Cauza C‑311/18
Data Protection Commissioner
împotriva
Facebook Ireland Ltd
și
Maximillian Schrems
[cerere de decizie preliminară formulată de High Court (Irlanda)]
Hotărârea Curții (Marea Cameră) din 16 iulie 2020
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8 și 47 – Regulamentul (UE) 2016/679 – Articolul 2 alineatul (2) – Domeniu de aplicare – Transferuri de date cu caracter personal în scopuri comerciale către țări terțe – Articolul 45 – Decizie privind caracterul adecvat al nivelului de protecție a Comisiei – Articolul 46 – Transferuri în baza unor garanții adecvate – Articolul 58 – Competențe ale autorităților de supraveghere – Prelucrare a datelor transferate de autoritățile publice ale unei țări terțe în scopuri de securitate națională – Aprecierea caracterului adecvat al nivelului de protecție asigurat în țara terță – Decizia 2010/87/UE – Clauze standard de protecție pentru transferul de date cu caracter personal către țări terțe – Garanții adecvate oferite de operator – Validitate – Decizia de punere în aplicare (UE) 2016/1250 – Caracterul adecvat al protecției oferite de Scutul de confidențialitate Uniunea Europeană‑Statele Unite – Validitate – Plângere formulată de o persoană fizică ale cărei date au fost transferate din Uniunea Europeană către Statele Unite”
1. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Domeniu de aplicare – Noțiunea de prelucrare a unor date cu caracter personal – Transferuri de date cu caracter personal efectuate în scopuri comerciale de către un operator economic stabilit într‑un stat membru către un alt operator stabilit într‑o țară terță – Includere – Date susceptibile să fie prelucrate de autoritățile țării terțe în cauză în scopuri de securitate națională – Lipsa incidenței
[Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 2 alin. (1) și alin. (2) lit. (a), (b) și (d) și art. 4 pct. 2]
(a se vedea punctele 82, 83 și 85-89 și dispozitiv 1)
2. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Transferuri de date cu caracter personal către țări terțe – Transferuri în baza unor garanții adecvate, întemeiate pe clauze contractuale tip de protecție a datelor – Noțiunea de nivel de protecție adecvat care trebuie asigurat de țara terță în cauză cu ocazia unor astfel de transferuri – Interpretare din perspectiva dreptului Uniunii – Criterii de apreciere
[Carta drepturilor fundamentale a Uniunii Europene, art. 52 alin. (3); Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 46 alin. (1) și alin. (2) lit. (c)]
(a se vedea punctele 92-96, 98-101 și 103-105 și dispozitiv 2)
3. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Transferuri de date cu caracter personal către țări terțe – Transferuri în baza unor garanții adecvate, întemeiate pe clauze contractuale tip de protecție a datelor – Autorități naționale de supraveghere – Competențe – Supravegherea transferurilor de date cu caracter personal către țări terțe – Obligația de a suspenda sau de a interzice astfel de transferuri în cazul încălcării nivelului de protecție adecvat în țara terță în cauză – Condiții
[Carta drepturilor fundamentale a Uniunii Europene, art. 8 alin. (3); Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 45, art. 46, art. 51 alin. (1), art. 57 alin. (1) lit. (a) și (f) și art. 58 alin. (1) și alin. (2) lit. (f) și (j)]
(a se vedea punctele 107, 108 și 112-121 și dispozitiv 3)
4. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Transferuri de date cu caracter personal către țări terțe – Transferuri în baza unor garanții adecvate, întemeiate pe clauze contractuale tip de protecție a datelor – Decizia 2010/87 de instituire a unor clauze contractuale tip pentru transferul de date cu caracter personal către țări terțe – Garanții adecvate oferite de operatorii unei astfel de prelucrări stabiliți în Uniune și de autoritățile de supraveghere – Obligația acestor autorități de a suspenda sau de a interzice astfel de transferuri în cazul încălcării clauzelor menționate – Drepturile la respectarea vieții private, la protecția datelor personale și la protecție jurisdicțională efectivă – Lipsa încălcării – Validitatea deciziei
[Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8 și 47; Regulamentul 2016/679 al Parlamentului European și a Consiliului, art. 46 alin. (1) și alin. (2) lit. (c); Decizia 2010/87 a Comisiei, anexa]
(a se vedea punctele 128-130, 133-145, 148 și 149 și dispozitiv 4)
5. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Transfer de date cu caracter personal către țări terțe – Adoptarea de către Comisie a unei decizii de constatare a unui nivel de protecție adecvat într‑o țară terță – Decizia 2016/1250 de constatare a unui nivel adecvat de protecție oferit de Scutul de confidențialitate Uniunea Europeană‑Statele Unite – Autoritate națională de supraveghere sesizată cu o cerere prin care se pune în discuție caracterul adecvat al nivelului de protecție asigurat în această țară terță – Obligația acestei autorități de a examina cererea – Examinarea validității Deciziei 2016/1250
[art. 288 al patrulea paragraf TFUE; Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 45 alin. (3) și art. 77 alin. (1); Decizia 2016/1250 a Comisiei, anexa II]
(a se vedea punctele 151-161)
6. Drepturi fundamentale – Carta drepturilor fundamentale a Uniunii Europene – Respectarea vieții private – Protecția datelor cu caracter personal – Stocarea și accesul la datele cu caracter personal în vederea utilizării lor de către autoritățile publice – Ingerința în aceste drepturi fundamentale – Restrângerile exercitării acestor drepturi – Respectarea principiului proporționalității
[Carta drepturilor fundamentale a Uniunii Europene, art. 7, art. 8, art. 52 alin. (1) a doua teză; Regulamentul 2016/679 al Parlamentului European și al Consiliului]
(a se vedea punctele 170-176)
7. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Transfer de date cu caracter personal către țări terțe – Adoptarea de către Comisie a unei decizii de constatare a unui nivel de protecție adecvat într‑o țară terță – Decizia 2016/1250 de constatare a unui nivel adecvat de protecție oferit de Scutul de confidențialitate Uniunea Europeană‑Statele Unite – Lipsa unui nivel de protecție în esență echivalent cu cel asigurat în dreptul Uniunii – Încălcarea drepturilor la respectarea vieții private, la protecția datelor cu caracter personal și la protecție jurisdicțională efectivă ale persoanelor vizate de aceste transferuri – Instituirea unui mecanism de tip Ombudsman în cadrul Scutului de confidențialitate – Lipsa incidenței asupra încălcării dreptului la protecție jurisdicțională efectivă – Nevaliditatea deciziei
[Carta drepturilor fundamentale a Uniunii Europene, art. 7, art. 8, art. 47, art. 52 alin. (1) a doua teză; Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 45 alin. (2) lit. (a) și alin. (3); Decizia 2016/1250 a Comisiei, anexa II]
(a se vedea punctele 180-185, 187-192 și 195-201 și dispozitiv 5)
8. Întrebări preliminare – Aprecierea validității – Declararea nevalidității unui act al Uniunii – Decizia 2016/1250 de constatare a unui nivel adecvat de protecție oferit de Scutul de confidențialitate Uniunea Europeană‑Statele Unite – Efecte – Limitare în timp – Lipsă
(art. 267 TFUE; Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 49; Decizia 2016/1250 a Comisiei)
(a se vedea punctul 202)
Rezumat
Curtea declară nevalidă Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE‑SUA
În schimb, aceasta statuează că Decizia 2010/87 a Comisiei privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe este validă.
Regulamentul general privind protecția datelor(1) (RGPD) prevede că transferul unor astfel de date către o țară terță, în principiu, se poate realiza numai dacă țara terță în cauză asigură un nivel de protecție adecvat în privința acestor date. Potrivit acestui regulament, Comisia poate să decidă că o țară terță asigură, ca urmare a legislației sale interne sau a angajamentelor sale internaționale, un nivel de protecție adecvat(2). În absența unei asemenea decizii privind caracterul adecvat al nivelului de protecție, un astfel de transfer se poate realiza numai dacă exportatorul datelor cu caracter personal, stabilit în Uniune, oferă garanții adecvate, care pot să rezulte în special din clauze standard de protecție a datelor adoptate de Comisie, și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate(3). Pe de altă parte, RGPD stabilește, în mod precis, condițiile în care se poate realiza un astfel de transfer în absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate(4).
Domnul Maximilian Schrems, resortisant austriac cu reședința în Austria, este un utilizator al Facebook din anul 2008. La fel ca în cazul celorlalți utilizatori cu reședința în Uniune, datele cu caracter personal ale domnului Schrems sunt, în tot sau în parte, transferate de Facebook Ireland către servere care aparțin Facebook Inc., situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări. Domnul Schrems a depus o plângere la autoritatea de supraveghere irlandeză, având ca obiect, în esență, interzicerea acestor transferuri. El a susținut că dreptul și practicile Statelor Unite nu oferă o protecție suficientă împotriva accesului autorităților publice la datele transferate către această țară. Plângerea menționată a fost respinsă în special pentru motivul că în Decizia 2000/520(5) (denumită „Decizia Sfera de siguranță”) Comisia constatase că Statele Unite asigurau un nivel de protecție adecvat. Prin Hotărârea din 6 octombrie 2015, Curtea, sesizată cu o întrebare preliminară adresată de High Court (Înalta Curte, Irlanda), a declarat nevalidă această decizie (denumită în continuare „Hotărârea Schrems I”)(6).
În urma Hotărârii Schrems I și a anulării consecutive, de către instanța irlandeză, a deciziei prin care s‑a respins plângerea domnului Schrems, autoritatea de supraveghere irlandeză l‑a invitat să își reformuleze plângerea ținând seama de declararea nevalidității de către Curte a Deciziei 2000/520. În plângerea sa reformulată, domnul Schrems susține că Statele Unite nu oferă o protecție suficientă a datelor transferate către această țară. El solicită să se suspende sau să se interzică, pentru viitor, transferurile datelor sale cu caracter personal din Uniune către Statele Unite, pe care Facebook le realizează în prezent în temeiul clauzelor standard de protecție care figurează în anexa la Decizia 2010/87(7). Întrucât a considerat că soluționarea plângerii domnului Schrems depinde, în special, de validitatea Deciziei 2010/87, autoritatea de supraveghere irlandeză a inițiat o procedură în fața High Court (Înalta Curte) pentru ca aceasta să sesizeze Curtea cu o cerere de decizie preliminară. După deschiderea acestei proceduri, Comisia a adoptat Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE‑SUA(8) (denumită „Decizia Scutul de confidențialitate”).
Prin intermediul cererii de decizie preliminară, instanța de trimitere solicită Curții să se pronunțe cu privire la aplicabilitatea RGPD în cazul unor transferuri de date cu caracter personal întemeiate pe clauze standard de protecție care figurează în Decizia 2010/87, cu privire la nivelul de protecție impus de acest regulament în cadrul unui astfel de transfer și cu privire la obligațiile care revin autorităților de supraveghere în acest context. În plus, High Court ridică problema validității atât a Deciziei 2010/87, cât și a Deciziei 2016/1250.
Prin hotărârea pronunțată astăzi, Curtea constată că analiza Deciziei 2010/87 în raport cu Carta drepturilor fundamentale nu evidențiază niciun element de natură să afecteze validitatea sa. În schimb, aceasta declară nevalidă Decizia 2016/1250.
Curtea consideră, în primul rând, că dreptul Uniunii și, în special, RGPD, se aplică în cazul unui transfer de date cu caracter personal efectuat în scopuri comerciale de un operator economic stabilit într‑un stat membru către un alt operator economic stabilit într‑o țară terță, chiar dacă, în cursul sau în urma acestui transfer, datele menționate sunt susceptibile de a fi prelucrate de autoritățile țării terțe în cauză în scopuri de siguranță publică, de apărare și de securitate a statului. Ea precizează că acest tip de prelucrare a datelor de către autoritățile unei țări terțe nu poate exclude un asemenea transfer din domeniul de aplicare al regulamentului.
În ceea ce privește nivelul de protecție impus în cadrul unui astfel de transfer, Curtea statuează că cerințele prevăzute în acest scop de dispozițiile RGPD, care se referă la garanții adecvate, drepturi opozabile și căi de atac eficiente, trebuie interpretate în sensul că persoanele ale căror date cu caracter personal sunt transferate către o țară terță în temeiul unor clauze standard de protecție a datelor, trebuie să beneficieze de un nivel de protecție în esență echivalent cu cel garantat în cadrul Uniunii de regulamentul menționat, interpretat în lumina cartei. În acest context, ea precizează că evaluarea acestui nivel de protecție trebuie să ia în considerare atât stipulațiile contractuale convenite între exportatorul datelor stabilit în Uniune și destinatarul transferului stabilit în țara terță în cauză, cât și, în ceea ce privește un eventual acces al autorităților publice ale acestei țări terțe la datele cu caracter personal astfel transferate, elementele relevante ale sistemului său juridic.
În ceea ce privește obligațiile care revin autorităților de supraveghere în contextul unui astfel de transfer, Curtea declară că, cu excepția cazului în care există o decizie privind caracterul adecvat al nivelului de protecție adoptată în mod valabil de Comisie, aceste autorități sunt în special obligate să suspende sau să interzică un transfer de date cu caracter personal către o țară terță atunci când consideră, în lumina împrejurărilor proprii transferului menționat, că clauzele standard de protecție a datelor nu sunt sau nu pot fi respectate în această țară și că protecția datelor transferate, impusă de dreptul Uniunii, nu poate fi asigurată prin alte mijloace, în cazul în care însuși exportatorul stabilit în Uniune nu a suspendat ori nu a încetat un astfel de transfer.
Curtea examinează apoi validitatea Deciziei 2010/87. Potrivit Curții, validitatea acestei decizii nu este repusă în discuție prin simplul fapt că clauzele standard de protecție a datelor care figurează în aceasta nu sunt obligatorii, ca urmare a caracterului lor contractual, pentru autoritățile țării terțe către care ar putea fi efectuat un transfer. În schimb, precizează Curtea, această validitate depinde de aspectul dacă decizia menționată cuprinde mecanisme eficiente care permit, în practică, să se asigure respectarea nivelului de protecție impus de dreptul Uniunii și suspendarea sau interzicerea transferurilor de date cu caracter personal, întemeiate pe astfel de clauze, în cazul încălcării acestor clauze sau al imposibilității de a le onora. Curtea constată că Decizia 2010/87 prevede asemenea mecanisme. În această privință, ea subliniază, în special, că decizia menționată instituie o obligație a exportatorului datelor și a destinatarului transferului de a verifica, în prealabil, respectarea acestui nivel de protecție în țara terță în cauză și că ea obligă acest destinatar să informeze exportatorul datelor cu privire la eventuala sa imposibilitate de a asigura conformitatea cu clauzele menționate, ultimul având în acest caz sarcina de a suspenda transferul de date și/sau de a rezilia contractul încheiat cu primul.
În sfârșit, Curtea examinează validitatea Deciziei 2016/1250 în raport cu cerințele care decurg din RGPD, interpretat în lumina dispozițiilor cartei care garantează respectarea vieții private și de familie, protecția datelor cu caracter personal și dreptul la protecție jurisdicțională efectivă. În această privință, Curtea arată că decizia menționată consacră, asemenea Deciziei 2000/520, supremația cerințelor privind securitatea națională, interesul public și respectarea legislației americane, făcând astfel posibile unele ingerințe în drepturile fundamentale ale persoanelor ale căror date sunt transferate către această țară terță. Potrivit Curții, limitările protecției datelor cu caracter personal care decurg din reglementarea internă a Statelor Unite privind accesul și utilizarea de către autoritățile publice americane a unor astfel de date transferate din Uniune către această țară terță, pe care Comisia le‑a evaluat în Decizia 2016/1250, nu sunt circumscrise astfel încât să îndeplinească cerințe în esență echivalente cu cele prevăzute, în dreptul Uniunii, de principiul proporționalității, în sensul că programele de supraveghere întemeiate pe această reglementare nu sunt limitate la strictul necesar. Întemeindu‑se pe constatările care figurează în această decizie, Curtea arată că, pentru anumite programe de supraveghere, respectiva reglementare nu evidențiază în niciun mod existența unor limitări ale abilitării pe care o presupune pentru punerea în aplicare a acestor programe, și nici existența unor garanții pentru persoane care nu sunt cetățeni americani potențial vizate. Curtea adaugă că, deși aceeași reglementare prevede cerințe pe care trebuie să le respecte autoritățile americane cu ocazia punerii în aplicare a programelor de supraveghere în cauză, ea nu conferă persoanelor vizate drepturi opozabile autorităților americane în fața instanțelor judecătorești.
În ceea ce privește cerința protecției jurisdicționale, Curtea statuează că, în mod contrar celor considerate de Comisie în Decizia 2016/1250, mecanismul de tip Ombudsman prevăzut de decizia menționată nu furnizează acestor persoane o cale de atac în fața unui organ care oferă garanții în esență echivalente cu cele impuse de dreptul Uniunii, de natură să asigure atât independența Ombudsmanului prevăzut de acest mecanism, cât și existența unor norme care abilitează Ombudsmanul menționat să adopte decizii obligatorii în privința serviciilor americane de informații. Pentru toate aceste motive, Curtea declară nevalidă Decizia 2016/1250.