Преюдициално запитване от High Court (Ирландия), постъпило на 9 май 2018 г. — Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems
(Дело C-311/18)
Език на производството: английски
Запитваща юрисдикция
High Court (Ирландия)
Страни в главното производство
Жалбоподател: Data Protection Commissioner
Ответници: Facebook Ireland Limited, Maximillian Schrems
Преюдициални въпроси
В случай че от частно дружество от държава членка на Европейския съюз (ЕС) се предават лични данни към частно дружество в трета държава за търговски цели съгласно Решение № 2010/87/ЕС1 , изменено с Решение № 2016/22972 на Комисията (наричано по-нататък „решението за СДК“), и тези данни могат да бъдат допълнително обработвани в третата държава от нейните органи за цели, свързани с националната сигурност, но също така и за целите на правоприлагането и провеждането на външната политика на третата държава, прилага ли се правото на Съюза (включително Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“) по отношение на предаването на данните, независимо от разпоредбите на член 4, параграф 2 ДЕС във връзка с националната сигурност и разпоредбите на член 3, параграф 2, първо тире от Директива 95/46/ЕО3 (наричана по-нататък „Директивата“) във връзка с обществената сигурност, отбраната и държавната сигурност?
(1) За да се определи дали е извършено нарушение на правата на дадено физическо лице чрез предаването на данни от Съюза към трета държава съгласно решението за СДК, когато данните могат да бъдат допълнително обработвани за цели, свързани с националната сигурност, кой е релевантният критерий за сравнение за целите на Директивата:
а) Хартата, ДЕС, ДФЕС, Директивата, ЕКПЧ (или друга разпоредба на правото на Съюза); или
б) Законодателството на една или повече държави членки?
(2) Ако релевантният критерий за сравнение е посоченият в буква б), следва ли практиките в контекста на националната сигурност в една или повече държави членки също да бъдат включени в критерия за сравнение?
Когато се преценява дали дадена трета държава осигурява изискваната от правото на Съюза степен на защита на предадените към тази държава лични данни за целите на член 26 от Директивата, следва ли степента на защита в третата държава да се оценява с оглед на:
а) Приложимите правила в третата държава, произтичащи от вътрешно ѝ законодателство или от сключените от нея международни споразумения, както и практиката по осигуряване на спазването на тези правила, включително професионалните правила и мерките за сигурност, които се спазват в тази трета държава;
или
б) Правилата, посочени в буква а), заедно с всички административни, регулаторни практики и практики за осигуряване на съответствие, политически гаранции, процедури, протоколи, надзорни механизми и извънсъдебни средства за защита, които съществуват в третата държава?
Предвид обстоятелствата, установени от High Court (Висш съд, Ирландия) във връзка с правото на САЩ, ако личните данни се предават от Съюза към САЩ съгласно решението за СДК, това нарушава ли правата на физическите лица по член 7 и/или член 8 от Хартата?
Предвид обстоятелствата, установени от High Court (Висш съд) във връзка с правото на САЩ, ако се предават лични данни от Съюза към САЩ съгласно решението за СДК:
а) Степента на защита, предоставена от САЩ, зачита ли основното съдържание на гарантираното с член 47 от Хартата право на физическите лица на правни средства за защита пред съд в случай на нарушение на техните права във връзка със защита на личните им данни?
При утвърдителен отговор на въпроса по буква а),
б) Дали ограниченията, наложени от законодателството на САЩ спрямо правото на физическите лица на правни средства за защита пред съд в контекста на националната сигурност на САЩ, са пропорционални по смисъла на член 52 от Хартата и не надхвърлят рамките на необходимото в едно демократично общество за цели, свързани с националната сигурност?
(1) Каква е степента на защита, която следва да се осигури по отношение на личните данни, които се предават на трета държава съгласно стандартни договорни клаузи, приети в съответствие с решение на Комисията съгласно член 26, параграф 4, в светлината на разпоредбите на Директивата и по-специално членове 25 и 26, разглеждани във връзка с Хартата?
(2) Кои са въпросите, които трябва да бъдат взети предвид, когато се преценява дали степента на защита на данните, прехвърлени към трета държава съгласно решението за СДК, отговаря на изискванията на Директивата и на Хартата?
От обстоятелството, че стандартните договорни клаузи се прилагат само между износителя на данни и вносителя на данни и не обвързват националните органи на третата държава, които могат да изискват от вносителя на данни да предоставя на службите за сигурност за допълнителна обработка личните данни, предавани съгласно предвидените в решението за СДК клаузи, следва ли, че тези клаузи не предоставят достатъчно гаранции, както се изисква от член 26, параграф 2 от Директивата?
Ако вносител на данни от трета държава е обект на надзорни норми, които според орган за защита на данните са в противоречие с клаузите на Приложението към решението за СДК или с членове 25 и 26 от Директивата и/или с Хартата, длъжен ли е органът за защита на данните да използва своите изпълнителни правомощия съгласно член 28, параграф 3 от Директивата, за да спре потока от данни, или упражняването на тези правомощия е ограничено единствено до изключителни случаи в светлината на съображение 11 от Директивата, или органът за защита на данните може да използва правото си на преценка, за да не спира потока от данни?
(1) За целите на член 25, параграф 6 от Директивата, представлява ли Решение (ЕС) № 2016/12504 (наричано по-нататък „решението относно Щита за лични данни“) задължителна за органите по защита на данните и съдилищата на държавите членки констатация от общ характер, че САЩ осигурява достатъчна степен на защита по смисъла на член 25, параграф 2 от Директивата по силата на вътрешното си законодателство или на международните споразумения, по които е страна?
(2) Ако това не е така, какво значение има решението относно Щита за личните данни, ако изобщо има някакво значение, когато се преценява дали гаранциите, осигурени по отношение на данни, предавани в САЩ в съответствие с решението за СДК, са достатъчни?
Предвид обстоятелствата, установени от High Court (Висш съд) във връзка с правото на САЩ, дали създаването на омбудсмана към Щита за личните данни съгласно приложение А към приложение III към решението относно Щита за личните данни, разгледано във връзка със съществуващия в САЩ режим, гарантира, че САЩ осигурява правни средства за защита на заинтересованите физически лица, чиито лични данни се предават към САЩ съгласно решението за СДК, които са съвместими с член 47 от Хартата?
Решението за СДК нарушава ли членове 7, 8 и/или 47 от Хартата?
____________
1 Решение на Комисията от 5 февруари 2010 година относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (ОВ L 39, 2010 г., стр. 5).
2 Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 година за изменение на решения 2001/497/ЕО и 2010/87/ЕС относно общите договорни клаузи за предаването на лични данни към трети страни и към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (ОВ L 344, 2016 г., стр. 100).
3 Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).
4 Решение за изпълнение (ЕС) 2016/1250 на Комисията от 12 юли 2016 година съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ (EU-U.S. Privacy Shield) (ОВ L 207, 2016 г., стр. 1).