OPINIA RZECZNIKA GENERALNEGO
JÁNA MAZÁKA
przedstawiona w dniu 22 października 2009 r. (1)
Sprawa C‑518/07
Komisja Wspólnot Europejskich
przeciwko
Republice Federalnej Niemiec
Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Nadzór państwowy nad krajowymi organami kontroli – Wykonywanie funkcji w sposób całkowicie niezależny
1. W swojej skardze(2) Komisja Wspólnot Europejskich wnosi do Trybunału o stwierdzenie, że poddając na mocy prawa krajów związkowych organy sprawujące kontrolę nad stosowaniem przepisów zapewniających transpozycję dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(3) (zwane dalej „organami kontroli w dziedzinie ochrony danych osobowych”) nadzorowi państwowemu, o ile dotyczy to organów spoza administracji państwowej, Republika Federalna Niemiec uchybiła obowiązkowi zapewnienia całkowitej niezależności tym organom ciążącemu na niej na mocy art. 28 ust. 1 akapit drugi dyrektywy 95/46/WE.
2. Celem dyrektywy 95/46 jest, aby zezwalając na swobodny przepływ danych osobowych, państwa członkowskie zapewniały ochronę podstawowych praw i wolności osób fizycznych, a w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych. Inaczej mówiąc, dyrektywa 95/46 ma na celu wprowadzenie równowagi pomiędzy z jednej strony swobodnym przepływem danych osobowych, który stanowi jeden z podstawowych elementów funkcjonowania rynku wewnętrznego, a z drugiej strony ochroną podstawowych praw i wolności osób fizycznych.
3. Organy państwowe odpowiedzialne za badanie zgodności krajowych przepisów transponujących dyrektywę 95/46 również przyczyniają się do realizowania wspomnianego wyżej celu. Z motywu 62 dyrektywy 95/46 wynika, że utworzenie w państwach członkowskich organów kontroli wykonujących swoje funkcje w sposób całkowicie niezależny jest zasadniczym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Z tego względu art. 28 ust. 1 dyrektywy 95/46 stanowi, że:
„Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.
Organy te postępują w sposób całkowicie niezależny przy wykonywaniu powierzonych im funkcji”(4).
4. U podstaw niniejszej skargi leży różnica poglądów między Komisją, popieraną przez Europejskiego Inspektora Ochrony Danych, a Republiką Federalną Niemiec na temat wykładni wyrażenia „w sposób całkowicie niezależny”, które znajduje się w art. 28 ust. 1 dyrektywy 95/46 i odnosi się do wykonywania funkcji przez organy kontroli w dziedzinie ochrony danych osobowych.
5. Skarga Komisji została oparta na dwóch założeniach. Zgodnie z założeniem pierwszym art. 28 ust. 1 dyrektywy 95/46 zobowiązuje państwa członkowskie do zapewnienia „całkowitej niezależności” organom kontroli w dziedzinie ochrony danych osobowych. W replice Komisja precyzuje, iż nie chodzi tu o niezależność instytucjonalną i organizacyjną, ale raczej o całkowitą niezależność funkcjonalną, co oznacza, że organy kontroli w dziedzinie ochrony danych osobowych powinny być wyłączone spod jakiegokolwiek zewnętrznego wpływu przy wykonywaniu ich funkcji.
6. Zgodnie z założeniem drugim nadzór sprawowany przez państwo członkowskie nad organami kontroli w dziedzinie ochrony danych osobowych w odniesieniu do sektora niepublicznego, którego istnienie nie jest kwestionowane przez Republikę Federalną Niemiec, która ponadto przedstawiła wyjaśnienia co do twierdzeń Komisji dotyczących różnych rodzajów tego nadzoru(5), może mieć wpływ na całkowitą niezależność tych organów w rozumieniu tego wyrażenia przedstawionym przez Komisję.
7. Linia obrony Republiki Federalnej Niemiec opiera się na odmiennej interpretacji wyrażenia „w sposób całkowicie niezależny” w związku z wykonywaniem funkcji przez organy kontroli w dziedzinie ochrony danych osobowych. Republika Federalna Niemiec uważa, że wskazane wyrażenie dotyczy niezależności funkcjonalnej tych organów, co oznacza ich niezależność instytucjonalną wyłącznie w odniesieniu do spraw organizacyjnych związanych z podmiotami, które są kontrolowane. W duplice dodaje, że nadzór sprawowany przez państwo nie jest poddawany jakimkolwiek wpływom zewnętrznym, gdyż organy sprawujące ten nadzór nie stanowią służb zewnętrznych, ale są organami odpowiedzialnymi za wewnętrzną kontrolę administracji.
8. Chociaż u podstaw skargi można dopatrywać się konfliktu między dwoma koncepcjami realizacji uprawnień wykonawczych w ramach państwa(6), spróbuję zaproponować rozwiązanie oparte po pierwsze na wyjaśnieniu treści wyrażenia „wykonywanie powierzonych im funkcji w sposób całkowicie niezależny”, a po drugie na ocenie, czy organy kontroli w dziedzinie ochrony danych osobowych podlegające nadzorowi państwowemu, jak to opisuje Komisja, mogą efektywnie wykonywać swoje funkcje w sposób całkowicie niezależny.
Wykonywanie funkcji w sposób całkowicie niezależny w rozumieniu art. 28 ust. 1 dyrektywy 95/46
9. Na podstawie analizy regulacji wspólnotowej i orzecznictwa Trybunału możliwe jest stwierdzenie, że wyrażenie „niezależność” jest często stosowane nie tylko w odniesieniu do organów państwowych, ale również do niektórych grup osób, które są zobowiązane do niezależnego działania przy wykonywaniu przez nich zadań w ramach systemu i podsystemu społecznego.
10. Tytułem przykładu można przywołać art. 19 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiającego wymagania w zakresie akredytacji i nadzoru rynku odnoszącego się do warunków wprowadzania produktów do obrotu i uchylającego rozporządzenie (EWG) nr 339/93(7), który wymaga, aby organy nadzoru rynku wykonywały swoje obowiązki w sposób niezależny, albo art. 16 ust. 1 rozporządzenia Rady (WE) nr 168/2007 z dnia 15 lutego 2007 r. ustanawiającego Agencję Praw Podstawowych Unii Europejskiej(8), który wymaga, żeby agencja wykonując swoje zadania, była całkowicie niezależna, albo jeszcze art. 3 ust. 2 dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa)(9), który wymaga, aby państwa członkowskie zagwarantowały niezależność krajowym organom regulacyjnym.
11. Wyrażenie „niezależność” pojawia się również w kontekście „prawa miękkiego”. Artykuł 8 § 1 Europejskiego kodeksu dobrej praktyki administracyjnej, przyjętego przez Parlament Europejski dnia 6 września 2001 r.(10) stanowi na przykład, że urzędnik jest bezstronny i niezależny.
12. Podobnie Trybunał miał już okazję rozważyć kwestię niezależności w odniesieniu do Europejskiego Banku Centralnego(11), członków Parlamentu Europejskiego(12), a także w odniesieniu do adwokatów(13).
13. Pomimo częstego stosowania terminu „niezależność” określenie jego treści nie jest łatwe. Biorąc pod uwagę, że niezależność jest tradycyjnie łączona z władzą sądowniczą, pewne wskazówki istnieją w odniesieniu do gwarancji niezawisłości sędziowskiej. Również Europejski Inspektor Ochrony Danych zaproponował w uwagach interwenienta, żeby kryteria oceny niezależności organu wynikały z orzecznictwa Trybunału dotyczącego niezależności sądów(14).
14. Moim zdaniem te kryteria nie mogą zostać użyte w niniejszej sprawie, ponieważ Trybunał definiując je, określił zakres władzy sądowniczej w odniesieniu do innych form sprawowania władzy w państwie. W niniejszej sprawie mamy do czynienia z organami kontroli i nikt nie kwestionuje, że owe organy stanowią struktury administracyjne i że w związku z tym należą do sfery władzy wykonawczej. Wynika z tego jednak, że zakres wymogu wykonywania ich funkcji w sposób całkowicie niezależny należy wyznaczyć jedynie w ramach władzy wykonawczej, a nie w odniesieniu do innych form władzy państwowej.
15. W związku z tym należy zauważyć, że art. 28 ust. 1 dyrektywy 95/46 nie wymaga od państw członkowskich utworzenia organów, które istniałyby odrębnie od hierarchicznie zorganizowanego systemu administracyjnego. Warto jednak dodać, że nic nie powstrzymuje państw członkowskich od uczynienia tego. Biorąc pod uwagę, że art. 28 ust. 1 dyrektywy 95/46 wymaga od państw członkowskich zapewnienia, że organy kontroli będą wykonywały swoje funkcje w sposób całkowicie niezależny, a nie zapewnienia niezależności tym organom, państwom członkowskim pozostawiono zakres uznania w podjęciu decyzji na temat sposobu, w jaki wymóg ten zostanie spełniony.
16. Należy również pamiętać, że wyrażenie „niezależny” jest względne, gdyż niezbędne jest określenie względem kogo, czego i w jakim stopniu ta niezależność powinna istnieć.
17. Co prawda na pierwszy rzut oka można dojść do wniosku, iż owa względność zniknie dzięki dodaniu słowa „całkowicie” do wyrażenia „niezależny”. Uważam jednak, że taki wniosek jest błędny. Jeżeli jednak uzna się jego słuszność, oznaczałoby to, że art. 28 ust. 1 dyrektywy 95/46 przewidujący, iż organy kontroli w dziedzinie ochrony danych osobowych będą wykonywały swoje funkcje w sposób całkowicie niezależny, wymaga niezależności pod każdym względem, to znaczy niezależności instytucyjnej, organizacyjnej, budżetowej, finansowej, funkcyjnej, osobowej oraz w podejmowaniu decyzji.
18. Jestem zdania, że taka wykładnia art. 28 ust. 1 dyrektywy 95/46 nie może zostać uznana za słuszną i że pomimo wyrażenia „całkowicie niezależny” wymagana niezależność pozostaje względna i wymaga dookreślenia.
19. W trakcie procesu tego dookreślania, który równolegle stanowi proces wyjaśnienia znaczenia wymogu „wykonywania funkcji w sposób całkowicie niezależny”, konieczne jest moim zdaniem wzięcie za podstawę celu, dla którego organy kontroli w dziedzinie ochrony danych osobowych zostały utworzone.
20. W związku z tym należy stwierdzić, iż cel ten jest ściśle związany z podstawowym celem samej dyrektywy 95/46. W konsekwencji organy kontroli stanowią jeden ze sposobów pozwalających na osiągnięcie celów przyświecających dyrektywie 95/46. Wynika z tego, iż niezależność w kontekście wykonywania funkcji przez organy kontroli powinna być tego rodzaju, aby umożliwić im przyczynianie się do ustanowienia równowagi pomiędzy swobodnym przepływem danych osobowych z jednej strony a ochroną swobód oraz praw podstawowych osób fizycznych, w szczególności ich życia prywatnego, z drugiej strony.
21. Poziom niezależności, z którego powinny korzystać organy kontroli w dziedzinie ochrony danych osobowych w celu skutecznego wykonywania swoich funkcji, zależy od rozumianego w ten sposób celu istnienia tych organów kontroli.
22. Co się tyczy kwestii względem kogo organy kontroli w dziedzinie ochrony danych osobowych mają być niezależne, tak aby mogły skutecznie wykonywać powierzone im funkcje, nie podzielam poglądu Republiki Federalnej Niemiec, iż chodzi tu jedynie o niezależność w odniesieniu do kontrolowanych podmiotów.
23. Uważam, że organy kontroli w dziedzinie ochrony danych osobowych powinny być niezależne również względem innych organów władzy wykonawczej, których część stanowią, w stopniu, który zapewni efektywne wykonywanie ich funkcji.
24. Określenie wszystkich elementów niezbędnych dla zagwarantowania wykonywania funkcji przez organy publiczne w sposób całkowicie niezależny wydaje się trudne, a w okolicznościach niniejszej sprawy mało użyteczne. W celu rozstrzygnięcia skargi Komisji lepiej zastosować metodę negatywną.
25. Nasuwa się wobec tego pytanie, czy istnienie nadzoru sprawowanego przez państwo jest zgodne z poziomem niezależności wymaganym dla wykonywania funkcji przez organy kontroli w dziedzinie ochrony danych osobowych.
Zgodność nadzoru sprawowanego przez państwo z wymogiem dotyczącym wykonywania funkcji przez organy kontroli w dziedzinie ochrony danych osobowych w sposób całkowicie niezależny
26. Zarówno Komisja, jak i Republika Federalna Niemiec przyznają, że sformułowanie art. 28 ust. 1 zdanie drugie dyrektywy 95/46 jest rezultatem wypracowanego kompromisu. Obydwie strony podnoszą jednak, że to sformułowanie potwierdza ich argumentację dotyczącą zakresu wykonywania funkcji organów kontroli w dziedzinie ochrony danych osobowych w sposób całkowicie niezależny.
27. Co się tyczy argumentu Republiki Federalnej Niemiec, iż w trakcie dyskusji poprzedzających przyjęcie dyrektywy 95/46(15) przedstawiciel skarżącej potwierdził interpretację art. 28 ust. 1 dyrektywy 95/46 dokonaną przez Republikę Federalną Niemiec, wystarczy zwrócić uwagę na wyrok z dnia 14 stycznia 1987 r. w sprawie Niemcy przeciwko Komisji(16), w którym Trybunał orzekł, że nie można dokonywać wykładni przepisu prawa wspólnotowego w świetle negocjacji między państwem członkowskim a jednym z organów wspólnotowych. Tym bardziej wykładni przepisu prawa wspólnotowego nie można opierać na wymianie opinii pomiędzy jednym z państw członkowskich a przedstawicielem jednego z organów wspólnotowych, który przygotował propozycję aktu wspólnotowego.
28. W niniejszej sprawie chodzi o organ, który nie jest niezależny z punktu widzenia instytucjonalnego i stanowi w konsekwencji element pewnego systemu, w niniejszym przypadku systemu władzy wykonawczej. W takim przypadku istnieje realne napięcie pomiędzy niezależnością organu a jego odpowiedzialnością. Moim zdaniem nadzór może stanowić zatem jedno z rozwiązań w takiej sytuacji.
29. Niezależność nie oznacza, że nie można być kontrolowanym. Moim zdaniem nadzór państwowy stanowi jeden ze sposobów sprawowania kontroli.
30. Dla udzielenia odpowiedzi na pytanie, czy nadzór sprawowany przez państwo jest zgodny z wymogiem dotyczącym wykonywania funkcji w sposób całkowicie niezależny przez organy kontroli w dziedzinie ochrony danych osobowych, należy wziąć pod uwagę cel takiego nadzoru. Z opisu nadzoru przedstawionego przez Komisję wynika, że ów nadzór pozwala sprawdzić, czy kontrola sprawowana przez organy kontroli jest racjonalna, zgodna z prawem i proporcjonalna. Z tego punktu widzenia uważam, że nadzór sprawowany przez państwo przyczynia się do funkcjonowania systemu kontroli stosowania przepisów przyjętych w wykonaniu dyrektywy 95/46. Gdyby bowiem okazało się, że organy kontroli nie działają w sposób racjonalny, zgodny z prawem i proporcjonalny, zagrożona byłaby ochrona praw osób fizycznych, a w konsekwencji realizacja celu przyświecającego dyrektywie 95/46.
31. Należy zauważyć, że z akt sprawy nie wynika nic, co mogłoby wpłynąć negatywnie na realizację celu, do którego dąży nadzór państwowy. Ponadto nic nie wskazuje na to, by nadzór państwowy był sprawowany w sposób, który może wpłynąć negatywnie na wykonywanie funkcji organów kontroli w sposób całkowicie niezależny. Komisja nie może ograniczyć się w tym kontekście do twierdzeń. Powinna udowodnić takie skutki nadzoru państwowego.
32. Komisja nie dowiodła istnienia negatywnych konsekwencji nadzoru państwa dla wykonywania funkcji organów kontroli w sposób całkowicie niezależny. Jej zdaniem istnienie nadzoru sprawowanego przez państwo jest wystarczające dla stwierdzenia, że organy kontroli w dziedzinie ochrony danych osobowych nie wykonują swoich funkcji w sposób całkowicie niezależny. Wynika z tego, że Komisja jedynie zakłada, że nadzór zakłóca wykonywanie funkcji organów kontroli w sposób całkowicie niezależny.
33. Zgodnie z utrwalonym orzecznictwem Trybunału w ramach postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego wszczętego na podstawie art. 226 WE Komisja powinna wykazać istnienie zarzucanego uchybienia i nie może się przy tym opierać na jakichkolwiek domniemaniach(17).
34. Uważam, że Komisja nie sprostała spoczywającemu na niej ciężarowi dowodu. Nie udowodniła ani nieefektywności systemu nadzoru państwa, ani istnienia stałej praktyki organów nadzoru państwowego, która stanowiłaby nadużycie ich uprawnień pociągające za sobą zakłócenie wykonywania w sposób całkowicie niezależny funkcji powierzonych organom kontroli w dziedzinie ochrony danych osobowych.
35. Wobec tego sama okoliczność, że organy kontroli, takie jak te, o których mowa w niniejszej sprawie, podlegają nadzorowi sprawowanemu przez państwo, nie może stanowić podstawy do wniosku, że owe organy kontroli nie wykonują swoich funkcji w sposób całkowicie niezależny zgodnie z art. 28 ust. 1 dyrektywy 95/46.
36. Komisja nie wykazała zatem, że nadzór sprawowany nad organami kontroli w dziedzinie ochrony danych osobowych uniemożliwia tym organom wykonywanie ich funkcji w sposób całkowicie niezależny. Z tego względu należy oddalić skargę Komisji.
W przedmiocie kosztów
37. Zgodnie z art. 69 § 2 akapit pierwszy regulaminu kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę. Ponieważ Republika Federalna Niemiec wniosła o obciążenie Komisji kosztami, a ta ostatnia przegrała sprawę, moim zdaniem należy obciążyć ją kosztami.
Wnioski
38. W świetle powyższych rozważań proponuję, aby Trybunał orzekł, że:
1) Skarga zostaje oddalona.
2) Komisja Wspólnot Europejskich zostaje obciążona kosztami.
3) Europejski Inspektor Ochrony Danych pokrywa własne koszty.