Language of document : ECLI:EU:C:2015:650

Sprawa C‑362/14

Maximillian Schrems

przeciwko

Data Protection Commissioner

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez High Court (Irlandia)]

Odesłanie prejudycjalne – Dane osobowe – Ochrona osób fizycznych w zakresie przetwarzania tych danych – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 47 – Dyrektywa 95/46/WE – Artykuły 25 i 28 – Przekazywanie danych osobowych do państw trzecich – Decyzja 2000/520/WE – Przekazywanie danych osobowych do Stanów Zjednoczonych – Nieodpowiedni stopień ochrony – Ważność – Skarga osoby fizycznej, której dane zostały przekazane z Unii Europejskiej do Stanów Zjednoczonych – Kompetencje krajowych organów nadzorczych

Streszczenie – wyrok Trybunału (wielka izba) z dnia 6 października 2015 r.

1.        Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Wykładnia w świetle praw podstawowych

(Karta praw podstawowych Unii Europejskiej; dyrektywa 95/46 Parlamentu Europejskiego i Rady)

2.        Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Krajowe organy kontroli – Wymóg niezawisłości

(art. 16 ust. 2 TFUE; Karta praw podstawowych Unii Europejskiej, art. 8 ust. 3; dyrektywa 95/46 Parlamentu Europejskiego i Rady, motyw 52, art. 28 ust. 1)

3.        Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Krajowe organy kontroli – Uprawnienia – Kontrola przekazywania danych osobowych do państw trzecich – Włączenie

(Karta praw podstawowych Unii Europejskiej, art. 8 ust. 3; dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 28)

4.        Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Przekazywanie danych osobowych do państw trzecich – Przyjęcie przez Komisję stwierdzającej odpowiedni stopień ochrony w państwie trzecim – Decyzja mająca charakter wiążący dla wszystkich państw członkowskich, do których jest skierowana – Badanie ważności takiej decyzji – Role odpowiednio władz krajowych i sądów krajowych

(art. 288 akapit czwarty TFUE; Karta praw podstawowych Unii Europejskiej, art. 8 ust. 3, art. 47; dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 25 ust. 6, art. 28 ust. 3, 4)

5.        Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Przekazywanie danych osobowych do państw trzecich – Przyjęcie przez Komisję stwierdzającej odpowiedni stopień ochrony w państwie trzecim – Krajowy organ nadzorczy rozpatrujący skargę dotyczącą ochrony praw i wolności w zakresie przetwarzania przekazanych danych dotyczących skarżącego – Skarżący kwestionujący odpowiedni stopień ochrony w tym państwie trzecim – Obowiązek rozpatrzenia skargi przez ten organ – Zakres badania

(Karta praw podstawowych Unii Europejskiej, art. 7, 8, 47; dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 25 ust. 6, art. 28)

6.        Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Przekazywanie danych osobowych do państw trzecich – Przyjęcie przez Komisję stwierdzającej odpowiedni stopień ochrony w państwie trzecim – Pojęcie odpowiedniego stopnia ochrony – Kryteria oceny – Uprawnienia dyskrecjonalne Komisji

(dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 25 ust. 2, 6)

7.        Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Przekazywanie danych osobowych do państw trzecich – Przyjęcie przez Komisję stwierdzającej odpowiedni stopień ochrony w państwie trzecim – Decyzja 2000/520 stwierdzająca odpowiedni poziom ochrony w Stanach Zjednoczonych – Nieważność

(Karta praw podstawowych Unii Europejskiej; dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 25 ust. 6, art. 28; decyzja Komisji 2000/520, art. 1–4)

8.        Prawa podstawowe – Poszanowanie życia prywatnego – Ochrona danych osobowych – Uregulowanie Unii stanowiące ingerencję w te prawa podstawowe – Przesłanki – Wystarczające gwarancje przed ryzykiem nadużyć – Poszanowanie zasady proporcjonalności

(Karta praw podstawowych Unii Europejskiej, art. 7, 8)

1.        Zobacz tekst orzeczenia.

(por. pkt 38)

2.        Zobacz tekst orzeczenia.

(por. pkt 40, 41)

3.        Jak podkreślono w motywie 63 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, krajowe organy nadzorcze dysponują w tym celu szerokim wachlarzem kompetencji, które, wymienione w sposób niewyczerpujący w art. 28 ust. 3 owej dyrektywy, stanowią środki niezbędne do wykonywania ich zadań. Organom tym przysługują zatem kompetencje dochodzeniowe, takie jak prawo do gromadzenia wszelkich informacji potrzebnych do wykonywania ich funkcji nadzorczych, skuteczne kompetencje interwencyjne, takie jak prawo nakładania czasowego lub ostatecznego zakazu przetwarzania danych oraz prawo pozywania.

Co się tyczy kompetencji nadzoru w odniesieniu do przekazywania danych osobowych do państw trzecich, co prawda z art. 28 ust. 1 i 6 dyrektywy 95/46 wynika, że kompetencje krajowych organów nadzorczych dotyczą przetwarzania danych osobowych dokonywanego na terytorium państwa członkowskiego, do którego te organy należą, a więc nie posiadają one na mocy tego art. 28 kompetencji w odniesieniu do przetwarzania tychże danych dokonywanego na terytorium państwa trzeciego. Jednak operacja przekazywania danych osobowych z państwa członkowskiego do państwa trzeciego polega sama w sobie na przetwarzaniu danych osobowych w rozumieniu art. 2 lit. b) dyrektywy 95/46 dokonywanym na terytorium państwa członkowskiego. W konsekwencji skoro krajowe organy nadzorcze, zgodnie z art. 8 ust. 3 Karty praw podstawowych Unii Europejskiej i z art. 28 dyrektywy 95/46, zobowiązane są kontrolować poszanowanie unijnych zasad dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych, każdy z nich jest wyposażony w kompetencję do zbadania, czy przekazywanie tych danych z państwa członkowskiego, do którego on należy, do państwa trzeciego następuje z poszanowaniem wymogów formułowanych przez ową dyrektywę.

(por. pkt 43–45, 47)

4.        Komisja może przyjąć na podstawie art. 25 ust. 6 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, decyzję stwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony. Decyzja taka skierowana jest, zgodnie z akapitem drugim tego przepisu, do państw członkowskich, które podejmują środki niezbędne w celu jej wykonania. Zgodnie z art. 288 akapit czwarty TFUE wiąże ona wszystkie państwa członkowskie, do których jest skierowana, a w związku z tym jest wiążąca dla wszystkich ich organów w zakresie, w jakim skutkuje ona upoważnieniem do przekazywania danych osobowych z państw członkowskich do wskazanych w niej państw trzecich.

Dopóki zatem Trybunał – jedyny właściwy do stwierdzenia nieważności aktu unijnego – nie stwierdzi nieważności decyzji Komisji, dopóty państwa członkowskie i ich organy, w tym ich niezależne organy nadzorcze, nie mogą co prawda przyjmować środków sprzecznych z tą decyzją, takich jak akty zmierzające do stwierdzenia w sposób wiążący, że państwo trzecie, którego dotyczy omawiana decyzja, nie zapewnia odpowiedniego stopnia ochrony. Akty instytucji Unii korzystają bowiem zasadniczo z domniemania ważności, a zatem wywołują skutki prawne do czasu ich uchylenia, stwierdzenia ich nieważności w ramach skargi o stwierdzenie nieważności lub uznania ich za nieważne w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem.

O ile sądy krajowe mają co prawda prawo badać ważność aktu unijnego, o tyle jednak nie są one właściwe do samodzielnego stwierdzenia nieważności takiego aktu. A fortiori, krajowe organy nadzorcze przy rozpatrywaniu skargi, w rozumieniu art. 28 ust. 4 tej dyrektywy, dotyczącej zgodności takiej decyzji Komisji z ochroną życia prywatnego oraz podstawowych praw i wolności jednostek, nie mają prawa samodzielnie stwierdzić nieważności takiej decyzji.

Jeśli omawiany organ dojdzie do wniosku, że zarzuty podniesione na poparcie takiej skargi są bezzasadne, i oddali tę skargę z tego powodu, osobie, która ją wniosła, musi – jak wynika z art. 28 ust. 3 akapit drugi dyrektywy 95/46 w związku z art. 47 Karty praw podstawowych Unii Europejskiej – przysługiwać prawo odwołania do sądu, umożliwiające jej podważenie tej niekorzystnej dla niej decyzji przed sądami krajowymi. W tych okolicznościach owe sądy krajowe zobowiązane są zawiesić postępowanie i zwrócić się do Trybunału z pytaniem prejudycjalnym dotyczącym ważności, jeżeli uznają one za zasadne zarzut lub zarzuty nieważności podniesione przez strony lub ewentualnie uwzględnione z urzędu.

W przeciwnej sytuacji, w której omawiany organ uzna zarzuty podniesione przez osobę, która wniosła do niego skargę dotyczącą ochrony jej praw i wolności w zakresie przetwarzania danych osobowych, za zasadne, organ ten powinien – zgodnie z art. 28 ust. 3 akapit pierwszy dyrektywy 95/46 w związku w szczególności z art. 8 ust. 3 Karty praw podstawowych Unii Europejskiej – mieć prawo pozywania do sądu. W tym względzie do krajowego ustawodawcy należy ustanowienie drogi prawnej umożliwiającej krajowemu organowi nadzorczemu podniesienie zarzutów, które uważa on za zasadne, przed sądami krajowymi, po to, aby te ostatnie, jeśli podzielają wątpliwości tego organu co do ważności decyzji Komisji, wystąpiły z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w celu zbadania ważności tej decyzji.

(por. pkt 51, 52, 61, 62, 64, 65)

5.        Artykuł 25 ust. 6 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, w związku z art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że decyzja przyjęta na podstawie tego przepisu, w której Komisja stwierdza, że państwo trzecie zapewnia odpowiedni stopień ochrony, nie stoi na przeszkodzie temu, aby organ nadzorczy państwa członkowskiego, w rozumieniu art. 28 tej dyrektywy, w zmienionym brzmieniu, rozpatrzył skargę danej osoby związaną z ochroną jej praw i wolności w zakresie przetwarzania dotyczących jej danych osobowych, przekazanych z państwa członkowskiego do tego państwa trzeciego, gdy osoba ta podnosi, że prawo i praktyka obowiązujące w tym państwie trzecim nie zapewniają odpowiedniego stopnia ochrony.

Gdyby tak nie było, osoby, których dane osobowe zostały lub mogły zostać przekazane do danego państwa trzeciego, zostałyby pozbawione prawa, gwarantowanego przez art. 8 ust. 1 i 3 Karty praw podstawowych Unii Europejskiej, do zwrócenia się do krajowych organów nadzorczych ze skargą służącą ochronie ich praw podstawowych.

Ponadto skargę w rozumieniu art. 28 ust. 4 dyrektywy 95/46, w której taka osoba podnosi, że prawo i praktyki danego państwa trzeciego nie zapewniają, niezależnie od ustaleń Komisji w decyzji przyjętej na podstawie art. 25 ust. 6 tej dyrektywy, odpowiedniego poziomu ochrony, należy rozumieć jako dotyczącą w istocie zgodności tej decyzji z ochroną życia prywatnego oraz wolności i praw podstawowych jednostek. W tych okolicznościach jeśli osoba, której dane osobowe zostały lub mogły zostać przekazane do państwa trzeciego będącego przedmiotem decyzji Komisji przyjętej na mocy art. 25 ust. 6 dyrektywy 95/46, wnosi do krajowego organu nadzorczego taką skargę, to ów organ krajowy zobowiązany jest do rozpatrzenia tej skargi z wszelką wymaganą starannością.

(por. pkt 58, 59, 63, 66; pkt 1 sentencji)

6.        Termin „odpowiedni” zawarty w art. 25 ust. 6 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, należy rozumieć jako wymagający od tego państwa trzeciego skutecznego zapewnienia, ze względu na jego ustawodawstwo wewnętrzne lub zobowiązania międzynarodowe, poziomu ochrony podstawowych praw i wolności merytorycznie równoważnego poziomowi gwarantowanemu w Unii na mocy dyrektywy 95/46 w związku z Kartą praw podstawowych Unii Europejskiej.

W tych okolicznościach przy badaniu poziomu ochrony zapewnionego w państwie trzecim Komisja zobowiązana jest ocenić treść reguł mających zastosowanie w tym państwie wynikających z jego ustawodawstwa wewnętrznego lub ze zobowiązań międzynarodowych, a także praktykę zmierzającą do zapewnienia poszanowania tych reguł, przy czym instytucja ta powinna zgodnie z art. 25 ust. 2 dyrektywy 95/46 wziąć pod uwagę wszystkie okoliczności dotyczące przekazywania danych osobowych do państwa trzeciego. Co więcej, w związku z tym, że poziom ochrony zapewniony w państwie trzecim może zmieniać się w czasie, do Komisji należy, po przyjęciu decyzji na podstawie art. 25 ust. 6 dyrektywy 95/46, okresowe badanie, czy przy uwzględnieniu stanu faktycznego i prawnego ustalenia poczynione co do odpowiedniego stopnia ochrony zapewnionego przez dane państwo trzecie są nadal zasadne. Takie badanie należy przeprowadzić w każdym razie wówczas, gdy wyjdą na jaw okoliczności mogące wzbudzić co do tego wątpliwości.

Mając na uwadze, po pierwsze, znaczącą rolę, jaką odgrywa ochrona danych osobowych w świetle prawa podstawowego do poszanowania życia prywatnego, oraz po drugie, znaczną liczbę osób, których prawa podstawowe mogą zostać naruszone w przypadku przekazania danych osobowych do państwa trzeciego niezapewniającego odpowiedniego stopnia ochrony, kompetencje ocenne Komisji w odniesieniu do odpowiedniego charakteru tego poziomu są ograniczone, skutkiem czego kontrola wymogów wynikających z art. 25 dyrektywy 95/46 w związku z Kartą praw podstawowych Unii Europejskiej musi mieć charakter ścisły.

(por. pkt 73, 75, 76, 78)

7.        Przyjęcie przez Komisję decyzji na podstawie art. 25 ust. 6 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, takiej jak decyzja 2000/5200 w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA, wymaga prawidłowo uzasadnionego ustalenia przez tę instytucję, że dane państwo trzecie rzeczywiście zapewnia, ze względu na swoje ustawodawstwo wewnętrzne i zobowiązania międzynarodowe, poziom ochrony praw podstawowych merytorycznie równoważny poziomowi gwarantowanemu w unijnym porządku prawnym.

Tymczasem ponieważ Komisja w swojej decyzji 2000/520 tego nie uczyniła art. 1 tej decyzji narusza wymogi ustanowione w art. 25 ust. 6 dyrektywy 95/46 w związku z Kartą praw podstawowych Unii Europejskiej i jest w związku z tym nieważny. W istocie zasady „bezpiecznej przystani” mają zastosowanie wyłącznie do organizacji amerykańskich, które dokonały samocertyfikacji, otrzymujących dane osobowe z Unii, przy czym nie wymaga się, aby władze publiczne Stanów Zjednoczonych zostały zobowiązane do poszanowania tych zasad. W związku z tym decyzja 2000/520 umożliwia ingerencję opartą na wymaganiach bezpieczeństwa narodowego, interesu publicznego albo przestrzegania prawa krajowego Stanów Zjednoczonych, w prawa podstawowe osób, których dane osobowe zostały lub mogły zostać przekazane z Unii do Stanów Zjednoczonych, niezawierając stwierdzenia dotyczącego istnienia w Stanach Zjednoczonych reguł o charakterze ogólnopaństwowym służących do ograniczenia ewentualnych ingerencji w te prawa oraz nie ustalając istnienia skutecznej ochrony prawnej przed ingerencją tego rodzaju.

Ponadto Komisja przekroczyła granice kompetencji przyznanych jej w art. 25 ust. 6 dyrektywy 95/46 w związku z Kartą praw podstawowych Unii Europejskiej, przyjmując art. 3 decyzji 2000/520, który jest w związku z tym nieważny. W istocie artykuł ten należy rozumieć jako pozbawiający krajowe organy nadzorcze ich kompetencji wynikających z art. 28 dyrektywy 95/46, w przypadku gdy przy okazji skargi wnoszonej na mocy tego przepisu jednostka przedstawia okoliczności mogące podważyć zgodność z ochroną życia prywatnego oraz wolnościami i prawami podstawowymi osób fizycznych decyzji Komisji stwierdzającej na podstawie art. 25 ust. 6 tej dyrektywy, że państwo trzecie zapewnia odpowiedni stopień ochrony. Tymczasem kompetencje wykonawcze przyznane przez prawodawcę Unii Komisji w art. 25 ust. 6 dyrektywy 95/46 nie umożliwiają tej instytucji ograniczenia wspomnianych kompetencji krajowych organów nadzorczych.

Skoro art. 1 i 3 decyzji 2000/520 są nierozerwalnie związane z art. 2 i 4, a także z załącznikami do tej decyzji, nieważność art. 1 i 3 ma wpływ na ważność tej decyzji w całości.

(por. pkt 82, 87–89, 96–98, 102–105; pkt 2 sentencji)

8.        Uregulowania Unii stanowiące ingerencję w prawa podstawowe gwarantowane w art. 7 i 8 Karty praw podstawowych Unii Europejskiej muszą zawierać jasne i dokładne reguły dotyczące zakresu i sposobu stosowania rozpatrywanych środków, a także ustanawiać minimalne zabezpieczenia służące temu, aby osoby, których dane osobowe zostają dotknięte ingerencją, miały wystarczające gwarancje rzeczywistej ochrony ich danych przed ryzykiem nadużyć oraz uzyskaniem do nich bezprawnego dostępu i ich wykorzystywaniem. Konieczność zapewnienia takich gwarancji ma znaczenie tym większe, że dane osobowe przetwarzane są automatycznie i istnieje znaczne ryzyko bezprawnego uzyskania dostępu do nich. Ponadto i przede wszystkim ochrona prawa podstawowego do poszanowania życia prywatnego na poziomie Unii wymaga, aby odstępstwa od ochrony danych osobowych i jej ograniczenia ograniczały się do tego, co absolutnie konieczne.

W ten sposób uregulowanie umożliwiające generalnie przechowywanie wszelkich danych osobowych wszystkich osób fizycznych, których dane zostały przekazane z Unii bez jakiegokolwiek zróżnicowania, ograniczenia lub wyjątku w zależności od zamierzonego celu i bez przewidzenia obiektywnych kryteriów, które pozwoliłyby na ograniczenie dostępu władz publicznych do danych oraz na ich późniejsze wykorzystanie do określonych celów, ściśle ograniczonych, które mogą uzasadnić ingerencję, jaką stanowi zarówno dostęp, jak i wykorzystanie tych danych, nie ogranicza się do tego, co absolutnie konieczne.

W szczególności uregulowanie pozwalające władzom publicznym na uzyskanie powszechnego dostępu do treści wiadomości elektronicznych należy uznać za naruszenie zasadniczej istoty prawa podstawowego do poszanowania życia prywatnego, wynikającego z art. 7 Karty praw podstawowych Unii Europejskiej.

Co więcej, uregulowanie nieprzewidujące dla jednostek żadnej drogi prawnej w celu uzyskania dostępu do dotyczących ich danych osobowych lub sprostowania czy usunięcia takich danych nie zapewnia poszanowania zasadniczej istoty prawa podstawowego do skutecznej ochrony prawnej, wynikającego z art. 47 Karty praw podstawowych Unii Europejskiej. Akapit pierwszy tego artykułu stanowi bowiem, że każdy, czyje prawa i wolności zagwarantowane przez prawo Unii zostały naruszone, ma prawo do skutecznego środka prawnego przed sądem, zgodnie z warunkami przewidzianymi w tym artykule. W tym względzie samo istnienie skutecznej kontroli sądowej służącej zapewnieniu poszanowania przepisów prawa Unii jest nierozerwalnie związane z istnieniem państwa prawa.

(por. pkt 91–95)