Дело C‑311/18
Data Protection Commissioner
срещу
Facebook Ireland Ltd
и
Maximillian Schrems
(Преюдициално запитване, отправено от High Court (Висш съд, Ирландия)
Решение на Съда (голям състав) от 16 юли 2020 година
„Преюдициално запитване — Защита на физическите лица при обработването на лични данни — Харта на основните права на Европейския съюз — Членове 7, 8 и 47 — Регламент (ЕС) 2016/679 — Член 2, параграф 2 — Приложно поле — Предаване на лични данни на трети държави за търговски цели — Член 45 — Решение на Комисията относно адекватното ниво на защита —Член 46 — Предаване на данни с подходящи гаранции — Член 58 — Правомощия на надзорните органи — Обработване на предаваните данни от публичните органи на трета държава за цели, свързани с националната сигурност — Преценка на адекватността на нивото на защита, осигурено в третата държава — Решение 2010/87/ЕС — Стандартни клаузи за защита при предаването на лични данни на трети държави — Подходящи гаранции, предоставени от администратора — Валидност — Решение за изпълнение (ЕС) 2016/1250 — Адекватност на защитата, осигурявана от Щита за личните данни в отношенията между Европейския съюз и Съединените щати — Валидност — Жалба на физическо лице, чиито данни са предадени от Европейския съюз на Съединените щати“
1. Защита на физическите лица при обработването на лични данни — Регламент 2016/679 — Приложно поле — Понятие за обработване на лични данни — Предаване на лични данни за търговски цели от икономически оператор, установен в държава членка, към друг икономически оператор, установен в трета държава — Включване — Данни, които могат да се обработват от органите на съответната трета държава за целите на националната сигурност — Липса на последици
(член 2, параграф 1 и параграф 2, букви а), б) и г), и член 4, точка 2 от Регламент 2016/679 на Европейския парламент и на Съвета)
(вж. т. 82, 83 и 85 — 89; т. 1 от диспозитива)
2. Защита на физическите лица при обработването на лични данни — Регламент 2016/679 — Предаване на лични данни на трети страни — Предаване на данни с подходящи гаранции, основаващи се на стандартни договорни клаузи за защита на данните — Понятие за адекватно ниво на защита, което съответната трета държава гарантира при такова предаване — Тълкуване с оглед на правото на Съюза — Критерии за преценка
(член 52, параграф 3 от Хартата на основните права на Европейския съюз; член 46, параграф 1 и параграф 2, буква в) от Регламент № 2016/679 на Европейския парламент и на Съвета)
(вж. т. 92—96, 98—101 и 103—105; т. 2 от диспозитива)
3. Защита на физическите лица при обработването на лични данни — Регла мент 2016/679 — Предаване на лични данни на трети страни — Предаване на данни с подходящи гаранции, основаващи се на стандартни договорни клаузи за защита на данните — Национални надзорни органи — Правомощия — Контрол върху прехвърлянето на лични данни към трети държави — Задължение да спиране или забраняване на такова предаване в случай на нарушение на адекватното ниво на защита в съответната трета държава — Условия
(член 8, параграф 3 от Хартата на основните права на Европейския съюз; членове 45 и 46, член 51, параграф 1, член 57, параграф 1, букви а) и е) и член 58, параграфи 1 и 2, букви е) и й) от Регламент 2016/679 на Европейския парламент и на Съвета)
(вж. т. 107, 108 и 112—121; т. 3 от диспозитива)
4. Защита на физическите лица при обработването на лични данни — Регламент 2016/679 — Предаване на лични данни на трети държави — Предаване на данни с подходящи гаранции, основаващи се на стандартни договорни клаузи за защита на данните — Решение 2010/87, с което се приемат стандартни договорни клаузи за предаване на лични данни на трети държави — Подходящи гаранции, предоставени от администратори на лични данни, установени в Съюза, и от надзорните органи — Задължение на тези органи за спиране или забраняване на предаването в случай на нарушение на посочените клаузи — Право на неприкосновеност на личния живот, право на защита на личните данни и право на ефективна съдебна защита — Липса на нарушение — Валидност на решението
(членове 7, 8 и 47 от Хартата на основните права на Европейския съюз; член 46, параграф 1 и параграф 2, буква в) от Регламент 2016/679 на Европейския парламент и на Съвета; приложение към Решение 2010/87 на Комисията)
(вж. т. 128—130, 133—145, 148 и 149; т. 4 от диспозитива)
5. Защита на физическите лица при обработването на лични данни — Регламент 2016/679 — Предаване на лични данни на трети държави — Приемане на решение от Комисията, с което се констатира наличието на адекватно ниво на защита в трета държава — Решение 2016/1250, с което се констатира наличието на адекватно ниво на защита, осигурено от Щита за личните данни в отношенията между Европейския съюз и Съединените щати — Национален надзорен орган, сезиран с жалба, която поставя под въпрос адекватното ниво на защита, осигурено в тази трета държава — Задължение на надзорния орган да разгледа жалбата — Проверка на валидността на Решение 2016/1250
(член 288, четвърта алинея ДФЕС; член 45, параграф 3 и член 77, параграф 1 от Регламент 2016/679 на Европейския парламент и на Съвета; приложение II към Решение 2016/1250 на Комисията)
(вж. т. 151—161)
6. Основни права — Харта на основните права на Европейския съюз — Неприкосновеност на личния живот — Защита на личните данни — Запазване и достъп до лични данни с оглед на тяхното използване от публични органи — Намеса в тези основни права — Ограничения при упражняването на тези права — Спазване на принципа на пропорционалност
(членове 7 и 8 и 52, параграф 1, второ изречение от Хартата на основните права на Европейския съюз; Регламент 2016/679 на Европейския парламент и на Съвета)
(вж. т. 170—176)
7. Защита на физическите лица при обработването на лични данни — Регламент 2016/679 — Предаване на лични данни към трети държави — Приемане на решение от Комисията, с което се констатира наличието на адекватно ниво на защита в трета държава — Решение 2016/1250, с което се констатира наличието на адекватно ниво на защита, осигурено от Щита за личните данни в отношенията между Европейския съюз и Съединените щати — Липса на ниво на защита, което по същество е еквивалентно на равнището, осигурено от правото на Съюза — Нарушение на правото на неприкосновеност на личния живот, на правото на защита на личните данни и на правото на ефективна съдебна защита на лицата, посочени в предаването — Въвеждане на механизъм за посредничество в рамките на Щита за личните данни — Липса на последици върху нарушението на правото ефективна съдебна защита — Невалидност на решението
(членове 7, 8 и 47 и член 52, параграф 1, второ изречение от Хартата на основните права на Европейския съюз; член 45, параграф 2, буква а) и параграф 3 от Регламент 2016/679 на Европейския парламент и на Съвета; приложение II към Решение 2016/1250 на Комисията)
(вж. т. 180—185, 187—192 и 195—201; т. 5 от диспозитива)
8. Преюдициални въпроси — Преценка на валидността — Обявяване на акт на Съюза за невалиден — Решение 2016/1250, с което се констатира наличието на адекватно ниво на защита, осигурено от Щита за личните данни в отношенията между Европейския съюз и Съединените щати — Последици — Ограничаване във времето — Липса
(член 267 ДФЕС; член 49 от Регламент 2016/679 на Европейския парламент и на Съвета; Решение 2016/1250 на Комисията)
(вж. т. 202)
Резюме
Съдът обявява за невалидно Решение 2016/1250 относно адекватността на защитата, осигурявана от Щита личните данни в отношенията между Европейския съюз и Съединените щати
За сметка на това Съдът постановява, че Решение 2010/87 на Комисията относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети държави, е валидно
Общият регламент относно защитата на личните данни(1) (ОРЗД) постановява, че предаване на такива данни на трета държава по принцип може да има само ако въпросната трета държава гарантира адекватно ниво на защита на данните. Съгласно посочения регламент Комисията може да реши, че поради вътрешното си законодателство или международните ангажименти, които е поела, третата държава гарантира адекватно ниво на защита(2). При липса на решение относно адекватното ниво на защита подобно предаване може да се осъществи само ако износителят на личните данни, установен в Съюза, е предвидил подходящи гаранции, които могат да произтичат по-специално от стандартни договорни клаузи за защита на данните, приети от Комисията, и при условие че са налице приложими права на съответните лица и ефективни правни средства за защита(3). Освен това ОРЗД определя прецизно условията, при които подобно предаване може да се осъществи при липса на решение относно адекватното ниво на защита или на подходящи гаранции(4).
Г‑н Maximillian Schrems, пребиваващ в Австрия гражданин на тази държава, е потребител на социалната мрежа Facebook от 2008 г. Подобно на всеки пребиваващ на територията на Съюза потребител, личните данни на г‑н Schrems изцяло или частично се предават към разположени на територията на Съединените щати сървъри на Facebook Inc., където се обработват. Г‑н Schrems подава жалба пред ирландския надзорен орган, с която по същество иска да се забрани това предаване. Той твърди, че действащото право и практики в Съединените щати не предлагат достатъчна защита срещу достъпа, осъществяван от публичните органи, на предадените на тази държава лични данни. Тази жалба е отхвърлена по-специално с мотива, че в Решение 2000/520(5) (т.нар. решение относно сферата на неприкосновеност на личния живот) Комисията е констатирала, че Съединените щати гарантират достатъчна степен на защита. С решение от 6 октомври 2015 г. Съдът, сезиран с преюдициално запитване от High Court (Висш съд, Ирландия), обявява това решение за невалидно (наричано по-нататък „решението Schrems I“)(6).
Вследствие на решение Schrems I и съответната отмяна от ирландската юрисдикция на решението, с което се отхвърля жалбата на г‑н Schrems, надзорният ирландски орган приканва г‑н Schrems да преформулира жалбата си предвид обявяването от Съда на Решение 2000/520 за невалидно. В преформулираната си жалба г‑н Schrems твърди, че Съединените щати не предоставят достатъчна степен на защита на личните данни, предадени на тази страна. Той иска да се спре или забрани за в бъдеще предаването на неговите лични данни от Съюза на Съединените щати, което Facebook Ireland понастоящем извършва на основание стандартните клаузи за защита на данните, включени в приложението към Решение 2010/87(7). Тъй като счита, че разглеждането на жалбата на г‑н Schrems зависи по-специално от валидността на Решение 2010/87, ирландският надзорен орган инициира производство пред High Court (Висш съд), за да може да се отправи преюдициално запитване до Съда. След започване на производството Комисията приема Решение 2016/1250 относно адекватното ниво на защита, осигурено от Щита за личните данни в отношенията между Европейския съюз и Съединените щати(8) (т.нар. решение „Щит за личните данни“).
С преюдициалното запитване запитващата юрисдикция поставя на Съда въпроси относно приложимостта на ОРЗД към предаването на лични данни въз основа на стандартни клаузи за защита на данните, включени в Решение 2010/87, относно изискуемото съгласно този регламент ниво на защита и относно задълженията на надзорните органи в този контекст. Освен това High Court поставя въпроса за валидността на Решение 2010/87 и Решение 2016/1250.
С решението си от днес Съдът констатира, че при разглеждането на Решение 2010/87 с оглед на Хартата на основните права не се установяват обстоятелства, които могат да засегнат валидността на това решение. За сметка на това Съдът обявява за невалидно Решение 2016/1250.
Най-напред Съдът приема, че правото на Съюза, и по-специално ОРЗД, е приложимо при предаване на лични данни за търговски цели от икономически оператор, установен в държава членка, към друг икономически оператор, установен в трета държава, независимо че по време на предаването или след него тези данни могат да се обработват от органите на съответната трета държава за целите на обществената сигурност, отбраната и държавната сигурност. Съдът уточнява, че този вид обработване на данните от органите на трета държава не може да изключи предаването от приложното поле на Регламента.
Относно изискуемото ниво на защита в рамките на такова предаване Съдът постановява, че изискванията, предвидени за тази цел в разпоредбите на ОРЗД, свързани с подходящи гаранции, приложими права и ефективни правни средства за защита, трябва да се тълкуват в смисъл, че лицата, чиито лични данни са предадени на трета държава въз основа на стандартни клаузи за защита на данните, се ползват с ниво на защита, което по същество е равностойно на гарантираното в Европейския съюз с този регламент, разглеждан в светлината на Хартата. В този контекст Съдът уточнява, че при оценката на това ниво на защита трябва да се вземат предвид както договорните клаузи, уговорени между администратора или обработващия лични данни, установени в Европейския съюз, и получателя на предаването, установен в съответната трета държава, така и, що се отнася до евентуалния достъп на публичните органи на тази трета държава до така предадените лични данни, релевантните елементи на нейната правна система.
Относно задълженията на националния надзорен орган в контекста на такова предаване Съдът постановява, че освен ако съществува надлежно прието от Комисията решение относно адекватното ниво на защита, надзорният орган е длъжен по-специално да спре или да забрани предаването на лични данни на трета държава, основаващо се на приети от Комисията стандартни клаузи за защита на данните, когато с оглед на всички обстоятелства във връзка с това предаване надзорният орган счита, че тези клаузи не са или не могат да бъдат спазени в тази трета държава и че защитата на предаваните данни, изисквана от правото на Съюза, не може да бъде осигурена с други средства, в случай че самият установен в Съюза администратор или обработващ лични данни не е спрял или прекратил предаването.
След това Съдът разглежда валидността на Решение 2010/87. Според Съда самият факт, че стандартни клаузи за защита на данните, съдържащи се в решението, поради договорния си характер не обвързват органите на третите държави, на които могат да се предават лични данни, не поставя под въпрос валидността на това решение. За сметка на това, уточнява Съдът, тази валидност зависи от това дали посоченото решение съдържа ефективни механизми, позволяващи на практика да се осигури спазването на изискваното от правото на Съюза ниво на защита и предаването на лични данни въз основа на такива клаузи, да бъде спряно или забранено в случай на нарушение на тези клаузи или при невъзможност за спазването им. Съдът констатира, че Решение 2010/87 въвежда подобни механизми. В това отношение Съдът подчертава по-специално че това решение установява задължение за администратора и получателя на лични данни предварително да проверят спазването в съответната трета държава на това ниво на защита и задължава получателя на тези данни да информира администратора за евентуалната си невъзможност да осигури съответствие с тези клаузи, като тогава последният може да спре предаването на данни и/или да прекрати сключения договор.
Накрая Съдът разглежда валидността на Решение 2016/1250 с оглед на изискванията, произтичащи от ОРЗД, разглеждан във връзка с разпоредбите на Хартата, гарантиращи правото на неприкосновеност на личния живот, правото на защита на личните данни и правото на ефективна съдебна защита. В това отношение Съдът отбелязва, че това решение, подобно на Решение 2000/520, дава предимство на изискванията, свързани с националната сигурност, с обществения интерес и американското правоприлагане и по този начин допуска засягане на основните права на лицата, чиито лични данни са предадени на третата държава. Според Съда ограниченията на защитата на личните данни, които произтичат от вътрешноправната уредба на Съединените щати относно достъпа и използването от американските публични органи на такива данни, предадени от Съюза на тази трета държава, и които Комисията е оценила в Решение 2016/1250, не са определени по начин, съответстващ на изисквания, които по същество са равностойни на предвидените с принципа на пропорционалност в правото на Съюза, поради това че програмите за наблюдение, основани на тези разпоредби, не са ограничени до строго необходимото. Въз основа на констатациите в това решение Комисията отбелязва, че за някои програми за наблюдение, посочената уредба по никакъв начин не отразява съществуването на ограничения на оправомощаването при въвеждането на тези програми, нито пък съществуването на гаранции за потенциално обхванатите от тези програми лица, които не са американски граждани. Съдът допълва, че макар подобна уредба да предвижда изисквания, които американските органи трябва да спазват при въвеждане на съответните програми за наблюдение, тя не предоставя на засегнатите лица приложими пред съдилищата права срещу американските органи.
Относно изискването за съдебна защита Съдът постановява, че противно на приетото от Комисията в Решение 2016/1250, механизмът на посредничество, посочен в това решение, не предоставя правен способ за защита пред орган, който предоставя на тези лица гаранции, по същество са равностойни на изискваните от правото на Съюза, по начин, който гарантира както независимостта на посредника, предвиден с този механизъм, така и съществуването на норми, оправомощаващи този посредник да приема обвързващи по отношение на разузнавателните структури на Съединените щати решения. Поради изложените съображения Съдът обявява за невалидно Решение 2016/1250.