Language of document :

Cerere de decizie preliminară introdusă de High Court (Ireland) la 9 mai 2018 – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems

(Cauza C-311/18)

Limba de procedură: engleza

Instanța de trimitere

High Court (Irlanda)

Părțile din procedura principală

Reclamant: Data Protection Commissioner

Pârâți: Facebook Ireland Limited, Maximillian Schrems

Întrebările preliminare

1.    În cazul în care datele cu caracter personal sunt transferate de o societate privată dintr-un stat membru al Uniunii Europene (UE) către o societate privată dintr-o țară terță în scop comercial, în conformitate cu Decizia 2010/87/UE1 , astfel cum a fost modificată prin Decizia 2016/2297 a Comisiei2 (denumită în continuare „Decizia SCC”) și pot fi prelucrate ulterior în țara terță de către autoritățile acesteia în scopuri de securitate națională, dar și în scopul aplicării legii și al desfășurării afacerilor externe ale țării terțe, dreptul Uniunii (inclusiv Carta drepturilor fundamentale a Uniunii Europene, denumită în continuare „carta”) se aplică în cazul transferului de date sub rezerva dispozițiilor articolului 4 alineatul (2) TUE privind securitatea națională și a dispozițiilor articolului 3 alineatul (2) prima liniuță din Directiva 95/46/CE3 (denumită în continuare „directiva”) în ceea ce privește siguranța publică, apărarea și securitatea statului?

2.    (1) Pentru a se stabili dacă există o încălcare a drepturilor unei persoane fizice prin transferul de date din Uniunea Europeană către o țară terță în temeiul Deciziei SCC, unde pot fi prelucrate ulterior în scopuri de securitate națională, elementul de comparație relevant în sensul directivei este:

(a)    Carta, TUE, TFUE, directiva, CEDO (sau orice alte prevederi ale dreptului Uniunii Europene); sau

(b) Dreptul intern al unuia sau al mai multor state membre?

(2) Dacă elementul de comparație relevant este (b), printre elementele de comparație trebuie incluse și uzanțele din unul sau mai multe state membre în contextul securității naționale?

3.    La aprecierea faptului dacă o țară terță asigură nivelul de protecție impus de dreptul Uniunii Europene pentru datele cu caracter personal transferate către respectiva țară în sensul articolului 26 din directivă, nivelul de protecție în țara terță trebuie să fie evaluat în raport cu:

(a)    Normele aplicabile în țara terță, rezultate din dreptul său intern sau din acordurile internaționale și practica menită să asigure conformitatea cu aceste norme, inclusiv normele profesionale și măsurile de securitate respectate în țara terță;

sau

(b) Normele menționate la punctul (a), împreună cu practicile administrative, de reglementare și de conformitate și cu garanțiile, procedurile, protocoalele, mecanismele de supraveghere și remediile non-juridice așa cum sunt în vigoare în țara terță?

4.    Având în vedere faptele constatate de High Court în legătură cu dreptul Statelor Unite, se încalcă drepturile persoanelor fizice prevăzute la articolele 7 și/sau 8 din cartă în cazul în care se transferă date cu caracter personal din Uniunea Europeană către Statele Unite în temeiul Deciziei SCC?

5.    Având în vedere faptele constatate de High Court în legătură cu dreptul Statelor Unite, dacă datele cu caracter personal sunt transferate din Uniunea Europeană către Statele Unite în temeiul Deciziei SCC:

(a)    Nivelul de protecție acordat de Statele Unite respectă esența dreptului unei persoane fizice de a introduce o acțiune în justiție în cazul încălcării drepturilor sale în materie de confidențialitatea datelor garantat prin articolul 47 din cartă?

În cazul unui răspuns afirmativ la punctul (a),

(b)    Limitările impuse de dreptul Statelor Unite cu privire la dreptul unei persoane fizice de a introduce o acțiune în justiție în contextul securității naționale a Statelor Unite sunt proporționale în sensul articolului 52 din cartă și nu depășesc ceea ce este necesar într-o societate democratică în scopuri de securitate națională? 

6.    (1) Care este nivelul de protecție care se impune să fie acordat datelor cu caracter personal transferate către o țară terță în temeiul clauzelor contractuale standard adoptate în conformitate cu o decizie a Comisiei întemeiată pe articolul 26 alineatul (4) în lumina prevederilor directivei și, în special, în temeiul articolelor 25 și 26 interpretate din perspectiva cartei?

(2) Care sunt aspectele care trebuie luate în considerare pentru a se aprecia dacă nivelul de protecție acordat datelor transferate către o țară terță în temeiul Deciziei SSC satisface cerințele directivei și ale cartei?

7.    Faptul că respectivele clauze contractuale standard se aplică între exportatorul de date și importatorul de date și nu obligă autoritățile naționale ale unei țări terțe care poate solicita importatorului de date să pună la dispoziția serviciilor sale de securitate, pentru prelucrare ulterioară, datele cu caracter personal transferate în temeiul clauzelor prevăzute de Decizia SCC împiedică clauzele să ofere garanții suficiente, astfel cum sunt prevăzute la articolul 26 alineatul (2) din directivă?

8.    Dacă un importator de date dintr-o țară terță face obiectul unor legi de supraveghere care, din punctul de vedere al autorității de protecție a datelor sunt contrare prevederilor Anexei la Decizia SCC sau celor ale articolului 25 sau ale articolului 26 din directivă și/sau cartei, autoritatea de protecția datelor are obligația de a utiliza competențele sale executorii în temeiul articolului 28 alineatul (3) din directivă pentru a suspenda transferul de date sau exercitarea unor astfel de competențe este limitată doar la cazuri excepționale, în lumina considerentului (11) al directivei [considerentul (11) al Deciziei 2010/87/UE], ori autoritatea de protecție a datelor poate face uz de marja sa de apreciere pentru a nu suspenda transferul de date? 

9.    (1) În sensul articolului 25 alineatul (6) din directivă, Decizia (UE) 2016/12504 („Decizia privind Scutul de confidențialitateˮ) constituie o apreciere de aplicare generală obligatorie pentru autoritățile de protecție a datelor și pentru instanțele statelor membre, având ca efect că Statele Unite asigură un nivel adecvat de protecție potrivit articolului 25 alineatul (2) din directivă în temeiul dreptului lor intern sau al acordurilor internaționale din care fac parte?

(2) În cazul unui răspuns negativ la întrebarea de la punctul (1), care este relevanța, dacă există una, Deciziei privind Scutul de confidențialitate în aprecierea efectuată cu privire la caracterul adecvat al garanțiilor furnizate pentru transferul de date către Statele Unite, transferate în temeiul Deciziei SCC?

10.    Date fiind constatările High Court cu privire la dreptul Statelor Unite, existența Ombudsmanului pentru Scutul de confidențialitate în temeiul Anexei A - Anexei III la Decizia privind Scutul de confidențialitate, coroborată cu regimul existent în Statele Unite garantează că Statele Unite asigură o cale de atac persoanelor vizate ale căror date cu caracter personal sunt transferate către Statele Unite în temeiul Deciziei SCC, care este compatibilă cu articolul 47 din cartă?

11.    Decizia SCC încalcă articolele 7, 8 și/sau 47 din cartă?

____________

1 Decizia Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului (JO 2010, L 39, p. 5).

2 Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016 de modificare a Deciziilor 2001/497/CE și 2010/87/UE privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe și către persoanele împuternicite de către operator stabilite în țări terțe, în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului (JO 2016, L 344, p.100).

3 Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială 13/vol. 17, p. 10).

4 Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA (JO 2016, L 207, p. 1).