnega prava, ki nastopajo v konkurenci na trgu (öffentlich-rechtliche Wettbewerbsunternehmen) v različnih deželah, podvrgla državnemu nadzoru in tako nepravilno prenesla zahtevo, da ti organi izvajajo naloge „popolnoma samostojno“, ni izpolnila obveznosti iz člena 28(1), drugi pododstavek, Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov.
2. Zvezna republika Nemčija nosi stroške Evropske komisije.
3. Evropski nadzornik za varstvo podatkov nosi svoje stroške.
Podpisi