Byla C‑362/14
Maximillian Schrems
prieš
Data Protection Commissioner
(High Court (Airija) pateiktas prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Asmens duomenys – Fizinių asmenų apsauga tvarkant šiuos duomenis – Europos Sąjungos pagrindinių teisių chartija – 7, 8 ir 47 straipsniai – Direktyva 95/46/EB – 25 ir 28 straipsniai – Asmens duomenų perdavimas į trečiąsias šalis – Sprendimas 2000/520/EB – Asmens duomenų perdavimas į Jungtines Amerikos Valstijas – Neadekvatus apsaugos lygis – Galiojimas – Fizinio asmens, kurio duomenys perduoti iš Europos Sąjungos į Jungtines Amerikos Valstijas, skundas – Nacionalinių priežiūros institucijų įgaliojimai“
Santrauka – 2015 m. spalio 6 d. Teisingumo Teismo (didžioji kolegija) sprendimas
1. Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46 – Aiškinimas atsižvelgiant į pagrindines teises
(Europos Sąjungos pagrindinių teisių chartija; Europos Parlamento ir Tarybos direktyva 95/46)
2. Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46 – Nacionalinės priežiūros institucijos – Nepriklausomumo reikalavimas
(SESV 16 straipsnio 2 dalis; Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 3 dalis; Europos Parlamento ir Tarybos direktyvos 95/46 62 konstatuojamoji dalis ir 28 straipsnio 1 dalis)
3. Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46 – Nacionalinės priežiūros institucijos – Įgaliojimai – Asmens duomenų perdavimo į trečiąsias šalis kontrolė – Įtraukimas
(Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 3 dalis; Europos Parlamento ir Tarybos direktyvos 95/46 28 straipsnis)
4. Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46 – Asmens duomenų perdavimas į trečiąsias šalis – Komisijos sprendimo, kuriame konstatuojama, jog trečiojoje šalyje užtikrinamas adekvatus apsaugos lygis, priėmimas – Sprendimas, privalomas visoms valstybėms narėms, kurioms skirtas – Tokio sprendimo galiojimo tikrinimas – Atitinkamos nacionalinių priežiūros institucijų ir nacionalinių teismų funkcijos
(SESV 288 straipsnio ketvirta pastraipa; Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 3 dalis ir 47 straipsnis; Europos Parlamento ir Tarybos direktyvos 95/46 25 straipsnio 6 dalis ir 28 straipsnio 3 ir 4 dalys)
5. Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46 – Asmens duomenų perdavimas į trečiąsias šalis – Komisijos sprendimo, kuriame konstatuojama, jog trečiojoje šalyje užtikrinamas adekvatus apsaugos lygis, priėmimas – Nacionalinė priežiūros institucija, kuriai pateiktas prašymas apsaugoti jį pateikusio asmens teises ir laisves tvarkant su juo susijusius perduotus duomenis – Prašymą pateikęs asmuo, ginčijantis adekvatų apsaugos lygį šioje trečiojoje šalyje – Šios institucijos pareiga išnagrinėti prašymą – Nagrinėjimo apimtis
(Europos Sąjungos pagrindinių teisių chartijos 7, 8 ir 47 straipsniai; Europos Parlamento ir Tarybos direktyvos 95/46 25 straipsnio 6 dalis ir 28 straipsnis)
6. Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46 – Asmens duomenų perdavimas į trečiąsias šalis – Komisijos sprendimo, kuriame konstatuojama, jog trečiojoje šalyje užtikrinamas adekvatus apsaugos lygis, priėmimas – Adekvataus apsaugos lygio sąvoka – Vertinimo kriterijai – Komisijos diskrecija
(Europos Parlamento ir Tarybos direktyvos 95/46 25 straipsnio 2 ir 6 dalys)
7. Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46 – Asmens duomenų perdavimas į trečiąsias šalis – Komisijos sprendimo, kuriame konstatuojama, jog trečiojoje šalyje užtikrinamas adekvatus apsaugos lygis, priėmimas – Sprendimas 2000/520, kuriame konstatuota, kad Jungtinėse Amerikos Valstijose užtikrinamas adekvatus apsaugos lygis – Negaliojimas
(Europos Sąjungos pagrindinių teisių chartija; Europos Parlamento ir Tarybos direktyvos 95/46 25 straipsnio 6 dalis ir 28 straipsnis; Komisijos sprendimo 2000/520 1–4 straipsniai)
8. Pagrindinės teisės – Privataus gyvenimo gerbimas – Asmens duomenų apsauga – Sąjungos teisės aktas, nustatantis šių pagrindinių teisių apribojimus – Sąlygos – Pakankamos nuo piktnaudžiavimo pavojaus apsaugančios garantijos – Proporcingumo principo paisymas
(Europos Sąjungos pagrindinių teisių chartijos 7 ir 8 straipsniai)
1. Žr. sprendimo tekstą.
(žr. 38 punktą)
2. Žr. sprendimo tekstą.
(žr. 40, 41 punktus)
3. Nacionalinės priežiūros institucijos turi nemažai įgaliojimų ir šie įgaliojimai, kurių negalutinis sąrašas pateiktas Direktyvos 95/46 dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 28 straipsnio 3 dalyje, yra būtinos priemonės, kad jos galėtų atlikti savo užduotis, kaip nurodyta šios direktyvos 63 konstatuojamojoje dalyje. Taigi minėtos institucijos turi tyrimo įgaliojimus, pavyzdžiui, įgaliojimus rinkti bet kokią jų priežiūros funkcijai vykdyti būtiną informaciją, įgaliojimus imtis tokių veiksmingų intervencijos priemonių, koks yra laikinas ar galutinis draudimas tvarkyti duomenis, arba įgaliojimus kreiptis į teismą.
Tiesa, dėl įgaliojimų kontroliuoti asmens duomenų perdavimą į trečiąsias šalis iš Direktyvos 96/45 28 straipsnio 1 ir 6 dalių matyti, kad nacionalinių priežiūros institucijų įgaliojimai yra susiję su asmens duomenų tvarkymu tų institucijų valstybės narės teritorijoje, todėl remiantis šiuo 28 straipsniu jos neturi įgaliojimų, kai tokie duomenys tvarkomi trečiosios šalies teritorijoje. Tačiau asmens duomenų perdavimo iš valstybės narės į trečiąją šalį operacija savaime yra asmens duomenų tvarkymas pagal Direktyvos 95/46 2 straipsnio b punktą, atliekamas valstybės narės teritorijoje. Todėl kadangi pagal Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 3 dalį ir Direktyvos 95/46 28 straipsnį nacionalinės priežiūros institucijos įgaliotos kontroliuoti, kaip laikomasi Sąjungos taisyklių dėl fizinių asmenų apsaugos tvarkant asmens duomenis, kiekviena iš jų turi kompetenciją patikrinti, ar šių asmens duomenų perdavimas iš valstybės narės, kuriai ji priklauso, į trečiąją šalį atitinka šioje direktyvoje nustatytus reikalavimus.
(žr. 43–45, 47 punktus)
4. Remdamasi Direktyvos 95/46 dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 25 straipsnio 6 dalimi Komisija gali priimti sprendimą, kuriame konstatuojama, jog trečioji šalis užtikrina adekvatų apsaugos lygį. Pagal šios nuostatos antrą pastraipą toks sprendimas skirtas valstybėms narėms, kurios turi imtis būtinų priemonių, kad būtų laikomasi Komisijos sprendimo. Remiantis SESV 288 straipsnio ketvirta pastraipa, jis privalomas visoms valstybėms narėms, kurioms skirtas, ir visoms šių valstybių institucijoms, nes šiuo sprendimu leidžiama perduoti asmens duomenis iš valstybių narių į jame nurodytas trečiąsias šalis.
Tol, kol Teisingumo Teismas, kuris vienintelis yra kompetentingas pripažinti Sąjungos teisės aktą negaliojančiu, Komisijos sprendimo nepripažino negaliojančiu, valstybės narės ir jų institucijos, įskaitant nepriklausomas priežiūros institucijas, iš tikrųjų negali imtis šiam sprendimui prieštaraujančių priemonių, pavyzdžiui, priimti aktus, kurie būtų privalomi ir kuriuose būtų konstatuojama, kad minėtame sprendime nurodyta trečioji šalis neužtikrina adekvataus apsaugos lygio. Iš principo Sąjungos institucijų teisės aktams taikoma teisėtumo prezumpcija, todėl jie sukelia teisinių pasekmių, kol nėra pripažinti netekusiais galios, panaikinti patenkinus ieškinį dėl panaikinimo, paskelbti negaliojančiais išnagrinėjus prašymą priimti prejudicinį sprendimą arba neteisėtumu grindžiamą prieštaravimą.
Nors, aišku, nacionaliniai teismai turi teisę nagrinėti Sąjungos teisės akto galiojimo klausimą, vis dėlto jie neturi kompetencijos patys pripažinti tokių aktų negaliojančiais. A fortiori, nagrinėdamos prašymą, kaip jis suprantamas pagal šios direktyvos 28 straipsnio 4 dalį, dėl tokio Komisijos sprendimo suderinamumo su privataus gyvenimo ir asmenų pagrindinių teisių ir laisvių apsauga, nacionalinės priežiūros institucijos neturi teisės pačios pripažinti, kad toks sprendimas negalioja.
Jeigu minėta institucija padarytų išvadą, kad argumentai, pateikti grindžiant tokį prašymą, yra nepagrįsti ir dėl šios priežasties jį atmestų, minėtą prašymą pateikęs asmuo turi, kaip matyti iš Direktyvos 95/46 28 straipsnio 3 dalies antros pastraipos, siejamos su Europos Sąjungos pagrindinių teisių chartijos 47 straipsniu, turėti galimybę pasinaudoti teisminėmis teisių gynimo priemonėmis, leidžiančiomis ginčyti tokį jo nenaudai priimtą sprendimą nacionaliniuose teismuose. Tokiomis aplinkybėmis šie teismai privalo sustabdyti bylos nagrinėjimą ir kreiptis į Teisingumo Teismą su prašymu priimti prejudicinį sprendimą dėl galiojimo vertinimo, jei mano, jog vienas ar keli šalių arba jų iniciatyva nurodyti pagrindai dėl neteisėtumo yra pagrįsti.
Priešingu atveju, kai minėta institucija mano, kad asmens, pateikusio jai prašymą dėl teisių ir laisvių apsaugos tvarkant jo asmens duomenis, pateikti kaltinimai pagrįsti, remdamasi Direktyvos 95/46 28 straipsnio 3 dalies pirmos pastraipos trečia įtrauka, siejama, be kita ko, su Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 3 dalimi, ji turi galėti kreiptis į teismą. Šiuo atžvilgiu nacionalinis teisės aktų leidėjas turi numatyti teisių gynimo priemones, leidžiančias atitinkamai nacionalinei priežiūros institucijai remtis nacionaliniuose teismuose kaltinimais, kurie, jos nuomone, yra pagrįsti, tam, kad šie teismai, vertindami Komisijos sprendimo galiojimą, pateiktų prašymą priimti prejudicinį sprendimą, jei, kaip ir priežiūros institucija, turėtų abejonių dėl šio sprendimo galiojimo.
(žr. 51, 52, 61, 62, 64, 65 punktus)
5. Direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 25 straipsnio 6 dalis, siejama su Europos Sąjungos pagrindinių teisių chartijos 7, 8 ir 47 straipsniais, turi būti aiškinama taip, kad pagal šią nuostatą priimtas sprendimas, kuriame Komisija konstatuoja, jog trečioji šalis užtikrina adekvatų apsaugos lygį, nesudaro šios direktyvos 28 straipsnyje numatytai valstybės narės priežiūros institucijai kliūčių nagrinėti asmens prašymą apsaugoti jo teises ir laisves tvarkant su juo susijusius asmens duomenis, perduotus iš valstybės narės į šią trečiąją šalį, jei šis asmuo teigia, kad pagal tos šalies teisę ir praktiką nėra užtikrinamas adekvatus apsaugos lygis.
Jei taip nebūtų, asmenys, kurių asmens duomenys buvo arba galėjo būti perduoti į atitinkamą trečiąją šalį, netektų Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 1 ir 3 dalyse garantuojamos teisės pateikti nacionalinėms priežiūros institucijoms prašymą apsaugoti jų pagrindines teises.
Be to, Direktyvos 95/46 28 straipsnio 4 dalyje numatytas prašymas, kuriame asmuo, kurio asmens duomenys buvo arba galėjo būti perduoti į trečiąją šalį, teigia, kad neatsižvelgiant į tai, ką Komisija konstatavo pagal šios direktyvos 25 straipsnio 6 dalį priimtame sprendime, pagal šios šalies teisę ir praktiką nėra užtikrinamas adekvatus apsaugos lygis, iš esmės turi būti suprantamas kaip susijęs su šio sprendimo suderinamumu su privataus gyvenimo ir asmenų pagrindinių teisių ir laisvių apsauga. Esant tokioms aplinkybėms, jei asmuo, kurio asmens duomenys buvo arba galėjo būti perduoti į pagal Direktyvos 95/46 25 straipsnio 6 dalį priimtame Komisijos sprendime nurodytą trečiąją šalį, pateikia nacionalinei priežiūros institucijai tokį prašymą, tokia institucija ypač kruopščiai turi išnagrinėti minėtą prašymą.
(žr. 58, 59, 63, 66 punktus ir rezoliucinės dalies 1 punktą)
6. Direktyvos 95/46 dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 25 straipsnio 6 dalyje pavartotas žodžių junginys „adekvatus apsaugos lygis“ turi būti suprantamas kaip reikalaujantis, kad ši trečioji šalis savo įstatymais arba tarptautiniais įsipareigojimais iš tikrųjų užtikrintų iš esmės tokį patį pagrindinių laisvių ir teisių apsaugos lygį, koks garantuojamas Sąjungoje pagal šią direktyvą, siejamą su Europos Sąjungos pagrindinių teisių chartija.
Šiomis aplinkybėmis vertindama trečiosios šalies užtikrinamą apsaugos lygį Komisija privalo įvertinti šioje šalyje taikomų taisyklių turinį, kurį lemia tos šalies teisės aktai arba tarptautiniai įsipareigojimai, taip pat praktika, kuria siekiama užtikrinti šių taisyklių laikymąsi, nes ši institucija, remdamasi Direktyvos 95/46 25 straipsnio 2 dalimi, turi atsižvelgti į visas asmens duomenų perdavimo į trečiąją šalį aplinkybes. Be to, turėdama omenyje tai, kad trečiosios šalies užtikrinamas apsaugos lygis gali keistis, priėmusi sprendimą pagal Direktyvos 95/46 25 straipsnio 6 dalį Komisija turi periodiškai tikrinti, ar išvada dėl aptariamos trečiosios šalies užtikrinamo adekvataus apsaugos lygio visada faktiškai ir teisiškai pateisinama. Toks patikrinimas bet kuriuo atveju būtinas, kai yra informacijos, galinčios dėl to sukelti abejonių.
Atsižvelgiant, viena vertus, į asmens duomenų apsaugos svarbą pagrindinei teisei į privataus gyvenimo gerbimą ir, kita vertus, į didelį asmenų, kurių pagrindinės teisės gali būti pažeistos perdavus asmens duomenis į adekvataus apsaugos lygio neužtikrinančią trečiąją šalį, skaičių, Komisijos turima adekvataus apsaugos lygio vertinimo diskrecija yra nedidelė, todėl reikia taikyti griežtą reikalavimų, kylančių iš su Europos Sąjungos pagrindinių teisių chartija siejamo Direktyvos 95/46 25 straipsnio, kontrolę.
(žr. 73, 75, 76, 78 punktus)
7. Komisijai priimant sprendimą pagal Direktyvos 95/46 dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 25 straipsnio 6 dalį, pavyzdžiui, Sprendimą 2000/520 dėl „saugaus uosto“ privatumo principų teikiamos apsaugos pakankamumo ir su tuo susijusių JAV komercijos departamento pateiktų „Dažnai užduodamų klausimų“, reikalaujama, kad ši institucija tinkamai motyvuodama konstatuotų, kad atitinkama trečioji šalis savo įstatymais arba tarptautiniais įsipareigojimais iš tikrųjų užtikrina iš esmės tokį patį pagrindinių laisvių ir teisių apsaugos lygį, koks garantuojamas Sąjungos teisės sistemoje.
Tačiau kadangi Sprendime 2000/520 Komisija to nekonstatavo, šio sprendimo 1 straipsniu pažeidžiami Direktyvos 95/46 25 straipsnio 6 dalies, siejamos su Europos Sąjungos pagrindinių teisių chartija, reikalavimai, todėl jis negalioja. „Saugaus uosto“ principai taikomi tik įsipareigojusioms JAV organizacijoms, gaunančioms asmens duomenis iš Sąjungos, ir nereikalaujama, kad JAV valdžios institucijos būtų įpareigotos laikytis šių principų. Be to, pagal Sprendimą 2000/520 leidžiami asmenų, kurių asmens duomenys yra arba gali būti perduoti iš Sąjungos į Jungtines Amerikos Valstijas, pagrindinių teisių apribojimai, grindžiami reikalavimais, susijusiais su nacionaliniu saugumu ir viešuoju interesu arba Jungtinių Amerikos Valstijų teisės aktų laikymusi, tačiau jame nenustatyta, kad Jungtinėse Amerikos Valstijose yra valstybinio pobūdžio taisyklių, skirtų nustatyti šių teisių apribojimų riboms, ir nekalbama apie veiksmingos teisinės apsaugos nuo tokio pobūdžio apribojimų egzistavimą.
Be to, priimdama Sprendimo 2000/520 3 straipsnį Komisija viršijo pagal Direktyvos 95/46 25 straipsnio 6 dalį, siejamą su Europos Sąjungos pagrindinių teisių chartija, suteiktus įgaliojimus, todėl jis negalioja. Šį straipsnį reikia suprasti kaip atimantį iš nacionalinių priežiūros institucijų Direktyvos 95/46 28 straipsnyje numatytus įgaliojimus tuo atveju, kai asmuo, pateikęs pagal šią nuostatą prašymą, nurodo aplinkybes, galinčias sukelti abejonių dėl Komisijos sprendimo, kuriame remiantis šios direktyvos 25 straipsnio 6 dalimi konstatuota, jog trečioji šalis užtikrina adekvatų apsaugos lygį, suderinamumo su privataus gyvenimo ir asmens pagrindinių laisvių ir teisių apsauga. Tačiau įgyvendinimo įgaliojimai, kuriuos Sąjungos teisės aktų leidėjas Komisijai suteikė Direktyvos 95/46 25 straipsnio 6 dalyje, nesuteikia šiai institucijai kompetencijos riboti šių nacionalinių priežiūros institucijų įgaliojimų.
Kadangi Sprendimo 2000/520 1 ir 3 straipsniai neatsiejami nuo jo 2 ir 4 straipsnių ir priedų, jų negaliojimas turi įtakos viso šio sprendimo galiojimui.
(žr. 82, 87–89, 96–98, 102–105 punktus ir rezoliucinės dalies 2 punktą)
8. Europos Sąjungos pagrindinių teisių chartijos 7 ir 8 straipsniuose garantuojamų pagrindinių teisių ir laisvių apribojimus nustatančiame Sąjungos teisės akte turi būti numatytos aiškios ir tikslios taisyklės, kuriomis reglamentuojama priemonės apimtis ir taikymas ir nustatomi minimalūs reikalavimai, kad asmenims, kurių duomenims tai turi įtakos, būtų suteikta pakankamai garantijų, leidžiančių veiksmingai apsaugoti jų duomenis nuo piktnaudžiavimo pavojų, taip pat bet kokios neteisėtos prieigos prie šių duomenų ir neteisėto jų naudojimo. Būtinybė turėti tokias garantijas yra dar svarbesnė tais atvejais, kai asmens duomenys tvarkomi automatiniu būdu ir egzistuoja didelis neteisėtos prieigos prie šių duomenų pavojus. Maža to, visų pirma pagrindinės teisės į privataus gyvenimo gerbimą apsauga Sąjungos lygiu reikalauja, kad nukrypti nuo asmens duomenų apsaugos leidžiančios nuostatos ir šios apsaugos apribojimai neviršytų to, kas yra griežtai būtina.
Nėra ribojamas tuo, kad yra griežtai būtina toks reglamentavimas, kuris apskritai leidžia saugoti visų asmenų, kurių duomenys buvo perduoti iš Sąjungos, visus asmens duomenis nediferencijuojant, nenustatant jokių apribojimų arba išimčių pagal siekiamą tikslą ir nenumatant objektyvių kriterijų, leidžiančių nubrėžti ribas valstybės institucijų prieigai prie duomenų ir jų vėlesniam naudojimui konkrečiais, griežtai ribojamais ir galinčiais pateisinti apribojimą, taikomą tiek prieigai prie šių duomenų, tiek jų naudojimui, tikslais.
Konkrečiai kalbant, reglamentavimas, leidžiantis valstybės institucijoms apskritai susipažinti su elektroninės komunikacijos turiniu, turi būti laikomas keliančiu pavojų Europos Sąjungos pagrindinių teisių chartijos 7 straipsnyje garantuotos pagrindinės teisės į privataus gyvenimo gerbimą esmei.
Be to, reglamentavimu, nenumatančiu asmeniui jokios galimybės pasinaudoti teisių gynimo priemonėmis tam, kad gautų prieigą prie su juo susijusių asmens duomenų arba galėtų juos taisyti ar ištrinti, nepaisoma Europos Sąjungos pagrindinių teisių chartijos 47 straipsnyje įtvirtintos pagrindinės teisės į veiksmingą teisminę gynybą esmės. Iš tiesų šio straipsnio pirmoje pastraipoje reikalaujama, kad kiekvienas asmuo, kurio teisės ir laisvės, garantuojamos Sąjungos teisės, yra pažeistos, turėtų teisę į veiksmingą jų gynybą teisme to straipsnio nustatytomis sąlygomis. Šiuo klausimu pats veiksmingos teisminės kontrolės egzistavimas, skirtas Sąjungos teisės nuostatų laikymuisi užtikrinti, neatsiejamas nuo teisinės valstybės egzistavimo.
(žr. 91–95 punktus)