Language of document : ECLI:EU:C:2020:559

Sprawa C311/18

Data Protection Commissioner

przeciwko

Facebook Ireland Ltd
i
Maximillian Schrems

[wniosek o wydanie orzeczenia w trybie prejudycjalnym, złożony przez High Court (Irlandia)]

 Wyrok Trybunału (wielka izba) z dnia 16 lipca 2020 r.

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 47 – Rozporządzenie (UE) 2016/679 – Artykuł 2 ust. 2 – Zakres stosowania – Przekazywanie danych osobowych do państw trzecich do celów handlowych – Artykuł 45 – Decyzja Komisji stwierdzająca odpowiedni stopień ochrony – Artykuł 46 – Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń – Artykuł 58 – Uprawnienia organów nadzorczych – Przetwarzanie przekazanych danych przez organy władzy publicznej państwa trzeciego do celów ochrony bezpieczeństwa narodowego – Ocena odpowiedniości stopnia ochrony zapewnianego w tym państwie trzecim – Decyzja 2010/87/UE – Standardowe klauzule ochrony danych osobowych przekazywanych do państw trzecich – Odpowiednie zabezpieczenia zapewniane przez administratora danych – Ważność – Decyzja wykonawcza (UE) 2016/1250 – Adekwatność ochrony zapewnianej przez Tarczę Prywatności UE–USA – Ważność – Skarga wniesiona przez osobę fizyczną, której dane zostały przekazane z Unii Europejskiej do Stanów Zjednoczonych

1.        Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Zakres stosowania – Pojęcie przetwarzania danych osobowych – Przekazywanie danych osobowych do celów handlowych przez podmiot gospodarczy z siedzibą w państwie członkowskim innemu podmiotowi z siedzibą w państwie trzecim – Włączenie – Dane, które mogą być przetwarzane przez władze państwa trzeciego w celach bezpieczeństwa narodowego – Brak wpływu

[rozporządzenie nr 2016/679 Parlamentu Europejskiego i Rady, art. 2 ust. 1, art. 2  ust. 2 lit. a), b), d), art. 4 pkt 2]

(zob. pkt 82, 83, 85–89; pkt 1 sentencji)

2.        Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Przekazywanie danych osobowych do państw trzecich – Przekazywanie na podstawie odpowiednich gwarancji opartych na standardowych klauzulach umownych ochrony danych – Pojęcie odpowiedniego stopnia ochrony, który powinien być zapewniony przez państwo trzecie, którego dotyczy to przekazywanie –Interpretacja w świetle prawa Unii – Kryteria oceny

[Karta praw podstawowych Unii Europejskiej, art. 52 ust. 3; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 46 ust. 1, art. 46 ust. 2 lit. c)]

(zob. pkt 92–96, 98–101, 103–105; pkt 2 sentencji)

3.        Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Przekazywanie danych osobowych do państw trzecich – Przekazywanie na podstawie odpowiednich gwarancji opartych na standardowych klauzulach umownych ochrony danych – Krajowe organy nadzorcze – Uprawnienia – Nadzór nad przekazywaniem danych osobowych do państw trzecich – Obowiązek zawieszenia lub zakazania tego przekazywania w przypadku naruszenia odpowiedniego stopnia ochrony w danym państwie trzecim – Warunki

[Karta praw podstawowych Unii Europejskiej, art. 8 ust. 3; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 45, 46, art. 51 ust. 1, art. 57 ust. 1 lit. a), f), art. 58 ust. 1, art. 58 ust. 2 lit. f), j)]

(zob. pkt 107, 108, 112–121; pkt 3 sentencji)

4.        Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Przekazywanie danych osobowych do państw trzecich – Przekazywanie na podstawie odpowiednich gwarancji opartych na standardowych klauzulach umownych ochrony danych – Decyzja ustanawiająca standardowe klauzule umowne dla przekazywania danych osobowych do państw trzecich – Odpowiednie zabezpieczenia zapewniane przez administratora danych z siedzibą w Unii i przez organy nadzorcze – Obowiązek zawieszenia lub zakazania przez te organy tego przekazywania w przypadku naruszenia wspomnianych klauzul – Prawa do poszanowania życia prywatnego, do ochrony danych osobowych i do skutecznej ochrony sądowej – Brak naruszenia – Ważność decyzji

[Karta praw podstawowych Unii Europejskiej, art. 7, 8, 47; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 46 ust. 1, art. 46 ust. 2 lit. c); decyzja Komisji 2010/87, załącznik]

(zob. pkt 128–130, 133–145, 148, 149; pkt 4 sentencji)

5.        Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Przekazywanie danych osobowych do państw trzecich – Przyjęcie przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony w państwie trzecim – Decyzja 2016/1250 stwierdzająca odpowiedni stopień ochrony zapewniony przez Tarczę Prywatności Unia Europejska–Stany Zjednoczone – Krajowy organ nadzorczy, do którego wpłynął wniosek kwestionujący odpowiedni stopień ochrony zapewnianej w tym państwie trzecim – Obowiązek rozpatrzenia wniosku przez ten organ – Badanie ważności decyzji 2016/1250

(art. 288 akapit czwarty TFUE; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 45 ust. 3, art. 77 ust. 1; decyzja Komisji 2016/1250, załącznik II)

(zob. pkt 151–161)

6.        Prawa podstawowe – Karta praw podstawowych Unii Europejskiej – Poszanowanie życia prywatnego – Ochrona danych osobowych – Przechowywanie i dostęp do danych osobowych w celu ich wykorzystania przez organy władz publicznych – Ingerencja w te prawa podstawowe – Ograniczenia wykonywania tych praw – Poszanowanie zasady proporcjonalności

(Karta praw podstawowych Unii Europejskiej, art. 7, 8, art. 52 ust. 1 zdanie drugie; rozporządzenie Parlamentu Europejskiego i Rady 2016/679)

(zob. pkt 170–176)

7.        Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Przekazywanie danych osobowych do państw trzecich – Przyjęcie przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony w państwie trzecim – Decyzja 2016/1250 stwierdzająca odpowiedni stopień ochrony zapewniony przez Tarczę Prywatności Unia Europejska–Stany Zjednoczone – Brak stopnia ochrony merytorycznie równoważnego temu, który jest gwarantowany w prawie Unii – Naruszenie praw do poszanowania życia prywatnego, ochrony danych osobowych i skutecznej ochrony sądowej osób, których dotyczy to przekazywanie – Wprowadzenie mechanizmu mediacyjnego w ramach Tarczy Prywatności – Brak wpływu na naruszenie prawa do skutecznej ochrony sądowej – Nieważność decyzji

[Karta praw podstawowych Unii Europejskiej, art. 7, 8, 47, art. 52 ust. 1 zdanie drugie; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 45 ust. 2 lit. a), art. 45 ust. 3; decyzja Komisji 2016/1250, załącznik II]

(zob. pkt 180–185, 187–192, 195–201; pkt 5 sentencji)

8.        Pytania prejudycjalne – Ocena ważności – Stwierdzenie nieważności aktu Unii – Decyzja 2016/1250 stwierdzająca odpowiedni stopień ochrony zapewniony przez Tarczę Prywatności Unia Europejska–Stany Zjednoczone – Skutki – Ograniczenie w czasie – Brak

(art. 267 TFUE; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 49; decyzja Komisji 2016/1250)

(zob. pkt 202)

Streszczenie

Trybunał stwierdza nieważność decyzji 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–Stany Zjednoczone

Trybunał orzeka natomiast, że decyzja Komisji 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym mającym siedzibę w państwach trzecich jest ważna

Ogólne rozporządzenie w sprawie ochrony danych(1) (RODO) stanowi, że przekazywanie danych do państwa trzeciego może nastąpić co do zasady tylko wtedy, gdy dane państwo trzecie zapewni odpowiedni stopień ich ochrony. Zgodnie z tym rozporządzeniem Komisja może stwierdzić, że państwo trzecie – poprzez swoje ustawodawstwo krajowe lub zobowiązania międzynarodowe – zapewnia odpowiedni stopień ochrony(2). W braku takiej decyzji stwierdzającej odpowiedni stopień ochrony, przekazanie to może nastąpić, tylko jeżeli podmiot przekazujący dane osobowe, mający siedzibę w Unii, ustanowi odpowiednie zabezpieczenia, które mogą wynikać w szczególności ze standardowych klauzul ochrony danych przyjętych przez Komisję, i jeżeli zainteresowane osoby dysponują egzekwowalnymi prawami i skutecznymi środkami ochrony prawnej(3). Poza tym RODO ustala w szczegółowy sposób warunki, w których przekazywanie danych może mieć miejsce w braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń(4).

Maximillian Schrems, mieszkający w Austrii obywatel tego kraju, jest użytkownikiem Facebooka od 2008 r. Tak jak w przypadku innych użytkowników zamieszkałych w Unii dane osobowe M. Schremsa są w całości lub w części przekazywane na serwery należące do spółki Facebook Inc. znajdujące się na terytorium Stanów Zjednoczonych, gdzie są przetwarzane. M. Schrems wniósł skargę do irlandzkiego organu nadzorczego zmierzającą zasadniczo do zakazania tego przekazywania. Podniósł on, że prawo i praktyka Stanów Zjednoczonych nie zapewniają wystarczającej ochrony przed dostępem organów publicznych do danych przekazywanych do tego kraju. Skarga ta została oddalona w szczególności ze względu na to, że w decyzji 2000/520(5) (zwanej „decyzją w sprawie bezpiecznej przystani”) Komisja stwierdziła, iż Stany Zjednoczone zapewniają odpowiedni stopień ochrony. Wyrokiem z dnia 6 października 2015 r. Trybunał, do którego High Court (wysoki trybunał, Irlandia) zwrócił się z pytaniem prejudycjalnym, orzekł nieważność tej decyzji (zwany dalej „wyrokiem Schrems I”)(6).

W następstwie wyroku Schrems I i późniejszego stwierdzenia przez sąd irlandzki nieważności decyzji oddalającej skargę M. Schremsa irlandzki organ nadzorczy wezwał go do przeformułowania skargi, mając na względzie stwierdzenie nieważności decyzji 2000/520 przez Trybunał. W przeformułowanej skardze M. Schrems utrzymuje, że Stany Zjednoczone nie zapewniają wystarczającej ochrony danych przekazywanych do tego państwa. Żąda on zawieszenia lub zakazania na przyszłość przekazywania jego danych osobowych z Unii do Stanów Zjednoczonych, które Facebook Ireland prowadzi obecnie na podstawie standardowych klauzul ochrony zawartych w załączniku do decyzji 2010/87(7). Uznawszy, że rozpatrzenie skargi M. Schremsa zależy w szczególności od ważności decyzji 2010/87, irlandzki organ nadzorczy wszczął postępowanie przed High Court, aby ten przedłożył Trybunałowi wniosek o wydanie orzeczenia w trybie prejudycjalnym. Po wszczęciu tego postępowania Komisja przyjęła decyzję 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–Stany Zjednoczone(8) (zwaną „decyzją w sprawie Tarczy Prywatności”).

We wniosku o wydanie orzeczenia w trybie prejudycjalnym sąd odsyłający zwraca się do Trybunału o wyjaśnienie, czy RODO ma zastosowanie do przekazywania danych osobowych opartego na standardowych klauzulach ochrony zawartych w decyzji 2010/87, jaki jest stopień ochrony wymagany przez to rozporządzenie w ramach takiego przekazywania danych oraz jakie obowiązki spoczywają w tym kontekście na organach nadzorczych. Ponadto High Court podnosi kwestię ważności zarówno decyzji 2010/87, jak i decyzji 2016/1250.

W dzisiejszym wyroku Trybunał stwierdza, że analiza decyzji 2010/87 w świetle karty praw podstawowych nie wykazuje żadnego elementu, który mógłby wpłynąć na jej ważność. Stwierdza natomiast nieważność decyzji 2016/1250.

Trybunał uważa przede wszystkim, że prawo Unii, a w szczególności RODO, ma zastosowanie do przekazywania danych osobowych w celach handlowych przez podmiot gospodarczy mający siedzibę w jednym państwie członkowskim do innego podmiotu gospodarczego z siedzibą w państwie trzecim, nawet jeśli w trakcie lub w następstwie tego przekazania dane te mogą być przetwarzane do celów bezpieczeństwa publicznego, obronności i bezpieczeństwa państwa przez organy danego państwa trzeciego. Komisja wyjaśnia, że ten rodzaj przetwarzania danych przez organy państwa trzeciego nie może wykluczyć takiego przekazania z zakresu stosowania rozporządzenia.

Co się tyczy poziomu ochrony wymaganego w ramach takiego przekazywania, Trybunał stwierdza, że wymogi przewidziane w tym celu w przepisach RODO, które dotyczą odpowiednich zabezpieczeń, egzekwowalnych praw oraz skutecznych środków ochrony prawnej, należy interpretować w ten sposób, że osoby, których dane osobowe są przekazywane do państwa trzeciego na podstawie klauzul ochrony danych, powinny korzystać z poziomu ochrony merytorycznie równoważnego poziomowi gwarantowanemu w Unii na podstawie tego rozporządzenia, interpretowanego w świetle karty. W tym kontekście wyjaśnia on, że ocena tego stopnia ochrony powinna uwzględniać zarówno postanowienia umowne uzgodnione między podmiotem przekazującym dane, mającym siedzibę w Unii, a podmiotem odbierającym z siedzibą w danym państwie trzecim, jak i – w odniesieniu do ewentualnego dostępu organów władzy publicznej tego państwa trzeciego do przekazanych w ten sposób danych – istotne elementy jego systemu prawnego.

Co się tyczy obowiązków spoczywających na organach nadzorczych w kontekście takiego przekazywania, Trybunał stwierdza, że – o ile nie istnieje ważna decyzja Komisji stwierdzająca odpowiedni stopień ochrony danych – same te organy są zobowiązane do zawieszenia lub zakazania przekazywania danych osobowych do państwa trzeciego, jeżeli uznają w świetle okoliczności towarzyszących temu przekazywaniu, że standardowe klauzule ochrony danych nie są lub nie mogą być przestrzegane w tym państwie trzecim, a ochrona przekazywanych danych, jakiej wymaga prawo Unii, nie może być zapewniona innymi środkami.

Trybunał bada następnie ważność decyzji 2010/87. Zdaniem Trybunału ważności tej decyzji nie podważa sam fakt, że standardowe klauzule ochrony danych zawarte w tej decyzji ze względu na ich umowny charakter nie wiążą organów państwa trzeciego, do którego może nastąpić przekazanie danych. Wyjaśnia natomiast, że ważność ta zależy od tego, czy wspomniana decyzja przewiduje skuteczne mechanizmy umożliwiające w praktyce zapewnienie przestrzegania stopnia ochrony wymaganego przez prawo Unii i czy odbywające się na podstawie takich klauzul przekazywanie danych osobowych zostanie w przypadku ich naruszenia lub niemożności ich przestrzegania zawieszone lub zakazane. Trybunał stwierdza, że decyzja 2010/87 wprowadza takie mechanizmy. W tym względzie podkreśla on w szczególności, że decyzja ta nakłada na podmiot przekazujący dane i na podmiot odbierający obowiązek uprzedniego sprawdzenia, czy w danym państwie trzecim jest przestrzegany ten stopień ochrony, i że zobowiązuje ona ten podmiot odbierający do poinformowania podmiotu przekazującego o swej ewentualnej niemożności zastosowania się do standardowych klauzul ochrony, w którym to przypadku do tego ostatniego należy zawieszenie przekazywania danych lub rozwiązanie umowy z pierwszym.

Wreszcie Trybunał przeprowadza badanie ważności decyzji 2016/1250 w świetle wymogów wynikających z RODO, interpretowanych w świetle postanowień karty gwarantujących poszanowanie życia prywatnego i rodzinnego, ochronę danych osobowych i prawo do skutecznej ochrony sądowej. W tym względzie Trybunał zauważa, że decyzja ta ustanawia, podobnie jak decyzja 2000/520, pierwszeństwo wymogów dotyczących bezpieczeństwa narodowego, interesu publicznego i przestrzegania ustawodawstwa amerykańskiego, umożliwiając w ten sposób ingerencje w prawa podstawowe osób, których dane są przekazywane do tego państwa trzeciego. Zdaniem Trybunału ograniczenia ochrony danych osobowych wynikające z wewnętrznych regulacji Stanów Zjednoczonych dotyczących dostępu i wykorzystywania przez amerykańskie organy władz publicznych takich danych przekazywanych z Unii do tego państwa trzeciego, a które Komisja oceniła w decyzji 2016/1250, nie są uregulowane w sposób odpowiadający wymogom, które są merytorycznie równoważne wymogom ustanowionym w prawie Unii przez zasadę proporcjonalności, ponieważ programy monitorowania oparte na tych regulacjach nie są ograniczone do tego, co ściśle konieczne. Opierając się na stwierdzeniach zawartych w tej decyzji, Trybunał zauważa, że w odniesieniu do niektórych programów nadzoru wspomniane regulacje nie wskazują w żaden sposób na istnienie ograniczeń ustanowionego w nim uprawnienia odnoszącego się do wdrażania programów, ani też na istnienie gwarancji dla osób nieamerykańskich potencjalnie objętych tymi programami. Trybunał dodaje, że o ile regulacje te przewidują wymogi, które władze amerykańskie powinny spełnić przy wdrażaniu danych programów nadzoru, o tyle nie przyznają one zainteresowanym osobom praw, które mogłyby być egzekwowalne wobec władz amerykańskich przed sądami.

Co się tyczy wymogu ochrony sądowej, Trybunał stwierdza, że wbrew temu, co Komisja ustaliła w decyzji 2016/1250, mechanizm mediacji, o którym mowa w tej decyzji, nie zapewnia tym osobom środka odwoławczego przed organem oferującym zabezpieczenia merytorycznie równoważne z zabezpieczeniami wymaganymi w prawie Unii, tak aby zapewnić zarówno niezależność Rzecznika przewidzianego w tym mechanizmie, jak i istnienie norm upoważniających Rzecznika do wydawania wiążących decyzji w odniesieniu do amerykańskich służb wywiadowczych. Z tych wszystkich względów Trybunał stwierdza nieważność decyzji 2016/1250.1      Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. 2016, L 119, s. 1).


2      Artykuł 45 RODO.


3      Artykuł 46 ust. 1 i ust. 2 lit. c) RODO.


4      Artykuł 49 RODO.


5      Decyzja Komisji 2000/520/WE z dnia 26 lipca 2000 r., przyjęta na mocy dyrektywy 95/46, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez departament handlu USA (Dz.U. 2000, L 215, s. 7)


6      Wyrok Trybunału z dnia 6 października 2015 r., Schrems, C‑362/14 (zob. również KP nr 117/15).


7      Decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46 Parlamentu Europejskiego i Rady (Dz.U. 2010, L 39, s. 5), zmieniona decyzją wykonawczą Komisji (UE) 2016/2297 z dnia 16 grudnia 2016 r. (Dz.U. 2016, L 344, s. 100).


8      Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r., przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (Dz.U. 2016, L 207, s. 1).