Language of document : ECLI:EU:C:2015:650

Дело C‑362/14

Maximillian Schrems

срещу

Data Protection Commissioner

(Преюдициално запитване, отправено от High Court (Ирландия)

„Преюдициално запитване — Лични данни — Защита на физическите лица при обработването на тези лични данни — Харта на основните права на Европейския съюз — Членове 7, 8 и 47 — Директива 95/46/ЕО — Членове 25 и 28 — Прехвърляне на лични данни към трети страни — Решение 2000/520/ЕО — Прехвърляне на лични данни към Съединените щати — Недостатъчна степен на защита — Валидност — Жалба от физическо лице, чиито данни са били прехвърлени от Европейския съюз към Съединените щати — Правомощия на националните надзорни органи“

Резюме — Решение на Съда (голям състав) от 6 октомври 2015 г.

1.        Сближаване на законодателствата — Защита на физическите лица при обработването на лични данни — Директива 95/46 — Тълкуване в светлината на основните права

(Харта на основните права на Европейския съюз; Директива 95/46 на Европейския парламент и на Съвета)

2.        Сближаване на законодателствата — Защита на физическите лица при обработването на лични данни — Директива 95/46 — Национални надзорни органи — Изискване за независимост

(член 16, параграф 2 ДФЕС; член 8, параграф 3 от Хартата на основните права на Европейския съюз; съображение 62 и член 28, параграф 1 от Директива 95/46 на Европейския парламент и на Съвета)

3.        Сближаване на законодателствата — Защита на физическите лица при обработването на лични данни — Директива 95/46 — Национални надзорни органи — Правомощия — Контрол върху прехвърлянето на лични данни към трети страни — Включване

(член 8, параграф 3 от Хартата на основните права на Европейския съюз; член 28 от Директива 95/46 на Европейския парламент и на Съвета)

4.        Сближаване на законодателствата — Защита на физическите лица при обработването на лични данни — Директива 95/46 — Прехвърляне на лични данни към трети страни — Приемане на решение от Комисията, с което се констатира наличието на достатъчна степен на защита в трета страна — Решение със задължителен характер за всички държави членки, които са негови адресати — Проверка на валидността на такова решение — Съответни функции на националните надзорни органи и на националните юрисдикции

(член 288, четвърта алинея ДФЕС; член 8, параграф 3 и член 47 от Хартата на основните права на Европейския съюз; член 25, параграф 6 и член 28, параграфи 3 и 4 от Директива 95/46 на Европейския парламент и на Съвета)

5.        Сближаване на законодателствата — Защита на физическите лица при обработването на лични данни — Директива 95/46 — Прехвърляне на лични данни към трети страни — Приемане на решение от Комисията, с което се констатира наличието на достатъчна степен на защита в трета страна — Национален надзорен орган, сезиран с искане от лице във връзка със защитата на правата и свободите при обработването на засягащите го прехвърляни данни — Лице, което с искането си оспорва достатъчната степен на защита в тази трета страна — Задължение на посочения орган да разгледа искането — Обхват на проверката

(членове 7, 8 и 47 от Хартата на основните права на Европейския съюз; член 25, параграф 6 и член 28 от Директива 95/46 на Европейския парламент и на Съвета)

6.        Сближаване на законодателствата — Защита на физическите лица при обработването на лични данни — Директива 95/46 — Прехвърляне на лични данни към трети страни — Приемане на решение от Комисията, с което се констатира наличието на достатъчна степен на защита в трета страна — Понятие за достатъчна степен на защита — Критерии за преценка — Право на преценка на Комисията

(член 25, параграфи 2 и 6 от Директива 95/46 на Европейския парламент и на Съвета)

7.        Сближаване на законодателствата — Защита на физическите лица при обработването на лични данни — Директива 95/46 — Прехвърляне на лични данни към трети страни — Приемане на решение от Комисията, с което се констатира наличието на достатъчна степен на защита в трета страна — Решение 2000/520, с което се констатира наличието на достатъчна степен на защита в Съединените щати — Невалидност

(Харта на основните права на Европейския съюз; член 25, параграф 6 и член 28 от Директива 95/46 на Европейския парламент и на Съвета; членове 1—4 от Решение 2000/520 на Комисията)

8.        Основни права — Зачитане на личния живот — Защита на личните данни — Правна уредба на Съюза, в която се предвижда намеса, засягаща тези основни права — Условия — Достатъчни гаранции срещу рисковете от злоупотреби — Спазване на принципа на пропорционалност

(членове 7 и 8 от Хартата на основните права на Европейския съюз)

1.        Вж. текста на решението.

(вж. т. 38)

2.        Вж. текста на решението.

(вж. т. 40 и 41)

3.        Националните надзорни органи разполагат с широк набор от правомощия — изброени неизчерпателно в член 28, параграф 3 от Директива 95/46 за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни — които представляват необходимите средства, за да изпълняват органите своите задължения, както се подчертава в съображение 63 от същата директива. Така органите разполагат по-специално с правомощия по разследване, като например правомощия за събиране на цялата информация, необходима за изпълнението на функциите по надзора; с ефективни правомощия за намеса, като например правомощия за въвеждане на временна или окончателна забрана върху обработването на данни, и с правомощия да водят съдебни дела.

Що се отнася до правомощията за контрол върху прехвърлянето на лични данни към трети страни, безспорно, от член 28, параграфи 1 и 6 от Директива 95/46 следва, че правомощията на националните надзорни органи се отнасят до обработването на лични данни, извършвано на територията на държавата членка, към която принадлежат тези органи, и съответно член 28 не им предоставя правомощия по отношение на обработването на тези данни, извършвано на територията на трета страна. Същевременно операцията по прехвърляне на лични данни от държава членка към трета страна сама по себе си представлява обработване на лични данни по смисъла на член 2, буква б) от Директива 95/46, извършвано на територията на държава членка. Тъй като в съответствие с член 8, параграф 3 от Хартата на основните права на Европейския съюз и член 28 от Директива 95/46 националните надзорни органи са натоварени с осъществяването на контрола по спазването на правилата на Съюза относно защитата на физическите лица при обработването на лични данни, всеки от тях съответно разполага с правомощия да проверява дали дадено прехвърляне на лични данни от държавата членка, към която спада съответният орган, към трета страна отговаря на въведените с тази директива изисквания.

(вж. т. 43—45 и 47)

4.        Въз основа на член 25, параграф 6 от Директива 95/46 за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни Комисията можа де приеме решение, с което констатира, че трета страна гарантира достатъчна степен на защита. Съгласно втората алинея от тази разпоредба адресати на решението са държавите членки и те трябва да вземат необходимите мерки за спазване на решението. По силата на член 288, четвърта алинея ДФЕС решението е обвързващо за всички държави членки адресати и съответно е задължително за всичките им органи, доколкото с него се разрешава прехвърлянето на лични данни от държавите членки към третата страна, за която се отнася.

Следователно, докато решението на Комисията не бъде обявено за невалидно от Съда, който единствен е компетентен да установи невалидността на акт на Съюза, държавите членки и техните органи, включително независимите им надзорни органи, безспорно не могат да вземат мерки, противоречащи на въпросното решение, като например да приемат актове със задължителна сила, с които се цели да се констатира, че посочената в решението трета страна не гарантира достатъчна степен на защита. Всъщност актовете на институциите на Съюза по принцип се ползват с презумпция за законосъобразност и съответно произвеждат правно действие, докато не бъдат оттеглени, отменени в производство по жалба за отмяна или обявени за невалидни вследствие на преюдициално запитване или възражение за незаконосъобразност.

Макар националните юрисдикции безспорно да имат право да обсъждат валидността на акт на Съюза, същевременно те не са компетентни сами да констатират невалидността на такъв акт. A fortiori, при разглеждането на искане по смисъла на член 28, параграф 4 от посочената директива, отнасящо се до съвместимостта на такова решение на Комисията със защитата на личния живот и на основните права и свободи на лицата, националните надзорни органи нямат право сами да констатират невалидността на такова решение.

Ако посоченият орган стигне да извода, че изложените в подкрепа на искането доказателства са неоснователни, и съответно го отхвърли, в съответствие с член 28, параграф 3, втора алинея от Директива 95/46, разглеждан във връзка с член 47 от Хартата на основните права на Европейския съюз, подалото искането лице трябва да разполага с правни средства за защита по съдебен ред, позволяващи му да оспори засягащото го решение пред националните юрисдикции. При това положение, когато тези юрисдикции считат, че едно или няколко основания за невалидност — изтъкнати от страните или евентуално разгледани служебно — са основателни, те трябва да спрат производството и да сезират Съда с преюдициално запитване за преценка на валидността.

В противната хипотеза, ако органът счете за основателни твърденията за нарушения, които са изложени от лицето, подало искането във връзка със защитата на неговите права и свободи при обработването на личните му данни, в съответствие с член 28, параграф 3, първа алинея, трето тире от Директива 95/46, разглеждан във връзка по-специално с член 8, параграф 3 от Хартата на основните права на Европейския съюз, същият орган трябва да може да предприеме действия по съдебен ред. В това отношение националният законодател трябва да предвиди правни способи, позволяващи на съответния национален надзорен орган да изложи твърденията за нарушения, които счита за основателни, пред националните юрисдикции, така че ако последните споделят съмненията на органа относно валидността на решението на Комисията, да отправят преюдициално запитване с цел проверка на валидността на решението.

(вж. т. 51, 52, 61, 62, 64 и 65)

5.        Член 25, параграф 6 от Директива 95/46 за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, разглеждан във връзка с членове 7, 8 и 47 от Хартата на основните права на Европейския съюз, трябва да се тълкува в смисъл, че прието въз основа на тази разпоредба решение, с което Комисията констатира, че трета страна гарантира достатъчна степен на защита, не е пречка надзорен орган на държава членка по смисъла на член 28 от посочената директива да разгледа жалбата на лице — отнасяща се до защита на неговите права и свободи при обработването на засягащи го лични данни, които са били прехвърлени от държава членка към тази трета страна — ако то твърди, че действащите в момента право и практики в третата страна не гарантират достатъчна степен на защита.

В противен случай лицата, чиито лични данни са били или биха могли да бъдат прехвърлени към съответната трета страна, ще бъдат лишени от гарантираното в член 8, параграфи 1 и 3 от Хартата на основните права на Европейския съюз право да сезират националните надзорни органи с искане, за да защитят основните си права.

Освен това, искане по смисъла на член 28, параграф 4 от Директива 95/46, с което такова лице твърди, че въпреки констатацията на Комисията в прието въз основа на член 25, параграф 6 от същата директива решение, правото и практиките на третата страна не гарантират достатъчна степен на защита, трябва да се разглежда като искане, отнасящо се по същество до съвместимостта на това решение със защитата на личния живот и на основните права и свободи на лицата. При това положение, когато лице, чиито лични данни са били или биха могли да бъдат прехвърлени към трета страна, по отношение на която има решение на Комисията по член 25, параграф 6 от Директива 95/46, сезира национален надзорен орган с такова искане, органът трябва да разгледа искането с цялата дължима грижа.

(вж. т. 58, 59, 63 и 66; т. 1 от диспозитива)

6.        Изразът „достатъчна степен на защита“ — съдържащ се в член 25, параграф 6 от Директива 95/46 за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни — трябва да се разбира в смисъл, че от съответната трета страна се изисква ефективно да гарантира, по силата на вътрешното си законодателство или на международните си споразумения, степен на защита на основните права и свободи, която по същество е равностойна на гарантираната в Съюза по силата на тази директива, разглеждана във връзка с Хартата на основните права на Европейския съюз.

При това положение при анализа на предоставяната от трета страна степен на защита Комисията трябва да прецени съдържанието на приложимите в тази страна правила, произтичащи от вътрешното законодателство или от международните споразумения на страната, както и практиката с цел спазване на тези правила, като в съответствие с член 25, параграф 2 от Директива 95/46 тази институция трябва да вземе предвид всички обстоятелства, свързани с операцията по прехвърляне на лични данни към трета страна. Също така, предвид възможната промяна на гарантираната от трета страна степен на защита, след като приеме решение по член 25, параграф 6 от Директива 95/46, Комисията трябва периодично да проверява дали констатацията относно достатъчната степен на защита, гарантирана от съответната трета страна, все още е обоснована от фактическа и правна гледна точка. При всички положения извършването на такава проверка се налага при наличие на признаци, пораждащи съмнения в това отношение.

Като се имат предвид, от една страна, важната роля на защитата на личните данни с оглед на основното право на зачитане на личния живот, и от друга страна, значителният брой лица, чиито основни права е възможно да бъдат нарушени при прехвърляне на лични данни към трета страна, която не гарантира достатъчна степен на защита, правото на Комисията на преценка относно достатъчния характер на тази степен се оказва ограничено, поради което трябва да се извърши стриктна проверка на изискванията, произтичащи от член 25 от Директива 95/46, разглеждан във връзка с Хартата на основните права на Европейския съюз.

(вж. т. 73, 75, 76 и 78)

7.        За приемането на решение от Комисията по член 25, параграф 6 от Директива 95/46 за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни — като Решение 2000/520 относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот“ и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ — е необходимо тази институция да направи надлежно мотивирана констатация, че по силата на вътрешното си законодателство или на международните си споразумения съответната трета страна ефективно гарантира степен на защита на основните права, която по същество е равностойна на гарантираната в правния ред на Съюза.

Тъй като обаче в своето Решение 2000/520 Комисията не прави такава констатация, член 1 от това решение не отговаря на изискванията, установени в член 25, параграф 6 от Директива 95/46, разглеждан във връзка с Хартата на основните права на Европейския съюз, и поради това е невалиден. Всъщност принципите за „сфера на неприкосновеност на личния живот“ се прилагат единствено за американски самосертифицирани организации, получаващи лични данни от Съюза, като не се изисква американските публични органи да спазват тези принципи. Освен това Решение 2000/520 прави възможна намесата — въз основа на изисквания, свързани с националната сигурност и с обществения интерес, или въз основа на вътрешното законодателство на САЩ — в упражняването на основните права на лицата, чиито лични данни се прехвърлят или биха могли да се прехвърлят от Съюза към САЩ, без в него да се съдържа констатация относно наличието в посочената страна на правила с етичен характер, предназначени за ограничаване на евентуалната намеса, засягаща теза права, и без да се отбелязва наличието на ефективна правна защита срещу този вид намеса.

Освен това с приемането на член 3 от Решение 2000/520 Комисията е превишила предоставените ѝ правомощия по член 25, параграф 6 от Директива 95/46, разглеждан във връзка с Хартата на основните права на Европейския съюз, и поради това въпросният член 3 е невалиден. Всъщност този член трябва да се разглежда като лишаващ националните надзорни органи от правомощията, които те черпят от член 28 от Директива 95/46, в случай че във връзка с искане по тази разпоредба съответното лице посочи обстоятелства, които могат да поставят под въпрос съвместимостта със защитата на личния живот и на основните права и свободи на лицата на решение на Комисията, с което въз основа на член 25, параграф 6 от същата директива тя констатира, че трета страна гарантира достатъчна степен на защита. Същевременно изпълнителните правомощия, предоставени от законодателя на Съюза на Комисията в член 25, параграф 6 от Директива 95/46, не дават право на тази институция да ограничава правомощията на националните надзорни органи.

Тъй като членове 1 и 3 от Решение 2000/520 са неотделими от членове 2 и 4 от това решение и от приложенията към него, невалидността им засяга валидността на цялото решение.

(вж. т. 82, 87—89, 96—98 и 102—105; т. 2 от диспозитива)

8.        Правна уредба на Съюза, в която се предвижда намеса в основните права, гарантирани с членове 7 и 8 от Хартата на основните права на Европейския съюз, трябва да предвижда ясни и точни правила, които да уреждат обхвата и прилагането на разглежданата мярка и да установяват минимални изисквания, така че лицата, чиито лични данни са били засегнати, да разполагат с достатъчни гаранции, позволяващи ефикасна защита на техните лични данни срещу рискове от злоупотреби, както и срещу всякакъв незаконен достъп или използване на тези данни. Необходимостта от такива гаранции е още по-голяма, когато личните данни са подложени на автоматична обработка и съществува значителен риск от незаконен достъп до тях. Освен това и преди всичко, защитата на основното право на зачитане на личния живот на равнище на Съюза изисква дерогациите и ограниченията на защитата на личните данни да се въвеждат в границите на строго необходимото.

Следователно не се ограничава до строго необходимото правна уредба, която общо разрешава съхраняването на всички лични данни на всички лица, чиито данни са били прехвърлени от Съюза, без да въвежда никакво разграничаване, ограничаване или изключение с оглед на преследваната цел и без да предвижда обективен критерий, позволяващ да се ограничи достъпът на публичните органи до данните и тяхното последващо използване за конкретни цели, които са строго ограничени и могат да обосноват намесата, каквато съдържат достъпът и използването на тези данни.

По-специално, правна уредба, осигуряваща общ достъп на публичните органи до съдържанието на електронни съобщения, трябва да се счита за засягаща същественото съдържание на основното право на зачитане на личния живот, гарантирано с член 7 от Хартата на основните права на Европейския съюз.

Също така правна уредба, в която не се предвижда никаква възможност правният субект да използва правни средства за защита, за да получи достъп до засягащи го лични данни или да поправи или заличи такива данни, не зачита същественото съдържание на основното право на ефективна съдебна защита, признато в член 47 от Хартата на основните права на Европейския съюз. Всъщност в първа алинея от този член се изисква всеки, чиито права и свободи, гарантирани от правото на Съюза, са били нарушени, да има право на ефективни правни средства за защита пред съд в съответствие с предвидените в този член условия. В това отношение самото наличие на ефективен съдебен контрол, чието предназначение е да гарантира спазването на разпоредбите от правото на Съюза, е неделимо свързано със съществуването на правовата държава.

(вж. т. 91—95)