Language of document : ECLI:EU:C:2006:346

TIESAS SPRIEDUMS (virspalāta)

2006. gada 30. maijā (*)

Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Gaisa transports – Lēmums 2004/496/EK – Nolīgums starp Eiropas Kopienu un Amerikas Savienotajām Valstīm – Lidmašīnu pasažieru personas dati, kas nosūtīti Amerikas Savienoto Valstu Muitas un robežapsardzes birojam – Direktīva 95/46/EK – 25. pants – Trešās valstis – Lēmums 2004/535/EK – Pietiekams aizsardzības līmenis

Apvienotās lietas C‑317/04 un C‑318/04,

par prasībām atcelt tiesību aktus atbilstoši EKL 230. pantam,

ko 2004. gada 27. jūlijā cēla

Eiropas Parlaments, ko pārstāv R. Pasoss [R. Passos], N. Lorencs [N. Lorenz], H. Dauntjers Tebenss [H. Duintjer Tebbens] un A. Kajola [A. Caiola], pārstāvji, kas norādīja adresi Luksemburgā,

prasītājs,

ko atbalsta:

Eiropas Datu aizsardzības uzraudzītājs (EDAU), ko pārstāv H. Heimans [H. Hijmans] un V. Pereza Asinari [V. Perez Asinari], pārstāvji,

persona, kas iestājusies lietā,

pret

Eiropas Savienības Padomi, ko pārstāv M. K. Džordži Forta [M. C. Giorgi Fort] un M. Bišops [M. Bishop], pārstāvji,

atbildētāja lietā C‑317/04,

ko atbalsta:

Eiropas Kopienu Komisija, ko pārstāv P. J. Kaupers [P. J. Kuijper], A. van Solinge [A. van Solinge] un K. Doksijs [C. Docksey], pārstāvji, kas norādīja adresi Luksemburgā,

Lielbritānijas un Ziemeļīrijas Apvienotā Karaliste, ko pārstāv M. Bezels [M. Bethell], K. Vaita [C. White] un T. Herisa [T. Harris], pārstāvji, kam palīdz T. Vards [T. Ward], barrister, kas norādīja adresi Luksemburgā,

personas, kas iestājušās lietā,

un pret

Eiropas Kopienu Komisiju, ko pārstāv P. J. Kaupers [P. J. Kuijper], A. van Solinge [A. van Solinge] un K. Doksijs [C. Docksey] un F. Benjons [F. Benyon], pārstāvji, kas norādīja adresi Luksemburgā,

atbildētāja lietā C‑318/04,

ko atbalsta:

Lielbritānijas un Ziemeļīrijas Apvienotā Karaliste, ko pārstāv M. Bezels [M. Bethell], K. Vaita [C. White] un T. Herisa [T. Harris], pārstāvji, kam palīdz T. Vards [T. Ward], barrister, kas norādīja adresi Luksemburgā,

persona, kas iestājusies lietā.

TIESA (virspalāta)

šādā sastāvā: priekšsēdētājs V. Skouris [V. Skouris], palātu priekšsēdētāji P. Janns [P. Jann], K. V. A. Timmermanss [C. W. A. Timmermans], A. Ross [A. Rosas] un J. Malenovskis [J. Malenovský], tiesneši N. Kolnerika [N. Colneric] (referente), S. fon Bārs [S. von Bahr], H. N. Kunja Rodrigess [J. N. Cunha Rodrigues], R. Silva de Lapuerta [R. Silva de Lapuerta], Dž. Arestis [G. Arestis], E. Borgs‑Bartets [A. Borg Barthet], M. Ilešičs [M. Ilešič] un J. Klučka [J. Klučka],

ģenerāladvokāts F. Ležē [P. Léger],

sekretāre M. Ferreira [M. Ferreira], galvenā administratore,

ņemot vērā rakstveida procesu un pēc tiesas sēdes 2005. gada 18. oktobrī,

noklausījusies ģenerāladvokāta secinājumus tiesas sēdē 2005. gada 22. novembrī,

pasludina šo spriedumu.

Spriedums

1        Prasības pieteikumā lietā C‑317/04 Eiropas Parlaments lūdz atcelt Padomes 2004. gada 17. maija Lēmumu 2004/496/EK par nolīguma noslēgšanu starp Eiropas Kopienu un Amerikas Savienotajām Valstīm attiecībā uz personas datu apstrādi un pārsūtīšanu, ko aviopārvadātāji veic ASV Nacionālās drošības ministrijas Muitas un robežsardzes departamentam (OV L 183, 83. lpp., labojumi OV 2005, L 255, 168. lpp.).

2        Prasības pieteikumā lietā C‑318/04 Eiropas Parlaments lūdz atcelt Komisijas 2004. gada 14. maija Lēmumu 2004/535/EK par pietiekamu aizsardzību Passenger Name Record iekļautajiem lidmašīnu pasažieru personas datiem, kas nosūtīti Amerikas Savienoto Valstu Muitas un robežapsardzes birojam (OV L 235, 11. lpp.; turpmāk tekstā – “Lēmums par atbilstību”).

 Atbilstošās tiesību normas

3        1950. gada 4. novembrī Romā parakstītās Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas (turpmāk tekstā – “ECTK”) 8. pants paredz:

“1.      Ikvienam ir tiesības uz savu privāto un ģimenes dzīvi, korespondences noslēpumu un dzīvokļa neaizskaramību.

2.      Valsts institūcijas nedrīkst traucēt nevienam baudīt šīs tiesības, izņemot gadījumos, kas paredzēti likumā un ir nepieciešami demokrātiskā sabiedrībā, lai aizstāvētu valsts un sabiedriskās drošības vai valsts ekonomiskās labklājības intereses, lai nepieļautu nekārtības vai noziegumus, lai aizsargātu veselību vai tikumību, vai lai aizstāvētu citu tiesības un brīvības.”

4        EKL 95. panta 1. punkta otrā teikuma redakcija ir šāda:

“Padome saskaņā ar 251. pantā minēto procedūru, apspriedusies ar Ekonomikas un sociālo lietu komiteju, paredz pasākumus, lai tuvinātu dalībvalstu normatīvos vai administratīvos aktus, kuri attiecas uz iekšējā tirgus izveidi un darbību.”

5        Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīva 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV L 281, 31. lpp.), ko grozījusi Eiropas Parlamenta un Padomes 2003. gada 29. septembra Regula (EK) Nr. 1882/2003, ar ko Padomes Lēmumam 1999/468/EK pielāgo noteikumus par komitejām, kuras palīdz Komisijai īstenot tai piešķirtās ieviešanas pilnvaras, kas noteiktas dokumentos, uz kuriem attiecas EK līguma 251. pantā minētā procedūra (OV L 284, 1. lpp.; turpmāk tekstā – “Direktīva”), tika pieņemta, balstoties uz EK līguma 100.a pantu (jaunajā redakcijā pēc grozījumiem – EKL 95. pants).

6        Tās vienpadsmitajā apsvērumā ir teikts, ka “šajā direktīvā iekļautie personas tiesību un brīvību, jo īpaši privātās dzīves neaizskaramības tiesību aizsardzības principi būtisko un paplašina Eiropas Padomes 1981. gada 28. janvāra Konvencijā par personas aizsardzību attiecībā uz personas datu automatizēto apstrādi iekļautos principus”.

7        Saskaņā ar Direktīvas trīspadsmito apsvērumu:

“[..] Kopienas tiesību akti neattiecas uz Līguma par Eiropas Savienību V un VI sadaļā norādītajām darbībām attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību vai valsts pasākumiem krimināltiesību jomā, neierobežojot saskaņā ar Eiropas Kopienas dibināšanas līguma 56. panta 2. punktu, 57. pantu vai 100.a pantu dalībvalstīm uzliktās saistības”.

8        Direktīvas piecdesmit septītajā apsvērumā ir teikts:

“[..] personu datu pārvedums uz trešo valsti, kura nenodrošina pietiekamu aizsardzības līmeni, jāaizliedz”.

9        Direktīvas 2. pants paredz:

“Šajā direktīvā:

a)      “personas dati” ir jebkura informācija attiecībā uz identificētu vai identificējamu fizisku personu (“datu subjektu”); identificējama persona ir tā, kuru var identificēt tieši vai netieši, norādot reģistrācijas numuru vai vienu vai vairākus šai personai raksturīgus fiziskās, fizioloģiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktorus;

b)      “personu datu apstrāde” (“apstrāde”) ir jebkura ar personas datiem veikta darbība vai darbību kopums ar vai bez automatizētiem līdzekļiem – kā vākšana, reģistrēšana, organizēšana, uzglabāšana, piemērošana vai pārveidošana, labošana, konsultēšana, izmantošana, atklāšana, pielietojot pārsūtīšanu, izplatīšanu vai darot tos pieejamus citādā veidā, grupēšana vai savienošana, piekļuves noslēgšana, dzēšana vai iznīcināšana;

[..].”

10      Atbilstoši Direktīvas 3. pantam:

“Darbības joma

1. Šī direktīva attiecas uz personas datu apstrādi pilnībā vai daļēji ar automatizētiem līdzekļiem un uz personas datu, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, apstrādi, kura netiek veikta ar automatizētiem līdzekļiem.

2. Šī direktīva neattiecas uz personas datu apstrādi:

–        tādu pasākumu gaitā, uz kuru neattiecas Kopienas tiesību akti, kā Līguma par Eiropas Savienību V un VI sadaļā paredzētie pasākumi un, jebkurā gadījumā, uz apstrādes operācijām attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību (ieskaitot valsts ekonomisko labklājību, ja apstrādes operācija attiecas uz valsts drošības jautājumiem) un uz valsts pasākumiem krimināltiesību jomā;

[..].”

11      Direktīvas 6. panta 1. punkts paredz:

“Dalībvalstis nosaka to, ka personas datiem jābūt:

[..]

b)      vāktiem konkrētiem, precīzi formulētiem un likumīgiem nolūkiem un tos nedrīkst tālāk apstrādāt ar šiem nolūkiem nesavienojamā veidā. Turpmāka datu apstrāde vēsturiskiem, statistiskiem vai zinātniskiem nolūkiem nav uzskatāma par nesavienojamu, ar noteikumu, ka dalībvalstis sniedz atbilstošas garantijas;

c)      adekvātiem, attiecīgiem un ne pārmērīgā apjomā attiecībā uz nolūkiem, kādiem tie savākti un/vai tālāk apstrādāti;

[..]

e)      saglabātiem veidā, kas pieļauj datu subjektu identifikāciju ne ilgāk, kā tas nepieciešams nolūkiem, kuriem datus vāca vai kuriem tos turpmāk apstrādā. [..]”

12      Direktīvas 7. pants nosaka:

“Dalībvalstis paredz to, ka personas datus var apstrādāt tikai, ja:

[..]

c)      [..] apstrāde vajadzīga, lai izpildītu uz personas datu apstrādātāju attiecināmas juridiskas saistības;

[..]

e)      [..] apstrāde vajadzīga sabiedrības interesēs realizējama uzdevuma izpildei vai personas datu apstrādātājam vai trešajai personai, kurai dati tiek atklāti, piešķirto oficiālo pilnvaru realizācijai;

[..]

f)      [..] apstrāde vajadzīga personas datu apstrādātāja vai trešo personu, kurām dati tiek atklāti, likumīgo interešu ievērošanai, izņemot, ja šīs intereses ignorē, ņemot vērā datu subjekta pamattiesību un brīvību intereses, kurām nepieciešama aizsardzība saskaņā ar 1. panta 1. punktu.”

13      Atbilstoši Direktīvas 8. panta 5. punkta pirmajai daļai:

“Uz noziedzīgiem nodarījumiem, kriminālas vajāšanas gadījumiem vai drošības pasākumiem attiecināmu datu apstrādi var veikt tikai valsts iestādes kontrolē vai, ja saskaņā ar attiecīgās valsts tiesībām ir paredzētas piemērotas speciālas garantijas atbilstoši dalībvalsts piešķirtam izņēmuma statusam saskaņā ar šīs valsts noteikumiem, kas paredz atbilstīgas speciālas garantijas. Tomēr pilnīgu reģistru par krimināliem notiesājošiem spriedumiem var uzglabāt tikai valsts iestādes kontrolē.”

14      Direktīvas 12. pants nosaka:

“Dalībvalstis garantē katram datu subjektam tiesības iegūt no personas datu apstrādātāja:

a)      bez ierobežojumiem samērīgos termiņos un bez pārmērīgas vilcināšanās vai izdevumiem:

–      apstiprinājumu, vai uz viņu attiecināmos datus apstrādā vai neapstrādā, un informāciju vismaz attiecībā uz apstrādes nolūkiem, attiecīgo datu kategorijām un saņēmējiem vai saņēmēju kategorijām, kuriem datus atklāj,

–      paziņojumu datu subjektam saprotamā formā par apstrādē esošajiem datiem un par jebkuru pieejamu informāciju attiecībā uz datu avotu,

–      informāciju par datu, kas uz viņu attiecas, jebkurā automatizētā apstrādē ietverto loģiku vismaz 15. panta 1. punktā norādīto automatizēto lēmumu gadījumā;

b)      atkarībā no apstākļiem datu izlabošanu, dzēšanu vai piekļuves noslēgšanu, ja šo datu apstrāde neatbilst šīs direktīvas noteikumiem, īpaši datu nepilnības vai neprecizitātes dēļ,

c)      paziņojumu trešajām personām, kurām dati atklāti, par jebkuru saskaņā ar b) apakšpunktu veikto izlabošanu, dzēšanu vai piekļuves noslēgšanu, ja vien tas neizrādās neiespējami vai nav saistīts ar nesamērīgām pūlēm.”

15      Direktīvas 13. panta 1. punkta redakcija ir šāda:

“Dalībvalstis var pieņemt tiesību aktus, lai ierobežotu 6. panta 1. punktā, 10. pantā, 11. panta 1. punktā, 12. pantā un 21. pantā paredzēto pienākumu un tiesību jomu, ja šāds ierobežojums ir nepieciešams aizsargpasākums:

a)      valsts drošībai;

b)      aizsardzībai;

c)      sabiedrības drošībai;

d)      kriminālsodāmu noziedzīgu nodarījumu vai reglamentētu profesiju ētikas pārkāpumu profilaksei, izziņai, atklāšanai un kriminālvajāšanai;

e)      dalībvalsts vai Eiropas Savienības svarīgās ekonomiskās vai finansiālās interesēs, ieskaitot monetāros, budžeta un nodokļu jautājumus;

f)      ar oficiālo pilnvaru realizāciju c), d) un e) apakšpunktā minētajos gadījumos pat laiku pa laikam saistītajai uzraudzībai, pārbaudei un reglamentējošām funkcijām;

g)      datu subjekta aizsardzībai vai citu personu tiesību un brīvību aizsardzībai.”

16      Direktīvas 22. pants paredz:

“Aizsardzības līdzekļi

Neierobežojot nevienu administratīva rakstura līdzekli, kuru var paredzēt, inter alia, 28. pantā minētajai uzraudzības iestādei pirms vēršanās tiesas iestādē, dalībvalstis nodrošina katras personas tiesības uz tiesiskas aizsardzības līdzekli par jebkuru tiesību, ko šai personai garantē minētajai datu apstrādei piemērojamais attiecīgās valsts likums, pārkāpumu.”

17      Direktīvas 25. un 26. pants veido IV nodaļu par personas datu pārsūtīšanu uz trešajām valstīm.

18      Direktīvas 25. pants “Principi” paredz:

“1. Dalībvalstis paredz to, ka personas datu, kuri atrodas apstrādē vai ir paredzēti apstrādei pēc pārsūtīšanas, pārsūtīšana var notikt tikai tad, ja, neierobežojot atbilstību attiecīgās valsts noteikumiem, kuri pieņemti saskaņā ar šīs direktīvas pārējiem noteikumiem, attiecīgā trešā valsts nodrošina pietiekamu aizsardzības līmeni.

2. Trešās valsts sniegtā aizsardzības līmeņa pietiekamība jānovērtē, paturot prātā visus ar datu pārsūtīšanas darbību vai datu pārsūtīšanas darbību kopumu cieši saistītos apstākļus; jo īpaši jāapsver datu raksturs, ierosinātās apstrādes darbības vai darbību nolūks un ilgums, izcelsmes valsts un valsts, kura ir galamērķis, attiecīgajā trešajā valstī spēkā esošās gan vispārējo, gan nozaru tiesību normas un šajā valstī ievērotie profesionālie noteikumi un drošības pasākumi.

3. Dalībvalstis un Komisija informē viena otru par gadījumiem, kad tās uzskata, ka trešā valsts nenodrošina pietiekamu aizsardzības līmeni 2. punkta nozīmē.

4. Ja Komisija saskaņā ar 31. panta 2. punktā paredzēto procedūru konstatē, ka trešā valsts nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, dalībvalstis veic vajadzīgos pasākumus, lai aizkavētu jebkādu tāda paša tipa datu pārsūtīšanu uz attiecīgo trešo valsti.

5. Atbilstīgā laikā Komisija sāk sarunas ar nolūku labot situāciju, kura izriet no secinājumiem, kas iegūti saskaņā ar 4. punktu.

6. Saskaņā ar 31. panta 2. punktā minēto procedūru Komisija var konstatēt, ka trešā valsts nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, pamatojoties uz savas valsts tiesībām vai uz starptautiskajām saistībām, kuras tā noslēgusi, jo īpaši uz 5. punktā minēto sarunu par personu privātās dzīves un pamatbrīvību un tiesību aizsardzību atzinumu.

Dalībvalstis veic nepieciešamos pasākumus, lai izpildītu Komisijas lēmumu.”

19      Atbilstoši Direktīvas 26. panta 1. punktam “Atkāpes”:

“Atkāpjoties no 25. panta un tad, ja vien konkrētus gadījumus reglamentējošās iekšējās tiesības neparedz citādi, dalībvalstis paredz to, ka personas datu pārsūtīšana vai pārsūtījumu kopums uz trešo valsti, kura nenodrošina pietiekamu aizsardzības līmeni, 25. panta 2. punkta nozīmē, var notikt ar noteikumu, ka:

a)      datu subjekts viennozīmīgi ir devis savu piekrišanu ierosinātajai datu pārsūtīšanai;

b)      vai pārsūtīšana vajadzīga, lai izpildītu līgumu starp datu subjektu un personas datu apstrādātāju vai lai īstenotu pēc datu subjekta pieprasījuma veiktos pasākumus, kuriem seko līguma noslēgšana;

c)      vai datu pārsūtīšana vajadzīga līguma noslēgšanai starp personas datu apstrādātāju un trešajām personām datu subjekta interesēs vai šāda līguma izpildei;

d)      vai datu pārsūtīšana vajadzīga vai ir likumīgi prasīta, pamatojoties uz svarīgām sabiedrības interesēm, vai juridisku prasību pamatojumam, realizācijai vai aizstāvībai;

e)      vai datu pārsūtīšana vajadzīga, lai aizsargātu datu subjekta būtiskas intereses;

f)      vai pārsūtīšanu izdara no reģistra, kurš saskaņā ar likumiem vai regulējumiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kurš ir pieejams, lai gūtu informāciju gan plaša sabiedrība, gan jebkura persona, kura var pierādīt likumīgu ieinteresētību, ciktāl likumā par informācijas pieejamību izvirzītie nosacījumi konkrētajā gadījumā tiek izpildīti.”

20      Balstoties uz Direktīvu, proti, uz tās 25. panta 6. punktu, Eiropas Kopienu Komisija pieņēma Lēmumu par atbilstību.

21      Šī lēmuma vienpadsmitais apsvērums nosaka:

CBP [United States Bureau of Customs and Border Protection (ASV Muitas un robežapsardzes birojs)] apstrādā tam pārsūtītos lidmašīnu pasažieru PNR [“Passenger Name Records” (pasažieru personas dati)] iekļautos personas datus atbilstīgi nosacījumiem, kas ir paredzēti 2004. gada 11. maija dokumentā Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection (CBP) (turpmāk tekstā – “Saistības”) un ASV valsts tiesību aktos tādā mērā, kā ir noteikts Saistībās.”

22      Saskaņā ar šī lēmuma piecpadsmito apsvērumu PNR datus izmantos vienīgi tādā nolūkā, lai novērstu un apkarotu terorismu un ar to saistītos noziegumus, citus smagus noziegumus, tostarp organizēto noziedzību, kas būtībā ir starptautiska, kā arī izvairīšanos no ordera vai apcietinājuma par šiem noziedzīgajiem nodarījumiem.

23      Saskaņā ar Lēmuma par atbilstību 1.–4. pantu:

“1. pants

Direktīvas 95/46/EK 25. panta 2. punkta nolūkā tiek uzskatīts, ka ASV Muitas un robežapsardzes birojs (Bureau of Customs and Border Protection, turpmāk tekstā – “CBP”) nodrošina pietiekamu aizsardzības līmeni no Kopienas tam pārsūtītajiem PNR datiem par lidojumiem uz ASV vai no ASV saskaņā ar pielikumā izklāstītajām saistībām.

2. pants

Šis lēmums attiecas tikai uz aizsardzības pietiekamību, ko CBP nodrošina, lai izpildītu Direktīvas 95/46/EK 25. panta 1. punkta prasības, un tas neietekmē citu minētās direktīvas noteikumu īstenošanai paredzētos citus nosacījumus vai ierobežojumus, kuri attiecas uz personas datu apstrādi dalībvalstīs.

3. pants

1.      Neierobežojot dalībvalstu kompetento iestāžu pilnvaras rīkoties nolūkā nodrošināt atbilstību valsts tiesību aktiem, kuri ir pieņemti saskaņā ar noteikumiem, kas nav Direktīvas 95/46/EK 25. panta noteikumi, šīs iestādes var īstenot savas pašreizējās pilnvaras, lai apturētu datu plūsmu uz CBP nolūkā aizsargāt indivīdus attiecībā uz viņu personas datu apstrādi šādos gadījumos:

a)      ja kompetenta ASV iestāde ir konstatējusi, ka CBP pārkāpj piemērojamos aizsardzības standartus; vai

b)      ja pastāv reāla iespēja, ka pielikumā norādītie aizsardzības standarti tiek pārkāpti un ka ir nopietns pamats uzskatīt, ka CBP neveic vai neveiks atbilstošus un savlaicīgus pasākumus, lai atrisinātu attiecīgo jautājumu, un turpmāka pārsūtīšana varētu radīt reālus būtiska kaitējuma draudus datu subjektiem, un dalībvalstu kompetentās iestādes šajos apstākļos ir pielikušas attiecīgās pūles, lai informētu CBP un dotu tam iespēju attiecīgi reaģēt.

2.      Apturēšanu atceļ, tiklīdz ir nodrošināti aizsardzības standarti un par to ir paziņots attiecīgo dalībvalstu kompetentajām iestādēm.

4. pants

1.      Ja, pamatojoties uz 3. pantu, pieņem pasākumus, dalībvalstis par to nekavējoties informē Komisiju.

2.      Dalībvalstis un Komisija informē cita citu par jebkādām izmaiņām aizsardzības standartos un par gadījumiem, kad to iestāžu darbība, kas ir atbildīgas par to, lai nodrošinātu, ka CBP ievēro pielikumā norādītos aizsardzības standartus, nenodrošina šādu standartu ievērošanu.

3.      Ja informācija, kas ir apkopota atbilstīgi 3. pantam un šā panta 1. un 2. punktam, apliecina, ka vairs netiek ievēroti vajadzīgie pamatprincipi, lai nodrošinātu pietiekamu aizsardzības līmeni fiziskām personām, vai arī ka jebkura iestāde, kas ir atbildīga par to, lai nodrošinātu, ka CBP ievēro pielikumā norādītos aizsardzības standartus, neefektīvi pilda savu uzdevumu, CBP ir jāinformē un vajadzības gadījumā jāpiemēro Direktīvas 95/46/EK 31. panta 2. punkta procedūra, lai atceltu vai apturētu šo lēmumu.”

24      Lēmuma par atbilstību pielikumā esošās “Valsts drošības departamenta (DHS) Muitas un robežapsardzes biroja (CBP) saistības” paredz:

“Atbalstot Eiropas Komisijas [..] plānu īstenot pilnvaras, kas tai piešķirtas saskaņā ar Direktīvas 95/46/EK [..] 25. panta 6. punktu, un pieņemt lēmumu par to, ka Valsts drošības departaments (Department of Homeland Security) [CBP] nodrošina pietiekamu aizsardzību saistībā ar aviopārvadātāju sūtītajiem [PNR] datiem, uz kuriem var attiekties minētā direktīva, CBP uzņemas šādas saistības [..].”

25      Šīs saistības sastāv no 48 punktiem, kas sadalīti šādās sadaļās: “Likumīgas tiesības saņemt PNR”, “Kā CBP izmanto PNR datus”, “Vajadzīgie dati”, “Sensitīvu datu apstrāde”, “Piekļūšana PNR datiem”, “PNR datu uzglabāšana atmiņā”, “CBP datorsistēmu drošība”, “PNR datu apstrāde un aizsardzība CBP”, “PNR datu sūtīšana citām valdības iestādēm”, “Informācija, pieeja un pārsūdzības iespējas PNR datu subjektiem”, “Saistību izpilde”, “Savstarpīgums”, “Saistību pārskatīšana un apturēšana”, “Tiesību vai precedenta neradīšana”.

26      Minēto saistību vidū ir norādītas šādas saistības:

“1)      Saskaņā ar likumu (United States Code, 49. sadaļas 44909(c)(3). iedaļa) un tā īstenošanas (pagaidu) noteikumiem (Code of Federal Regulations, 19. sadaļas 122.49.b iedaļa) katram aviopārvadātājam, kas veic starptautiskos pasažieru lidojumus uz Amerikas Savienotajām Valstīm vai no tām, ir jānodrošina CBP (iepriekšējais nosaukums – United States Customs Service) elektroniska pieeja PNR datiem, kādus tos apkopo un iekļauj aviopārvadātāja automatizētajās rezervēšanas/izlidošanas kontroles sistēmās (“rezervēšanas sistēmas”).

[..]

3)      CBP izmanto PNR datus vienīgi tādā nolūkā, lai novērstu un apkarotu: 1) terorismu un ar to saistītos noziegumus; 2) citus smagus noziegumus, tostarp organizēto noziedzību, kas pēc būtības ir starptautiska; un 3) izvairīšanos no ordera vai apcietinājuma par iepriekš minētajiem noziedzīgajiem nodarījumiem. PNR datu izmantošana šādos nolūkos ļauj CBP vērst savus resursus uz augsta riska problēmām, tādējādi atvieglojot un aizsargājot bona fide ceļošanu.

4)      Datu elementi, ko CBP pieprasa, ir uzskaitīti šā dokumenta A pielikumā. [..]

[..]

27)      CBP ieņems tādu nostāju saistībā ar jebkuru administratīvu vai tiesas procesu, kas izriet no FOIA [Freedom of Information Act] noteiktā pieprasījuma pēc PNR informācijas, kura tiek iegūta no aviopārvadātājiem, ka uz šādiem datiem saskaņā ar FOIA attiecas atbrīvojums no pienākuma izpaust.

[..]

29)      CBP, katru gadījumu izskatot atsevišķi, pēc saviem ieskatiem sniegs PNR datus vienīgi tādām citām valsts iestādēm, tostarp ārvalstu valdības iestādēm, kuru funkcijās ietilpst terorisma apkarošana vai tiesību aizsardzība, lai novērstu un apkarotu nodarījumus, kas ir noteikti šā dokumenta 3. punktā (iestādes, kurām CBP var sniegt šādus datus, šeit un turpmāk tekstā sauktas “izraudzītās iestādes”).

30)      CBP saprātīgi īstenos tiesības pēc saviem ieskatiem sūtīt PNR datus konkrētiem nolūkiem. CBP no sākuma novērtēs, vai iemesls PNR datu izpaušanai citai izraudzītajai iestādei atbilst konkrētajam nolūkam (skat. šā dokumenta 29. punktu). Ja tas tā būs, CBP izvērtēs, vai izraudzītā iestāde ir atbildīga par to likumu vai noteikumu, kuri ar šo nolūku saistīti, pārkāpumu novēršanu, par izmeklēšanu vai vajāšanu vai par šādu likumu vai noteikumu aizsardzību vai īstenošanu, gadījumos, kad CBP ir zināma informācija, kas norāda uz likuma pārkāpumiem vai iespējamiem likuma pārkāpumiem. Vērtējot, kādu labumu dos datu izpaušana, jāņem vērā visi zināmie apstākļi.

[..]

35)      Neviena šo Saistību apņemšanās neaizkavē PNR datu izmantošanu vai izpaušanu saistībā ar krimināllietu tiesvedību vai, ja kā citādi noteikts saskaņā ar likumu. CBP konsultēsies ar Eiropas Komisiju par to ASV tiesību aktu pieņemšanu, kas būtiski ietekmē šajās Saistībās iekļautās apņemšanās.

[..]

46)      Šīs Saistības ir piemērojamas trīs gadus un sešus mēnešus (3,5 gadus), sākot no dienas, kad stājas spēkā nolīgums starp Amerikas Savienotajām Valstīm un Eiropas Savienību [Eiropas Kopienu], saskaņā ar kuru ir atļauta aviopārvadātāju veiktā PNR datu apstrāde to sūtīšanas nolūkos uz CBP atbilstīgi direktīvai. [..]

47) Šīs Saistības nerada un nedod nekādas tiesības vai priekšrocības nevienai personai vai pusei neatkarīgi no tā, vai tā ir privāta vai publiska.

[..]”

27      Saistību “A” pielikumā ir norādīti “PNR datu elementi”, ko CBP pieprasa no aviopārvadātājiem. Cita starpā šajos elementos ietilpst “Pasažiera PNR rezervācijas kods”, rezervācijas datums, vārds, adrese, visa veida maksājumu informācija, kontakttālruņu numuri, ceļojumu aģentūra, pasažiera lidojumu statuss, e‑pasta adrese, vispārīgas piezīmes, sēdvietas numurs, dati par neierašanos, kā arī jebkāda apkopotā papildu informācija (APIS – “Advanced Passenger Information System”).

28      Padome pieņēma Lēmumu 2004/496, īpaši balstoties uz EKL 95. pantu kopā ar EKL 300. panta 2. punkta pirmās daļas pirmo teikumu.

29      Saskaņā ar šī lēmuma trīs apsvērumiem:

1)      2004. gada 23. februārī Padome deva atļauju Komisijai Kopienas vārdā risināt sarunas par nolīgumu ar Amerikas Savienotajām Valstīm attiecībā uz personas datu apstrādi un pārsūtīšanu, ko veic aviopārvadātāji ASV Nacionālās drošības ministrijas Muitas un robežsardzes departamentam;

2)      Eiropas Parlaments nav iesniedzis savu atzinumu Padomes noteiktajā termiņā, ievērojot Līguma 300. panta 3. punkta pirmo daļu, ņemot vērā steidzamo vajadzību labot situāciju, kas radusies aviosabiedrībām un pasažieriem, kā arī lai aizsargātu iesaistīto pušu finanšu intereses;

3)      Šis nolīgums ir jāapstiprina”.

30      Lēmuma 2004/496 1. pants paredz:

“Ar šo nolīgums starp Eiropas Kopienu un Amerikas Savienotajām Valstīm attiecībā uz personas datu apstrādi un pārsūtīšanu, ko aviopārvadātāji veic ASV Nacionālās drošības ministrijas Muitas un robežsardzes departamentam, tiek apstiprināts Kopienas vārdā.

Nolīguma teksts ir pievienots šim lēmumam.”

31      Minētā nolīguma (turpmāk tekstā – “Nolīgums”) redakcija ir šāda:

“Eiropas Kopiena un Amerikas Savienotās Valstis,

atzīstot, cik svarīgi ir ievērot pamattiesības un brīvības, jo īpaši privātās dzīves neaizskaramību, kā arī to, cik svarīgi ir šīs vērtības ievērot, vienlaikus novēršot terorismu un ar to saistītus noziegumus, un citus smagus pārrobežu rakstura noziegumus, tostarp organizēto noziedzību, kā arī cīnoties pret tiem;

ņemot vērā ASV statūtus un noteikumus, kas prasa katram aviopārvadātājam, kas veic pasažieru lidojumus ārzemju gaisa transporta līdzekļos uz vai no Savienotajām Valstīm, nodrošināt Nacionālās drošības ministrijas (še turpmāk “NDM”) Muitas un robežsardzes departamentu (še turpmāk “MRD”) ar elektronisku pieeju Pasažieru ziņu ieraksta (še turpmāk “PZI”) datiem, kurā ir tā informācija, kas iegūta un uzglabāta aviopārvadātāja automātiskajās rezervāciju/izlidošanas kontroles sistēmās;

ņemot vērā [..] Direktīvu 95/46/EK [..] un jo īpaši tās 7. panta c) punktu;

ņemot vērā MRD 2004. gada 11. maijā izsludinātās saistības, kas tiks publicētas Federālajā reģistrā (še turpmāk “saistības”);

ņemot vērā Komisijas 2004. gada 14. maija Lēmumu 2004/535/EK, kas pieņemts, ievērojot Direktīvas 95/46/EK 25. panta 6. punktu, kurā ir atzīts, ka MRD nodrošina atbilstošu aizsardzības līmeni PZI, kas ir pārņemts no Eiropas Kopienas (še turpmāk “Kopiena”), attiecībā uz lidojumiem uz vai no ASV saskaņā ar saistībām, kas ir ietvertas šā lēmuma pielikumā (še turpmāk “Lēmums”);

atzīmējot, ka aviopārvadātājiem, kam Eiropas Kopienas dalībvalstu teritorijā ir rezervāciju/izlidošanas kontroles sistēmas, būtu jānodrošina PZI pārsūtīšana MRD, tiklīdz tas tehniski ir iespējams, bet, kamēr tas nav iespējams, ASV iestādēm būtu jādod tieša pieeja šiem datiem saskaņā ar šā nolīguma noteikumiem;

[..]

ir vienojušās par turpmāko:

1.      MRD var iegūt elektronisku pieeju aviopārvadātāju rezervācijas/ izlidošanas kontroles sistēmu rezervācijas sistēmas PZI datiem, kuras atrodas Eiropas Kopienas dalībvalstu teritorijā, tikai ciešā saskaņā ar šo lēmumu un līdz laikam, kamēr šo lēmumu piemēro, un tikai tikmēr, kamēr aviopārvadātājiem ir nodrošināta apmierinoša sistēma šādu datu pārsūtīšanai.

[Teksts angļu valodā: “CBP may electronically access the PNR data from air carriers reservation/departure control systems (‘reservation systems’) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers”.]

2.      Aviopārvadātāji, kas veic pasažieru lidojumus ārzemju gaisa transporta līdzekļos uz vai no Savienotajām Valstīm, apstrādā savus automātisko rezervācijas sistēmu PZI datus atbilstīgi MRD prasībām un saskaņā ar ASV tiesību aktiem, kā arī ciešā saskaņā ar šo lēmumu un tik ilgi, kamēr šo lēmumu piemēro.

3.      MRD ievēro šo lēmumu un apstiprina, ka tas ievēro šā lēmuma pielikumā ietvertās saistības.

4.      MRD apstrādā saņemtos PZI datus un attiecas pret šādai apstrādei pakļautajiem datu subjektiem saskaņā ar piemērojamajiem ASV tiesību aktiem un konstitucionālajām prasībām, bez prettiesiskas diskriminācijas, jo īpaši uz tautības un dzīvesvietas valsts pamata.

[..]

7.      Šis nolīgums stājas spēkā no tā parakstīšanas brīža. Abas puses var lauzt šo nolīgumu jebkurā laikā, par to paziņojot caur diplomātiskiem kanāliem. Līgums tiek lauzts deviņdesmit (90) dienu laikā no dienas, kad paziņojums par līguma laušanu ir iesniegts otrai Pusei. Šo nolīgumu var grozīt jebkurā laikā, pusēm par to savstarpēji rakstiski vienojoties.

8.      Šā nolīguma nolūks nav radīt atkāpes no pušu tiesību aktiem vai tos grozīt. Tāpat šis Nolīgums nerada un nepiešķir nekādas tiesības vai labumu nevienai privātai vai publiskai personai vai organizācijai.”

32      Saskaņā ar Padomes sniegto informāciju par tā spēkā stāšanās dienu (OV 2004, C 158, 1. lpp.) Nolīgums, ko Vašingtonā 2004. gada 28. maijā parakstīja Padomes prezidentūras pārstāvis un ASV Nacionālās Drošības ministrs, atbilstoši tā 7. punktam ir stājies spēkā tā parakstīšanas dienā.

 Prāvu priekšvēsture

33      Pēc 2001. gada 11. septembra teroristu uzbrukumiem ASV tā paša gada novembrī pieņēma tiesību aktus, kas noteica, ka aviopārvadātājiem, kas veic lidojumus uz vai no ASV, vai šķērsojot tās teritoriju, ir jāsniedz ASV muitas dienestiem elektroniska pieeja savām automātiskajām rezervāciju un izlidošanas kontroles sistēmām, ko apzīmē ar vārdu savienojumu “Passenger Name Records” (turpmāk tekstā – “PNR dati”). Atzīstot attiecīgo drošības interešu leģitimitāti, Komisija pēc 2002. gada jūnija informēja ASV iestādes, ka šie noteikumi varētu nonākt pretrunā Kopienu un dalībvalstu tiesību aktiem datu aizsardzības jomā un dažiem Padomes 1989. gada 24. jūlija Regulas (EEK) Nr. 2299/89 par rīcības kodeksu attiecībā uz datorizētām rezervēšanas sistēmām (OV L 220, 1. lpp.), ko grozījusi Padomes 1999. gada 8. februāra Regula (EK) Nr. 323/1999 (OV L 40, 1. lpp.), nosacījumiem. ASV iestādes ziņoja par jauno noteikumu stāšanos spēkā, bet galu galā atteicās nepiemērot sankcijas aviosabiedrībām, kas neievērotu tiesību aktus par elektronisko pieeju PNR datiem pēc 2003. gada 5. marta. Pēc šī brīža vairākas lielas Eiropas Savienības sabiedrības sniedza minētajām iestādēm pieeju saviem PNR datiem.

34      Komisija uzsāka pārrunas ar ASV iestādēm, pēc kurām tika pieņemts dokuments ar CBP saistībām (“undertakings”), lai Komisija pieņemtu Lēmumu par atbilstību, balstoties uz Direktīvas 25. panta 6. punktu.

35      2003. gada 13. jūnijā ar Direktīvas 29. pantu izveidotā darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi sniedza atzinumu, kurā tā pauda šaubas par datu aizsardzības līmeni, ko nodrošina minētās saistības attiecībā uz paredzēto datu apstrādi. Tā atkārtoti pauda šaubas 2004. gada 29. janvāra atzinumā.

36      2004. gada 1. martā saskaņā ar Direktīvas 25. panta 6. punktu Komisija iesniedza Parlamentā Lēmuma par atbilstību projektu kopā ar CBP saistību projektu.

37      2004. gada 17. martā Komisija, vēloties sākt EKL 300. panta 3. punkta pirmajā daļā paredzēto apspriedi, nosūtīja Parlamentam Padomes lēmuma priekšlikumu par Nolīguma slēgšanu ar ASV. 2004. gada 25. marta vēstulē, atsaucoties uz steidzamības procedūru, Padome lūdza Parlamentam sniegt atzinumu par šo priekšlikumu vēlākais līdz 2004. gada 22. aprīlim. Šajā vēstulē Padome uzsvēra, ka “cīņa pret terorismu, kas pamato piedāvātos pasākumus, ir būtiska Eiropas Savienības prioritāte, [ka] pašlaik aviopārvadātāji un pasažieri atrodas nenoteiktības stāvoklī, kas steidzami jānovērš, [un ka] turklāt ir jāaizsargā attiecīgo pušu finanšu intereses”.

38      2004. gada 31. martā, piemērojot 8. pantu Padomes 1999. gada 28. jūnija Lēmumā 1999/468/EK, ar ko nosaka Komisijai piešķirto ieviešanas pilnvaru īstenošanas kārtību (OV L 184, 23. lpp.), Parlaments pieņēma rezolūciju, kurā bija izteikti vairāki juridiski iebildumi par iesniegto priekšlikumu. Šajā rezolūcijā Parlaments uzskatīja, ka Lēmuma par atbilstību projekts pārsniedz pilnvaras, ko Komisijai piešķir Direktīvas 25. pants. Tas aicināja noslēgt atbilstošu starptautisku nolīgumu, noteiktos rezolūcijā minētos jautājumos ievērojot pamattiesības, un aicināja Komisiju tam iesniegt jaunu lēmuma projektu. Turklāt Parlaments sev paturēja tiesības vērsties Tiesā, lai pārbaudītu paredzētā starptautiskā nolīguma likumību un it īpaši tā atbilstību tiesībām uz privātās dzīves neaizskaramību.

39      2004. gada 21. aprīlī Parlaments pēc priekšsēdētāja lūguma apstiprināja Juridiskās un Iekšējā tirgus komisijas ieteikumu saskaņā ar EKL 300. panta 6. punktu pieprasīt Tiesas atzinumu par to, vai paredzētais nolīgums ir saderīgs ar Līguma noteikumiem. Šī procedūra tika uzsākta tajā pašā dienā.

40      Parlaments tajā pašā dienā arī nolēma nosūtīt komisijai ziņojumu par Padomes lēmuma priekšlikumu, tādā veidā šajā stadijā netieši noraidot lūgumu izskatīt steidzamības kārtā Padomes 25. martā iesniegto priekšlikumu.

41      28. aprīlī Padome, pamatojoties uz EKL 300. panta 3. punkta pirmo daļu, nosūtīja Parlamentam vēstuli, lūdzot tam līdz 2004. gada 5. maijam sniegt atzinumu par lēmuma noslēgt Nolīgumu priekšlikumu. Lai pamatotu šī lūguma steidzamību, Padome atkārtoja 2004. gada 25. marta vēstulē minētos iemeslus.

42      Ņemot vērā, ka ilgstoši nebija pieejama Padomes lēmuma priekšlikuma redakcija visās valodās, Parlaments 2004. gada 4. maijā noraidīja lūgumu izskatīt steidzamības kārtā Padomes 28. aprīlī iesniegto priekšlikumu.

43      14. maijā Komisija pieņēma Lēmumu par atbilstību, kas tiek aplūkots lietā C‑318/04. 2004. gada 17. maijā Padome pieņēma Lēmumu 2004/496, kas tiek aplūkots lietā C‑317/04.

44      2004. gada 4. jūnija vēstulē Padomes prezidentūra informēja Parlamentu, ka Lēmumā 2004/496 ievērota cīņa pret terorismu – Eiropas Savienības prioritāte – un vajadzība novērst aviosabiedrību tiesiskās nedrošības stāvokli, kā arī aizsargāt to finanšu intereses.

45      2004. gada 9. jūlija vēstulē Padome informēja Tiesu par sava lūguma sniegt atzinumu, kas reģistrēts ar Nr. 1/04, atsaukšanu.

46      Lietā C‑317/04 ar Tiesas priekšsēdētāja 2004. gada 18. novembra un 2005. gada 18. janvāra rīkojumiem Komisijai un Lielbritānijas un Ziemeļīrijas Apvienotajai Karalistei tika atļauts iestāties lietā Padomes prasījumu atbalstam.

47      Lietā C‑318/04 ar Tiesas priekšsēdētāja 2004. gada 17. decembra rīkojumu Apvienotajai Karalistei tika atļauts iestāties lietā Komisijas prasījumu atbalstam.

48      Ar Tiesas 2005. gada 17. marta rīkojumiem Eiropas Datu aizsardzības uzraudzītājam tika atļauts iestāties šajās abās lietās Parlamenta prasījumu atbalstam.

49      Ievērojot minēto lietu savstarpējo saistību, kas tika apstiprināta mutvārdu procesa laikā, atbilstoši Reglamenta 43. pantam šīs lietas ir jāapvieno sprieduma pieņemšanai.

 Par prasību lietā C‑318/04

50      Parlaments norāda uz četriem atcelšanas pamatiem, kas attiecīgi izriet no pilnvaru pārsniegšanas, būtisku Direktīvas principu pārkāpšanas, pamattiesību pārkāpšanas un samērīguma principa pārkāpšanas.

 Par pirmā pamata pirmo daļu, kas izriet no Direktīvas 3. panta 2. punkta pirmā ievilkuma pārkāpuma

 Lietas dalībnieku argumenti

51      Parlaments apgalvo, ka Komisijas lēmums tika pieņemts ultra vires, jo nav ievērotas Direktīvas normas, un it īpaši ir pārkāpts 3. panta 2. punkta pirmais ievilkums attiecībā uz pasākumiem, kas neietilpst Kopienu tiesību piemērošanas jomā.

52      Nav šaubu, ka tiek un tiks veikta PNR datu apstrāde pēc to nodošanas ASV iestādei, kas norādīta Lēmumā par atbilstību, lai tiktu īstenoti valsts pasākumi 2003. gada 6. novembra sprieduma lietā Lindqvist (C‑101/01, Recueil, I‑12971. lpp.) 43. punkta izpratnē.

53      Komisija, kuru atbalsta Apvienotā Karaliste, uzskata, ka aviopārvadātāju darbības skaidri ietilpst Kopienu tiesību piemērošanas jomā. Tā norāda, ka šie privātie uzņēmēji Kopienā apstrādā PNR datus un organizē to pārsūtīšanu uz trešajām valstīm. Tādējādi tās ir darbības, ko veic privātpersonas, nevis dalībvalstis, kurās darbojas attiecīgie pārvadātāji, vai valsts iestādes, kā to noteikusi Tiesa iepriekš minētā sprieduma lietā Lindqvist 43. punktā. Aviopārvadātāju mērķis PNR datu apstrādē ir tikai ievērot Kopienu tiesību normas, tostarp arī Nolīguma 2. punktā minēto pienākumu. Direktīvas 3. panta 2. punkts atsaucas tikai uz valsts iestāžu pasākumiem, kas neietilpst Kopienu tiesību piemērošanas jomā.

 Tiesas vērtējums

54      Direktīvas 3. panta 2. punkta pirmais ievilkums izslēdz no tās piemērošanas jomas personas datu apstrādi, īstenojot tādus pasākumus, uz kuriem neattiecas Kopienas tiesību akti, kā Līguma par Eiropas Savienību V un VI sadaļā paredzētie pasākumi un, jebkurā gadījumā, uz apstrādes operācijām attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un uz valsts pasākumiem krimināltiesību jomā.

55      Lēmums par atbilstību attiecas tikai uz PNR datiem, kas nosūtīti CBP. No šī lēmuma sestā apsvēruma izriet, ka šīs pārsūtīšanas prasības ir pamatotas ar ASV 2001. gada novembrī pieņemto likumu un ar īstenošanas noteikumiem, ko pieņēma CBP atbilstīgi šim likumam. Saskaņā ar minētā lēmuma septīto apsvērumu minēto ASV tiesību aktu nolūks ir pastiprināt drošību un nosacījumus, saskaņā ar kuriem personas drīkst iebraukt valstī un izbraukt no tās. Atbilstoši astotajam apsvērumam Kopiena pilnībā apņemas atbalstīt ASV cīņā ar terorismu Kopienas tiesību robežās. Šī lēmuma piecpadsmitais apsvērums noteic, ka PNR dati ir izmantojami vienīgi tādā nolūkā, lai novērstu un apkarotu terorismu un ar to saistītos noziegumus; citus smagus noziegumus, tostarp organizēto noziedzību, kas būtībā ir starptautiska; kā arī izvairīšanos no ordera vai apcietinājuma par šiem noziedzīgajiem nodarījumiem.

56      No tā izriet, ka PNR datu nosūtīšana CBP ir uzskatāma par apstrādi, kuras mērķis ir sabiedriskā drošība un valsts pasākumi krimināltiesību jomā.

57      Kaut arī ir pareizi uzskatīt, ka PNR datus sākumā apkopo aviosabiedrības tādu pasākumu ietvaros, kas paredzēti Kopienu tiesībās, proti, lidmašīnas biļešu pārdošanai, kas dod tiesības uz pakalpojumu sniegšanu, tomēr datu apstrādei, kas ir paredzēta Lēmumā par atbilstību, ir pavisam cits raksturs. Kā tas ir atgādināts šī sprieduma 55. pantā, šis lēmums neattiecas uz datu apstrādi, kas ir nepieciešama pakalpojumu sniegšanai, bet gan uz apstrādi, kas nepieciešama, lai nodrošinātu sabiedrisko drošību, un represīvos nolūkos.

58      Iepriekš minētā sprieduma lietā Lindqvist 43. punktā, ko savā aizstāvībā minēja Komisija, Tiesa nosprieda, ka Direktīvas 3. panta 2. punkta pirmajā ievilkumā norādītie pasākumu piemēri katrā ziņā ir valsts vai valsts iestāžu pasākumi, kas neietilpst privātpersonu darbības lokā. Tomēr no tā neizriet, ka sakarā ar to, ka privātie uzņēmēji ir apkopojuši PNR datus komercdarbības nolūkā un organizē to pārsūtīšanu uz trešajām valstīm, šāda pārsūtīšana neietilpst šīs normas piemērošanas jomā. Šī pārsūtīšana ietilpst valsts varas noteiktajos ietvaros un attiecas uz sabiedrisko drošību.

59      No iepriekš minētajiem apsvērumiem izriet, ka Lēmums par atbilstību attiecas uz personas datu apstrādi Direktīvas 3. panta 2. punkta pirmā ievilkuma izpratnē.

60      Līdz ar to pirmā pamata pirmā daļa, kas izriet no Direktīvas 3. panta 2. punkta pirmā ievilkuma pārkāpuma, ir pamatota.

61      Līdz ar to, nepastāvot vajadzībai aplūkot citas pirmā pamata daļas, kā arī citus Parlamenta norādītos pamatus, ir jāatceļ Lēmums par atbilstību.

 Par prasību lietā C‑317/04

62      Parlaments norāda uz sešiem atcelšanas pamatiem, kas izriet no nepareizas EKL 95. panta izvēles par Lēmuma 2004/496 juridisko pamatu un, attiecīgi, no EKL 300. panta 3. punkta otrās daļas, ECTK 8. panta, samērīguma principa, prasības norādīt pamatojumu un lojālas sadarbības principa pārkāpšanas.

 Par pirmo pamatu, kas izriet no nepareizas EKL 95. panta izvēles par Lēmuma 2004/496 juridisko pamatu

 Lietas dalībnieku argumenti

63      Parlaments norāda, ka EKL 95. pants nav atbilstošs juridiskais pamats Lēmumam 2004/496. Šī lēmuma mērķis un saturs neattiecas uz iekšējā tirgus izveidi un darbību, atceļot šķēršļus pakalpojumu sniegšanas brīvībai, un Lēmumā nav normu, kas attiektos uz šāda mērķa sasniegšanu. Lēmuma mērķis ir legalizēt personas datu apstrādi, ko paredz ASV tiesību akti. Turklāt EKL 95. pants nevar radīt Kopienas kompetenci noslēgt nolīgumu, jo tas attiecas uz datu apstrādi, kas ir izslēgta no Direktīvas piemērošanas jomas.

64      Padome apgalvo, ka Direktīva, kas ir pareizi pieņemta, balstoties uz Līguma 100.a pantu, savā 25. pantā ietver noteikumus, kas paredz iespēju pārsūtīt personas datus uz trešo valsti, kas nodrošina pietiekamu aizsardzības līmeni, ieskaitot iespēju nepieciešamības gadījumā uzsākt sarunas līguma noslēgšanai starp Kopienu un šo valsti. Nolīgums attiecas uz PNR datu brīvu apriti starp Kopienu un ASV tādos apstākļos, kuros tiek ievērotas cilvēku brīvības un pamattiesības, to skaitā arī tiesības uz privātās dzīves neaizskaramību. Tā mērķis ir novērst tādus konkurences izkropļojumus starp dalībvalstu aviosabiedrībām, kā arī starp šīm sabiedrībām un trešo valstu aviosabiedrībām, kas varētu izrietēt no ASV prasībām sakarā ar cilvēktiesību un brīvību aizsardzību. Konkurences apstākļi starp dalībvalstu sabiedrībām, kas nodrošina starptautiskos pasažieru pārvadājumus no un uz ASV, varētu tikt izkropļoti, tādēļ ka tikai dažas sabiedrības ir sniegušas ASV iestādēm pieeju savām datu bāzēm. Nolīgums uzliktu visām attiecīgajām sabiedrībām saskaņotus pienākumus.

65      Komisija uzsver, ka starptautisko publisko tiesību nozīmē pastāv “tiesību kolīzija” starp ASV tiesību aktiem un Kopienu tiesisko regulējumu, kas ir jāsaskaņo. Tā pārmet Parlamentam, kas apstrīd, ka EKL 95. pants varētu veidot juridisko pamatu Lēmumam 2004/496, ka Parlaments nav piedāvājis atbilstošu juridisko pamatu. Komisija uzskata, ka minētais pants ir šī Lēmuma “dabisks juridiskais pamats”, jo Nolīgums attiecas uz ārējiem aspektiem personas datu aizsardzībai šo datu pārsūtīšanas Kopienā laikā. Direktīvas 25. un 26. pants pamato ārējo ekskluzīvo Kopienas kompetenci.

66      Papildus Komisija norāda, ka aviosabiedrības veic šāda veida datu sākotnējo apstrādi komercdarbības nolūkos. Izmantošana, ko veic ASV iestādes, nevar novērst Direktīvas piemērošanu.

 Tiesas vērtējums

67      EKL 95. pants kopā ar Direktīvas 25. pantu nevar radīt Kopienas kompetenci Nolīguma noslēgšanai.

68      Nolīgums attiecas uz to pašu datu pārsūtīšanu, uz ko attiecas Lēmums par atbilstību, un tādējādi – uz tādu datu apstrādi, kas, kā jau tas tika minēts iepriekš, neietilpst Direktīvas piemērošanas jomā.

69      Līdz ar to Lēmums 2004/496 nevarēja tikt likumīgi pieņemts, balstoties uz EKL 95. pantu.

70      Nepastāvot vajadzībai aplūkot citus Parlamenta norādītos pamatus, ir jāatceļ šis lēmums.

 Par sprieduma iedarbības ierobežošanu

71      No Nolīguma 7. punkta izriet, ka abas puses var to lauzt jebkurā laikā un ka tas zaudē spēku 90 dienu laikā no dienas, kad paziņojums par līguma laušanu ir iesniegts otrai pusei.

72      Tomēr saskaņā ar Nolīguma 1. un 2. punktu CBP pieejas tiesības PNR datiem un pienākums aviopārvadātājiem tos apstrādāt atbilstoši CBP prasībām pastāv tikai Lēmuma par atbilstību piemērošanas laikā. Minētā nolīguma 3. punktā CBP ir paziņojis, ka tas īstenos minētā lēmuma pielikumā ietvertās saistības.

73      Pirmkārt, ievērojot apstākli, ka Kopiena nevar balstīties uz savām tiesībām, lai pamatotu Nolīguma neizpildi, kas ir piemērojams vēl 90 dienas no tā laušanas dienas, un, otrkārt, ievērojot ciešo saistību starp Nolīgumu un Lēmumu par atbilstību, ir pamatoti tiesiskās drošības dēļ un, lai aizsargātu attiecīgās personas, saglabāt Lēmuma par atbilstību iedarbību šajā laika posmā. Turklāt ir jāņem vērā nepieciešamais laika posms, lai pieņemtu pasākumus šī sprieduma izpildei.

74      Līdz ar to ir jāsaglabā Lēmuma par atbilstību iedarbība līdz 2006. gada 30. septembrim, tomēr nepagarinot tā iedarbību pēc Nolīguma darbības beigām.

 Par tiesāšanās izdevumiem

75      Atbilstoši Reglamenta 69. panta 2. punktam lietas dalībniekam, kuram spriedums nav labvēlīgs, piespriež atlīdzināt tiesāšanās izdevumus, ja to ir prasījis lietas dalībnieks, kuram spriedums ir labvēlīgs. Tā kā Parlaments ir prasījis piespriest Padomei un Komisijai atlīdzināt tiesāšanās izdevumus un tā kā tām spriedums nav labvēlīgs, tad jāpiespriež tām atlīdzināt tiesāšanās izdevumus. Saskaņā ar šī panta 4. punkta pirmo daļu personas, kas iestājušās šajās lietās, sedz savus tiesāšanās izdevumus pašas.

Ar šādu pamatojumu Tiesa (virspalāta) nospriež:

1)      Padomes 2004. gada 17. maija Lēmums 2004/496/EK par nolīguma noslēgšanu starp Eiropas Kopienu un Amerikas Savienotajām Valstīm attiecībā uz personas datu apstrādi un pārsūtīšanu, ko aviopārvadātāji veic ASV Nacionālās drošības ministrijas Muitas un robežsardzes departamentam, un Komisijas 2004. gada 14. maija Lēmums 2004/535/EK par pietiekamu aizsardzību Passenger Name Record iekļautajiem lidmašīnu pasažieru personas datiem, kas nosūtīti Amerikas Savienoto Valstu Muitas un robežapsardzes birojam, tiek atcelti;

2)      Lēmuma 2004/535 iedarbība tiek saglabāta līdz 2006. gada 30. septembrim, tomēr nepagarinot tā iedarbību pēc minētā nolīguma darbības beigām;

3)      Eiropas Savienības Padome atlīdzina tiesāšanās izdevumus lietā C‑317/04;

4)      Eiropas Kopienu Komisija atlīdzina tiesāšanās izdevumus lietā C‑318/04;

5)      Eiropas Kopienu Komisija sedz savus tiesāšanās izdevumus pati lietā C‑317/04;

6)      Lielbritānijas un Ziemeļīrijas Apvienotā Karaliste, kā arī Eiropas Datu aizsardzības uzraudzītājs sedz savus tiesāšanās izdevumus paši.

[Paraksti]

* Tiesvedības valoda – franču.