Language of document :

Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez High Court (Irlandia) w dniu 9 maja 2018 r. – Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems

(Sprawa C-311/18)

Język postępowania: angielski

Sąd odsyłający

High Court (Irlandia)

Strony w postępowaniu głównym

Strona skarżąca: Data Protection Commissioner

Strona przeciwna: Facebook Ireland Limited, Maximillian Schrems

Pytania prejudycjalne

1.    W sytuacji, gdy dane osobowe są przekazywane przez prywatne przedsiębiorstwo z państwa członkowskiego Unii Europejskiej do prywatnego przedsiębiorstwa w państwie trzecim w celach komercyjnych na podstawie decyzji 2010/87/UE1 w brzmieniu zmienionym decyzją Komisji 2016/22972 i mogą być dalej przetwarzane w tym państwie trzecim przez jego organy dla celów bezpieczeństwa narodowego, ale także dla celów egzekwowania prawa i prowadzenia spraw zagranicznych w tym kraju trzecim, czy prawo Unii Europejskiej (w tym także Karta praw podstawowych Unii Europejskiej, zwana dalej „kartą”) ma zastosowanie do przekazywania danych niezależnie od postanowień art. 4 ust. 2 TUE w odniesieniu do bezpieczeństwa narodowego i od postanowień art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE3 (zwanej dalej „dyrektywą”) w odniesieniu do bezpieczeństwa publicznego, obronności i bezpieczeństwa państwa?

2.    (1) przy określaniu, czy przekazywanie danych w oparciu o decyzję 2010/87/UE z Unii Europejskiej do państwa trzeciego, gdzie mogą one być dalej przetwarzane dla celów bezpieczeństwa narodowego, czy właściwym punktem odniesienia dla celów dyrektywy jest:

(a)    karta, TUE, TFUE, dyrektywa, EKPC (czy też jakikolwiek inny przepis prawa Unii); czy

(b)    prawa krajowe jednego lub większej liczby państw członkowskich?

(2) Jeżeli właściwym punktem odniesienia jest określony w lit. (b), czy obejmuje on także praktyki w kontekście bezpieczeństwa narodowego w jednym lub większej liczbie państw członkowskich?

3.    Przy ocenie, czy państwo trzecie zapewnia poziom ochrony wymagany przez prawo Unii Europejskiej dla danych osobowych przekazywanych do tego państwa w rozumieniu art. 26 dyrektywy, czy poziom ochrony w państwie trzecim powinien być oceniany poprzez odniesienie do:

(a)    obowiązujących przepisów w państwie trzecim, wynikających z jego prawa krajowego lub zobowiązań międzynarodowych oraz z praktyk mających na celu zapewnienie zgodności z tymi przepisami, zasad wykonywania zawodu i środków bezpieczeństwa, które są przestrzegane w tym państwie trzecim;

czy

(b)    przepisów, o których mowa w lit. (a) wraz z praktykami administracyjnymi, regulacyjnymi i praktykami w zakresie zgodności oraz polityką w zakresie środków bezpieczeństwa, procedurami, protokołami, mechanizmami kontroli i systemami pozasądowego rozstrzygania sporów istniejącymi w tym państwie trzecim?

4.    Przy uwzględnieniu stanu faktycznego ustalonego przez High Court w odniesieniu do prawa Stanów Zjednoczonych, czy przekazywanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych na podstawie decyzji 2010/87/UE narusza prawa osób fizycznych wynikające z art. 7 i/lub 8 karty?

5.    Przy uwzględnieniu stanu faktycznego ustalonego przez High Court w odniesieniu do prawa Stanów Zjednoczonych, jeżeli dane osobowe są przekazywane z Unii Europejskiej do Stanów Zjednoczonych na podstawie decyzji 2010/87/UE:

(a)    Czy poziom ochrony w prawie Stanów Zjednoczonych zapewnia poszanowanie istoty prawa osób fizycznych do korzystania ze środków prawnych w związku z naruszeniem ich praw do prywatności danych osobowych zagwarantowanych przez 47 karty?

Jeżeli odpowiedź na pytanie (a) jest twierdząca,

(b)    Czy ograniczenia, jakie nakłada prawo Stanów Zjednoczonych na prawo jednostki do korzystania z sądowych środków ochrony prawnej w kontekście bezpieczeństwa narodowego Stanów Zjednoczonych, są proporcjonalne w rozumieniu art. 52 karty i nie wykraczają poza to, co jest niezbędne w społeczeństwie demokratycznym dla celów bezpieczeństwa narodowego? 

6.    (1) Jaki jest poziom ochrony, który należy zapewnić przy przekazywaniu danych osobowych do państwa trzeciego na podstawie klauzul umownych przyjętych zgodnie z decyzją Komisji w oparciu o art. 26 ust. 4 w świetle przepisów dyrektywy, a w szczególności art. 25 i 26 w związku z kartą?

(2) Jakie kwestie należy wziąć pod uwagę przy ocenie, czy poziom ochrony danych osobowych przekazywanych do państwa trzeciego na podstawie decyzji 2010/87/UE spełnia wymogi dyrektywy i karty?

7.    Czy okoliczność, że standardowe klauzule umowne obowiązują pomiędzy podmiotem przekazującym a odbierającym dane i nie są wiążące dla władz krajowych państwa trzeciego, które mogą wymagać od podmiotu odbierającego dane udostępniania jego służbom bezpieczeństwa w celu dalszego przetwarzania danych osobowych przekazywanych na mocy klauzul przewidzianych w decyzji 2010/87/UE, wyklucza zapewnienie przez te klauzule odpowiednich zabezpieczeń zgodnie z art. 26 ust. 2 dyrektywy?

8.    Jeżeli podmiot odbierający dane w państwie trzecim jest objęty przepisami dotyczącymi nadzoru, które zdaniem organu ochrony danych są sprzeczne z klauzulami załącznika do decyzji 2010/87/UE lub art. 25 i 26 dyrektywy i/lub kartą, czy organ ds. ochrony danych jest zobowiązany do skorzystania ze swoich uprawnień wykonawczych zgodnie z art. 28 ust. 3 dyrektywy w celu zawieszenia przepływu danych, czy też wykonywanie tych uprawnień jest ograniczone do sytuacji wyjątkowych, w świetle motywu 11 dyrektywy, względnie czy organ ochrony danych w ramach swobodnego uznania może nie zawieszać przepływu danych? 

9.    (1) Dla celów art. 25 ust. 6 dyrektywy, czy decyzja (UE) 2016/12504 (zwana dalej „decyzją w sprawie Tarczy Prywatności”) stanowi ustalenie o powszechnym zastosowaniu wiążące dla organów ochrony danych osobowych oraz sądów państw członkowskich stwierdzające, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony w rozumieniu art. 25 ust. 2 dyrektywy, co wynika z prawa krajowego Stanów Zjednoczonych lub z międzynarodowych zobowiązań, jakie państwo to przyjęło?

(2) Jeżeli nie, jakie znaczenie, jeśli w ogóle, ma decyzja w sprawie Tarczy Prywatności przy prowadzeniu oceny adekwatności zabezpieczeń przewidzianych dla danych przekazywanych do Stanów Zjednoczonych na mocy decyzji 2010/87/UE?

10.    Przy uwzględnieniu ustaleń High Court w odniesieniu do prawa Stanów Zjednoczonych, czy powołanie Rzecznika ds. Tarczy Prywatności zgodnie z załącznikiem A do załącznika III do decyzji w sprawie Tarczy Prywatności, w związku z istniejącym systemem w Stanach Zjednoczonych zapewnia, że prawo Stanów Zjednoczonych przewiduje środek ochrony prawnej dla osób, których dane osobowe są przekazywane do Stanów Zjednoczonych na podstawie decyzji 2010/87/UE, zgodny z art. 47 karty?

11.    Czy decyzja 2010/87/UE narusza art. 7, 8 i/lub 47 karty?

____________

1 Decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.U. 2010, L 39, s. 5).

2 Decyzja wykonawcza Komisji (UE) 2016/2297 z dnia 16 grudnia 2016 r. zmieniająca decyzje 2001/497/WE i 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych państwom trzecim oraz podmiotom przetwarzającym dane mającym siedzibę w takich państwach, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.U. 2016, L 344, s. 100).

3 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31).

4 Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (Dz.U. 2016, L 207, s. 1).