Predmet C-311/18
Data Protection Commissioner
protiv
Facebook Ireland Ltd
i
Maximilliana Schremsa
(zahtjev za prethodnu odluku koji je uputio High Court (Irska))
Presuda Suda (veliko vijeće) od 16. srpnja 2020.
„Zahtjev za prethodnu odluku – Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Povelja Europske unije o temeljnim pravima – Članci 7., 8. i 47. – Uredba (EU) 2016/679 – Članak 2. stavak 2. – Područje primjene – Prijenosi osobnih podataka trećim zemljama u komercijalne svrhe – Članak 45. – Komisijina odluka o primjerenosti – Članak 46. – Prijenosi uz odgovarajuće zaštitne mjere – Članak 58. – Ovlasti nadzornih tijela – Obrada prenesenih podataka koju za potrebe nacionalne sigurnosti izvršavaju javna tijela treće zemlje – Ocjena primjerenosti razine zaštite koju osigurava treća zemlja – Odluka 2010/87/EU – Standardne klauzule o zaštiti za prijenos osobnih podataka trećoj zemlji – Odgovarajuće mjere zaštite koje nudi voditelj obrade – Valjanost – Provedbena odluka (EU) 2016/1250 – Primjerenost zaštite koju osigurava europsko-američki sustav zaštite privatnosti – Valjanost – Pritužba fizičke osobe čiji su podaci preneseni iz Europske unije u SAD”
1. Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Uredba 2016/679 – Područje primjene – Koncept obrade osobnih podataka – Osobni podaci koje u komercijalne svrhe gospodarski subjekt s poslovnim nastanom u državi članici prenosi na drugi gospodarski subjekt s poslovnim nastanom u trećoj zemlji – Uključenost – Podaci koje tijela predmetne treće zemlje mogu obrađivati za potrebe nacionalne sigurnosti – Nepostojanje utjecaja
(Uredba 2016/679 Europskog parlamenta i Vijeća, čl. 2. st. 1. i st. 2. t. (a), (b) i (d), i čl. 4. t. 2.)
(t. 82., 83., 85.-89. i t. 1. izreke)
2. Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Uredba 2016/679 – Prijenosi osobnih podataka trećim zemljama – Prijenosi koji podliježu odgovarajućim zaštitnim mjerama temeljenima na standardnim ugovornim klauzulama o zaštiti podataka – Koncept primjerene razine zaštite koju dotična treća zemlja treba osigurati prilikom takvih prijenosa – Tumačenje s obzirom na pravo Unije – Kriteriji za ocjenu
(Povelja Europske unije o temeljnim pravima, čl. 52. st. 3.; Uredba Europskog parlamenta i Vijeća 2016/679, čl. 46. st. 1. i st. 2. t. (c))
(t. 92.-96., 98.-101., 103., -105. i t. 2. izreke)
3. Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Uredba 2016/679 – Prijenosi osobnih podataka trećim zemljama – Prijenosi koji podliježu odgovarajućim zaštitnim mjerama temeljenima na standardnim ugovornim klauzulama o zaštiti podataka – Nacionalna nadzorna tijela – Ovlasti – Nadzor prijenosa osobnih podataka u treće zemlje – Obveza obustave ili zabrane takvih prijenosa u slučaju povrede primjerene razine zaštite u dotičnoj trećoj zemlji – Pretpostavke
(Povelja Europske unije o temeljnim pravima, čl. 8. st. 3.; Uredba Europskog parlamenta i Vijeća 2016/679, čl. 45., 46., 51. st. 1., čl. 57. st. 1. t. (a) i (f) i čl. 58. st. 1. i st. 2. t. (f) i (j))
(t. 107., 108., 112.-121. i t. 3. izreke)
4. Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Uredba 2016/679 – Prijenosi osobnih podataka trećim zemljama – Prijenosi koji podliježu odgovarajućim zaštitnim mjerama temeljenima na standardnim ugovornim klauzulama o zaštiti podataka – Odluka 2010/87 kojom se uspostavljaju standardne ugovorne klauzule za prijenos osobnih podataka u treće zemlje – Odgovarajuće zaštitne mjere koje pružaju voditelj takve obrade s poslovnim nastanom u Uniji i nadzorna tijela – Obveza tih tijela da obustave ili zabrane takve prijenose u slučaju povrede navedenih klauzula – Pravo na poštovanje privatnog života, zaštitu osobnih podatka i djelotvornu sudsku zaštitu – Nepostojanje povrede – Valjanost odluke
(Povelja Europske unije o temeljnim pravima, čl. 7., 8. i 47.; Uredba Europskog parlamenta i Vijeća 2016/679, čl. 46. st. 1. i st. 2. t. (c); Odluka Komisije 2010/87, Prilog)
(t. 128.-130., 133.-145., 148., 149. i t. 4. izreke)
5. Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Uredba 2016/679 – Prijenos osobnih podataka trećim zemljama – Komisijino donošenje odluke kojom se utvrđuje primjerena razina zaštite u trećoj zemlji – Odluka 2016/1250 kojom se utvrđuje primjerena razina zaštite koja se osigurava europsko-američkim sustavom zaštite privatnosti – Nacionalno nadzorno tijelo koje odlučuje o zahtjevu kojim se osporava primjerenost razine zaštite koju osigurava ta treća zemlja – Obveza tog tijela da ispita zahtjev – Ispitivanje valjanosti Odluke 2016/1250
(čl. 288. st. 4. UFEU-a; Uredba Europskog parlamenta i Vijeća 2016/679, čl. 45. st. 3. i čl. 77. st. 1.; Odluka Komisije 2016/1250, Prilog II.)
(t. 151.-161.)
6. Temeljna prava – Povelja Europske unije o temeljnim pravima – Poštovanje privatnog života – Zaštita osobnih podataka – Zadržavanje i pristup osobnim podacima radi njihove uporabe od strane javnih tijela – Zadiranje u ta temeljna prava – Ograničenja ostvarivanja tih prava – Poštovanje načela proporcionalnosti
(Povelja Europske unije o temeljnim pravima , čl. 7., 8., čl. 52. st. 1. druga rečenica; Uredba Europskog parlamenta i Vijeća 2016/679.)
(t. 170.-176.)
7. Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Uredba 2016/679 – Prijenos osobnih podataka trećim zemljama – Komisijino donošenje odluke kojom se utvrđuje odgovarajuća razina zaštite u trećoj zemlji – Odluka 2016/1250 kojom se utvrđuje primjerena razina zaštite koja se osigurava europsko-američkim sustavom zaštite privatnosti – Nepostojanje razine zaštite koja je bitno ekvivalentna onoj osiguranoj u pravu Unije – Povreda prava na poštovanje privatnog života, zaštitu osobnih podataka i djelotvornu sudsku zaštitu –Uspostavljanje mehanizma pravobranitelja u okviru sustava zaštite privatnosti – Nepostojanje utjecaja na povredu prava na djelotvornu sudsku zaštitu – Nevaljanost odluke
(Povelja Europske unije o temeljnim pravima; čl. 7., 8., 47., čl. 52. st. 1. druga rečenica; Uredba 2016/679 Europskog parlamenta i Vijeća, čl. 45. st. 2. t. (a) i st. 3.; Odluka Komisije 2016/1250, Prilog II.)
(t. 180.-185., 187.-192., 195.-201. i t. 5. izreke)
8. Prethodna pitanja – Ocjena valjanosti – Proglašenje nevaljanosti akta Unije – Odluka 2016/1250 kojom se utvrđuje primjerena razina zaštite koja se osigurava europsko-američkim sustavom zaštite privatnosti – Učinci – Vremensko ograničenje – Nepostojanje
(čl. 267. UFEU-a; Uredba Europskog parlamenta i Vijeća 2016/679, čl. 49.; Odluka Komisije 2016/1250)
(t. 202.).
Kratak prikaz
Sud poništava Odluku 2016/1250 o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti
Nasuprot tomu, Sud presuđuje da je Odluka Komisije 2010/87 o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama valjana.
Opća uredba o zaštiti podataka(1) (GDPR) određuje da do prijenosa takvih podataka trećoj zemlji u pravilu može doći samo ako predmetna treća zemlja osigurava primjerenu razinu zaštite tih podataka. U skladu s tom uredbom, Komisija može utvrditi da treća zemlja na temelju domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela osigurava primjerenu razinu zaštite(2). Ako ne postoji takva odluka o primjerenosti, takav prijenos može se izvršiti samo ako izvoznik osobnih podataka s poslovnim nastanom u Uniji predvidi odgovarajuće zaštitne mjere koje se mogu temeljiti osobito na standardnim klauzulama o zaštiti podataka koje je donijela Komisija i pod uvjetom da su osobama na koje se odnose podaci na raspolaganju provediva prava i djelotvorni pravni lijekovi(3). Nadalje, GDPR-om se precizno utvrđuju uvjeti pod kojima može doći do takvog prijenosa kad ne postoje odluka o primjerenosti ili odgovarajuće zaštitne mjere(4).
Maximillian Schrems, austrijski državljanin s boravištem u Austriji korisnik je Facebooka od 2008. Kao i u slučaju drugih korisnika s boravištem u Uniji, osobne podatke M. Schremsa Facebook Ireland u cijelosti ili djelomično prenosi na poslužitelje koji pripadaju društvu Facebook Inc. i koji su smješteni na državnom području SAD-a, gdje su predmet obrade. M. Schrems irskom nadzornom tijelu podnio je pritužbu kojom je u biti zatražio zabranu tih prijenosa. Tvrdio je da pravo i prakse u SAD-u ne jamče dovoljnu razinu zaštite od pristupa javnih tijela podacima prenesenima u tu zemlju. Ta pritužba bila je odbijena, među ostalim, zbog toga što je Komisija u svojoj Odluci 2000/520(5) (nazvanoj Odluka „o sigurnoj luci”) utvrdila da SAD osigurava primjerenu razinu zaštite. Presudom donesenom 6. listopada 2015. Sud je, odlučujući o prethodnom pitanju koje je uputio High Court (Visoki sud, Irska), tu odluku proglasio nevaljanom (u daljnjem tekstu: presuda Schrems I)(6).
Nakon presude Schrems I i nakon što je irski sud naknadno poništio odluku o odbijanju pritužbe M. Schremsa, irsko nadzorno tijelo pozvalo je M. Schremsa da preformulira svoju pritužbu, s obzirom na to da je Sud poništio Odluku 2000/520. U svojoj preformuliranoj pritužbi M. Schrems i dalje je tvrdio da SAD ne nudi dovoljnu zaštitu podataka prenesenih u tu zemlju. Traži da se ubuduće obustave ili zabrane prijenosi njegovih osobnih podataka iz Unije u SAD, koje Facebook Ireland sada izvršava na temelju standardnih klauzula o zaštiti koje se nalaze u Prilogu Odluci 2010/87(7). Smatrajući da odlučivanje o pritužbi M. Schremsa ovisi osobito o valjanosti Odluke 2010/87, irsko nadzorno tijelo pokrenulo je postupak pred High Courtom (Visoki sud) kako bi on uputio Sudu zahtjev za prethodnu odluku. Nakon što je taj postupak pokrenut, Komisija je donijela Odluku 2016/1250 o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti(8) (nazvanu Odluka „o sustavu zaštite privatnosti”).
Svojim zahtjevom za prethodnu odluku sud koji je uputio zahtjev pita Sud o primjenjivosti GDPR-a na prijenose osobnih podataka koji se temelje na standardnim klauzulama o zaštiti iz Odluke 2010/87, o razini zaštite koja se zahtijeva tom uredbom u okviru takvog prijenosa i o obvezama nadzornih tijela u tom kontekstu. Nadalje, High Court se pita o valjanosti kako Odluke 2010/87 tako i Odluke 2016/1250.
Svojom današnjom presudom Sud utvrđuje da analizom Odluke 2010/87 s obzirom na Povelju o temeljnim pravima nije utvrđen nijedan element koji bi mogao utjecati na njezinu valjanost. S druge strane, Odluku 2016/1250 proglašava nevaljanom.
Sud, kao prvo, smatra da se pravo Unije, među ostalim GDPR, primjenjuje na osobne podatke koje u komercijalne svrhe gospodarski subjekt s poslovnim nastanom u državi članici prenosi na drugi gospodarski subjekt s poslovnim nastanom u trećoj zemlji, čak i ako bi tijekom ili nakon tog prijenosa te podatke mogla obrađivati tijela predmetne treće zemlje za potrebe javne sigurnosti, obrane ili nacionalne sigurnosti. On pojašnjava da ta vrsta obrade podataka tijela treće zemlje ne može takav prijenos isključiti iz područja primjene Uredbe.
Kad je riječ o razini zaštite koja se zahtijeva u okviru takvog prijenosa, Sud presuđuje da se zahtjevi koji su u tu svrhu predviđeni odredbama GDPR-a, koji se odnose na odgovarajuće zaštitne mjere, provediva prava i djelotvorne pravne lijekove, moraju tumačiti na način da osobe čiji se osobni podaci prenose u treću zemlju na temelju standardnih klauzula o zaštiti podataka moraju imati pravo na razinu zaštite koja je bitno ekvivalentna onoj zajamčenoj u Uniji tom uredbom, tumačenom u vezi s Poveljom. U tom kontekstu Sud pojašnjava da ocjena te razine zaštite mora uzeti u obzir kako ugovorne odredbe koje su ugovorili izvoznik podataka s poslovnim nastanom u Uniji i primatelj podataka s poslovnim nastanom u predmetnoj trećoj zemlji tako i, kad je riječ o eventualnom pristupu javnih tijela te treće zemlje tako prenesenim podacima, relevantne elemente njezina pravnog sustava.
Kad je riječ o obvezama nadzornih tijela u kontekstu takvog prijenosa, Sud presuđuje da su, osim ako postoji odluka o primjerenosti koju je Komisija valjano donijela, ta tijela osobito dužna obustaviti ili zabraniti prijenos osobnih podataka u treću zemlju kada smatraju, u vezi sa svim okolnostima tog prijenosa, da standardne klauzule o zaštiti podataka nisu ili ne mogu biti poštovane u toj zemlji i da se zaštita prenesenih podataka koja se zahtijeva pravom Unije ne može osigurati drugim sredstvima, ako izvoznik s poslovnim nastanom u Uniji sam nije obustavio takav prijenos ili ga okončao.
Sud potom ispituje valjanost Odluke 2010/87. On smatra da njezina valjanost nije dovedena u pitanje samom činjenicom da standardne klauzule o zaštiti podataka koje se u njoj nalaze zbog svoje ugovorne naravi ne obvezuju tijela treće zemlje u koju bi se mogli prenijeti podaci. Nasuprot tomu, on pojašnjava da ta valjanost ovisi o tome sadržava li navedena odluka učinkovite mehanizme koji u praksi omogućuju osiguranje razine zaštite koja se zahtijeva pravom Unije i obustavu ili zabranu prijenosa osobnih podataka temeljenih na takvim klauzulama, u slučaju povrede tih klauzula ili nemogućnosti njihova poštovanja. Sud utvrđuje da se Odlukom 2010/87 uspostavljaju takvi mehanizmi. U tom pogledu on osobito ističe da je tom odlukom uvedena obveza izvoznika podataka i njihova primatelja da prethodno provjere poštuje li predmetna treća zemlja tu razinu zaštite te ta odluka obvezuje tog primatelja da obavijesti izvoznika podataka o svojoj eventualnoj nemogućnosti da postupi u skladu sa standardnim klauzulama o zaštiti, a na potonjem je da obustavi prijenos podataka i/ili raskine ugovor sklopljen s primateljem.
Sud naposljetku ispituje valjanost Odluke 2016/1250 u pogledu zahtjeva koji proizlaze iz GDPR-a, tumačenog u vezi s odredbama Povelje kojima se jamči zaštita privatnog i obiteljskog života, zaštita osobnih podataka i pravo na djelotvoran pravni lijek. U tom pogledu Sud navodi da je tom odlukom propisana, kao u Odluci 2000/520, nadređenost zahtjeva u pogledu nacionalne sigurnosti, javnog interesa ili poštovanja američkog zakonodavstva, čime se omogućuje zadiranje u temeljna prava osoba čiji se osobni podaci prenose u tu treću zemlju. Sud smatra da ograničenja zaštite osobnih podataka koja proizlaze iz domaćih propisa SAD-a u vezi s pristupom takvim podacima prenesenima iz Unije u tu treću zemlju i njihovom uporabom od strane američkih tijela, a koja je Komisija ocijenila u Odluci 2016/1250, nisu uređena tako da bi ispunjavala zahtjeve koji su bitno ekvivalentni onima koji se u pravu Unije zahtijevaju na temelju načela proporcionalnosti, s obzirom na to da programi nadzora temeljeni na tim propisima nisu ograničeni na ono što je strogo nužno. Oslanjajući se na utvrđenja u toj odluci, Sud navodi da, kad je riječ o određenim programima nadzora, iz navedenih propisa ne proizlaze nikakva ograničenja u njima sadržanih ovlasti za provođenje tih programa kao ni zaštitne mjere za osobe koje nisu američki državljani, a na koje bi se ti programi mogli odnositi. Sud dodaje da, iako se istim propisima predviđaju zahtjevi koje američka tijela moraju poštovati prilikom provedbe predmetnih programa nadzora, oni osobama na koje se podaci odnose ne dodjeljuju prava na koja se u postupku pred sudovima mogu pozivati protiv američkih tijela.
Kad je riječ o zahtjevu sudske zaštite, Sud presuđuje da, protivno onomu što je Komisija utvrdila u Odluci 2016/1250, mehanizam pravobranitelja predviđen tom odlukom ne jamči tim osobama pravno sredstvo pred tijelom koje nudi zaštitne mjere bitno ekvivalentne onima koje se zahtijevaju pravom Unije, koje bi mogle osigurati kako neovisnost pravobranitelja predviđenu tim mehanizmom tako i postojanje pravila koja bi navedenom pravobranitelju omogućila donošenje odluka obvezujućih za američke obavještajne službe. Zbog svih navedenih razloga Sud Odluku 2016/1250 proglašava nevaljanom.