Byla C‑33/22
Österreichische Datenschutzbehörde
prieš
WK
(Verwaltungsgerichthof (Austrija) prašymas priimti prejudicinį sprendimą)
2024 m. sausio 16 d. Teisingumo Teismo (didžioji kolegija) sprendimas
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – SESV 16 straipsnis – Reglamentas (ES) 2016/679 – 2 straipsnio 2 dalies a punktas – Taikymo sritis – Išimtys – Į Sąjungos teisės taikymo sritį nepatenkanti veikla – ESS 4 straipsnio 2 dalis – Su nacionaliniu saugumu susijusi veikla – Valstybės narės parlamento įsteigtas tyrimo komitetas – Reglamento (ES) 2016/679 23 straipsnio 1 dalies a ir h punktai, 51 ir 55 straipsniai – Duomenų apsaugos priežiūros institucijos kompetencija – 77 straipsnis – Teisė pateikti skundą priežiūros institucijai – Tiesioginis veikimas“
1. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Taikymo sritis – Nukrypti leidžiančios nuostatos – Duomenų tvarkymas vykdant veiklą, kuriai netaikoma Sąjungos teisė – Valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigto tyrimo komiteto veikla – Neįtraukimas – Reglamentų taikymas
(SESV 16 straipsnio 2 dalies pirmas sakinys; Europos Parlamento ir Tarybos reglamento 2016/679 16 konstatuojamoji dalis ir 2 straipsnio 2 dalies a punktas)
(žr. 37–43 punktus, rezoliucinės dalies 1 punktą)
2. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Taikymo sritis – Nukrypti leidžiančios nuostatos – Duomenų tvarkymas vykdant veiklą, kuriai netaikoma Sąjungos teisė – Veikla, kuria siekiama užtikrinti nacionalinį saugumą arba kuri priskiriama prie tos pačios kategorijos – Sąvoka – Valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigto tyrimo komiteto veikla – Tyrimas dėl galimos politinės įtakos už valstybės saugumą atsakingai policijos institucijai – Neįtraukimas
(ESS 4 straipsnio 2 dalis, Europos Parlamento ir Tarybos reglamento 2016/679 16 konstatuojamoji dalis, 2 straipsnio 1 dalis ir 2 dalies a punktas bei 23 straipsnis)
(žr. 46, 50–57 punktus, rezoliucinės dalies 2 punktą)
3. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Nacionalinės priežiūros institucijos – Valstybės narės teisė įsteigti vienintelę priežiūros instituciją – Reglamentu priežiūros institucijai suteikta kompetencija – Konstitucinio lygmens nacionalinės teisės nuostatose įtvirtintas šios kompetencijos ribojimas – Neleistinumas – Sąjungos teisės viršenybė ir tiesioginis veikimas
(Europos Parlamento ir Tarybos reglamento 2016/679 117 konstatuojamoji dalis, 51 straipsnio 1 dalis, 55 straipsnio 1 ir 3 dalys ir 77 straipsnio 1 dalis)
(žr. 62–72 punktus, rezoliucinės dalies 3 punktą)
Santrauka
Gavęs Verwaltungsgerichtshof (Vyriausiasis administracinis teismas, Austrija) prašymą priimti prejudicinį sprendimą, Teisingumo Teismas (didžioji kolegija) nusprendė, kad BDAR(1) taikomas parlamento tyrimo komiteto veiklai.
Siekdama ištirti galimą politinę įtaką Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Federalinė Konstitucijos apsaugos ir kovos su terorizmu tarnyba, Austrija)(2), Nationalrat (Nacionalinė Taryba, Austrija) įsteigė tyrimo komitetą (toliau – BVT tyrimo komitetas). Šis komitetas apklausė WK kaip liudytoją. Nepaisant WK prašymo užtikrinti anonimiškumą, šios apklausos protokolas, kuriame buvo nurodyta visa jo pavardė ir vardai, buvo paskelbtas Parlament Österreich (Austrijos parlamentas) interneto svetainėje. Teigdamas, kad toks jo tapatybės atskleidimas prieštarauja BDAR ir Austrijos teisei(3), WK pateikė skundą Österreichische Datenschutzbehörde (Nacionalinė duomenų apsaugos institucija, Austrija) (toliau – Datenschutzbehörde). 2019 m. rugsėjo 18 d. sprendimu Datenschutzbehörde pripažino neturinti kompetencijos priimti sprendimo dėl skundo ir paaiškino, kad pagal valdžių padalijimo principą ji, kaip vykdomosios valdžios institucija, negali kontroliuoti BVT tyrimo komiteto, priskiriamo prie įstatymų leidžiamosios valdžios.
Bundesverwaltungsgericht (Federalinis administracinis teismas, Austrija) priėmus sprendimą, kuriuo buvo patenkintas WK skundas ir panaikintas Datenschutzbehörde sprendimas, pastaroji pateikė kasacinį skundą Vyriausiajam administraciniam teismui.
Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas Teisingumo Teismo paklausė, ar valstybės narės parlamento įsteigto tyrimo komiteto veikla patenka į BDAR taikymo sritį ir ar šis reglamentas taikomas, kai ši veikla susijusi su nacionalinio saugumo užtikrinimu. Be to, jis paprašė Teisingumo Teismo priimti sprendimą dėl to, ar pagal BDAR nacionalinei priežiūros institucijai, kaip antai Datenschutzbehörde, suteikiama kompetencija nagrinėti skundus dėl tyrimo komiteto vykdant savo veiklą atliekamo asmens duomenų tvarkymo.
Teisingumo Teismo vertinimas
Pirma, Teisingumo Teismas priminė, kad BDAR 2 straipsnio 2 dalies a punkto, kuriame numatyta, kad šis reglamentas netaikomas asmens duomenų tvarkymui, atliekamam vykdant veiklą, kuriai Sąjungos teisė netaikoma, vienintelis tikslas – į jo taikymo sritį neįtraukti duomenų tvarkymo, kurį atlieka valstybės institucijos, vykdydamos veiklą, kuria siekiama užtikrinti nacionalinį saugumą arba kuri gali būti priskirta prie tos pačios kategorijos. Taigi vien aplinkybės, kad veikla yra būdinga valstybei ar viešosios valdžios institucijai, nepakanka, kad tokia veikla automatiškai nepatektų į BDAR taikymo sritį(4).
Tokį aiškinimą, išplaukiantį iš to, kad nėra skirtumo, kas tvarko atitinkamus duomenis, patvirtina BDAR 4 straipsnio 7 punktas(5).
Teisingumo Teismas patikslino, kad BVT tyrimo komiteto parlamentinis pobūdis nereiškia, kad jo veikla nepatenka į BDAR taikymo sritį. Iš tiesų šio reglamento 2 straipsnio 2 dalies a punkte numatyta išimtis susijusi tik su veiklos kategorijomis, kurios dėl savo pobūdžio nepatenka į Sąjungos teisės taikymo sritį, o ne su asmenų kategorijomis. Taigi aplinkybė, kad asmens duomenis tvarko valstybės narės parlamento, naudojantis jam priklausančia vykdomosios valdžios kontrolės teise, įsteigtas tyrimo komitetas, savaime neleidžia daryti išvados, kad šie duomenys tvarkomi vykdant veiklą, kuri nepatenka į Sąjungos teisės taikymo sritį.
Antra, Teisingumo Teismas pažymėjo, kad nors pačios valstybės narės turi nustatyti savo esminius saugumo interesus ir imtis priemonių saugumui užtikrinti(6), vien tai, kad nacionalinė priemonė buvo priimta siekiant užtikrinti nacionalinį saugumą, nereiškia, kad Sąjungos teisė netaikoma ir kad valstybės narės neturi deramai jos laikytis. BDAR 2 straipsnio 2 dalies a punkte numatyta išimtis susijusi tik su veiklos kategorijomis, kurios dėl savo pobūdžio nepatenka į Sąjungos teisės taikymo sritį. Šiuo klausimu pažymėtina, jog vien aplinkybės, kad duomenų valdytojas yra viešosios valdžios institucija, kurios pagrindinė veikla yra užtikrinti nacionalinį saugumą, nepakanka, kad į BDAR taikymo sritį nepatektų asmens duomenų tvarkymas, kurį ši institucija atlieka vykdydama kitokio pobūdžio veiklą.
Nagrinėjamu atveju neatrodo, kad BVT tyrimo komiteto vykdoma politinė kontrolė savaime yra veikla, kuria siekiama užtikrinti nacionalinį saugumą arba kuri gali būti priskirta prie tos pačios kategorijos. Darytina išvada, kad ši veikla patenka į BDAR taikymo sritį, tačiau tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.
Vis dėlto parlamento tyrimo komitetas gali susipažinti su asmens duomenimis, kuriems dėl nacionalinio saugumo priežasčių turi būti taikoma ypatinga apsauga. Šiuo klausimu pažymėtina, kad BDAR numatytų teisių ir pareigų apribojimai gali būti nustatyti teisėkūros priemonėmis, siekiant, be kita ko, užtikrinti nacionalinį saugumą(7). Taigi šiuo pagrindu galima pateisinti apribojimus, susijusius su asmens duomenų rinkimu, duomenų subjektų informavimu ir jų prieiga prie šių duomenų arba jų atskleidimu be duomenų subjektų sutikimo kitiems asmenims nei duomenų valdytojas, jeigu tokiais apribojimais paisoma duomenų subjektų pagrindinių teisių ir laisvių esmės ir demokratinėje visuomenėje jie yra būtina ir proporcinga priemonė.
Vis dėlto Teisingumo Teismas pažymėjo, kad iš jam pateiktos informacijos nematyti, jog BVT tyrimo komitetas būtų teigęs, kad duomenų subjekto asmens duomenų atskleidimas buvo būtinas nacionaliniam saugumui užtikrinti ir grindžiamas šiuo tikslu numatyta nacionaline teisėkūros priemone, o tai prireikus dar turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.
Galiausiai, trečia, Teisingumo Teismas pažymėjo, kad dėl BDAR nuostatų, susijusių su nacionalinių priežiūros institucijų kompetencija ir teise pateikti skundą(8), nereikia priimti nacionalinių įgyvendinimo priemonių ir jos yra pakankamai aiškios, tikslios ir besąlyginės, kad būtų taikomos tiesiogiai. Darytina išvada, kad nors BDAR pripažinta valstybių narių diskrecija dėl įsteigtinų priežiūros institucijų skaičiaus(9), vis dėlto jame nustatyta šių institucijų kompetencijos prižiūrėti šio BDAR taikymą apimtis. Taigi tuo atveju, kai valstybė narė nusprendžia įsteigti vienintelę nacionalinę priežiūros instituciją, ši neišvengiamai turi visus šiame reglamente numatytus įgaliojimus. Bet koks kitas aiškinimas pakenktų šių BDAR nuostatų veiksmingumui ir galėtų susilpninti visų kitų jo nuostatų, su kuriomis gali būti susijęs skundas, veiksmingumą.
Dėl aplinkybės, kad pagal konstitucinio lygmens nacionalinės teisės nuostatas priežiūros institucija, kuri priskiriama prie vykdomosios valdžios, negali prižiūrėti, kaip įstatymų leidžiamosios valdžios organas taiko BDAR, Teisingumo Teismas pabrėžė, kad būtent paisant valstybių narių konstitucinės sandaros BDAR tik reikalaujama, kad jos įsteigtų bent vieną priežiūros instituciją, kartu suteikiant joms galimybę įsteigti kelias tokias institucijas. Taigi šiuo reglamentu kiekvienai valstybei narei pripažįstama diskrecija, leidžianti jai įsteigti tiek priežiūros institucijų, kiek jų reikia, be kita ko, pagal jos konstitucinę sandarą.
Be to, valstybės narės rėmimasis nacionalinės teisės nuostatomis negali pakenkti Sąjungos teisės vienodam taikymui ir veiksmingumui. Iš tiesų, Sąjungos teisės viršenybės principas daro poveikį visoms valstybės narės institucijoms ir tam negali kliudyti net ir konstitucinio lygmens vidaus nuostatos(10).
Taigi, jeigu naudodamasi savo diskrecija valstybė narė nusprendė įsteigti vienintelę priežiūros instituciją, ji negali remtis net konstitucinio lygmens nacionalinės teisės nuostatomis, siekdama į BDAR taikymo sritį patenkančiam asmens duomenų tvarkymui netaikyti šios institucijos vykdomos priežiūros.