Sprawa C‑518/07
Komisja Europejska
przeciwko
Republice Federalnej Niemiec
Uchybienie zobowiązaniom państwa członkowskiego – Dyrektywa 95/46/WE – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych i swobodny przepływ tych danych – Artykuł 28 ust. 1 – Krajowe organy kontroli – Niezależność – Nadzór administracyjny nad tymi organami
Streszczenie wyroku
1. Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Krajowe organy kontroli
(dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 28 ust. 1)
2. Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Krajowe organy kontroli
(dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 28 ust. 1)
1. Zagwarantowanie niezależności krajowych organów kontroli, o którym mowa w art. 28 ust. 1 akapit drugi dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, ma na celu zapewnienie skuteczności i pewności kontroli przestrzegania przepisów w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i powinno być interpretowane w świetle tego celu. Niezależność została przyjęta nie celem przyznania tym organom i ich pracownikom szczególnego statusu, lecz celem wzmocnienia ochrony osób i instytucji, których dotyczą decyzje tych organów. Z tego wynika, że przy wykonywaniu swoich obowiązków organy kontroli powinny działać w sposób obiektywny i bezstronny. W tym celu powinny pozostawać poza jakimkolwiek wpływem z zewnątrz, w tym bezpośrednim czy pośrednim wpływem państwa czy krajów związkowych, a nie tylko poza wpływem organów kontrolowanych.
W konsekwencji organy kontroli właściwe w zakresie przetwarzania danych osobowych w sektorze niepublicznym powinny cechować się niezależnością pozwalającą im na wykonywanie ich zadań bez wpływu z zewnątrz. Ta niezależność wyklucza nie tylko jakikolwiek wpływ ze strony instytucji kontrolowanych, lecz również jakiekolwiek nakazy i jakikolwiek inny wpływ z zewnątrz, bez względu na to, czy bezpośredni, czy pośredni, który mógłby podważyć wykonywanie przez te organy ich zadań polegających na ustaleniu słusznej równowagi pomiędzy ochroną prawa do poszanowania życia prywatnego a swobodą przepływu danych osobowych.
(por. pkt 25, 30)
2. Samo tylko zagrożenie możliwością wpływu politycznego organów nadzoru na decyzje organów kontroli właściwych w zakresie przetwarzania danych osobowych przewidzianych w art. 28 ust. 1 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych jest wystarczającą przeszkodą w niezależnym wykonywaniu przez nie zadań. Po pierwsze, może mieć miejsce „przewidywane posłuszeństwo” tych organów kontroli w świetle praktyki decyzyjnej organu nadzoru. Po drugie, rola strażników prawa do poszanowania życia prywatnego, jaką wypełniają te organy kontroli, wymaga, by ich decyzje, a tym samym one same, pozostawały poza jakimkolwiek podejrzeniem stronniczości. Kontrola państwowa wykonywana nad krajowymi organami kontroli właściwymi w zakresie przetwarzania danych osobowych w sektorze niepublicznym jest zatem niezgodna z wymogiem niezależności.
Państwo członkowskie, poddając nadzorowi państwowemu organy kontroli właściwe w zakresie przetwarzania danych osobowych przez instytucje niepubliczne i przedsiębiorstwa publiczne działające na konkurencyjnym rynku w niektórych krajach związkowych i dokonując w ten sposób błędnej implementacji wymogu, zgodnie z którym organy te wykonują zadania „całkowicie niezależnie”, uchybia zobowiązaniom ciążącym na nim na podstawie art. 28 ust. 1 akapit drugi dyrektywy 95/46.
(por. pkt 36, 37, 56; sentencja)