ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ
H. SAUGMANDSGAARD ØE
представено на 19 декември 2019 година(1)
Дело C‑311/18
Data Protection Commissioner
срещу
Facebook Ireland Limited,
Maximillian Schrems,
в присъствието на:
Съединени американски щати,
Electronic Privacy Information Centre,
BSA Business Software Alliance, Inc.,
Digitaleurope
(Преюдициално запитване, отправено от High Court (Висш съд, Ирландия)
„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 2, параграф 2 — Приложно поле — Предаване на лични данни към Съединените американски щати за търговски цели — Обработване от публичните органи на Съединените американски щати на предадените данни за целите на националната сигурност — Член 45 — Преценка на адекватността на нивото на защита, осигурена в трета държава — Член 46 — Подходящи гаранции, предоставени от администратора — Стандартни клаузи за защита — Член 58, параграф 2 — Правомощия на надзорните органи — Решение 2010/87/ЕС — Валидност — Решение за изпълнение (ЕС) 2016/1250 — „Щит за личните данни в отношенията между ЕС и САЩ“ — Валидност — Членове 7, 8 и 47 от Хартата на основните права на Европейския съюз“
Съдържание
I. Въведение
II. Правна уредба
А. Директива 95/46/ЕО
Б. ОРЗД
В. Решение 2010/87
Г. Решението относно Щита за личните данни
III. Спорът в главното производство, преюдициалните въпроси и производството пред Съда
IV. Анализ
А. Предварителни съображения
Б. По допустимостта на преюдициалното запитване
1. По приложимостта на Директива 95/46 ratione temporis
2. По временния характер на изразените от КЗЛД съмнения
3. По несигурността относно определянето на фактическата обстановка
В. По приложимостта на правото на Съюза към предаването за търговски цели на лични данни към трета държава, която може да ги обработва за цели, свързани с националната сигурност (първи въпрос)
Г. По нивото на защита, изисквано при предаване, основаващо се на стандартни договорни клаузи (първа част на шести въпрос)
Д. По валидността на Решение 2010/87 с оглед на членове 7, 8 и 47 от Хартата (седми, осми и единадесети въпрос)
1. По задълженията на администраторите
2. По задълженията на надзорните органи
Е. По липсата на необходимост от отговор на останалите преюдициални въпроси и от разглеждане на валидността на решението относно Щита за личните данни
1. По липсата на необходимост от отговори на Съда с оглед на предмета на спора в главното производство
2. По доводите срещу разглеждането от Съда с оглед на предмета на висящото пред КЗЛД производство
Ж. Съображения при условията на евентуалност относно действието и валидността на решението относно Щита за личните данни
1. По значението на решението относно Щита за личните данни при разглеждането от надзорен орган на жалба относно законосъобразността на предаване на данни въз основа на договорни гаранции
2. По валидността на решението относно Щита за личните данни
а) Уточнения относно съдържанието на анализа на валидността на решение относно адекватното ниво на защита
1) По елементите на сравнение, позволяващи да се прецени „равностойността по същество“ на нивото на защита
2) По необходимостта да се осигури адекватно ниво на защита на етапа на пренос на данните
3) По вземането предвид на фактическите констатации относно правото на Съединените щати, направени от Комисията и от запитващата юрисдикция
4) По обхвата на стандарта за „равностойност по същество“
б) По валидността на решението относно Щита за личните данни с оглед на правото на зачитане на личния живот и правото на защита на личните данни
1) По наличието на намеса
2) По изискването намесата да е „предвидена в закон“
3) По липсата на нарушение на основното съдържание на основните права
4) По преследването на законосъобразна цел
5) По необходимостта и пропорционалността на намесата
в) По валидността на решението относно Щита за личните данни с оглед на правото на ефективни правни средства за защита
1) По ефективността на предвидените от правото на Съединените щати правни средства за съдебна защита
2) По значението на механизма на омбудсмана за нивото на защита на правото на ефективни правни средства за защита
V. Заключение
I. Въведение
1. При липсата на общи гаранции за защита на личните данни в световен мащаб трансграничните потоци на такива данни са свързани с риск от нарушаване на непрекъснатостта на предоставеното в Европейския съюз равнище на защита. В стремежа си да улесни тези потоци, като същевременно ограничи този риск, законодателят на Съюза е въвел три механизъма, чрез които личните данни могат да се предават от Съюза към трета държава.
2. На първо място, такова предаване може да се извърши въз основа на решение, с което Европейската комисия установява, че третата държава осигурява „адекватно ниво на защита“ на предаваните към тази държава данни(2). На второ място, при липса на такова решение предаването е разрешено, когато са предвидени „подходящи гаранции“(3). Тези гаранции може да са под формата на договор между износителя и вносителя на данни, съдържащ стандартни клаузи за защита, приети от Комисията. На трето място, ОРЗД предвижда някои дерогации, основани по-специално на съгласието на субекта на данните, които позволяват предаването към трета държава дори при липса на решение относно адекватното ниво на защита или подходящи гаранции(4).
3. Преюдициалното запитване, отправено от High Court (Висш съд, Ирландия), се отнася до втория от тези механизми. По-конкретно то се отнася до валидността на решение 2010/87/ЕС(5), с което Комисията установява стандартни договорни клаузи за някои категории предавания, с оглед на членове 7, 8 и 47 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“).
4. Запитването е отправено в рамките на спор между, от една страна, Data Protection Commissioner (Комисар за защита на личните данни, наричан по-нататък „КЗЛД“) и от друга страна, Facebook Ireland Ltd и г‑н Maximillian Schrems. Последният подава жалба до КЗЛД относно предаването на засягащи го лични данни от Facebook Ireland на Facebook Inc., негово дружество майка, установено в Съединените американски щати (наричани по-нататък „Съединените щати“). КЗЛД счита, че разглеждането на тази жалба зависи от въпроса дали Решение 2010/87 е валидно. В този контекст той сезира запитващата юрисдикция с искане да отправи запитване по този въпрос до Съда.
5. В самото начало ще посоча, че при разглеждането на преюдициалните въпроси според мен не се установяват никакви обстоятелства, които могат да засегнат валидността на Решение 2010/87.
6. Освен това запитващата юрисдикция изтъква някои съмнения, отнасящи се по същество до адекватността на осигуреното от Съединените щати равнище на защита, с оглед на намесата, която включват дейностите на американските разузнавателни служби в упражняването на основните права на лицата, чиито данни се предават към тази трета държава. Тези съмнения косвено поставят под въпрос направените от Комисията преценки в това отношение в Решение за изпълнение (ЕС) 2016/1250(6). Въпреки че разрешаването на спора в главното производство не налага Съдът да се произнесе по този въпрос и че следователно му предлагам да не го прави, при условията на евентуалност ще изложа причините, които ме подтикват да си задам въпроси относно валидността на това решение.
7. Целият ми анализ ще се ръководи от търсенето на баланс между, от една страна, необходимостта да се демонстрира „разумна степен на прагматизъм, за да се позволи взаимодействие с останалия свят“(7), и от друга страна, необходимостта за утвърждаване на основните ценности, гарантирани в правния ред на Съюза и на неговите държави членки, по-специално в Хартата.
II. Правна уредба
1. Директива 95/46/ЕО
8. Член 3, параграф 2 от Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни(8) е предвиждал следното:
„Настоящата директива не се прилага за обработването на лични данни:
– при извършване на дейности, извън приложното поле на правото на Общността, например дейностите, предвидени в дял V и дял VI от Договора за Европейския съюз, и във всички случаи при дейности по обработването на данни, отнасящи се до обществената сигурност, отбраната, държавната сигурност (включително икономическото благосъстояние на държавата, когато процесът на обработка е свързан[…] с държавната сигурност) и при дейности на държавата в областта на наказателното право,
– […]“.
9. Текстът на член 13, параграф 1 от тази директива е гласял:
„Държавите членки могат да приемат законодателни мерки за ограничаване на обхвата на правата и задълженията, предвидени в член 6, параграф 1, член 10, член 11, параграф 1, член 12 и член 21, ако подобно ограничаване представлява необходима мярка за гарантиране на:
а) националната сигурност;
б) отбраната;
в) обществената сигурност;
г) предотвратяването, разследването, разкриването и преследването на углавни престъпления или за нарушения на етичните кодекси при регламентираните професии;
д) важни икономически и финансови интереси на държавата членка или на [Съюза], включително валутни, бюджетни и данъчни въпроси;
е) функции по наблюдение, проверка или регламентиране, свързани, дори случайно, с упражняването на официални правомощия в случаите, посочени в букви в), г) и д);
ж) защита на съответното физическо лице или на правата и свободите на други лица“.
10. Член 25 от Директивата е гласял:
„1. Държавите членки предвиждат, че предаването на лични данни, които са подложени на обработка или са предназначени за обработка след предаването им на трета страна, може да се извършва, само ако без да се засяга спазването на националните разпоредби, приети в съответствие с другите разпоредби на настоящата директива, въпросната трета страна гарантира достатъчна степен на защита.
2. Достатъчният характер на степента на защита, предоставяна от трета страна, се преценява в светлината на всички обстоятелства, свързани с операцията по предаването на данни или набор от операции по предаване на данни; специално внимание се обръща на характера на данните, целта и продължителността на предлаганата операция или операции по обработката им, на страната по произхода и страната по крайното местоназначение, на законовите правила, както общи, така и секторни, които са в сила във въпросната трета страна, както и на професионалните правила и мерките за сигурност, които се спазват в тази страна.
[…]
6. Комисията може да констатира, в съответствие с процедурата, посочена в член 31, параграф 2, че трета страна гарантира достатъчна степен на защита по смисъла на параграф 2 на настоящия член, по силата на вътрешното си законодателство или на международните споразумения, сключени от нея, и по-конкретно след приключване на преговорите, упоменати в параграф 5, за защитата на личния живот и на основните свободи и права на лицата.
Държавите членки предприемат необходимите мерки за спазване на решението на Комисията“.
11. Член 26, параграфи 2 и 4 от същата директива е предвиждал:
„2. Без да се засягат разпоредбите на параграф 1, дадена държава членка може да разреши предаването или набора от предавания за трета страна, която не осигурява достатъчна степен на защита по смисъла на член 25, параграф 2, ако администраторът предостави достатъчни гаранции по отношение на защитата на личния живот и основните права и свободи на лицата и по отношение на упражняването на съответните права; такива гаранции могат, в частност, да произтичат от съответни договорни клаузи.
[…]
4. Ако Комисията реши […], че някои стандартни договорни клаузи предлагат достатъчни гаранции, както изисква параграф 2, държавите членки вземат необходимите мерки, за да спазят решението на Комисията“.
12. Член 28, параграф 3 от Директива 95/46 е гласял:
„В частност, на всеки орган са предоставени:
[…]
– ефективни правомощия на намеса, като например право на предоставяне на становища, преди извършването на операции по обработка на данни съгласно член 20, и гарантиране на подходяща публичност на подобни становища; право на разпореждане на блокиране, изтриване или унищожаване на данни, на въвеждане на временна или окончателна забрана върху обработването, на отправяне на предупреждение или строга забележка към администратора, както и право да сезира националния парламент или други политически институции,
[…]“.
2. ОРЗД
13. Съгласно член 94, параграф 1 от ОРЗД този регламент отменя Директива 95/46, считано от 25 май 2018 г., датата, от която той започва да се прилага съгласно член 99, параграф 2 от него.
14. Член 2, параграф 2 от посочения регламент гласи:
„Настоящият регламент не се прилага за обработването на лични данни:
а) в хода на дейности, които са извън приложното поле на правото на Съюза;
б) от държавите членки, когато извършват дейности, които попадат в приложното поле на дял V, глава 2 от ДЕС;
[…]
г) от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност“.
15. Член 4, точка 2 от същия регламент определя понятието „обработване“ като „всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване“.
16. Член 23 от ОРЗД предвижда:
„1. В правото на Съюза или правото на държава членка, което се прилага спрямо администратора или обработващия лични данни, чрез законодателна мярка може да се ограничи обхватът на задълженията и правата, предвидени в членове 12—22 и в член 34, както и в член 5, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 12—22, когато подобно ограничение е съобразено със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество с цел да се гарантира:
а) националната сигурност;
б) отбраната;
в) обществената сигурност;
г) предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност;
д) други важни цели от широк обществен интерес за Съюза или за държава членка, и по-специално важен икономически или финансов интерес на Съюза или на държава членка […];
[…]
2. По-специално, всяка законодателна мярка, посочена в параграф 1, съдържа специални разпоредби най-малко, където е целесъобразно, по отношение на:
а) целите на обработването или категориите обработване;
б) категориите лични данни;
в) обхвата на въведените ограничения;
г) гаранциите за предотвратяване на злоупотреби или незаконен достъп или предаване;
д) спецификацията на администратора или категориите администратори;
е) периодите на съхранение и приложимите гаранции, като се вземат предвид естеството, обхватът и целите на обработването или категориите обработване;
ж) рисковете за правата и свободите на субектите на данни; и
з) правото на субектите на данни да бъдат информирани за ограничаването, освен ако това би било в разрез с целта на ограничаването“.
17. Член 44 от този регламент, озаглавен „Общ принцип на предаването на данни“, гласи:
„Предаване на лични данни, които се обработват или са предназначени за обработване след предаването на трета държава или на международна организация, се осъществява само при условие че са спазени другите разпоредби на настоящия регламент, само ако администраторът и обработващият лични данни спазват условията по настоящата глава, включително във връзка с последващи предавания на лични данни от третата държава или от международната организация на друга трета държава или на друга международна организация. Всички разпоредби на настоящата глава се прилагат, за да се направи необходимото нивото на защита на физическите лица, осигурено от настоящия регламент, да не се излага на риск“.
18. Съгласно член 45 от посочения регламент, озаглавен „Предаване на данни въз основа на решение относно адекватното ниво на защита“:
„1. Предаване на лични данни на трета държава или международна организация може да има, ако Комисията реши, че тази трета държава, територия или един или повече конкретни сектори в тази трета държава, или въпросната международна организация осигуряват адекватно ниво на защита. За такова предаване не се изисква специално разрешение.
2. При оценяване на адекватността на нивото на защита Комисията отчита по-специално следните елементи:
а) върховенството на закона, спазването на правата на човека и основните свободи, съответното законодателство — както общо, така и секторно, включително в областта на обществената сигурност, отбраната, националната сигурност и наказателното право и достъпа на публичните органи до лични данни, а също и прилагането на такова законодателство, правилата за защита на данните, професионалните правила и мерките за сигурност, включително правилата за последващо предаване на лични данни на друга трета държава или международна организация, които се спазват в тази държава или международна организация, съдебната практика, както и действителните и приложими права на субектите на данни и ефективната административна и съдебна защита за субектите на данни, чиито лични данни се предават;
б) наличието и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава или на които се подчинява дадена международна организация, отговорни за осигуряване и прилагане на правилата за защита на данните, включително адекватни правомощия за прилагане, за подпомагане и консултиране на субектите на данни при упражняването на техните права и осъществяване на сътрудничество с надзорните органи на държавите членки; и
в) международните ангажименти, които съответната трета държава или международна организация е поела, или други задължения, произтичащи от правно обвързващи конвенции или инструменти, както и от участието ѝ в многостранни или регионални системи, по-конкретно по отношение на защитата на личните данни.
3. След оценка на адекватността на нивото на защита Комисията може чрез акт за изпълнение да реши, че дадена трета държава, територия или един или повече конкретни сектори в тази трета държава, или дадена международна организация осигуряват адекватно ниво на защита по смисъла на параграф 2 от настоящия член. В акта за изпълнение се предвижда механизъм за периодичен преглед най-малко веднъж на четири години, при който се отчитат всички имащи отношение промени в третата държава или международната организация. […]
4. Комисията осъществява постоянно наблюдение на развитието в трети държави и международни организации, което би могло да повлияе на действието на решенията, приети съгласно параграф 3 от настоящия член, и на решенията, приети въз основа на член 25, параграф 6 от [Директива 95/46].
5. Ако е налице съответната информация, по-специално след прегледа по параграф 3 от настоящия член, Комисията решава, че дадена трета държава, територия, или един или повече конкретни сектори в трета държава, или дадена международна организация е престанала да осигурява адекватно ниво на защита по смисъла на параграф 2 от настоящия член, при което Комисията в необходимата степен отменя, изменя или спира прилагането на решението по параграф 3 от настоящия член чрез акт за изпълнение без обратна сила. […]
6. Комисията започва консултации с третата държава или международната организация с цел да коригира положението, довело до решението, взето по силата на параграф 5.
[…]
9. Решенията, приети от Комисията въз основа на член 25, параграф 6 от [Директива 95/46], остават в сила, докато не бъдат изменени, заменени или отменени с решение на Комисията, прието в съответствие с параграфи 3 или 5 от настоящия член“.
19. Член 46 от същия регламент, озаглавен „Предаване на данни с подходящи гаранции“, гласи:
„1. При липса на решение съгласно член 45, параграф 3, администраторът или обработващият лични данни може да предава лични данни на трета държава или международна организация само ако е предвидил подходящи гаранции и при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита.
2. Подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени, без да се изисква специално разрешение от надзорния орган, посредством:
[…]
в) стандартни клаузи за защита на данните, приети от Комисията в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2;
[…]
5. Разрешенията, издадени от държава членка или надзорен орган въз основа на член 26, параграф 2 от [Директива 95/46], остават валидни, докато не бъдат изменени, заменени или отменени, ако е необходимо, от надзорния орган. Решенията, приети от Комисията въз основа на член 26, параграф 4 от [Директива 95/46], остават в сила, докато не бъдат изменени, заменени или отменени, ако е необходимо, с решение на Комисията, прието в съответствие с параграф 2 от настоящия член“.
20. Съгласно член 58, параграфи 2, 4 и 5 от ОРЗД:
„2. Всеки надзорен орган има всички от посочените по-долу корективни правомощия:
а) да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;
б) да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;
в) да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;
г) да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;
д) да разпорежда на администратора да съобщава на субекта на данните за нарушение на сигурността на личните данни;
е) да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;
[…]
и) да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;
й) да разпорежда преустановяването на потока на данни към получател в трета държава или към международна организация[.]
[…]
4. Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни съдебни средства за правна защита и справедлив съдебен процес, определени в правото на Съюза и правото на държава членка в съответствие с Хартата.
5. Всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент“.
3. Решение 2010/87
21. Въз основа на член 26, параграф 4 от Директива 95/46 Комисията приема три решения, с които установява, че посочените в тях стандартни договорни клаузи предоставят достатъчни гаранции по отношение на защитата на личния живот, свободите и основните права на лицата, както и по отношение на упражняването на съответните права (наричани по-нататък „решенията за СДК“)(9).
22. Сред тях е Решение 2010/87, чийто член 1 гласи: „[с]чита се, че стандартните договорни клаузи, съдържащи се в приложението, предоставят достатъчни гаранции за защитата на личния живот и основните права и свободи на физическите лица, както и по отношение на упражняването на съответните права, както се изисква от член 26, параграф 2 от [Директива 95/46]“.
23. Съгласно член 3 от това решение:
„За целите на настоящото решение се прилагат следните определения:
[…]
в) „износител на данни“ означава администраторът, който предава личните данни;
г) „вносител на данни“ означава лицето, обработващо данните, установено в трета страна, което приема да получава от износителя на данни лични данни, предназначени за обработване от името на износителя на данни след предаване съгласно неговите инструкции и при условията на настоящото решение, и което не е част от системата на трета страна, осигуряваща достатъчна степен на защита по смисъла на член 25, параграф 1 от [Директива 95/46];
[…]
е) „приложимо право за защита на данните“ означава законодателството, защитаващо основните права и свободи на лицата, и по-специално правото на личен живот при обработването на лични данни, приложимо към администратор на данни в държавата членка, в която е установен износителят на данни;
[…]“.
24. В първоначалната си редакция член 4, параграф 1 от посоченото решение е предвиждал:
„Без да се накърняват правомощията им да предприемат мерки за осигуряване на спазването на националните разпоредби, приети съгласно глави II, III, V и VI от [Директива 95/46], компетентните органи на държавите членки могат да упражняват правомощията, с които разполагат, за да забраняват или да спират потоците от данни към трети страни с цел защитата на физически лица при обработването на техните лични данни, в случай че:
а) е установено, че правото, което се прилага спрямо вносителя на данни или подизпълнител, му налага задължения за дерогиране от приложимото право за защита на данните, които се простират извън ограниченията, необходими в едно демократично общество, предвидени в член 13 от [Директива 95/46], когато тези задължения могат да имат съществени неблагоприятни последици за гаранциите, предоставени от приложимото право за защита на данните и стандартните договорни клаузи;
б) компетентен орган е установил, че вносителят на данни или подизпълнител не е спазил стандартните договорни клаузи от приложението; или
в) е много вероятно стандартните договорни клаузи от приложението да не са или да не бъдат спазени и продължаването на предаването да създаде непосредствен риск от тежка вреда за заинтересованите физически лица“.
25. В сегашната си редакция, произтичаща от изменението на Решение 2010/87 с Решение за изпълнение (ЕС) 2016/2297(10), член 4 от Решение 2010/87 гласи, че „[к]огато компетентните органи в държавите членки упражняват своите правомощия съгласно член 28, параграф 3 от [Директива 95/46], в резултат на което спират или окончателно забраняват потоци данни към трети страни с цел да защитят лицата във връзка с обработката на техните лични данни, въпросната държава членка следва незабавно да информира Комисията, която от своя страна ще предаде информацията на останалите държави членки“.
26. Приложението към Решение 2010/87 съдържа комплект стандартни договорни клаузи. По-специално съдържащата се в това приложение клауза 3, озаглавена „Клауза в полза на трето лице“, предвижда:
„1. Заинтересованото физическо лице може да иска прилагането спрямо износителя на данни на настоящата клауза, клауза 4, букви б)—и), клауза 5, букви а)—д) и букви ж)—й), клауза 6, параграфи 1 и 2, клауза 7, клауза 8, параграф 2 и клаузи 9—12, като трето лице бенефициер.
2. Заинтересованото физическо лице може да иска прилагането спрямо вносителя на данни на настоящата клауза, клауза 5, букви а)—д) и буква ж), клауза 6, клауза 7, клауза 8, параграф 2 и клаузи 9—12, в случай че износителят на данни е изчезнал фактически или е престанал да съществува юридически, освен ако правоприемник не е поел всички правни задължения на износителя на данни чрез договор или по закон, в резултат на което правата и задълженията на износителя на данни преминават върху правоприемника, в който случай физическото лице може да иска прилагането им спрямо правоприемника.
[…]“.
27. Предвидената в посоченото приложение клауза 4, озаглавена „Задължения на износителя на данни“, гласи:
„Износителят на данни приема и гарантира, че:
а) обработването, включително самото предаване, на лични данни се извършва и ще продължава да се извършва съгласно съответните разпоредби на приложимото право за защита на данните (и ако е приложимо, съответните компетентни органи на държавата членка, в която е установен износителят на данни, са били уведомени за обработването) и не нарушава съответните разпоредби на тази държава;
б) е инструктирал и по време на периода на услугите по обработване на личните данни ще инструктира вносителя на данни да обработва предаваните лични данни единствено от името на износителя на данни и в съответствие с приложимото право за защита на данните и клаузите;
в) вносителят на данни осигурява достатъчни гаранции по отношение на техническите и организационните мерки за сигурност, посочени в допълнение 2 към настоящия договор;
г) след оценка на изискванията на приложимото право за защита на данните мерките за сигурност са годни да защитават личните данни срещу неволно или незаконно унищожаване или неволно загубване, промяна, неразрешено разкриване или достъп, особено когато обработването предполага предаването на данни по мрежа, и срещу всяка друга незаконна форма на обработване и че тези мерки гарантират равнище на сигурност, адаптирано към рисковете, свързани с обработването и характера на данните, подлежащи на защита, като се имат предвид равнището на технологично развитие и разходите за тяхното изпълнение;
д) ще осигури спазването на мерките за сигурност;
е) ако предаването включва специални категории от данни, заинтересованото физическо лице е било информирано или ще бъде информирано преди или непосредствено след предаването, че неговите данни могат да бъдат предадени на трета страна, която не осигурява достатъчна степен на защита по смисъла на [Директива 95/46];
ж) ще изпрати всяко уведомление, получено от вносителя на данни или от подизпълнител съгласно клауза 5, буква б) и клауза 8, параграф 3, на надзорния орган за защита на данните, ако износителят на данни реши да продължи предаването или да отмени спирането;
з) при поискване ще предостави на заинтересованото физическо лице копие от клаузите, с изключение на допълнение 2 и кратко описание на мерките за сигурност, както и копие от всеки договор за предаване за подизпълнение, който следва да бъде сключен в съответствие с клаузите, освен ако клаузите или договорът съдържат търговска информация, като в такъв случай тази търговска информация може да бъде премахната;
и) в случай на предаване за подизпълнение, дейността по подизпълнение се извършва съгласно клауза 11 от подизпълнител, който предоставя поне същата степен на защита на личните данни и правата на заинтересованото физическо лице като вносителя на данни съгласно клаузите; и
й) ще осигури спазването на клауза 4, букви а)—и)“.
28. Предвидената в същото приложение клауза 5, озаглавена „Задължения на вносителя на данни(1)“, гласи:
„Вносителят на данни приема и гарантира, че:
а) ще обработва личните данни единствено от името на износителя на данни и в съответствие с неговите инструкции и клаузите; ако не може да осигури такова съответствие по каквито и да е причини, той приема да информира своевременно износителя на данни за невъзможността да осигури съответствие, като в такъв случай износителят на данни може да спре предаването на данни и/или да прекрати договора;
б) няма причини да се смята, че приложимото за него законодателство го възпрепятства да изпълнява инструкциите, получени от износителя на данни, и задълженията си по договора и че в случай на промяна на това законодателство, която може да има съществени неблагоприятни последици върху гаранциите и задълженията, предвидени от клаузите, той своевременно ще уведоми износителя на данни за промяната без забавяне, като в такъв случай износителят на данни може да спре предаването на данни и/или да прекрати договора;
в) прилага техническите и организационните мерки за сигурност, посочени в допълнение 2, преди обработването на предаваните лични данни;
г) своевременно ще уведомява износителя на данни за:
i) всяко правнообвързващо искане за разкриване на личните данни от правоприлагащ орган, освен ако в закона не е предвидено друго, като например наказателноправна забрана за разкриване на информация с цел запазване на тайната на разследване от страна на правоприлагащ орган,
ii) всеки случай на неволен или неразрешен достъп, и
iii) всяко искане, получено пряко от заинтересованите физически лица, без да отговаря на такова искане, освен ако не му е било разрешено;
д) ще обработва своевременно и по необходимия начин всички запитвания от страна на износителя на данни, свързани с начина му на обработване на личните данни, подлежащи на предаване, и ще се съобразява с насоките на надзорния орган по отношение на обработването на предаваните данни;
е) по искане на износителя на данни ще предостави оборудването и средствата си за обработване на данни за проверка на обхванатите от клаузите дейности по обработване, която проверка се извършва от износителя на данни или от контролен орган, съставен от независими членове с необходимата професионална квалификация, който е длъжен да пази служебна тайна, избран от износителя на данни, ако е приложимо, със съгласието на надзорния орган;
[…]“.
29. Съгласно бележка под линия 1, към която препраща заглавието на клауза 5, съдържаща се в приложението към решение 2010/87:
„Императивните изисквания на националното законодателство, прилагащи се за вносителя на данни, които не се простират извън необходимото в едно демократично общество, въз основа на един от интересите, изброени в член 13, параграф 1 от [Директива 95/46], т.е. ако те представляват необходима мярка за гарантиране на националната сигурност, отбраната, обществената сигурност, предотвратяването, разследването, разкриването и преследването на престъпления или на нарушения на етичните кодекси при регламентираните професии, важни икономически и финансови интереси на държавата или защитата на заинтересованото физическо лице или на правата и свободите на други лица, не са в противоречие със стандартните договорни клаузи. Няколко примера за такива императивни изисквания, които не се простират извън необходимото в едно демократично общество, са inter alia международно признатите санкции, изискванията за данъчно деклариране или изискванията за деклариране на мерки срещу изпирането на пари“.
30. Съдържащата се в това приложение клауза 6, озаглавена „Отговорност“, гласи:
„1. Страните се споразумяват, че всяко физическо лице, което претърпи вреда в резултат на нарушаване на задълженията, посочени в клауза 3 или в клауза 11, от страна на една от страните или на подизпълнител, има право да получи обезщетение от износителя на данни за претърпяната вреда.
2. Ако заинтересованото физическо лице не може да подаде иск за обезщетение в съответствие с параграф 1, произтичащ от нарушение от страна на вносителя на данни или негов подизпълнител на техните задължения, посочени в клауза 3 или в клауза 11, поради това че износителят на данни е изчезнал фактически или е престанал да съществува юридически или е изпаднал в несъстоятелност, вносителят на данни приема, че заинтересованото физическо лице може да подаде иск срещу него, както ако той би бил износителя на данни, освен ако правоприемник не е поел всички правни задължения на износителя на данни чрез договор или по закон, в който случай физическото лице може да иска прилагането на правата си спрямо правоприемника.
[…]“.
31. Съдържащата се в посоченото приложение клауза 7, озаглавена „Медиация и съд“, гласи:
„1. Вносителят на данни приема, че ако заинтересованото физическо лице се позове спрямо него на права като трето лице бенефициер и/или търси обезщетение за вреди съгласно настоящите клаузи, вносителят на данни ще приеме решението на заинтересованото физическо лице:
а) да предаде спора за медиация от страна на независимо лице или, ако е приложимо, от страна на надзорния орган;
б) да предаде спора на съдилищата в държавата членка, в която е установен износителят на данни.
2. Страните се споразумяват, че изборът на заинтересованото физическо лице не засяга неговите материални или процесуални права да търси обезщетение в съответствие с други разпоредби на националното или международното право“.
32. Съдържащата се в същото приложение клауза 9, озаглавена „Приложимо право“, предвижда, че стандартните договорни клаузи се уреждат от правото на държавата членка, в която е установен износителят на данни.
4. Решението относно Щита за личните данни
33. Член 25, параграф 6 от Директива 95/46 е послужил като основание за приемането от Комисията на две последователни решения, с които тя установява, че Съединените щати осигуряват адекватно ниво на защита на личните данни, предавани към установени в Съединените щати предприятия, които са декларирали, че се придържат към изложените в тези решения принципи чрез процедура на самосертифициране.
34. Първо Комисията приема Решение 2000/520/ЕО относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот“ и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ(11). В решение от 6 октомври 2015 г., Schrems(12) Съдът обявява това решение за невалидно.
35. Вследствие на това съдебно решение Комисията по-късно приема решението относно Щита за личните данни.
36. Член 1 от това решение гласи:
„1. По смисъла на член 25, параграф 2 от [Директива 95/46] Съединените американски щати гарантират адекватна степен на защита за личните данни, които се предават от Съюза към организации в Съединените щати съгласно Щита за личните данни в отношенията между ЕС и САЩ.
2. Щитът за личните данни в отношенията между ЕС и САЩ се състои от Принципите, публикувани от Министерството на търговията на САЩ на 7 юли 2016 г., както те са установени в приложение II, и официалните писмени изявления и ангажиментите, съдържащи се в документите, поместени в приложения I и III—VII.
3. За целите на параграф 1 личните данни се предават съгласно Щита за личните данни в отношенията между ЕС и САЩ, когато предаването се извършва от Съюза към организации в Съединените американски щати, които са включени в „списъка към Щита за личните данни“, който се поддържа и се предоставя за публичен достъп от Министерството на търговията на САЩ, в съответствие с точки I и III от Принципите, установени в приложение II“.
37. Приложение III А от това решение, озаглавено „Механизъм на омбудсмана на щита за личните данни в отношенията между ЕС и САЩ по отношение на радиоелектронното разузнаване“, приложено към писмо от 7 юли 2016 г. на тогавашния Secretary of State (държавен секретар на САЩ) г‑н Джон Кери, съдържа меморандум, който описва нова процедура по медиация, посредством „старши координатор на международната дипломация в областта на информационните технологии“ (наричан по-нататък „Омбудсманът“), който се назначава от държавния секретар.
38. Съгласно меморандума този механизъм е въведен „за улесняване обработването на искания във връзка с достъпа за целите на националната сигурност до данни, предавани от [Съюза] към Съединените щати съгласно Щита за личните данни, стандартни договорни клаузи (СДК), задължителни фирмени правила (ЗФП) „дерогации“ или „възможни бъдещи дерогации“, по установения ред съгласно приложимото законодателство и политиката на Съединените щати, както и предоставянето на отговор на такива искания“.
III. Спорът в главното производство, преюдициалните въпроси и производството пред Съда
39. Г‑н Schrems, пребиваващ в Австрия гражданин на тази държава, е потребител на социалната мрежа Facebook. Всички потребители на тази социална мрежа, пребиваващи на територията на Съюза, при регистрацията си са длъжни да сключат договор с Facebook Ireland, дъщерно дружество на Facebook Inc., чието седалище е в Съединените щати. Личните данни на тези потребители изцяло или частично се прехвърлят към разположени на територията на Съединените щати сървъри на Facebook Inc., където се обработват.
40. На 25 юни 2013 г. г‑н Schrems подава жалба до КЗЛД, с която по същество иска от него да забрани на Facebook Ireland да предава отнасящите се до него лични данни към Съединените щати. В жалбата г‑н Schrems твърди, че действащите в момента право и практики в тази трета страна не гарантират достатъчна защита на съхраняваните на територията ѝ лични данни срещу намесата вследствие извършваните в страната дейности по наблюдение от публичните органи. В това отношение г‑н Schrems се позовава на направените от г‑н Едуард Сноудън разкрития относно дейността на разузнавателните служби на Съединените щати, и по-специално дейността на National Security Agency (NSA) (Агенция за национална сигурност, Съединени щати).
41. Тази жалба е отхвърлена на основание по-специално, че всеки въпрос относно адекватността на осигурената защита в Съединените щати следва да се решава в съответствие с решението относно сферата на неприкосновеност. В това решение Комисията е констатирала, че тази трета страна гарантира адекватно ниво на защита на личните данни, предавани към установени на територията ѝ предприятия, които спазват изложените в посоченото решение принципи.
42. Г‑н Schrems обжалва решението за отхвърляне на жалбата му пред High Court (Висш съд). Според тази юрисдикция, въпреки че г‑н Schrems формално не е поставил под въпрос валидността на решението относно сферата на неприкосновеност, в жалбата си той всъщност оспорва законосъобразността на установения с това решение режим. При тези обстоятелства посочената юрисдикция отправя до Съда въпроси, които по същество имат за цел да се установи дали, когато са сезирани с жалба относно защитата на правата и свободите на лице във връзка с обработването на отнасящи се до него лични данни, които са предадени на трета държава, органите на държавите членки за защита на личните данни (наричани по-нататък „надзорните органи“) са обвързани от констатациите относно адекватността на предлаганата от тази трета държава степен на защита, направени от Комисията в съответствие с член 25, параграф 6 от Директива 95/46, при положение че жалбоподателят оспорва тези констатации.
43. След като в точки 51 и 52 от решение Schrems приема, че решението за адекватност обвързва надзорните органи, докато не бъде обявено за невалидно, в точки 63 и 65 от това решение Съдът посочва:
„63. […] [К]огато лице, чиито лични данни са били или биха могли да бъдат прехвърлени към трета страна, по отношение на която има решение на Комисията по член 25, параграф 6 от Директива 95/46, сезира национален надзорен орган с искане, отнасящо се до защитата на неговите права и свободи при обработването на тези данни, и […] в това искане се оспорва съвместимостта на посоченото решение със защитата на личния живот и на основните права и свободи на лицата, органът трябва да разгледа искането с цялата дължима грижа.
[…]
65. В [хипотезата, при която] органът счете за основателни твърденията за нарушения, които са изложени от [това лице], в съответствие с член 28, параграф 3, първа алинея, трето тире от Директива 95/46, разглеждан във връзка по-специално с член 8, параграф 3 от Хартата, същият орган трябва да може да предприеме действия по съдебен ред. В това отношение националният законодател трябва да предвиди правни способи, позволяващи на съответния национален надзорен орган да изложи твърденията за нарушения, които счита за основателни, пред националните юрисдикции, така че ако последните споделят съмненията на органа относно валидността на решението на Комисията, да отправят преюдициално запитване с цел проверка на валидността на решението“.
44. В посоченото решение Съдът е разгледал също валидността на решението относно сферата на неприкосновеност с оглед на изискванията, произтичащи от Директива 95/46, разглеждана във връзка с Хартата. В края на това разглеждане той обявява посоченото решение за невалидно(13).
45. Вследствие на решението Schrems запитващата юрисдикция отменя решението, с което КЗЛД отхвърля жалбата на г‑н Schrems, и я връща на КЗЛД за разглеждане. Последният започва разследване и приканва г‑н Schrems да преформулира жалбата си с оглед на обявяването на решението относно сферата на неприкосновеност за невалидно.
46. За тази цел г‑н Schrems иска от Facebook Ireland да посочи правните основания, въз основа на които личните данни на потребителите на социалната мрежа Facebook се предават от Съюза към Съединените щати. Без да посочи всички правни основания, на които се основава, Facebook Ireland се позовава на сключено между него и Facebook Inc. споразумение за предаване и обработване на данни (data transfer processing agreement), в сила от 20 ноември 2015 г., и изтъква решение 2010/87.
47. В преформулираната си жалба г‑н Schrems изтъква, от една страна, че клаузите на това споразумение не са в съответствие със стандартните договорни клаузи, съдържащи се в приложението към Решение 2010/87. От друга страна, г‑н Schrems твърди, че във всеки случай тези стандартни договорни клаузи не могат да са основание за предаване на отнасящите се до него лични данни към Съединените щати. Това било така, тъй като американското право задължава Facebook Inc. да предоставя личните данни на потребителите си на американски органи като NSA и Federal Bureau of Investigation (FBI) (Федерално бюро за разследване, Съединени щати) в рамките на програми за наблюдение, които възпрепятствали упражняването на правата, гарантирани в членове 7, 8 и 47 от Хартата. Г‑н Schrems твърди, че нито един способ за защита не позволява на субектите на данни да упражнят правата си на зачитане на личния живот и на защита на личните данни. При това положение г‑н Schrems иска от КЗЛД да преустанови това предаване на основание член 4 от решение 2010/87.
48. По време на разследването на КЗЛД Facebook Ireland признава, че продължава да предава към Съединените щати личните данни на пребиваващите в Съюза потребители на социалната мрежа Facebook и че за тази цел се основава до голяма степен на стандартните договорни клаузи, съдържащи се в приложението към Решение 2010/87.
49. Целта на разследването на КЗЛД е да определи, от една страна, дали Съединените щати осигуряват подходяща защита на личните данни на гражданите на Съюза и от друга страна, в случай че това не е така, дали решенията за СДК предоставят достатъчни гаранции по отношение на защитата на основните права и свободи на тези граждани.
50. В това отношение в проект на решение (draft decision) КЗЛД временно приема, че американското право не предоставя съвместими с член 47 от Хартата ефективни средства за правна защита на гражданите на Съюза, чиито данни се предават към Съединените щати, където има опасност да бъдат обработвани от американските агенции за целите на националната сигурност по начин, който е несъвместим с членове 7 и 8 от Хартата. Гаранциите, предвидени от клаузите, съдържащи се в приложението към решенията за СДК, не преодолявали този недостатък, тъй като не обвързват органите или агенциите на Съединените щати и предоставят на субектите на данни само договорни права срещу вносителя и/или износителя на данни.
51. При това положение КЗЛД приема, че не може да се произнесе по жалбата на г‑н Schrems, без Съдът да разгледа валидността на решенията за СДК. Ето защо в съответствие с предвиденото в точка 65 от решение Schrems КЗЛД иска започване на производство пред запитващата юрисдикция, което има за цел последната да отправи преюдициално запитване до Съда относно валидността на тези решения, ако споделя съмненията на КЗЛД.
52. Правителството на Съединените щати, Electronic Privacy Information Centre (наричан по-нататък „EPIC“), Business Software Alliance (наричан по-нататък „BSA“) и Digitaleurope са допуснати да встъпят пред запитващата юрисдикция.
53. За да определи дали споделя съмненията на КЗЛД относно валидността на решенията за СДК, High Court (Висш съд) получава представените от страните по спора доказателства и изслушва техните доводи, както и тези на встъпилите страни. По-специално експерти са представили доказателства относно разпоредбите на правото на Съединените щати. В ирландското право чуждото законодателство се приема за фактически въпрос, който трябва да бъде установен чрез доказателства, както всеки друг факт. Въз основа на тези доказателства запитващата юрисдикция преценява разпоредбите на правото на Съединените щати, които разрешават наблюдението от страна на правителствените органи и агенции, функционирането на двете публично признати програми за наблюдение („PRISM“ и „Upstream“), различните правни средства за защита, достъпни за частноправните субекти, чиито права са нарушени от мерките за наблюдение, както и системните гаранции и механизмите за контрол. Тази юрисдикция отразява резултатите от посочената преценка в решение от 3 октомври 2017 г., приложено към акта ѝ за преюдициално запитване (наричано по-нататък „решението на High Court (Висш съд) от 3 октомври 2017 г.“).
54. В това решение сред правните основания, разрешаващи прихващането на чуждестранни съобщения от американските разузнавателни служби, запитващата юрисдикция изтъква член 702 от Foreign Intelligence and Srveillance Act (Закон за упражняване на надзор върху външното разузнаване, наричан по-нататък „FISA“) и Executive Order 12333 (Президентски указ № 12333, наричан по-нататък „EO 12333“).
55. Съгласно констатациите, направени в посоченото решение, член 702 от FISA позволява на Attorney General (главен прокурор, Съединени щати) и на Director of National Intelligence (DNI) (директор на националното разузнаване, Съединени щати) с цел събиране на външноразузнавателна информация съвместно да разрешават за срок от една година наблюдението на лица, които не са американски граждани и не пребивават трайно в Съединените щати (наречени „лица, които не са американски граждани“), когато има разумни основания да се счита, че се намират извън територията на Съединените щати(14). Съгласно FISA понятието „външноразузнавателна информация“ обозначава информацията относно способността на правителството да се защити срещу чуждите атаки, тероризма, разпространението на оръжия за масово унищожение, както и да провежда външната политика на Съединените щати(15).
56. Тези годишни разрешения, както и процедурите, уреждащи определянето на лицата за наблюдение и обработването („свеждане до минимум“) на събраната информация(16), трябва да бъдат одобрени от Foreign Intelligence Surveillance Court (FISC) (Съд по надзора върху външното разузнаване, Съединени щати). Докато „традиционното“ наблюдение, извършвано въз основа на други разпоредби на FISA, изисква да се установи „вероятна причина“, която позволява да се предполага, че наблюдаваните лица принадлежат на чуждестранна сила или са нейни агенти, дейностите по наблюдение съгласно член 702 от FISA не са предмет нито на установяването на такава „вероятна причина“, нито на одобрението от FISC на определянето на дадени лица за наблюдение. Освен това също съгласно констатациите на запитващата юрисдикция процедурите за свеждане до минимум на информацията не се прилагат за лицата, които не са американски граждани, установени извън Съединените щати.
57. На практика след получаването на разрешение от FISC NSA изпраща на установени в Съединените щати доставчици на електронни съобщителни услуги указания, съдържащи критерии за търсене, наречени „критерии за подбор“, свързани с лицата, обект на наблюдение (като телефонни номера или адреси на електронна поща). В този случай тези доставчици са длъжни да предадат на NSA данните, които съответстват на критериите за подбор, и трябва да пазят тайна по отношение на дадените им указания. Те могат да подадат искане до FISC с цел изменение или отхвърляне на указание на NSA. Решението на FISC може да бъде обжалвано пред Foreign Intelligence Surveillance Court of Review (FISCR) (Съд по преразглеждане на решенията относно надзора върху външното разузнаване, Съединени щати).
58. High Court (Висш съд) констатира, че член 702 от FISA служи като правно основание за програмите PRISM и Upstream.
59. В рамките на програмата PRISM доставчиците на електронни съобщителни услуги са длъжни да предоставят на NSA всички съобщения „от“ или „към“ посочения от нея критерий за подбор. Една част от тези съобщения се предавали на FBI и на Central Intelligence Agency (CIA) (Централно разузнавателно управление, Съединени щати). През 2015 г. били наблюдавани 94 386 лица, а през 2011 г. правителството на Съединените щати се сдобило с повече от 250 милиона съобщения в рамките на тази програма.
60. Програмата Upstream се основава на задължителното съдействие на предприятията, които управляват „опорната мрежа“, а именно кабелната мрежа, комутаторите и рутерите, по която се пренасят телефонните и интернет съобщенията. Тези предприятия са принудени да позволят на NSA да копира и филтрира потоците интернет трафик, за да се сдобие със съобщенията „от“, „към“ или „относно“ критерий за подбор, посочен в указание на тази агенция. Съобщенията „относно“ критерий за подбор обозначават тези, които имат отношение към този критерий за подбор, без непременно свързаното с посочения критерий за подбор лице, което не е американски гражданин, да участва в тях. Макар от становище на FISC от 26 април 2017 г. да става ясно, че след тази дата американското правителство вече не събира и не придобива съобщения „относно“ критерий за подбор, това становище не посочва, че NSA е спряла да копира и филтрира потоци от принасяни съобщения чрез своя механизъм за наблюдение. Ето защо програмата Upstream предполага достъп на NSA както до метаданните, така и до съдържанието на съобщенията. От 2011 г. досега NSA събира по около 26,5 милиона съобщения годишно в рамките на програмата Upstream, което обаче представлява само малка част от съобщенията, обект на филтрирането, извършено съгласно тази програма.
61. Освен това съгласно констатациите на High Court (Висш съд) EO 12333 разрешава наблюдението на електронните съобщения извън територията на Съединените щати, като за външноразузнавателни цели позволява достъпа до данни, които „се пренасят“ към или „през“ тази територия, без да са предназначени за обработване там, както и събирането и съхраняването на такива данни. EO 12333 определя понятието „външноразузнавателна информация“ като включващо информацията относно възможностите, намеренията или дейностите на чужди правителства, чужди организации или чужди лица(17).
62. EO 12333 упълномощава достъпа на NSA до подводните кабели, разположени на дъното на Атлантическия океан, чрез които се предават данните от Съюза към Съединените щати, преди тези данни да пристигнат в Съединените щати и към тях да започнат да се прилагат разпоредбите на FISA. Няма обаче доказателства за програма, изпълнявана в съответствие с този президентски указ.
63. Въпреки че EO 12333 предвижда ограничения относно събирането, съхранението и разпространението на информация, тези ограничения не се прилагат за лица, които не са американски граждани. Последните се ползват единствено от гаранциите, посочени в Presidential Policy Directive 28 (Президентска изпълнителна директива № 28, наричана по-нататък „PPD 28“), която се прилага към всички дейности по събиране и използване на радиоелектронна външноразузнавателна информация. PPD 28 предвижда, че зачитането на личния живот е неразделна част от съображенията, които трябва да се вземат предвид при планирането на тези дейности, че събирането трябва да има за цел само придобиването на разузнавателни или контраразузнавателни сведения и че посочените дейности трябва да бъдат „съобразени с конкретния случай, доколкото това е практически възможно“.
64. Според запитващата юрисдикция дейностите на NSA, основаващи се на EO 12333, който във всеки един момент може да бъде изменен или отменен от президента на Съединените щати, не се уреждат от закона, не са предмет на съдебен надзор и не могат да бъдат обжалвани по съдебен ред.
65. Въз основа на тези констатации тази юрисдикция приема, че Съединените щати извършват масово и безразборно обработване на лични данни, което може да изложи субектите на данни на риск от нарушаване на техните права, произтичащи от членове 7 и 8 от Хартата.
66. Нещо повече, посочената юрисдикция изтъква, че гражданите на Съюза нямат достъп до същите правни средства за съдебна защита срещу неправомерното обработване на техните лични данни от американските органи, както американските граждани. Четвъртата поправка на Конституцията на Съединените щати, която e най важната защита срещу незаконното наблюдение, не е приложима към гражданите на Съюза, които нямат значима доброволна връзка със Съединените щати. Макар последните все пак да разполагат с някои други правни средства за защита, те се сблъскват със значителни препятствия.
67. По-специално член III от Конституцията на Съединените щати обвързва всяко правно средство за защита пред федералните юрисдикции с установяването от съответното лице на неговата процесуална легитимация (standing). Процесуалната легитимация предполага по-специално това лице да докаже, че е претърпяло действителна вреда, която, от една страна, е конкретна и персонализирана а от друга — действителна и непосредствена. Като се позовава по-специално на решение на Supreme Court of the United States (Върховен съд на Съединените щати), Clapper с/у Amnesty International US(18), запитващата юрисдикция счита, че това условие на практика е изключително трудно за изпълнение с оглед по-специално на липсата на каквото и да е задължение за информиране на субектите на данни за взетите спрямо тях мерки за наблюдение(19). Една част от правните средства за защита, достъпни за гражданите на Съюза, освен това е обвързана с други ограничителни условия, като необходимостта да се установи имуществена вреда. Суверенният имунитет, признат на разузнавателните агенции, и класифицирането на съответната информация също възпрепятствали упражняването на някои способи за защита(20).
68. Освен това High Court (Висш съд) посочва различни механизми за контрол и наблюдение на дейностите на разузнавателните агенции.
69. Сред тях са, от една страна, механизмът за ежегодно сертифициране от FISC на програмите, основани на член 702 от FISA, при което обаче FISC не одобрява индивидуалните критерии за подбор. Освен това никакъв предварителен съдебен контрол не урежда събирането на външноразузнавателна информация съгласно EO 12333.
70. От друга страна, запитващата юрисдикция се позовава на различни механизми за извънсъдебен надзор на разузнавателните дейности. Тя посочва по-конкретно ролята на Inspectors General (главни инспектори, Съединени щати), които във всяка една разузнавателна агенция отговарят за надзора на дейностите по наблюдение. Освен това Privacy and Civil Liberties Oversight Board (PCLOB) (Надзорен съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, Съединени щати), независима агенция в рамките на изпълнителната власт, получава доклади от назначените към всяка агенция лица като служители по въпросите на гражданските свободи или неприкосновеността на личния живот (civil liberties or privacy officers). PCLOB подготвя редовно доклади до парламентарните комисии и президента. Съответните агенции трябва да свеждат инцидентите, свързани с нарушения на правилата и процедурите, уреждащи събирането на външноразузнавателна информация, до знанието по-специално на DNI. Тези инциденти се докладват и на FISC. Конгресът на Съединените щати посредством комисиите по въпросите на разузнаването към Камарата и Сената също носи отговорност да контролира външноразузнавателните дейности.
71. High Court (Висш съд) обаче отбелязва основната разлика между, от една страна, правилата, с които се цели да се гарантира, че данните са придобити законосъобразно и че след придобиването им с тях няма да се злоупотреби, и от друга страна, наличните правни средства за защита при нарушение на тези правила. Защитата на основните права на субектите на данни е гарантирана само ако ефективни средства за правна защита им позволяват да упражнят правата си в случай на нарушение на посочените правила.
72. При това положение запитващата юрисдикция приема за основателни доводите на КЗЛД, че ограниченията, наложени от американското законодателство на правото на средства за защита на лицата, чиито данни се предават от Съюза, не отговарят на основното съдържание на правото, гарантирано в член 47 от Хартата, и във всеки случай представляват непропорционална намеса в упражняването на това право.
73. Според High Court (Висш съд) въвеждането от американското правителство на механизма на омбудсмана, описан в решението относно Щита за личните данни, не поставя под въпрос тази преценка. След като подчертава, че този механизъм е достъпен за гражданите на Съюза, които на разумна основа считат, че техните данни са предадени съгласно решенията за СДК(21), тази юрисдикция отбелязва, че омбудсманът не е съд, отговарящ на изискванията на член 47 от Хартата, и по-конкретно не е независим от изпълнителната власт(22). Посочената юрисдикция се съмнява също, че намесата на омбудсмана, чиито решения не могат да бъдат обжалвани пред съд, е ефективно средство за правна защита. Всъщност тази намеса не позволява на лицата, чиито лични данни са събрани, обработени или споделени незаконосъобразно, да получат обезщетение или разпореждане за спиране на незаконните действия, тъй като омбудсманът нито потвърждава, нито отрича, че жалбоподател е бил обект на мярка за електронно наблюдение.
74. След като излага по този начин загрижеността си относно равностойността по същество между предвидените от американското право гаранции и изискванията, произтичащи от членове 7, 8 и 47 от Хартата, запитващата юрисдикция излага питанията си за това дали стандартните договорни клаузи, предвидени в решенията за СДК — които по своя характер не обвързват американските органи — все пак могат да гарантират защитата на основните права на субектите на данни. От това тази юрисдикция стига до извода, че споделя съмненията на КЗЛД относно валидността на тези решения.
75. В това отношение запитващата юрисдикция счита по-специално, че член 28, параграф 3 от Директива 95/46, към който препраща член 4 от Решение 2010/87, доколкото признава на надзорните органи правомощието да спрат или забранят предаване на данни, основано на предвидените в това решение стандартни договорни клаузи, не е достатъчно да разсее тези съмнения. Освен че това правомощие според нея има само дискреционен характер, запитващата юрисдикция си поставя въпроса с оглед на съображение 11 от Решение 2010/87 за възможността за упражняването му, когато установените пропуски не се отнасят до конкретен и изключителен случай, а имат общ и системен характер(23). Тя счита също така, че опасността в различните държави членки да бъдат произнесени различни решения, може да се противопостави на това установяването на такива пропуски да се повери на надзорните органи.
76. При тези обстоятелства с решение от 4 май 2018 г.(24), постъпило в секретариата на Съда на 9 май 2018 г., High Court (Висш съд) спира производството по делото и поставя на Съда следните преюдициални въпроси:
„1) В случай че от частно дружество от държава членка на [Съюза] се предават лични данни към частно дружество в трета държава за търговски цели съгласно [Решение 2010/87] и тези данни могат да се обработват допълнително в третата държава от нейните органи за цели, свързани с националната сигурност, но също така и за целите на поддържането на обществения ред и провеждането на външната политика на третата държава, прилага ли се правото на Съюза (включително Хартата) по отношение на предаването на данните, независимо от разпоредбите на член 4, параграф 2 ДЕС във връзка с националната сигурност и разпоредбите на член 3, параграф 2, първо тире от [Директива 95/46] във връзка с обществената сигурност, отбраната и държавната сигурност?
2) а) За да се определи дали е извършено нарушение на правата на дадено физическо лице чрез предаването на данни от [Съюза] към трета държава съгласно Решение [2010/87], когато данните могат да се обработват допълнително за цели, свързани с националната сигурност, кой е релевантният критерий за сравнение за целите на Директива [95/46]:
i) Хартата, ДЕС, ДФЕС, Директива [95/46], [Европейската конвенция за защита на правата на човека и основните свободи, подписана в Рим на 4 ноември 1950 г. (наричана по-нататък „ЕКПЧ“)] (или друга разпоредба на правото на Съюза); или
ii) законодателството на една или повече държави членки?
б) Ако релевантният критерий за сравнение е посоченият в [подточка ii)], следва ли практиките в контекста на националната сигурност в една или повече държави членки също да бъдат включени в критерия за сравнение?
3) Когато се преценява дали дадена трета държава осигурява изискваната от правото на Съюза степен на защита на предадените към тази държава лични данни за целите на член 26 от Директива [95/46], следва ли степента на защита в третата държава да се оценява с оглед на:
а) приложимите правила в третата държава, произтичащи от вътрешното ѝ законодателство или от сключените от нея международни споразумения, както и практиката по осигуряване на спазването на тези правила, включително професионалните правила и мерките за сигурност, които се спазват в тази трета държава;
или
б) правилата, посочени в буква а), заедно с всички административни, регулаторни практики и практики за осигуряване на съответствие, политически гаранции, процедури, протоколи, надзорни механизми и извънсъдебни средства за защита, които съществуват в третата страна?
4) Предвид обстоятелствата, установени от High Court (Висш съд) във връзка с правото на Съединените щати, ако личните данни се предават от [Съюза] към Съединените щати съгласно Решение [2010/87], това нарушава ли правата на физическите лица по член 7 и/или член 8 от Хартата?
5) Предвид обстоятелствата, установени от High Court (Висш съд) във връзка с правото на Съединените щати, ако се предават лични данни от [Съюза] към Съединените щати съгласно Решение [2010/87]:
а) Степента на защита, предоставена от Съединените щати, зачита ли основното съдържание на гарантираното с член 47 от Хартата право на физическите лица на правни средства за защита пред съд в случай на нарушение на техните права във връзка със защита на личните им данни?
При утвърдителен отговор на въпроса по буква а),
б) Дали ограниченията, наложени от законодателството на Съединените щати спрямо правото на физическите лица на правни средства за защита пред съд в контекста на националната сигурност на Съединените щати, са пропорционални по смисъла на член 52 от Хартата и не надхвърлят рамките на необходимото в едно демократично общество за цели, свързани с националната сигурност?
6) а) Каква е степента на защита, която следва да се осигури по отношение на личните данни, които се предават на трета държава съгласно стандартни договорни клаузи, приети в съответствие с решение на Комисията съгласно член 26, параграф 4 от Директива [95/46], в светлината на разпоредбите [на тази директива], и по-специално членове 25 и 26 [от нея], разглеждани във връзка с Хартата?
б) Кои са въпросите, които трябва да бъдат взети предвид, когато се преценява дали степента на защита на данните, прехвърлени към трета страна съгласно Решение [2010/87], отговаря на изискванията на Директива [95/46] и на Хартата?
7) От обстоятелството, че стандартните договорни клаузи се прилагат само между износителя на данни и вносителя на данни и не обвързват националните органи на трета държава, които могат да изискват от вносителя на данни да предоставя на службите за сигурност за допълнителна обработка личните данни, предавани съгласно предвидените в Решение [2010/87] клаузи, следва ли, че тези клаузи не предоставят достатъчно гаранции, както се изисква от член 26, параграф 2 от Директива [95/46]?
8) Ако вносител на данни от трета страна е обект на надзорни норми, които според [надзорен орган] са в противоречие със стандартните договорни клаузи или с членове 25 и 26 от Директива [95/46] и/или с Хартата, длъжен ли е [надзорният орган] да използва своите изпълнителни правомощия съгласно член 28, параграф 3 от Директива [95/46], за да спре потока от данни, или упражняването на тези правомощия е ограничено единствено до изключителни случаи в светлината на съображение 11 от [Решение 2010/87], или [надзорният орган] може да използва правото си на преценка, за да не спира потока от данни?
9) а) За целите на член 25, параграф 6 от Директива [95/46] представлява ли [решението относно Щита за личните данни] задължителна за [надзорните органи] и съдилищата на държавите членки констатация от общ характер, че Съединените щати осигуряват достатъчна степен на защита по смисъла на член 25, параграф 2 от Директива [95/46] по силата на вътрешното си законодателство или на международните споразумения, по които са страна?
б) Ако това не е така, какво значение има [решението относно Щита за личните данни], ако изобщо има някакво значение, когато се преценява дали гаранциите, осигурени по отношение на данни, предавани в Съединените щати в съответствие с Решение [2010/87], са достатъчни?
10) Предвид обстоятелствата, установени от High Court (Висш съд) във връзка с правото на Съединените щати, дали създаването на омбудсмана към Щита за личните данни съгласно [приложение III А] към [решението относно Щита за личните данни], разгледано във връзка със съществуващия в Съединените щати режим, гарантира, че Съединените щати осигуряват правни средства за защита на заинтересованите физически лица, чиито лични данни се предават към Съединените щати съгласно Решение [2010/87], които са съвместими с член 47 от Хартата?
11) Решение [2010/87] нарушава ли членове 7, 8 и/или 47 от Хартата?“.
77. Писмени становища пред Съда са представили КЗЛД, Facebook Ireland, г‑н Schrems, правителството на Съединените щати, EPIC, BSA, Digitaleurope, Ирландия, белгийското, чешкото, германското, нидерландското, австрийското, полското, португалското правителство и правителството на Обединеното кралство, Европейският парламент и Комисията. КЗЛД, Facebook Ireland, г‑н Schrems, правителството на Съединените щати, EPIC, BSA, Digitaleurope, Ирландия, германското, френското, нидерландското, австрийското правителство и правителството на Обединеното кралство, Парламентът, Комисията, както и Европейският комитет по защита на данните, ЕКЗД) са представлявани в съдебното заседание за изслушване на устните състезания, проведено на 9 юли 2019 г.
IV. Анализ
1. Предварителни съображения
78. В резултат на обявяването на решението относно сферата на неприкосновеност за невалидно от Съда в решение Schrems предаването на лични данни към Съединените щати продължава съгласно други правни основания. По-специално дружествата — износители на данни, са имали възможност да сключат договори с вносителите на данни, включващи стандартни клаузи, изготвени от Комисията. Тези клаузи служат и като правно основание за предаването на данни към много други трети държави, по отношение на които Комисията не е приела решения относно адекватното ниво на защита(25). Решението относно Щита за личните данни вече позволява на предприятията, които са се самосертифицирали, че спазват посочените в него принципи, да предават данни към Съединените щати без допълнителни формалности.
79. Както изрично е посочено в акта за преюдициално запитване и както подчертават BSA, Digitaleurope, Ирландия, австрийското и френското правителство, Парламентът, както и Комисията, единствената цел на спора в главното производство пред High Court (Висш съд) е да се установи дали решението, с което Комисията въвежда посочените в жалбата на г‑н Schrems стандартни договорни клаузи като основание за предаванията на данни, а именно Решение 2010/87(26), е валидно.
80. Този спор води началото си от жалба, с която КЗЛД иска от запитващата юрисдикция да отправи до Съда преюдициално запитване относно валидността на Решение 2010/87. Ето защо според тази юрисдикция спорът в главното производство се отнася до използването на правния способ, който в точка 65 от решение Schrems Съдът е изискал да въведат държавите членки.
81. Напомням, че в точка 63 от това решение Съдът приема, че съответният надзорен орган е длъжен да разгледа с цялата дължима грижа жалба, в която лице, чиито лични данни са били или биха могли да бъдат прехвърлени към трета страна, по отношение на която има решение относно адекватното ниво на защита, оспорва съвместимостта на това решение с основните права, закрепени в Хартата. Съгласно точка 65 от посоченото решение в хипотезата, в която този орган счете за основателни твърденията за нарушения, които са изложени в тази жалба, той трябва да може да предприеме действия по съдебен ред в съответствие с член 28, параграф 3, първа алинея, трето тире от Директива 95/46 (на който съответства член 58, параграф 5 от ОРЗД), разглеждан във връзка с член 8, параграф 3 от Хартата. В това отношение националният законодател трябва да въведе правни способи, които му позволяват да изложи твърденията за нарушения пред националните юрисдикции, така че ако последните споделят съмненията на посочения орган, да отправят преюдициално запитване относно валидността на съответното решение.
82. Подобно на запитващата юрисдикция считам, че тези заключения се прилагат по аналогия, когато във връзка с подадена до него жалба надзорен орган има съмнения не относно валидността на решение относно адекватното ниво на защита, а на решение като Решение 2010/87, установяващо стандартни договорни клаузи за предаване на лични данни към трети страни. Противно на изтъкнатото от германското правителство, без значение е фактът, че тези съмнения съответстват на твърдения за нарушения, посочени пред него от подателя на жалбата, или че този орган по своя инициатива поставя под въпрос валидността на съответното решение. Всъщност изискванията, произтичащи от член 58, параграф 5 от ОРЗД и от член 8, параграф 3 от Хартата, на които се основават мотивите на Съда, се прилагат независимо от това какво е правното основание на предаването на данни, посочено в подадената до надзорния орган жалба, и причините, накарали този орган да се съмнява относно валидността на съответното решение при разглеждането на тази жалба.
83. Предвид това уточнение КЗЛД е поискал от запитващата юрисдикция да отправи въпрос до Съда относно валидността на Решение 2010/87, тъй като счита, че е необходимо пояснение от Съда в това отношение за целите на разглеждането на жалбата, с която г‑н Schrems иска от нея да упражни правомощието си по член 28, параграф 3, второ тире от Директива 95/46, а понастоящем по член 58, параграф 2, буква е) от ОРЗД, да спре предаването на отнасящите са до него го лични данни от Facebook Ireland към Facebook Inc.
84. Ето защо, докато спорът в главното производство се отнася само до валидността in abstracto на Решение 2010/87, производството пред КЗЛД, което е в основата на този спор, се отнася до упражняването от него на правомощието му да приема коригиращи мерки в конкретен случай. Предлагам на Съда да ограничи разглеждането на поставените въпроси до необходимото за произнасянето му по валидността на Решение 2010/87, тъй като това разглеждане ще е достатъчно да позволи на запитващата юрисдикция да разреши висящия пред нея спор(27).
85. Преди преценката на валидността на това решение следва да се отхвърлят някои възражения относно допустимостта на преюдициалното запитване.
2. По допустимостта на преюдициалното запитване
86. Допустимостта на преюдициалното запитване се оспорва на различни основания, свързани основно с неприложимостта ratione temporis на посочената в преюдициалните въпроси Директива 95/46 (раздел 1), с факта, че производството пред КЗЛД не било достигнало достатъчно напреднал етап, който да обоснове необходимостта от запитването (раздел 2), и с наличието на несигурност около фактическата обстановка, описана от запитващата юрисдикция (раздел 3).
87. Ще отговоря на тези възражения за липса на процесуални предпоставки, без да забравям презумпцията за релевантност, с която се ползват отправените до Съда въпроси съгласно член 267 ДФЕС. Съгласно постоянната практика Съдът може да откаже да се произнесе по преюдициално запитване само ако е съвсем очевидно, че исканото тълкуване на правото на Съюза няма никаква връзка с действителността или с предмета на спора по главното производство, когато проблемът е от хипотетично естество или още когато Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на поставените му въпроси(28).
1. По приложимостта на Директива 95/46 ratione temporis
88. Facebook Ireland оспорва допустимостта на преюдициалните въпроси, тъй като посочват Директива 95/46, макар тази директива да е отменена и заменена с ОРЗД, считано от 25 май 2018 г.(29).
89. Споделям гледната точка, че валидността на Решение 2010/87 трябва да се разгледа в светлината на разпоредбите на ОРЗД.
90. Съгласно член 94, параграф 2 от този регламент „[п]озоваванията на отменената директива се тълкуват като позовавания на [посочения регламент]“. От това според мен следва, че доколкото посочва като правно основание член 26, параграф 4 от Директива 95/46, Решение 2010/87 трябва да се тълкува като препращащо към член 46, параграф 2, буква в) от ОРЗД, който до голяма степен възпроизвежда съдържанието му(30). Следователно решенията за изпълнение, приети от Комисията съгласно член 26, параграф 4 от Директива 95/46 преди влизането в сила на ОРЗД, трябва да се тълкуват в светлината на този регламент. Тяхната валидност следва също евентуално да се прецени с оглед на посочения регламент.
91. Съдебната практиката, съгласно която законосъобразността на акт на Съюза трябва да се преценява в съответствие с фактическите и правните обстоятелства, които са съществували към датата на приемане на този акт, не поставя под въпрос това заключение. Тази съдебна практика всъщност се отнася до разглеждането на валидността на акт на Съюза с оглед на релевантните фактически обстоятелства към момента на приемането му(31) или с оглед на процесуалните правила, уреждащи приемането му(32). За сметка на това Съдът многократно е разглеждал валидността на актове от вторичното право в светлината на материалноправни норми от по-висок ранг, влезли в сила след приемането на тези актове(33).
92. Посочването в текста на преюдициалните въпроси на акт, който вече не е приложим ratione temporis, макар да обосновава преформулирането на тези въпроси, не може да доведе до тяхната недопустимост(34). Както изтъкват КЗЛД и г‑н Schrems, позоваванията на Директива 95/46 в текста на преюдициалните въпроси могат освен това да се обяснят с оглед на процесуалния календар на настоящото дело, тъй като тези въпроси са отправени до Съда преди влизането в сила на ОРЗД.
93. Във всеки случай разпоредбите на ОРЗД, които ще бъдат разгледани за целите на анализа на преюдициалните въпроси — т.е. по-специално членове 45, 46 и 58 от него — по същество възпроизвеждат с малки разлики съдържанието на членове 25, 26 и 28 от Директива 95/46, като същевременно го доразвиват. Що се отнася до релевантните им аспекти за целите на произнасянето по валидността на Решение 2010/87, не виждам никаква причина на тези разпоредби от ОРЗД да се придава обхват, различен от този на съответните разпоредби на Директива 95/46(35).
2. По временния характер на изразените от КЗЛД съмнения
94. Според германското правителство преюдициалното запитване е недопустимо, тъй като посоченото в точка 65 от решение Schrems производство по обжалване предполага, че надзорният орган трябва да си е изградил окончателно мнение за основателността на изложените от жалбоподателя твърдения за нарушения срещу валидността на разглежданото решение. Настоящият случай не бил такъв, тъй като КЗЛД е изразил съмненията си относно валидността на Решение 2010/87, която г‑н Schrems впрочем не оспорва, в междинен проект на решение, без да се засяга възможността Facebook Ireland и г‑н Schrems евентуално да представят допълнителни становища.
95. Според мен междинният характер на изразените от КЗЛД съмнения е без значение за допустимостта на преюдициалното запитване. Всъщност критериите за допустимост на преюдициален въпрос трябва да се преценяват във връзка с предмета на спора, както е определен от запитващата юрисдикция(36). Безспорно е обаче, че той се отнася до валидността на Решение 2010/87. Съгласно акта за преюдициално запитване и приложеното към него съдебно решение тази юрисдикция е приела, че независимо дали са междинни, или окончателни, съмненията, изразени от КЗЛД, са основателни и поради това е отправила въпроси до Съда относно валидността на това решение. При това положение пояснението на Съда в това отношение несъмнено е релевантно, за да ѝ позволи да разреши спора, с който е сезирана.
3. По несигурността относно определянето на фактическата обстановка
96. Правителството на Обединеното кралство твърди, че във фактическата обстановка, описана от запитващата юрисдикция, има редица пропуски, които поставят под въпрос допустимостта на преюдициалните въпроси. Тази юрисдикция не изяснила дали личните данни на г‑н Schrems действително са предадени към Съединените щати и ако това е така, дали те са събрани от американските органи. Правното основание на това евентуално предаване също не било установено еднозначно, тъй като актът за преюдициално запитване се ограничавал да посочи, че данните на европейските потребители на социалната мрежа Facebook се предават „до голяма степен“ въз основа на стандартните договорни клаузи, предвидени в Решение 2010/87. Във всеки случай не било установено, че договорът между Facebook Ireland и Facebook Inc., изтъкнат в подкрепа на спорното предаване на данни, точно отразява тези клаузи. Германското правителство също оспорва допустимостта на преюдициалното запитване, на основание че запитващата юрисдикция не е проверила дали г‑н Schrems със сигурност е дал съгласието си за разглежданото предаване на данни, в който случай то можело надлежно да се основе на член 26, параграф 1 от Директива 95/46 (чието съдържание е възпроизведено в основната му част от член 49, параграф 1, буква а) от ОРЗД).
97. Тези доводи изобщо не поставят под съмнение релевантността на преюдициалното запитване с оглед на предмета на спора в главното производство. Доколкото този спор води началото си от упражняването от КЗЛД на предвидения в точка 65 от решение Schrems правен способ, самият му предмет се състои в това от запитващата юрисдикция да се поиска да отправи преюдициално запитване относно валидността на Решение 2010/87. Германското правителство и правителството на Обединеното кралство всъщност оспорват необходимостта от преюдициалните въпроси за целите не на определянето на валидността на това решение, а на предоставянето на възможност на КЗЛД да се произнесе конкретно по жалбата на г‑н Schrems.
98. Във всеки случай преюдициалните въпроси относно валидността на Решение 2010/87 не ми изглеждат лишени от релевантност дори от гледна точка на процедурата, която е в основата на спора в главното производство. Всъщност запитващата юрисдикция е установила, че Facebook Ireland е продължило да предава данните на своите потребители към Съединените щати след обявяването на решението относно сферата на неприкосновеност за невалидно и че това предаване поне отчасти се основава на Решение 2010/87. Освен това, въпреки че може да е полезно всички релевантни факти да бъдат установени, преди запитващата юрисдикция да упражни правомощието си съгласно член 267 ДФЕС, единствено тя следва да прецени на кой етап от производството се нуждае от решение на Съда по преюдициалното запитване(37).
99. С оглед на изложеното считам, че преюдициалното запитване е допустимо.
3. По приложимостта на правото на Съюза към предаването за търговски цели на лични данни към трета държава, която може да ги обработва за цели, свързани с националната сигурност (първи въпрос)
100. С първия си въпрос запитващата юрисдикция иска да се установи дали правото на Съюза се прилага към предаване на лични данни за търговски цели от дружество, установено в държава членка, към дружество, установено в трета страна, когато след започването на предаването данните могат да бъдат обработвани от публичните органи на тази трета страна за цели, включващи защитата на националната сигурност.
101. Значението на този въпрос за разрешаването на спора в главното производство се състои във факта, че ако такова предаване се окаже извън приложното поле на правото на Съюза, всички повдигнати в настоящото дело възражения срещу валидността на Решение 2010/87 биха били лишени от основание.
102. Както отбелязва запитващата юрисдикция, обработването на личните данни, свързано с националната сигурност, е било изключено от приложното поле на Директива 95/46 в съответствие с член 3, параграф 2 от тази директива. В член 2, параграф 2 от ОРЗД понастоящем се уточнява, че този регламент не се прилага по-специално за обработването на лични данни в хода на дейности, които са извън приложното поле на правото на Съюза, или за обработването от компетентните органи за целите на защитата на обществената сигурност. Тези разпоредби отразяват факта, че член 4, параграф 2 ДЕС признава компетентността на държавите членки в областта на защитата на националната сигурност.
103. КЗЛД, г‑н Schrems, Ирландия, германското, австрийското, белгийското, чешкото, нидерландското, полското и португалското правителство, както и Парламентът и Комисията твърдят, че предаване като посоченото в жалбата на г‑н Schrems не се обхваща от тези разпоредби и следователно попада в приложното поле на правото на Съюза. Facebook Ireland твърди обратното. Споделям първата гледна точка.
104. В това отношение е важно да се подчертае, че предаването на лични данни от държава членка към трета страна само по себе си представлява по смисъла на член 4, точка 2 от ОРЗД „обработване“, извършвано на територията на държава членка(38). Първият преюдициален въпрос има за цел именно да се установи дали правото на Съюза се прилага към обработването, което представлява самото предаване на данни. Този въпрос не се отнася до приложимостта на правото на Съюза по отношение на евентуалното последващо обработване от американските органи за целите на националната сигурност на предадените на Съединените щати данни, което не попада в териториалното приложно поле на ОРЗД(39).
105. В този смисъл, за да се определи дали правото на Съюза се прилага към разглежданото предаване на данни, трябва да бъде взета предвид само дейността, включваща самото предаване, без да се разглежда предметът на евентуалното последващо обработване на предадените данни от страна на публичните органи в третата държава на местоназначението на данните(40).
106. От акта за преюдициално запитване обаче следва, че посоченото в жалбата на г‑н Schrems обработване е част от търговска дейност. Това обработване впрочем не се извършва с цел да се позволи по-нататъшно обработване от американските органи на разглежданите данни за целите на националната сигурност.
107. Освен това предложеният от Facebook Ireland подход би лишил от полезно действие разпоредбите на ОРЗД, отнасящи се до предаването на трети държави, тъй като никога не може да бъде изключено, че предадените в рамките на търговска дейност данни впоследствие няма да бъдат обработвани за целите на националната сигурност.
108. Тълкуването, което препоръчвам, се потвърждава от текста на член 45, параграф 2, буква а) от ОРЗД. Тази разпоредба посочва, че при приемането на решение относно адекватното ниво на защита Комисията взема предвид по-специално законодателството на съответната трета държава в областта на националната сигурност. От това може да се изведе, че възможността органите на третата държава на местоназначение да обработват данните за целите на защитата на националната сигурност, не прави правото на Съюза неприложимо по отношение на обработването, което представлява предаването на данни на тази трета държава.
109. Съображенията и заключенията на Съда в решение Schrems също се основават на това схващане. В него Съдът по-специално разглежда валидността на решението относно сферата на неприкосновеност, доколкото това решение се отнася до предаването на лични данни към Съединените щати, където те могат да бъдат събирани и обработвани за целите на защитата на националната сигурност, от гледна точка на член 25, параграф 6 от Директива 95/46, разглеждан в светлината на Хартата(41).
110. С оглед на тези съображения считам, че правото на Съюза се прилага за предаване на лични данни от държава членка на трета държава, когато това предаване е част от търговска дейност, независимо дали има опасност предадените данни да бъдат обработвани от публичните органи на тази трета държава с цел защитата на националната ѝ сигурност.
4. По нивото на защита, изисквано при предаване, основаващо се на стандартни договорни клаузи (първа част на шести въпрос)
111. С първата част на шестия си въпрос запитващата юрисдикция иска да се установи какво ниво на защита на основните права на субектите на данни трябва да бъде осигурено, за да може личните данни да бъдат предавани на трета държава в съответствие със стандартните договорни клаузи, предвидени в Решение 2010/87.
112. Тази юрисдикция подчертава, че в решение Schrems Съдът тълкува член 25, параграф 6 от Директива 95/46 (чието съдържание в основната му част е възпроизведено в член 45, параграф 3 от ОРЗД) — доколкото той предвижда, че Комисията може да приеме решение относно адекватното ниво на защита едва след като се е уверила, че съответната трета държава гарантира адекватно ниво на защита — в смисъл, че Комисията следва да установи, че тази държава осигурява ниво на защита на основните права и свободи, което по същество е равностойно на гарантираното в Съюза по силата на тази директива, разглеждана във връзка с Хартата(42).
113. В този контекст с първата част от шестия преюдициален въпрос от Съда се иска да установи дали прилагането на „стандартните договорни клаузи“, приети от Комисията съгласно член 26, параграф 4 от Директива 95/46, съответстващи на „стандартните договорни клаузи“, посочени понастоящем в член 46, параграф 2, буква в) от ОРЗД, трябва да позволи да се постигне ниво на защита, съответстващо на същия стандарт за „равностойност по същество“.
114. В това отношение член 46, параграф 1 от ОРЗД предвижда, че при липса на решение относно адекватното ниво на защита администраторът може да предава лични данни на трета държава „само ако е предвидил подходящи гаранции и при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита“ (курсивът е мой)(43). Съгласно член 46, параграф 2, буква в) от ОРЗД тези гаранции могат по-специално да произтичат от „стандартни клаузи за защита“, изготвени от Комисията.
115. Подобно на КЗЛД, г‑н Schrems и Ирландия считам, че предоставените от администратора „подходящи гаранции“, посочени в член 46, параграф 1 от ОРЗД, трябва да гарантират, че както при предаване, основано на решение относно адекватното ниво на защита, правата на субектите на предаваните данни се ползват от ниво на защита, което по същество е равностойно на произтичащото от ОРЗД, разглеждан във връзка с Хартата.
116. Това заключение произтича от целта на тази разпоредба и на акта, от който тя е част.
117. Членове 45 и 46 от ОРЗД имат за цел да осигурят непрекъснатостта на високото ниво на защита на личните данни, гарантирано от този регламент, когато тези данни се предават извън Съюза. Всъщност член 44 от ОРЗД, озаглавен „Общ принцип на предаването на данни“, с който започва глава V, отнасяща се до предаването на данни на трети държави, гласи, че всички разпоредби на тази глава се прилагат, за да се направи необходимото нивото на защита, осигурено от ОРЗД, да не се излага на риск при предаване на трета държава(44). Целта на това правило е да се избегне заобикалянето на произтичащите от правото на Съюза стандарти за защита при предаването на лични данни към трета държава, където да бъдат обработвани(45). С оглед на тази цел е без значение дали предаването се основава на решение относно адекватното ниво на защита, или на предоставените от администратора гаранции, по-специално посредством договорни клаузи. Правното основание, въз основа на което се извършва определено предаване, е без значение за изискванията за защита на основните права, гарантирани от Хартата(46).
118. За сметка на това начинът, по който се запазва непрекъснатостта на високото ниво на защита, е различен в зависимост от правното основание на предаването.
119. От една страна, решенията относно адекватното ниво на защита имат за цел да установят, че съответната трета държава сама осигурява ниво на защита, което по същество е равностойно на това, което трябва да бъде постигнато в Съюза. Приемането на решение относно адекватното ниво на защита предполага, че Комисията предварително преценява за определена трета държава гарантираното от правото и практиките на тази трета държава ниво на защита в светлината на факторите, изложени в член 45, параграф 3 от ОРЗД. Тогава лични данни могат да бъдат предавани към тази трета държава, без да е необходимо администраторът да получи специално разрешение.
120. От друга страна, както е изложено по-подробно в следващия раздел, предоставените от администратора подходящи гаранции имат за цел да осигурят високо ниво на защита, в случай че третата държава на местоназначение на данните не предоставя достатъчни гаранции. Ето защо макар член 46, параграф 1 от ОРЗД да позволява предаването на лични данни към трети държави, които не предоставят адекватно ниво на защита, тази разпоредба разрешава такова предаване само когато са предоставени подходящи гаранции с други средства. В това отношение приетите от Комисията стандартни договорни клаузи представляват общ механизъм, приложим към предаването на данни, независимо кои са третите държави на местоназначение на данните и какво е нивото на защита, осигурено в тях.
5. По валидността на Решение 2010/87 с оглед на членове 7, 8 и 47 от Хартата (седми, осми и единадесети въпрос)
121. Със седмия си преюдициален въпрос запитващата юрисдикция иска от Съда по същество да установи дали Решение 2010/87 е невалидно, поради това че не обвързва органите на третите държави, към които се предават данни в съответствие със стандартните договорни клаузи, предвидени в приложението към това решение, и по-специално че то не им пречи да изискват от вносителя да им предостави на разположение тези данни. Ето защо този въпрос поставя под съмнение самата възможност да се осигури адекватно ниво на защита на такива данни посредством механизми с изцяло договорно естество. Единадесетият въпрос се отнася по-общо до валидността на Решение 2010/87 с оглед на членове 7, 8 и 47 от Хартата.
122. С осмия въпрос от Съда се иска да определи дали надзорен орган е длъжен да използва правомощията, предоставени му съгласно член 58, параграф 2, букви е) и й) от ОРЗД, за да спре предаване на данни към трета държава, основано на стандартните договорни клаузи, предвидени от Решение 2010/87, когато счита, че вносителят на данни има задължения, които не му позволяват да изпълни тези клаузи и водят до невъзможност да се осигури подходяща защита на предаваните данни. Тъй като отговорът на този въпрос според мен е от значение за определянето на валидността на Решение 2010/87(47), ще го разгледам заедно със седмия и единадесетия въпрос.
123. Текстът на член 46, параграф 1 от ОРЗД, доколкото предвижда, че „[п]ри липса на решение съгласно член 45, параграф 3, администраторът или обработващият лични данни може да предава лични данни на трета държава […] само ако е предвидил подходящи гаранции […]“ (курсивът е мой), подчертава логиката на договорните механизми като предвидения в Решение 2010/87. Както е изтъкнато в съображения 108 и 114 от ОРЗД, тези механизми имат за цел да позволят предаването на данни към трети държави, по отношение на които Комисията не е приела решения относно адекватното ниво на защита, като в такъв случай евентуалните недостатъци на осигурената в правния ред на тези трети държави защита се компенсира от гаранциите, които износителят и вносителят на данни се задължават договорно да спазват.
124. Тъй като смисълът на договорните гаранции е именно да се преодолеят възможните недостатъци в защитата, предоставена от третите държави на местоназначение, независимо кои са те, валидността на решение, с което Комисията установява, че определени стандартни клаузи компенсират успешно тези недостатъци, не може да зависи от нивото на защита, осигурено във всяка една от конкретните трети държави, към които данните могат да се предават. Валидността на такова решение зависи единствено от надеждността на гаранциите, предвидени от тези клаузи, с цел да се компенсират евентуалните недостатъци на защитата в третата държава на местоназначение. Ефективността на тези гаранции трябва да бъде преценена, като се вземат предвид и предпазните механизми като правомощията на надзорните органи съгласно член 58, параграф 2 от ОРЗД.
125. В това отношение, както отбелязват КЗЛД, г‑н Schrems, BSA, Ирландия, австрийското, френското, полското и португалското правителство, както и Комисията, съдържащите се в договорните клаузи гаранции могат да бъдат отслабени, дори обезсилени, когато правото на третата държава на местоназначение налага на вносителя на данни задължения, които противоречат на изискваното в тези клаузи. Ето защо в зависимост от конкретните обстоятелства на предаването преобладаващият юридически контекст в третата държава на местоназначение(48) може да направи невъзможно спазването на предвидените в тези клаузи задължения.
126. При това положение, както подчертават г‑н Schrems и Комисията, договорният механизъм, предвиден в член 46, параграф 2, буква в) от ОРЗД, се основава на овластяването на износителя на данни, както и — при условията на евентуалност — на надзорните органи. Администраторът или евентуално надзорният орган следва да разглежда поотделно за всяко конкретно предаване дали правото на третата държава на местоназначение възпрепятства изпълнението на стандартните клаузи, а поради това и подходящата защита на предаваните данни, така че да е необходимо предаването да бъде забранено или спряно.
127. С оглед на тези съображения, считам, че фактът, че Решение 2010/87 и посочените в него стандартни договорни клаузи не обвързват органите на третата държава на местоназначение, сам по себе си не прави това решение невалидно. Съответствието на Решение 2010/87 с членове 7, 8 и 47 от Хартата според мен зависи от това дали има достатъчно стабилни механизми, които позволяват да се гарантира, че предаване, основано на стандартните договорни клаузи, ще бъде спряно или забранено в случай на нарушение или невъзможност за спазване на тези клаузи.
128. В това отношение член 46, параграф 1 от ОРЗД предвижда, че предаване, основано на подходящи гаранции, може да се извърши само „при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита“. Следва да се провери дали гаранциите, предвидени в съдържащите се в приложението към Решение 2010/87 клаузи, допълнени от правомощията на надзорните органи, позволяват спазването на това условие. Според мен случаят е такъв само ако е налице задължение за администраторите (раздел 1), а в случай на бездействието им — за надзорните органи (раздел 2), за спиране или забрана на предаване, когато поради противоречие между произтичащите от стандартните клаузи задължения и задълженията, наложени от правото на третата държава на местоназначение, спазването на клаузите е невъзможно.
1. По задълженията на администраторите
129. На първо място съдържащите се в приложението към Решение 2010/87 стандартни договорни клаузи изискват в случай на противоречие между предвидените в тях задължения и изискванията, произтичащи от правото на третата държава на местоназначение, тези клаузи да не се изтъкват като основание за предаване към тази трета държава или, ако предаването вече е започнало въз основа на посочените клаузи, износителят на данни да бъде информиран за това противоречие и да може да преустанови предаването.
130. Ето защо съгласно клауза 5, буква а) вносителят се задължава да обработва личните данни единствено от името на износителя на данни и в съответствие с неговите инструкции, както и със стандартните договорни клаузи. Ако вносителят не може да осигури съответствие с тези клаузи, той приема да информира своевременно износителя, като в такъв случай последният може да спре предаването на данни и/или да прекрати договора(49).
131. В бележка под линия 5 към клауза 5 се уточнява, че стандартните клаузи не са нарушени, когато вносителят се подчинява на императивните изисквания на националното законодателство, прилагащи се за него в третата държава, при условие че те не се простират извън необходимото в едно демократично общество за защитата на един от интересите, изброени в член 13, параграф 1 от Директива 95/46/ЕО (чието съдържание по същество е възпроизведено в член 23, параграф 1 от ОРЗД), сред които са обществената и националната сигурност. Обратно, неспазването на тези клаузи с оглед на изпълнението на противоречиво задължение, произтичащо от правото на третата държава на местоназначение, което надхвърля това, което е пропорционално за защитата на признат от Съюза законосъобразен интерес, се приема за нарушение на посочените клаузи.
132. Според мен, както изтъкват г‑н Schrems и Комисията, клауза 5, буква а) не може да се тълкува в смисъл, че спирането на предаването или прекратяването на договора са само факултативни, когато вносителят не може да спази стандартните клаузи. Макар в тази клауза да се изтъква само право в полза на износителя, този текст трябва да се тълкува с оглед на договорната рамка, в която се вписва. Фактът, че в двустранните си отношения с вносителя износителят има правото да спре предаването или да прекрати договора, когато вносителят не е в състояние да изпълнява стандартните клаузи, не засяга задължението на износителя да направи това с оглед на изискванията за защита на правата на субектите на данни, произтичащи от ОРЗД. Всяко друго тълкуване би довело до невалидността на Решение 2010/87, тъй като предвидените от него стандартни договорни клаузи не биха позволили да се осигурят „подходящи гаранции“ за предаването на данни, както се изисква от член 46, параграф 1 от ОРЗД, разглеждан във връзка с разпоредбите на Хартата(50).
133. Освен това съгласно клауза 5, буква б) вносителят удостоверява, че няма причини да се смята, че приложимото за него законодателство го възпрепятства да изпълнява инструкциите, получени от износителя на данни, и задълженията си по договора. В случай на промяна на това законодателство, която може да има съществени неблагоприятни последици върху гаранциите и задълженията, предвидени от стандартните клаузи, той своевременно ще уведоми износителя за промяната без забавяне, като в такъв случай последният може да спре предаването на данни и/или да прекрати договора. Съгласно клауза 4, буква ж) износителят трябва да изпрати полученото от вносителя уведомление на компетентния надзорен орган, ако реши да продължи предаването.
134. Тук считам, че е необходимо да се внесат някои уточнения относно съдържанието на проверката, която страните по договора трябва да направят с оглед на бележката под линия към клауза 5, ако задълженията, наложени на вносителя от правото на третата държава, водят до нарушение на стандартните клаузи и следователно възпрепятстват осигуряването на подходящи гаранции при предаването. Този проблем е повдигнат по същество във втората част на шестия преюдициален въпрос.
135. Такава проверка според мен предполага да се вземат предвид всички обстоятелства, характеризиращи всяко предаване, сред които може да са естеството на данните и техният евентуален чувствителен характер, въведените от износителя и/или вносителя на данните механизми за гарантиране на сигурността им(51), естеството и целта на обработването от публичните органи на третата държава, на което ще бъдат подложени данните, условията на това обработване, както и осигурените от третата държава ограничения и гаранции. Елементите, характеризиращи дейностите по обработване от публичните органи, и гаранциите, приложими в правния ред на посочената трета държава, според мен могат да съвпадат с посочените в член 45, параграф 2 от ОРЗД.
136. На второ място, съдържащите се в приложението към Решение 2010/87 стандартни договорни клаузи въвеждат в полза на субектите на данни приложими права, както и правни средства за защита срещу износителя и при условията на евентуалност — срещу вносителя.
137. Така в параграф 1 от клауза 3, озаглавена „Клауза в полза на трето лице“, се предвижда право на обжалване на субекта на данни срещу износителя в случай на нарушение, по-специално на клауза 5, букви а) или б). Съгласно клауза 3, параграф 2, когато износителят на данни е изчезнал фактически или е престанал да съществува юридически, субектът на данни може да иска прилагането на тази клауза спрямо вносителя.
138. Клауза 6, параграф 1 предоставя на всеки субект на данни, претърпял вреда в резултат на нарушаване на посочените в клауза 3 задължения, правото да получи обезщетение от износителя за претърпяната вреда. В съответствие с клауза 7, параграф 1 вносителят на данни приема, че ако субектът на данни се позове спрямо него на права като трето лице бенефициер и/или търси обезщетение за претърпяната вреда, вносителят ще приеме решението субектът на данни или да предаде спора за медиация от независимо лице, евентуално от надзорния орган, или да сезира съдилищата в държавата членка, в която е установен износителят.
139. Освен средствата за правна защита, с които разполагат съгласно стандартните договорни клаузи, предвидени в приложението към Решение 2010/87, субектите на данни могат, когато считат, че тези клаузи са нарушени, да поискат от надзорните органи приемането на коригиращи мерки в съответствие с член 58, параграф 2 от ОРЗД, към който препраща член 4 от Решение 2010/87(52).
2. По задълженията на надзорните органи
140. Следните причини ми дават основание да считам, подобно на г‑н Schrems, Ирландия, германското, австрийското, белгийското, нидерландското и португалското правителство, както и на ЕКЗД, че член 58, параграф 2 от ОРЗД задължава надзорните органи, когато след надлежна проверка приемат, че предаваните към трета държава данни не са достатъчно защитени поради неспазване на договорните клаузи, да вземат подходящи мерки за отстраняване на тази незаконосъобразност, при необходимост като разпоредят спиране на предаването.
141. На първо място, отбелязвам, че обратно на твърдяното от DPC нито една разпоредба на Решение 2010/87 не ограничава до изключителни случаи упражняването на правомощията на надзорния орган по член 58, параграф 2, букви е) и й) от ОРЗД „да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни“ и „да разпорежда преустановяването на потока на данни към получател в трета държава“.
142. Вярно е, че в първоначалната редакция на член 4, параграф 1 от Решение 2010/87 упражняването от надзорните органи на правомощието да спират или да забраняват трансграничните потоци на данни, е било сведено до определени случаи, в които е установено, че предаването въз основа на договор може да има съществени неблагоприятни последици върху гаранциите, предназначени да защитят субекта на данните. Понастоящем обаче член 4 от това решение, изменено от Комисията през 2016 г., за да се съобрази с решение Schrems(53), само посочва тези правомощия, без изобщо да ги ограничава. Във всеки случай решение за изпълнение на Комисията, каквото е Решение 2010/87, не може валидно да ограничи правомощията на надзорните органи, предоставени съгласно самия ОРЗД(54).
143. Това заключение не се поставя под въпрос от съображение 11 от Решение 2010/87, съгласно което надзорните органи могат да упражняват правомощията си за спиране и забрана на предаването на данни само в „изключителни случаи“. Това съображение, съдържащо се още в първоначалната редакция на това решение, се е отнасяло до предишния член 4, параграф 1 от посоченото решение, който е ограничавал правомощията на надзорните органи. При изменението на Решение 2010/87 с Решение 2016/2297 Комисията е пропуснала да премахне или да измени посоченото съображение, за да адаптира съдържанието му към разпоредбата на новия член 4. Съображение 5 от Решение 2016/2297 обаче потвърждава правомощието на надзорните органи да спират или да забраняват предаване на данни, което считат за противоречащо на правото на Съюза, по-специално поради неспазването от вносителя на стандартните договорни клаузи. Съображение 11 от Решение 2010/87, доколкото понастоящем противоречи както на текста, така и на целта на правно обвързваща разпоредба от това решение, трябва да се приеме за остаряло(55).
144. На второ място, също противно на поддържаното от КЗЛД, упражняването на правомощията за спиране и забрана, предвидени в член 58, параграф 2, букви е) и й) от ОРЗД,, също не представлява просто възможност, оставена на преценката на надзорните органи. Според мен това заключение произтича от тълкуване на член 58, параграф 2 от ОРЗД във връзка с други разпоредби на този регламент и на Хартата, както и от общата структура и целите на Решение 2010/87.
145. По-специално член 58, параграф 2 от ОРЗД трябва да се разглежда във връзка с член 8, параграф 3 от Хартата и член 16, параграф 2 ДФЕС. Съгласно тези разпоредби спазването на изискванията, произтичащи от основното право на защита на личните данни, е предмет на контрол от страна на независими органи. Тази задача за осигуряване на прилагането на изискванията относно защитата на личните данни, посочена също в член 57, параграф 1, буква а) от ОРЗД, предполага задължение за надзорните органи да действат така, че да осигурят правилното прилагане на този регламент.
146. Така надзорният орган трябва да разгледа с цялата дължима грижа жалба, подадена от лице, което твърди, че данните му са предадени на трета държава при неспазване на приложимите към предаването стандартни договорни клаузи(56). За тази цел член 58, параграф 1 от ОРЗД предоставя на надзорните органи значителни правомощия за разследване(57).
147. Компетентният надзорен орган е длъжен също да реагира по подходящ начин на евентуални нарушения на правата на субекта на данни, които е установил след разследването си. В това отношение съгласно член 58, параграф 2 от ОРЗД всеки надзорен орган разполага с широк набор от средства — различните правомощия да приема коригиращи мерки, изброени в тази разпоредба — за да изпълнява възложената му задача(58).
148. Въпреки че изборът на най-ефикасното средство зависи от преценката на компетентния надзорен орган с оглед на всички обстоятелства на разглежданото предаване, той е длъжен да изпълнява изцяло поверените му задачи за надзор. Когато е приложимо, този орган трябва да спре предаването, ако стигне до извода, че стандартните договорни клаузи не са спазени и че не може да бъде осигурена подходяща защита на предаваните данни с други средства, в случай че самият износител на данни не е спрял предаването.
149. Това тълкуване се подкрепя от член 58, параграф 4 от ОРЗД, който предвижда, че упражняването на правомощията, предоставени на надзорните органи по силата на този член, се осъществява при осигуряване на подходящи гаранции, включително ефективни правни средства за съдебна защита съгласно член 47 от Хартата. Член 78, параграфи 1 и 2 от ОРЗД освен това признава на всяко лице правото на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган или когато този орган не е разгледал жалбата му(59).
150. Както изтъкват по същество г‑н Schrems, BSA, Ирландия, полското правителство и правителството на Обединеното кралство, както и Комисията, тези разпоредби предполагат, че решение с което надзорен орган се въздържа да забрани или да спре предаване на данни към трета държава по искане на лице, което се позовава на риск отнасящите се до него данни да бъдат обработени в тази трета държава в противоречие с основните права, може да бъде обжалвано по съдебен ред. Признаването на право на съдебна защита обаче предполага наличието на обвързана компетентност, а не просто на дискреционно правомощие, на надзорните органи. Освен това г‑н Schrems и Комисията с основание подчертават, че упражняването на ефективен съдебен контрол предполага органът, издал спорния акт, да го мотивира по подходящ начин(60). По мое мнение това задължение за мотивиране обхваща и избора на надзорните органи кое от предоставените им от член 58, параграф 2 от ОРЗД правомощия да упражнят.
151. Трябва обаче и да се отговори на доводите, с които КЗЛД изтъква, че макар надзорните органи да трябва да спрат или да забранят предаване, когато защитата на правата на субекта на данните го изисква, това не гарантирало валидността на Решение 2010/87.
152. Първо, КЗЛД счита, че такова задължение не разрешава систематичните проблеми относно липсата на подходящи гаранции в трета държава като Съединените щати. Всъщност надзорните органи могат да упражняват правомощията си само за всяко предаване поотделно, докато характеризиращите американското право недостатъци били от общо и структурно естество. От това произтичал риск различните надзорни органи да приемат разнопосочни решения по отношение на сравними предавания на данни.
153. В това отношение не мога да пренебрегна практическите трудности, свързани със законодателното решение отговорността за гарантиране на спазването на основните права на субектите на данни в рамките на конкретни случаи на предаване или на потоци към даден получател да се повери на надзорните органи. Считам обаче, че тези трудности не водят до невалидност на Решение 2010/87.
154. Всъщност според мен правото на Съюза не изисква да се осигури общо и превантивно решение за всички предавания на данни към определена трета държава, които могат да носят еднакви рискове от нарушаване на основните права.
155. Освен това рискът от фрагментирани подходи на различните надзорни органи е присъщ на търсената от законодателя децентрализирана архитектура на надзор(61). Освен това, както подчертава германското правителство, глава VII от ОРЗД, озаглавена „Сътрудничество и съгласуваност“, установява механизми, насочени към предотвратяването на този риск. В случай на трансгранично обработване на данни член 60 от този регламент предвижда процедура за сътрудничество между засегнатите надзорни органи и надзорния орган на мястото на установяване на администратора, наречен „водещ надзорен орган“(62). В случай на противоречиви мнения несъгласието трябва да бъде разрешено от ЕКЗД(63). Последният е компетентен и да издава по искане на надзорен орган становища по всеки въпрос с последици в повече от една държава членка(64).
156. Второ, КЗЛД изтъква недействителността на Решение 2010/87 с оглед на член 47 от Хартата, тъй като надзорните органи могат да защитават правата на субектите на данни само за в бъдеще, без да предлагат решение на тези, чиито данни вече са предадени. КЗЛД отбелязва по-специално, че член 58, параграф 2 от ОРЗД не предвижда право на достъп, коригиране и изтриване на данните, събрани от публичните органи на третата държава, нито възможност за обезщетение на понесените от субектите на данни вреди.
157. Що се отнася до твърдяната липсата на право на достъп, коригиране и изтриване на събраните данни, налага се изводът, че когато в третата държава на местоназначение няма никакви ефективни средства за правна защита, предвидените в Съюза средства за правна защита срещу администратора не позволяват да се получи от публичните органи на тази трета държава достъп до тези данни, както и те да бъдат коригирани или изтрити.
158. Считам обаче, че това възражение не може да обоснове несъвместимостта на Решение 2010/87 с член 47 от Хартата. Всъщност валидността на това решение не зависи от наличното ниво на защита във всяка трета държава членка, към която данните могат да бъдат предавани въз основа на посочените в него стандартни договорни клаузи. Ако правото на третата държава на местоназначение възпрепятства вносителя на данни да спазва тези клаузи, като го задължава да предостави на публичните органи достъп до данните без възможност за подходяща правна защита, в случай че износителят на данни не е спрял предаването съгласно съдържащата се в приложението към Решение 2010/87 клауза 5, букви а) или б), надзорните органи са тези, които следва да приемат корективни мерки.
159. Освен това, както подчертава г‑н Schrems, лицата, чиито права са нарушени, вече се ползват съгласно член 82 от ОРЗД от право на обезщетение от администратора или обработващия лични данни за материалните и нематериалните вреди, претърпени в резултат на нарушение на този регламент(65).
160. Както е видно от всички тези съображения, анализът ми не установява нито едно обстоятелство, което да може да постави под въпрос валидността на Решение 2010/87 с оглед на членове 7, 8 и 47 от Хартата.
6. По липсата на необходимост от отговор на останалите преюдициални въпроси и от разглеждане на валидността на решението относно Щита за личните данни
161. В настоящия раздел излагам причините, свързани основно с ограничаването на предмета на спора в главното производство до валидността на Решение 2010/87, поради които считам, че не следва да се отговаря на от втори до пети, девети и десети преюдициален въпрос, нито Съдът да се произнася по валидността на решението относно Щита за личните данни.
162. Вторият преюдициален въпрос се отнася до определянето на стандартите за защита, които трета държава трябва да спазва, за да може данните да ѝ се предадат законосъобразно въз основа на стандартните договорни клаузи, когато органите на тази трета държава могат да обработват тези данни след предаването им за целите на националната сигурност. Третият въпрос, отправен до Съда, се отнася до определянето на елементите, характеризиращи режима на защита, приложим в третата държава на местоназначение, които трябва да се вземат предвид, за да се провери дали този режим отговаря на тези стандарти.
163. С четвъртия, петия и десетия въпрос запитващата юрисдикция иска главно да се установи дали с оглед на установените от нея факти по отношение на правото на Съединените щати то предвижда подходящи гаранции срещу намесата на американските разузнавателни органи в упражняването на основните права на зачитане на личния живот, на защита на личните данни и на ефективна съдебна защита.
164. Деветият преюдициален въпрос се отнася до значението — при проверката, с която надзорен орган установява дали предаване на данни към Съединените щати, основано на предвидените в Решение 2010/87 стандартни договорни клаузи, е съпътствано от подходящи гаранции — на обстоятелството, че в решението относно Щита за личните данни Комисията е констатирала, че Съединените щати осигуряват адекватно ниво на защита на основните права на субектите на данни срещу такава намеса.
165. Що се отнася до въпроса за валидността на решението относно Щита за личните данни, запитващата юрисдикция не го поставя изрично, въпреки че, както е обяснено по-долу(66), четвъртият, петият и десетият преюдициален въпрос косвено поставят под съмнение основателността на констатацията за адекватност, направена от Комисията в това решение.
166. Според мен с оглед на обстоятелствата, които произтичат от предшестващия анализ, пояснението на Съда по тези въпроси не би могло да засегне заключението относно валидността in abstracto на Решение 2010/87, нито следователно да повлияе на разрешаването на спора в главното производство (раздел 1). Освен това, макар че отговорите на Съда на посочените въпроси биха могли да бъдат полезни на по-късен етап за КЗЛД в производството, което е в основата на този спор, за да се определи дали разглежданите предавания трябва in concreto да бъдат преустановени поради твърдяната липса на подходящи гаранции, според мен разрешаването им в рамките на настоящото дело би било преждевременно (раздел 2).
1. По липсата на необходимост от отговори на Съда с оглед на предмета на спора в главното производство
167. Припомням, че спорът в главното производство произтича от упражняването от страна на КЗЛД на правния способ, описан в точка 65 от решение Schrems, съгласно която всяка държава членка трябва да позволи на надзорен орган, когато счита за необходимо с цел разглеждането на подадена до него жалба, да поиска от национална юрисдикция да отправи до Съда преюдициален въпрос във връзка с валидността на решение относно адекватното ниво на защита или по аналогия — на решение, установяващо стандартни договорни клаузи.
168. В това отношение High Court (Висш съд) подчертава, че единствените възможности, с които е разполагал след сезирането му от КЗЛД, са били или да отправи преюдициално запитване относно валидността на Решение 2010/87 по искане на КЗЛД, в случай че споделя съмненията му относно валидността на това решение, или в противен случай да откаже да уважи това искане. Тази юрисдикция счита, че ако бе избрала втората възможност, е трябвало да отхвърли искането, тъй като жалбата на КЗЛД не е имала друг предмет(67).
169. В същия смисъл Supreme Court (Върховен съд), сезиран от Facebook Ireland с жалба срещу акта за преюдициално запитване, описва спора в главното производство като установително производство, с което КЗЛД иска от запитващата юрисдикция да постави на Съда преюдициален въпрос относно валидността на Решение 2010/87. Според ирландската върховна юрисдикция единственият въпрос по същество, повдигнат пред запитващата юрисдикция и Съда, следователно е валидността на това решение(68).
170. Като се има предвид така очертаният предмет на спора в главното производство, запитващата юрисдикция отправя до Съда първите десет въпроса, доколкото е считала, че разглеждането им ще бъде част от цялостната преценка, необходима на Съда, който в отговор на единадесетия въпрос да се произнесе по валидността на Решение 2010/87 с оглед на членове 7, 8 и 47 от Хартата. Съгласно акта за преюдициално запитване този въпрос представлява логичен завършек на предшестващите го въпроси.
171. В този смисъл изглежда, че въпросите от втори до пети, както и деветият и десетият въпрос се основават на схващането, че валидността на Решение 2010/87 зависи от равнището на защита на основните права, предвидено във всяка от третите държави, към които данните могат да бъдат предавани въз основа на предвидените в него стандартни договорни клаузи. Както обаче следва от моя анализ на седмия въпрос(69), това схващане според мен е неправилно. Правото на третата държава на местоназначение се разглежда само когато Комисията приема решение относно адекватното ниво на защита или когато при предаване на данни, основано на подходящи гаранции по смисъла на член 46, параграф 1 от ОРЗД, администраторът или евентуално компетентният надзорен орган проверява дали задълженията, които правото на тази трета държава налага на вносителя, не поставят под въпрос ефективността на осигурената от тези гаранции защита.
172. Следователно отговорите на Съда на горепосочените въпроси не могат да повлияят на заключението му относно единадесетия въпрос(70). Ето защо с оглед на предмета на спора в главното производство на тези въпроси не следва де са отговаря.
173. Предлагам на Съда да разгледа настоящото дело само от гледна точка на предмета на този спор. Според мен Съдът не би трябвало да отива отвъд необходимото за разрешаването на посочения спор, като разглежда преюдициалните въпроси от гледна точка на висящото пред КЗЛД производство, което е в основата му. Както е обяснено по-долу, тази препоръка за сдържаност се дължи на грижата да не се наруши нормалният ход на производството, което трябва да продължи пред КЗЛД след произнасянето на Съда по валидността на Решение 2010/87. От друга страна, предвид фактите в настоящия случай разглеждането от Съда на проблемите, повдигнати с втори—пети, девети и десети въпрос, ми се струва малко прибързано дори с оглед на значението на това производство.
2. По доводите срещу разглеждането от Съда с оглед на предмета на висящото пред КЗЛД производство
174. В жалбата си пред КЗЛД г‑н Schrems иска от този надзорен орган да упражни правомощията си по член 58, параграф 2, буква е) от ОРЗД, като разпореди на Facebook Ireland да спре предаването към Съединените щати на отнасящите се до него лични данни, извършвано въз основа на стандартните договорни клаузи. В подкрепа на това искане г‑н Schrems се позовава основно на неподходящия характер на тези договорни гаранции с оглед на намесата в упражняването на основните му права, произтичаща от дейностите на американските разузнавателни служби.
175. Доводите на г‑н Schrems поставят под съмнение констатацията на Комисията в решението относно Щита за личните данни, че Съединените щати осигуряват адекватно ниво на защита на данните, предадени по силата това решение, с оглед на ограниченията върху достъпа до тези данни и тяхното използване от американските разузнавателни органи, както и на предоставената на субектите на данни правна защита(71). Опасенията, изразени временно от КЗЛД(72), както и от запитващата юрисдикция в четвъртия, петия и десетия въпрос също пораждат непряко съмнения относно основателността на тази констатация.
176. Несъмнено решението относно Щита за личните данни се ограничава да констатира адекватността на нивото на защита на личните данни, предавани в съответствие с изложените в него принципи към предприятие, установено в Съединените щати, което се е самосертифицирало, че спазва тези принципи(73). Съдържащите се в него съображения обаче надхвърлят контекста на предаванията на данни, обхванати от това решение, доколкото се отнасят до действащите в тази трета държава право и практики относно обработването на предадените данни за целите на защитата на националната сигурност. Както отбелязват по същество Facebook Ireland, г‑н Schrems, правителството на Съединените щати и Комисията, извършваният от американските разузнавателни органи надзор, както и гаранциите срещу риска от злоупотреба, които той съдържа, и механизмите насочени към контрола на спазването му се прилагат, от гледна точка на правото на Съюза, независимо от правното основание, изтъкнато в подкрепа на предаването.
177. В този смисъл въпросът дали констатациите в това отношение, изложени в решението относно Щита за личните данни, обвързват надзорните органи, когато те разглеждат законосъобразността на предаване на данни, извършвано въз основа на стандартни договорни клаузи, може да се окаже релевантен за целите на разглеждането от КЗЛД на жалбата на г‑н Schrems. В случай на утвърдителен отговор на този въпрос би възникнал въпросът дали това решение действително е валидно.
178. Аз обаче не бих препоръчал на Съда да се произнася по тези въпроси само за да съдейства на КЗЛД да разгледа тази жалба, при положение че не следва да им се отговаря, за да се позволи на запитващата юрисдикция да разреши спора в главното производство. Тъй като предвидената в член 267 ДФЕС процедура установява диалог между съдилищата, не е необходимо Съдът да внася яснота само за да съдейства на административен орган в производство, което е в основата на този спор.
179. Сдържаността според мен се налага още повече тъй като въпросът за валидността на решението относно Щита за личните данни не му е поставен изрично, като това решение освен това вече е предмет на висящо производство по жалба за отмяна пред Общия съд на Европейския съюз(74).
180. Нещо повече, ако се произнесе по посочените по-горе проблеми, Съдът според мен ще наруши нормалния ход на производството, което трябва да протече, след като постанови решението си по настоящото дело. В това производство КЗЛД следва да разгледа жалбата на г‑н Schrems, като вземе предвид отговора, който Съдът ще даде на единадесетия преюдициален въпрос. Ако, както предлагам и обратно на поддържаното от КЗЛД пред Съда, последният приеме, че Решение 2010/87 не е невалидно с оглед на членове 7, 8 и 47 от Хартата, на КЗЛД според мен трябва да се предостави възможността да преразгледа преписката по висящото пред него производство. В случай че КЗЛД приеме, че не е в състояние да се произнесе по жалбата на г‑н Schrems, без Съдът предварително да е определил дали решението относно Щита за личните данни възпрепятства упражняването на правомощията му за спиране на разглежданото предаване на данни, и потвърди, че има съмнения относно валидността на това решение, той ще може да сезира отново националните съдилища да отправят до Съда въпрос в тази връзка(75).
181. В такъв случай ще бъде образувано производство, позволяващо на всички посочени в член 23, втора алинея от Статута на Съда страни и заинтересовани лица да представят пред Съда становища, насочени конкретно към въпроса за валидността на решението относно Щита за личните данни, като евентуално посочат конкретните преценки, които оспорват, както и причините, поради които смятат, че Комисията е превишила ограничената свобода на преценка, с която е разполагала(76). В такова производство Комисията ще има възможността да отговори конкретно и подробно на всяка евентуална критика срещу посоченото решение. Въпреки че в настоящото дело страните и заинтересованите лица, представили становища пред Съда, са имали възможност да обсъдят някои релевантни аспекти с цел преценка на съответствието на решението относно Щита за личните данни с членове 7, 8 и 47 от Хартата, с оглед на значението му този въпрос следва да бъде предмет на изчерпателна и задълбочена дискусия.
182. Според мен предпазливостта изисква да се изчака всички тези процесуални етапи да бъдат преминати, преди Съдът да разгледа влиянието, което решението относно Щита за личните данни оказва върху разглеждането от надзорен орган на искане за спиране на предаване към Съединените щати съгласно член 46, параграф 1 от ОРЗД, и да се произнесе по валидността на това решение.
183. Това е така още повече доколкото представената на Съда преписка не позволява да се направи изводът, че разглеждането на жалбата на г‑н Schrems от КЗЛД ще зависи непременно от това дали решението относно Щита за личните данни възпрепятства упражняването от надзорните органи на тяхното правомощие да спрат предаване на данни въз основа на стандартните договорни клаузи.
184. В това отношение, на първо място, не е изключено КЗЛД да бъде принуден да спре разглежданото предаване на основания, различни от свързаните с твърдяното недостатъчно ниво на защита, осигурено от Съединените щати срещу нарушаването на основните права на субектите на данни, произтичащо от дейностите на американските разузнавателни служби. По-специално, запитващата юрисдикция уточнява, че в жалбата си пред КЗЛД г‑н Schrems поддържа, че договорните клаузи, изтъкнати от Facebook Ireland в подкрепа на това предаване, не отразяват точно съдържащите се в приложението към Решение 2010/87. Г‑н Schrems твърди освен това, че посоченото предаване попада в приложното поле не на това решение, а на други решения за СДК(77).
185. На второ място, КЗЛД и запитващата юрисдикция подчертават, че Facebook Ireland не е изтъкнало решението относно Щита за личните данни в подкрепа на предаването, посочено в жалбата на г‑н Schrems(78), което това дружество потвърждава в съдебното заседание. Въпреки че Facebook Inc. е самосертифицирало спазването на принципите на Щита за защита на личните данни, считано от 30 септември 2016 г.(79), Facebook Ireland твърди, че това спазване засяга само предаването на някои категории данни, а именно отнасящите се до търговските партньори на Facebook Inc. Струва ми се неподходящо Съдът да предвижда какви въпроси биха могли да възникнат в тази връзка, преценявайки дали, в случай че Facebook Ireland не може да се позове на Решение 2010/87 в подкрепа на разглежданото предаване, това предаване все пак би било обхванато от решението относно Щита за личните данни, при положение че то не е повдигнало този довод нито пред запитващата юрисдикция, нито пред КЗЛД.
186. От това стигам до извода, че не следва да се отговоря на втори—пети, девети и десети преюдициален въпрос, нито да се разглежда валидността на решението относно Щита за личните данни.
7. Съображения при условията на евентуалност относно действието и валидността на решението относно Щита за личните данни
187. Въпреки че анализът по-горе ме кара да предложа на Съда основно да не се произнася по значението на решението относно Щита за личните данни за разглеждането на жалба като подадената от г‑н Schrems пред КЗЛД и по валидността на това решение, струва ми се полезно да изложа — при условията на евентуалност и с резерви — няколко неизчерпателни съображения по този въпрос.
1. По значението на решението относно Щита за личните данни при разглеждането от надзорен орган на жалба относно законосъобразността на предаване на данни въз основа на договорни гаранции
188. Целта на деветия преюдициален въпрос е да се установи дали направената в решението относно Щита за личните данни констатация относно адекватността — с оглед на въведените ограничения на достъпа до предаваните данни и тяхното използване от американските органи за целите на националната сигурност и на правната защита на субектите на данни — на осигуреното от Съединените щати ниво на защита не допуска надзорен орган да спре предаване към тази трета държава, извършвано въз основа стандартни договорни клаузи.
189. Струва ми се, че този проблем трябва да се разглежда във връзка с точки 51 и 52 от решение Schrems, от които произтича, че решение относно адекватното ниво на защита обвързва надзорните органи дотогава, докато не бъде обявено за невалидно. Следователно надзорен орган, сезиран с жалба от лице, чиито данни се предават на трета държава, за която се отнася решение относно адекватното ниво на защита, не може да спре предаването на данни, поради това че нивото на защита там е недостатъчно, без Съдът предварително да е обявил това решение за невалидно(80).
190. Запитващата юрисдикция иска по същество да се установи дали по отношение на решение относно адекватното ниво на защита — като решението относно Щита за личните данни или предишното решение относно сферата на неприкосновеност — основано на доброволното спазване от предприятията на изложените в него принципи, този извод важи само доколкото предаването на съответната трета държава е обхванато от това решение, или и когато почива на различно правно основание.
191. Според г‑н Schrems, германското, нидерландското, полското и португалското правителство, както и Комисията, констатацията за адекватното ниво на защита, направена в решението относно Щита за личните данни, не лишава надзорните органи от възможността да спират или забраняват предаване на данни към Съединените щати, направено по силата на стандартните договорни клаузи. Когато предаването към Съединените щати не се основава на решението относно Щита за личните данни, надзорните органи формално не били обвързани от това решение при упражняването на правомощията, които им предоставя член 58, параграф 2 от ОРЗД. С други думи, тези надзорни органи можели да се дистанцират от констатациите на Комисията относно адекватността на нивото на защита срещу намесата на американските публични органи в упражняването на основните права на субектите на данни. Нидерландското правителство и Комисията уточняват, че надзорните органи все пак трябва ги вземат предвид при упражняването на правомощията си. Според германското правителство тези органи могат да извършват противоречащи преценки само след разглеждане по същество, включващо съответните разследвания, на констатациите на Комисията.
192. Facebook Ireland и правителството на Съединените щати обаче твърдят по същество, че обвързващото действие на решение относно адекватното ниво на защита — в светлината на изискванията за правна сигурност и еднакво прилагане на правото на Съюза — предполага, че надзорните органи не са оправомощени, дори при разглеждането на жалба за спиране на предаване на данни към съответната трета държава на основание, различно от това решение, да поставят под съмнение съдържащите се в това решение констатации.
193. Споделям първия от тези два подхода. Тъй като приложното поле на решението относно Щита за личните данни е ограничено до предаване на данни към предприятие, което се е самосертифицирало в съответствие с това решение, посоченото решение не би могло формално да обвърже надзорните органи по отношение на предаване на данни, което не попада в това приложно поле. Решението относно Щита за личните данни съответно има за цел да гарантира правната сигурност само на износителите, които предават данни в рамката, която то установява. Според мен независимостта, която член 52 от ОРЗД признава на надзорните органи, също не допуска те да са обвързани от констатациите на Комисията, направени в решение относно адекватното ниво на защита извън приложното му поле.
194. Очевидно констатациите в решението относно Щита за личните данни във връзка с адекватността на нивото на защита, осигурено от Съединените щати срещу намесата, свързана с дейностите на американските разузнавателни служби, са отправната точка на анализа, с който надзорният орган преценява за всеки отделен случай дали предаване на данни, основано на стандартните договорни клаузи, трябва да бъде спряно поради такава намеса. При все това, ако приеме след задълбочено разследване, че не може да подкрепи тези констатации по отношение на представеното му за разглеждане предаване на данни, компетентният надзорен орган според мен запазва възможността да упражни правомощията, които му предоставя член 58, параграф 2, букви е) и й) от ОРЗД.
195. При това положение, в случай че на разглеждания тук въпрос Съдът даде отговор, различен от подкрепяния от мен, би трябвало да се разгледа дали тези правомощия не следва все пак да бъдат възстановени поради невалидността на решението относно Щита за личните данни.
2. По валидността на решението относно Щита за личните данни
196. Съображенията по-долу ще повдигнат някои въпроси относно основателността на преценките, съдържащи се в решението относно Щита за личните данни, що се отнася до адекватността — по смисъла на член 45, параграф 1 от ОРЗД — на нивото на защита, осигурено от Съединените щати, с оглед на дейностите по наблюдение на електронните съобщения, извършвани от американските разузнавателни органи. Тези съображения нямат за цел да изложат окончателно или изчерпателно становище по валидността на това решение. Те ще се ограничат до някои разсъждения, които биха могли да са полезни на Съда, в случай че обратно на препоръката ми иска да се произнесе по този въпрос.
197. В тази връзка от съображение 64 и от точка I.5 от приложение II към решението относно Щита за личните данни следва, че спазването от предприятията на посочените в това решение принципи може да бъде ограничено по-специално от изисквания, свързани с националната сигурност, обществения интерес и правоприлагането, или от взаимнопротиворечиви задължения, произтичащи от американското право.
198. Ето защо Комисията е направила оценка на предвидените в правото на Съединените щати гаранции по отношение на достъпа до предаваните данни и използването им от американските публични органи за целите по-специално на националната сигурност(81). Тя е получила от американското правителство потвърждение за някои ангажименти, отнасящи се, от една страна, до ограниченията на достъпа до предаваните данни и използването им от американските органи и от друга страна, до предоставената на субектите на данни правна защита(82).
199. Пред Съда г‑н Schrems оспорва валидността на решението относно Щита за личните данни, тъй като така описаните гаранции не са достатъчни да осигурят адекватно ниво на защита на основните права на лицата, чиито данни се предават към Съединените щати. Без директно да поставят под съмнение валидността на това решение, КЗЛД, EPIC, както и австрийското, полското и португалското правителство оспорват направените в него преценки на Комисията относно адекватността на нивото на защита срещу намесата, произтичаща от дейностите на американските разузнавателни служби. Тези съмнения са свързани с опасенията, изразени от Парламента(83), ЕКЗД(84) и ЕНОЗД(85).
200. Преди да се анализира основателността на констатацията за адекватното ниво на защита в решението относно Щита за личните данни, следва да се уточни методиката на този анализ.
1) Уточнения относно съдържанието на анализа на валидността на решение относно адекватното ниво на защита
1) По елементите на сравнение, позволяващи да се прецени „равностойността по същество“ на нивото на защита
201. Съгласно член 45, параграф 3 от ОРЗД и практиката на Съда(86) Комисията може да констатира, че трета държава осигурява адекватно ниво на защита само доколкото е стигнала до надлежно мотивиран извод, че нивото на защита на основните права на субектите на данни в тази трета държава е „по същество равностойно“ на изискваното в Съюза в съответствие с този регламент, разглеждан във връзка с Хартата.
202. Ето защо проверката на адекватността на защитата в трета държава задължително предполага сравнение между, от една страна, преобладаващите правила и практики в тази трета държава и от друга страна, действащите стандарти на защита в Съюза. С втория си въпрос запитващата юрисдикция иска от Съда да уточни елементите на това сравнение(87).
203. По-конкретно тази юрисдикция иска да се установи дали запазването на компетентност, коeто член 4, параграф 2 ДФЕС и член 2, параграф 2 от ОРЗД признават на държавите членки в областта на защитата на националната сигурност, означава, че правният ред на Съюза не съдържа стандарти за защита, с които трябва да бъдат сравнявани — с оглед оценката на адекватността им — гаранциите в трета държава, уреждащи обработването от публичните органи за целите на защитата на националната сигурност на данните, които са предадени там. При утвърдителен отговор посочената юрисдикция иска да се установи как трябва да бъде определена релевантната референтна рамка.
204. В това отношение не трябва да се забравя, че смисълът на ограниченията, които правото на Съюза предвижда за международните предавания на лични данни, като изисква да бъде осигурена непрекъснатост на нивото на защита на правата на субектите на данни, е да се избегне рискът от заобикаляне на приложимите в Съюза стандарти(88). Както твърди по същество Facebook Ireland, въобще не би било обосновано с оглед на тази цел да се очаква от трета държава да спазва изисквания, които не съответстват на задълженията на държавите членки.
205. Съгласно член 51, параграф 1 от Хартата обаче тя е приложима към държавите членки единствено когато те прилагат правото на Съюза. Следователно валидността на решение относно адекватното ниво на защита с оглед на ограниченията на упражняването на основните права на субектите на данни, произтичащи от законодателството на третата държава на местоназначение, зависи от сравнение между тези ограничения и ограниченията, които разпоредбите на Хартата биха позволили от страна на държавите членки, само доколкото сходна правна уредба на държава членка би попаднала в приложното поле на правото на Съюза.
206. Адекватното ниво на защита, осигурено в третата държава на местоназначение, обаче не би могло да бъде преценено, без да се вземе предвид евентуалната намеса в упражняването на основните права на субектите на данни, която би произтекла от държавни мерки, по-специално в областта на националната сигурност, които, ако бъдат приети от държава членка, биха попаднали извън приложното поле на правото на Съюза. За целите на тази преценка член 45, параграф 2, буква а) от ОРЗД изисква да се вземе предвид без никакви ограничения действащото в тази трета държава законодателство в областта на националната сигурност.
207. Преценката на адекватността на нивото на защита с оглед на такива държавни мерки според мен предполага да се сравнят свързаните с тях гаранции и нивото на защита, изисквано в Съюза съгласно правото на държавите членки, включително съгласно ангажиментите им по ЕКПЧ. При положение че присъединяването на държавите членки към ЕКПЧ ги задължава да приведат националното си право в съответствие с разпоредбите на тази конвенция и следователно — както по същество изтъкват Facebook Ireland, германското и чешкото правителство, както и Комисията — представлява общ знаменател за държавите членки, бих приел тези разпоредби за подходящ елемент за сравнение за целите на тази оценка.
208. В случая, както е посочено по-горе(89), изискванията относно националната сигурност на Съединените щати имат предимство пред задълженията на предприятията, самосертифицирали се в съответствие с решението относно Щита за личните данни. Ето защо валидността на това решение зависи от това дали изискванията са съпътствани от гаранции, които предоставят ниво на защита, което по същество е равностойно на нивото, което трябва да бъде осигурено в Съюза.
209. Отговорът на този въпрос изисква предварително да се определят стандартите, а именно произтичащите от Хартата или от ЕКПЧ, на които трябва да съответстват разпоредбите в Съюза в областта на наблюдението на електронните съобщения, подобни на тези, които Комисията е разгледала в решението относно Щита за личните данни. Определянето на приложимите стандарти зависи от въпроса дали, ако разпоредби като член 702 от FISA и EO 12333 произхождаха от държава членка, биха попаднали в обхвата на ограничението на приложното поле на ОРЗД по силата на член 2, параграф 2 от този регламент, разглеждан във връзка с член 4, параграф 2 ДЕС.
210. В тази връзка от член 4, параграф 2 ДЕС и от постоянната съдебна практика следва, че правото на Съюза, и по-специално актовете на вторичното право относно защитата на личните данни, не се прилага към дейностите в областта на защитата на националната сигурност, доколкото те са дейности, присъщи на държавите или на държавните органи, и са извън областите на дейност на частноправните субекти(90).
211. Този принцип предполага, от една страна, че правна уредба в областта на защитата на националната сигурност не попада в приложното поле на правото на Съюза, когато урежда единствено държавните дейности, без да регламентира каквато и да било дейност, извършвана от частноправни субекти. Следователно това право според мен не се прилага към национални мерки за събиране и използване на лични данни, прилагани пряко от държавата за целите на защитата на националната сигурност, без да се налагат конкретни задължения на частните оператори. По-специално, както изтъква Комисията в съдебното заседание, мярка, приета от държава членка, която подобно на EO 12333 би разрешила прекия достъп на разузнавателните служби до пренасяните данни, би била изключена от приложното поле на правото на Съюза(91).
212. Още по-сложен е въпросът дали, от друга страна, национални разпоредби, които, по същия начин като член 702 от FISA, задължават доставчиците на електронни съобщителни услуги да съдействат на компетентните органи в областта на националната сигурност, за да им предоставят достъпа до някои лични данни, също биха попаднали извън приложното поле на правото на Съюза.
213. Докато решението PNR предполага утвърдителен отговор на този въпрос, съображенията в решения Tele2 Sverige и Ministerio Fiscal биха могли да обосноват отрицателен отговор на този въпрос.
214. В решение PNR Съдът отменя решението, в което Комисията е констатирала адекватността на нивото на защита на личните данни от регистрацията на пътниците във въздушния транспорт (Passenger Name Records, PNR), предавани на компетентния американски орган в областта на митниците и защитата на границите(92). Съдът е постановил, че обработването, за което се отнася това решение, а именно предаването на данните PNR от авиокомпаниите към съответния орган, е обхванато, с оглед на неговия предмет, от изключението от приложното поле на Директива 95/46, предвидено в член 3, параграф 2 от нея. Според Съда това обработване е било необходимо не за предоставянето на услуги, а за защитата на обществената сигурност и за целите на наказателното преследване. Тъй като въпросното предаване се е вписвало в установена от публичните органи рамка за целите на обществената сигурност, то е било изключено от приложното поле на тази директива, независимо че PNR данните първоначално са събирани от частни оператори в рамките на търговска дейност, попадаща в това приложно поле, и че това предаване е било организирано от тях(93).
215. В последващото решение Tele2 Sverige(94) Съдът е постановил, че национални разпоредби, основаващи се на член 15, параграф 1 от Директива 2002/58/ЕО(95), уреждащи както съхраняването от доставчиците на далекосъобщителни услуги на данни за трафик и местонахождение, така и достъпа на публичните органи до съхраняваните данни за посочените в тази разпоредба цели, включващи наказателното преследване и защитата на националната сигурност, попадат в приложното поле на тази директива и следователно на Хартата. Според Съда нито разпоредбите относно съхранението на данните, нито тези относно достъпа до съхраняваните данни не са обхванати от изключението от приложното поле на тази директива, предвидено в член 1, параграф 3 от нея, в който се съдържа позоваване по-специално на дейностите на държавата в областта на правоприлагането и защитата на националната сигурност(96). Съдът е потвърдил тази практика в решение Ministerio Fiscal(97).
216. Член 702 от FISA обаче се различава от такава правна уредба, тъй като при липса на искане за достъп до данните от разузнавателните служби тази разпоредба не налага на доставчиците на електронни съобщителни услуги никакво задължение за съхранение на данните, нито за каквото и да било друго обработване.
217. Възниква следователно въпросът дали национални мерки, които налагат на тези доставчици задължение да предоставят данни на публичните органи за целите на националната сигурност независимо от всякакво задължение за съхранение, попадат в приложното поле на ОРЗД и следователно на Хартата(98).
218. Първият възможен подход би могъл да се състои в съвместяване на горепосочените две линии на съдебната практика, като изведеното в решения Tele2 Sverige и Ministerio Fiscal заключение относно приложимостта на правото на Съюза към мерките, уреждащи достъпа до данните от национални органи за целите по-специално на защитата на националната сигурност(99), се тълкува като ограничено до случаите, в които данните са били запазени по силата на законово задължение, установено съгласно член 15, параграф 1 от Директива 2002/58. Това заключение обаче не би се прилагало към различния фактически контекст на решение PNR, който се е отнасял до предаването на американски компетентен орган в областта на вътрешната сигурност на данните, които авиокомпаниите са съхранявали с търговски цели по собствена инициатива.
219. Съгласно втория възможен подход, който Комисията препоръчва и който считам за по-убедителен, съображенията, възприети в решения Tele2 Sverige и Ministerio Fiscal, биха обосновали приложимостта на правото на Съюза към национални правила, налагащи на доставчиците на електронни съобщителни услуги да съдействат на органите, отговарящи за националната сигурност, така че последните да имат достъп до някои данни, независимо дали тези правила се съпътстват от предварително задължение за съхранение на данните.
220. Всъщност това съображение се основава не на предмета на разглежданите разпоредби, както в решение PNR, а на факта, че тези разпоредби са уреждали дейността на доставчиците, като са ги задължавали да обработват данните. Тези дейности не са били дейности на държавата в областите, посочени в член 1, параграф 3 от Директива 2002/58 и в член 3, параграф 2 от Директива 95/46, чието съдържание е възпроизведено в основната му част от член 2, параграф 2 от ОРЗД.
221. Ето защо в решение Tele2 Sverige Съдът отбелязва, че „достъп[ът] на националните органи до запазените от доставчиците данни се отнася до обработката на лични данни от последните и попада в приложното поле на тази директива“(100). По същия начин в решение Ministerio Fiscal той постановява, че законодателните мерки, които налагат на доставчиците да предоставят на компетентните органи достъп до съхраняваните данни, „по необходимост предполагат обработване на [тези] данни от доставчиците“(101).
222. Предоставянето от администратора на данните на разположение на публичен орган обаче съответства на определението за „обработване“, предвидено в член 4, точка 2 от ОРЗД(102). Това се отнася и до предварителното филтриране на данните посредством критерии за търсене с цел да се отделят данните, до които публичните органи са поискали достъп(103).
223. От това стигам до извода, че съгласно съображенията, възприети от Съда в решения Tele2 Sverige и Ministerio Fiscal, ОРЗД, а следователно и Хартата, се прилагат към национална правна уредба, която задължава доставчиците на електронни съобщителни услуги да съдействат на органите, отговарящи за националната сигурност, като им предоставят достъп до данни евентуално след като са ги филтрирали, дори независимо от всякакво законово задължение за съхранение на тези данни.
224. Нещо повече, това тълкуване, изглежда, произтича, поне имплицитно, от решение Schrems. Както подчертават КЗЛД, австрийското и полското правителство, както и Комисията, при разглеждането на валидността на решението относно сферата на неприкосновеност Съдът е приел, че правото на третата държава, за която се отнася решение относно адекватното ниво на защита, трябва да предвижда гаранции срещу намесата на публичните органи в основните права на субектите на данни за целите на националната сигурност, които по същество са равностойни на произтичащите по-специално от членове 7, 8 и 47 от Хартата(104).
225. От това следва по-конкретно, че национална мярка, която налага на доставчиците на електронни съобщителни услуги да удовлетворят искане на компетентните органи в областта на националната сигурност за достъп до някои данни, съхранявани от тези доставчици в рамките на тяхната търговска дейност независимо от каквото и да било законово задължение, като предварително идентифицират поисканите данни чрез прилагането на критерии за подбор (както в рамките на програмата PRISM), не би попаднала в обхвата на член 2, параграф 2 от ОРЗД. Същото ще важи за национална мярка, която налага на предприятията, които управляват телекомуникационната „опорна мрежа“, да дават достъп на органите, отговарящи за националната сигурност, до данните, пренасяни чрез инфраструктурата, която управляват (както в рамките на програмата Upstream).
226. Според мен обаче след предаването на държавните органи на разглежданите данни тяхното съхранение и тяхното последващо използване от тези органи за целите на националната сигурност — поради същите причини като посочените в точка 211 от настоящото заключение — са обхванати от дерогацията, предвидена в член 2, параграф 2 от ОРЗД, така че не попадат в приложното поле на този регламент, нито следователно на Хартата.
227. В обобщение на гореизложеното считам, че разглеждането на валидността на решението относно Щита за личните данни с оглед на ограниченията на изложените в него принципи, които могат да произтичат от дейностите на американските разузнавателни органи, предполага двойна проверка.
228. На първо място, следва да се разгледа дали Съединените щати осигуряват ниво на защита, по същество равностойно на произтичащото от разпоредбите на ОРЗД и на Хартата, срещу ограниченията вследствие на приложението на член 702 от FISA, доколкото тази разпоредба позволява на NSA да налага на доставчиците да ѝ предоставят на разположение лични данни.
229. На второ място, разпоредбите на ЕСПЧ ще са релевантната референтна рамка, за да се определи дали ограниченията, до които може да доведе прилагането на EO 12333, доколкото дава право на разузнавателните служби сами, без съдействието на частни оператори, да събират лични данни, поставят под съмнение адекватността на нивото на защита, осигурявано от Съединените щати. Тези разпоредби ще предоставят и стандартите за сравнение, даващи възможност да се прецени дали това ниво на защита е адекватно с оглед на съхранението и използването на данните, придобити от посочените служби за целите на националната сигурност.
230. Трябва обаче също да се определи дали констатацията за адекватно ниво на защита предполага, че събирането на данни съгласно EO 12333 трябва да бъде съпътствано от ниво на защита, което по същество е равностойно на това, което трябва да се осигури в Съюза, дори в случаите, когато това събиране се извършва извън територията на Съединените щати, по време на етапа на преноса на данните от Съюза към тази трета държава.
2) По необходимостта да се осигури адекватно ниво на защита на етапа на пренос на данните
231. Пред Съда са застъпени три различни гледни точки по отношение на въпроса дали за целите на преценката на адекватността на нивото на защита, осигурено от трета държава, Комисията трябва да вземе предвид национални мерки относно достъпа до данните от органите на тази трета държава извън нейната територия, на етапа на пренос на тези данни от Съюза към територията ѝ.
232. Първо, Facebook Ireland, правителството на Съединените щати и правителството на Обединеното кралство поддържат по същество, че наличието на такива мерки е без значение за констатацията относно адекватното ниво на защита. В подкрепа на този подход те се позовават на невъзможността трета държава да контролира всички разположени извън територията ѝ комуникационни канали, по които се пренасят данни от Съюза, така че дори хипотетично никога не би могло да се гарантира, че друга трета държава не събира тайно данни по време на този пренос.
233. Второ, КЗЛД, г‑н Schrems, EPIC, австрийското и нидерландското правителство, Парламентът и ЕКЗД твърдят, че изискването за непрекъснатост на нивото на защита, посочено в член 44 от ОРЗД, предполага, че това ниво трябва да бъде адекватно през целия процес на предаването, включително когато данните се пренасят по подводните кабели, преди да достигнат територията на третата държава на местоназначение.
234. Трето, Комисията признава този принцип, като същевременно поддържа, че предметът на констатация относно адекватното ниво на защита се ограничава до защитата, осигурена от съответната трета държава в рамките на нейните граници, така че обстоятелството, че не е гарантирано адекватно ниво на защита по време на преноса към тази трета държава, не поставя под въпрос валидността на решение относно адекватното ниво на защита. Съгласно член 32 от ОРЗД обаче администраторът следвало да осигури сигурността на предаването, като защитава във възможно най-голяма степен личните данни на етапа на преноса към посочената трета държава.
235. В това отношение отбелязвам, че член 44 от ОРЗД обвързва предаването към трета държава със спазването на условията, посочени в разпоредбите на глава V от този регламент, доколкото данните могат да бъдат предмет на обработване „след предаването“. Този израз може да се тълкува или в смисъл, че тези условия трябва да се спазват, след като данните са достигнали до местоназначението си, както поддържа правителството на Съединените щати в писмения си отговор на въпросите на Съда, или че те се налагат, след като предаването е започнало (включително на етапа на преноса).
236. Тъй като текстът на член 44 от ОРЗД не е достатъчно ясен, телеологичното тълкуване ме кара да приема второто тълкуване и следователно да подкрепя втория от горепосочените подходи. Всъщност, ако се приеме, че предвиденото в тази разпоредба изискване за непрекъснатост на нивото на защита обхваща само мерките за надзор, приложени на територията на третата държава на местоназначение, то би могло да бъде заобиколено, когато тази трета държава прилага такива мерки извън територията си, на етапа на преноса на данните. За да се избегне този риск, преценката на адекватността на нивото на защита, осигурено от трета държава, трябва да се отнася до всички разпоредби от правния ред на тази трета държава, по специално в областта на националната сигурност(105), които включват както разпоредбите, отнасящи се до наблюдението на нейна територия, така и тези, които позволяват наблюдението на данните, пренасяни към тази територия(106).
237. Като се има предвид това, както подчертава ЕКЗД, никой не оспорва, че както следва от член 45, параграф 1 от ОРЗД, преценката на адекватността на нивото на защита се отнася само до разпоредбите от правния ред на третата държава на местоназначение на данните. Изтъкнатата от Facebook Ireland, правителството на Съединените щати и правителството на Обединеното кралство невъзможност да се гарантира, че друга трета държава не събира тайно тези данни по време на преноса им, не засяга тази преценка. Впрочем такъв риск не може да бъде изключен дори след като данните са достигнали на територията на третата държава на местоназначение.
238. Освен това вярно е също, че когато Комисията преценява адекватността на нивото на защита, гарантирано от трета държава, тази трета държава би могла да пропусне да ѝ разкрие съществуването на някои тайни програми за наблюдение. От това обаче не следва, че когато бъде информирана за такива програми, Комисията може да не вземе предвид наличието им при разглеждането на адекватността на нивото на защита. Също така, ако след приемането на решение относно адекватното ниво на защита Комисията получи информация за съществуването на някои тайни програми за наблюдение, прилагани от съответната трета държава на нейната територия или при преноса към нея, тя е длъжна да преразгледа своята констатация относно адекватното ниво на защита, осигурено от тази трета държава, ако тази информация поражда съмнения в това отношение(107).
3) По вземането предвид на фактическите констатации относно правото на Съединените щати, направени от Комисията и от запитващата юрисдикция
239. Макар да е безспорно, че Съдът не е компетентен да тълкува правото на трета държава, което би било задължително в правния ѝ ред, валидността на решението относно Щита за личните данни зависи от основателността на преценките на Комисията относно осигуреното от правото и практиките на Съединените щати ниво на защита на основните права на лицата, чиито данни се предават към тази трета държава. Всъщност Комисията е била длъжна да мотивира констатацията си за адекватното ниво на защита с оглед на посочените в член 45, параграф 2 от ОРЗД елементи, отнасящи се по-специално до съдържанието на правото на посочената трета държава(108).
240. В решението си от 3 октомври 2017 г. High Court (Висш съд) представя подробни констатации, описващи релевантните аспекти от правото на Съединените щати, след като е преценил доказателствата, приведени от страните по спора(109). Това изложение съвпада до голяма степен с констатациите на Комисията в решението относно Щита за личните данни във връзка със съдържанието на правилата, свързани със събирането и достъпа на американските разузнавателни органи до предаваните данни, както и със свързаните с тези дейности способи за защита и механизми за надзор.
241. Запитващата юрисдикция, както и ред страни и заинтересовани лица, представили становища пред Съда, поставят в по-голяма степен под въпрос правните последици, които Комисията извежда от тези констатации, а именно заключението, че Съединените щати осигуряват адекватно ниво на защита на основните права на лицата, чиито данни се предават в съответствие с това решение, отколкото представеното от нея описание на съдържанието на американското право.
242. При това положение в настоящото заключение ще анализирам основно валидността на решението относно Щита за личните данни в светлината на констатациите на самата Комисия относно съдържанието на американското право, като разгледам дали те обосновават приемането на това решение относно адекватното ниво на защита.
243. В тази връзка не подкрепям застъпената от КЗЛД и г‑н Schrems гледна точка, че констатациите на High Court (Висш съд), отнасящи се до правото на Съединените щати, обвързват Съда при разглеждането на валидността на решението относно Щита за личните данни. Те твърдят, че тъй като по силата на ирландското процесуално право чуждото право представлява фактически въпрос, единствено запитващата юрисдикция е компетентна да установи съдържанието му.
244. Несъмнено постоянната съдебна практика признава на националната юрисдикция изключителната компетентност да установява релевантните факти, както и да тълкува правото на държава членка и да го прилага към висящия пред нея спор.(110) Тази съдебна практика отразява разпределението на правомощията между Съда и запитващата юрисдикция в рамките на процедурата, установена в член 267 ДФЕС. Докато единствено Съдът е компетентен да тълкува правото на Съюза и да се произнася по валидността на вторичното право, националната юрисдикция, която трябва да разреши конкретен висящ пред нея спор, следва да установи фактическия и правен контекст, за да може Съдът да ѝ даде полезен отговор.
245. Основанието на тази изключителна компетентност на запитващата юрисдикция според мен не е приложимо към установяването на правото на трета държава като елемент, който може да повлияе заключението на Съда относно валидността на акт от вторичното право(111). При положение че обявяването на невалидността на такъв акт се налага erga omnes в правния ред на Съюза(112), заключението на Съда не може да зависи от произхода на преюдициално запитване. Както обаче подчертават Facebook Ireland и правителството на Съединените щати, такава зависимост би съществувала, ако Съдът беше обвързан от констатациите на запитващата юрисдикция относно правото на трета държава, тъй като те могат да се променят в зависимост от направилата ги национална юрисдикция.
246. С оглед на тези съображения считам, че когато отговорът на преюдициален въпрос, отнасящ се до валидността на акт на Съюза, предполага преценка на съдържанието на правото на трета държава, Съдът не е обвързан от констатациите на запитващата юрисдикция относно правото на тази трета държава, въпреки че може да ги вземе предвид. Съдът може евентуално да се отклони от тях или да ги допълни, като вземе предвид други източници, при спазване на принципа на състезателност, за да установи елементите, необходими за преценката на валидността на разглеждания акт(113).
4) По обхвата на стандарта за „равностойност по същество“
247. Припомням, че валидността на решението относно Щита за личните данни зависи от това дали правният ред на Съединените щати осигурява на лицата, чиито данни се предават от Съюза към тази трета държава, ниво на защита, което „по същество е равностойно“ на гарантираното в държавите членки по силата на ОРЗД и на Хартата, както и — в областите, които са изключени от приложното поле на правото на Съюза — на техните задължения по ЕКПЧ.
248. Както Съдът подчертава в решение Schrems(114), този стандарт не означава, че нивото на защита трябва да е „идентично“ на изискваното в Съюза. Макар да е възможно средствата, до които третата държава прибягва, за да защити правата на субектите на данни, да са различни от предвидените от ОРЗД, разглеждан във връзка с Хартата, „все пак е необходимо на практика тези средства да се окажат ефективни с цел да се осигури защита, която по същество е равностойна на гарантираната в Съюза“.
249. Според мен от това следва също, че правото на третата държава на местоназначение може да отразява собствената ѝ ценностна скала, въз основа на която относителната тежест на отделните налични интереси може да се различава от придаваната в правния ред на Съюза. Впрочем защитата на личните данни, която преобладава в Съюза, съответства на особено висок стандарт в сравнение с действащото ниво на защита в останалата част на света. Следователно критерият за „равностойност по същество“ според мен би трябвало да се прилага така, че да се запази известна гъвкавост, за да се вземат предвид различните правни и културни традиции. Освен ако не бъде изпразнен от съдържание, този критерий обаче предполага, че определени минимални гаранции и общи изисквания за защита на основните права, произтичащи от Хартата и ЕКПЧ, имат своя еквивалент в правния ред на третата държава на местоназначение(115).
250. В това отношение съгласно член 52, параграф 1 от Хартата всяко ограничаване на упражняването на закрепените в нея права и свободи трябва да бъде предвидено в закон и да зачита основното им съдържание и при спазване на принципа на пропорционалност, да бъде необходимо и действително да отговаря на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора. Тези изисквания съответстват до голяма степен на посочените в член 8, параграф 2 от ЕКПЧ(116).
251. Съгласно член 52, параграф 3 от Хартата, доколкото правата, гарантирани в членове 7, 8 и 47 от нея, съответстват на закрепените в членове 8 и 13 от ЕКПЧ, те имат същия смисъл и обхват, като се има предвид, че правото на Съюза все пак може да им предостави по-широка защита. В този контекст, както ще стане ясно от моето изложение, произтичащите от членове 7, 8 и 47 от Хартата стандарти, както са тълкувани от Съда, в някои отношения са по строги от произтичащите от член 8 от ЕКПЧ съгласно тълкуването им от Европейския съд по правата на човека (наричан по-нататък „ЕСПЧ“).
252. Отбелязвам също, че висящи дела и пред двете юрисдикции ги приканват да преразгледат някои аспекти от съответните им практики. Така, от една страна, две скорошни дела на ЕСПЧ в областта на наблюдението на електронните съобщения, а именно решения Centrüm för Rättvisa с/у Швеция(117) и Big Brother Watch с/у Обединеното кралство(118), са върнати за ново разглеждане от голям състав. От друга страна, три национални юрисдикции са сезирали Съда с преюдициални запитвания, които поставят началото на дебат относно необходимостта от отклонение от неговата практика, произтичаща от решение Tele2 Sverige(119).
253. След внасянето на тези уточнения ще разгледам валидността на решението относно Щита за личните данни с оглед на член 45, параграф 1 от ОРЗД във връзка с Хартата и ЕКПЧ, доколкото те гарантират правата, от една страна, на зачитане на личния живот, както и на защита на личните данни (раздел б) и от друга страна, на ефективна правна защита (раздел в).
2) По валидността на решението относно Щита за личните данни с оглед на правото на зачитане на личния живот и правото на защита на личните данни
254. В четвъртия въпрос запитващата юрисдикция поставя под съмнение главно равностойността по същество между осигуреното от Съединените щати ниво на защита и това, което субектите на данни извличат в Съюза от техните основни права на зачитане на личния живот и на защита на личните данни.
1) По наличието на намеса
255. В съображения 67—124 от решението относно Щита за личните данни Комисията отбелязва възможността американските публични органи да имат достъп до предаваните от Съюза данни и да ги използват им за целите на националната сигурност в рамките на програми, основани по-специално на член 702 от FISA или на EO 12333.
256. Прилагането на тези програми води до намеса от страна на американските разузнавателни служби, която, ако произтичаше от органите на държава членка, щеше да се счита за намеса в упражняването на правото на зачитане на личния живот, гарантирано в член 7 от Хартата и в член 8 от ЕКПЧ. Тя излага също субектите на данни на риск техни лични данни да станат предмет на обработване, което не съответства на изискванията, посочени в член 8 от Хартата(120).
257. Веднага уточнявам, че правото на зачитане на личния живот и правото на защита на личните данни обхващат не само защитата на съдържанието на съобщенията, но и данните за трафик(121) и местонахождение (обозначени заедно с термина „метаданни“). Както Съдът, така и ЕСПЧ всъщност признават, че матаданните, както и данните от съдържанието могат да разкрият много точна информация относно личния живот на дадено лице(122).
258. Съгласно практиката на Съда не е от значение — за целите на определянето на наличие на намеса в упражняването на гарантираното в член 7 от Хартата право — дали съответните данни имат чувствителен характер и дали заинтересованите лица са претърпели евентуални неудобства поради разглежданата мярка за наблюдение(123).
259. Като се има предвид това, програмите за наблюдение, основани на член 702 от FISA, водят, на първо място, до намеса в упражняването на основните права на лицата, чиито съобщения съответстват на избраните от NSA критерии за подбор и следователно се предоставят на тази агенция от доставчиците на електронни съобщителни услуги(124). По-специално, доколкото задължението на доставчиците да предоставят данните на NSA, дерогира принципа за поверителност на съобщенията(125), то само по себе си съставлява намеса, дори тези данни впоследствие да не се разглеждат и използват от разузнавателните служби(126). Съхранението и ефективният достъп на тези служби до предоставените им метаданни и съдържание на съобщенията, както и използването на тези данни представляват допълнителна намеса(127).
260. Нещо повече, съгласно констатациите на запитващата юрисдикция(128) и други източници, като представения на вниманието на Съда от американското правителство доклад на PCLOB относно програмите, изпълнявани въз основа на член 702 от FISA(129), в рамките на програмата Upstream NSA вече имала достъп за целите на филтрирането до широки масиви („пакети“) от данни, които са част от потоците от съобщения, пренасяни по телекомуникационната „опорна мрежа“, и обхващащи съобщения, които не съдържат определените от NSA критерии за подбор. NSA можела да провери тези масиви от данни само за да определи бързо и по автоматизиран начин дали съдържат тези критерии за подбор. При това положение само така филтрираните съобщения били запазвани в базата данни на NSA. Този достъп до данните за целите на филтрирането им според мен представлява намеса в упражняването на правото на зачитане на личния живот на субектите на данни, независимо от последващото използване на избраните данни(130).
261. Освен това предоставянето и филтрирането на разглежданите данни(131), достъпът до тези данни от разузнавателните служби, както и съхранението, анализът и евентуалното използване на посочените данни са обхванати от понятието „обработване“ по смисъла на член 4, параграф 2 от ОРЗД и член 8, параграф 2 от Хартата. Ето защо това обработване трябва да отговаря на предвидените в последната разпоредба изисквания(132).
262. Колкото до наблюдението съгласно EO 12333, то можело да предполага пряк достъп до пренасяните данни от страна на разузнавателните органи, водещ до намеса в упражняването на правото, гарантирано в член 8 от ЕКПЧ. Към тази намеса се добавяла намесата, която съставлява евентуалното последващо използване на данните.
2) По изискването намесата да е „предвидена в закон“
263. Съгласно практиката на Съда(133) и на ЕСПЧ(134), изискването всяка намеса в упражняването на основните права да е „предвидена в закон“ по смисъла на член 52, параграф 1 от Хартата и на член 8, параграф 2 от ЕКПЧ, предполага не само че мярката, предвиждаща намесата, трябва да има законово основание във вътрешното право, но и че това законово основание трябва да притежава някои качества, като достъпност и предвидимост, така че да се избегне рискът от произвол.
264. В това отношение страните и заинтересованите лица, представили становища пред Съда, спорят главно дали член 702 от FISA и EO 12333 отговарят на условието за предвидимостта на закона.
265. Това условие, както е тълкувано от Съда(135) и от ЕСПЧ(136), изисква правната уредба, която включва намеса в упражняването на правото на зачитане на личния живот, да предвижда ясни и точни правила, които да уреждат обхвата и прилагането на разглежданата мярка и да установяват минимални изисквания, така че да предоставят на субектите на данни достатъчни гаранции за защита на техните данни срещу рискове от злоупотреби, както и срещу всякакъв незаконен достъп или използване на тези данни. Такива правила трябва по-специално да указват при какви обстоятелства и условия публичните органи могат да съхраняват личните данни, да имат достъп до тях и да ги използват(137). Освен това самото правно основание, което позволява намесата, трябва да определя обхвата на ограничаването на упражняването на правото на зачитане на личния живот(138).
266. Подобно на г‑н Schrems и EPIC, съмнявам се, че EO 12333, както и PPD 28, която посочва гаранциите, съпътстващи всички разузнавателни дейности относно предаването на радиоелектронни данни(139), са достатъчно предвидими, за да имат „качество на закон“.
267. Тези актове изрично посочват, че не предоставят гарантирани от закона права на субектите на данни(140). Следователно субектите на данни не могат да се позовават на предвидените в PPD 28 гаранции пред съдилищата(141). В решението относно Щита за личните данни Комисията впрочем е приела, че макар посочените в тази президентска директива гаранции да са обвързващи за разузнавателните служби(142), „не са формулирани с[…] правна терминология“(143). EO 12333 и PPD 28 наподобяват по-скоро вътрешни административни инструкции, които могат да бъдат отменени или изменени от президента на Съединените щати. ЕСПЧ обаче вече е постановил, че вътрешните административни директиви нямат качеството на „закон“(144).
268. Що се отнася до член 702 от FISA, г‑н Schrems поставя под съмнение предвидимия характер на тази разпоредба, тъй като тя не обвързва избора на критериите за подбор, използвани за филтриране на данните, с достатъчни гаранции срещу рисковете от злоупотреба. Доколкото този проблем е свързан и със строго необходимия характер на случаите на намеса, предвидени от член 702 от FISA, ще го разгледам по-нататък в моето изложение(145).
269. Третият преюдициален въпрос засяга проблема за спазването на условието относно „качеството на закон“. С този въпрос запитващата юрисдикция иска по същество да се установи дали адекватността на нивото на защита, осигурено в трета държава, трябва да се разглежда с оглед само на действащите в тази трета държава правнообвързващи правила и на практиките, които имат за цел да се осигури спазването им, или и с оглед на различните приложими в нея незадължителни актове и механизми за извънсъдебен контрол.
270. В тази връзка в член 45, параграф 2, буква а) от ОРЗД се съдържа неизчерпателен списък на обстоятелствата, които Комисията трябва да вземе предвид при преценката на адекватността на нивото на предоставената от третата държава защита. Сред тези съображения са приложимото законодателство, както и начинът на прилагането му. Тази разпоредба посочва също значението на други видове норми като професионалните правила и мерките за сигурност. Тя изисква да се отчетат и „действителните и приложими права“ и „ефективната административна и съдебна защита за субектите на данни, чиито лични данни се предават“(146).
271. Тълкувана в нейната цялост и предвид неизчерпателния характер на списъка, който съдържа, посочената разпоредба според мен означава практики или актове, които не почиват на достъпно и предвидимо правно основание, да могат да се вземат предвид при цялостната преценка на нивото на защита, осигурено от разглежданата трета държава, така че да подкрепят гаранциите, които на свой ред имат правно основание с тези характеристики. Както обаче твърдят по същество КЗЛД, г‑н Schrems, австрийското правителство и ЕКЗД, подобни актове или практики не могат да заменят тези гаранции нито следователно да осигурят сами по себе си изискваното ниво на защита.
3) По липсата на нарушение на основното съдържание на основните права
272. Посоченото в член 52, параграф 1 от Хартата изискване всяко ограничаване на гарантираните в Хартата права и свободи да зачита основното им съдържание, предполага, че никаква законосъобразна цел не може обоснове намеса, която засяга това съдържание. В такъв случай намесата се приема за противоречаща на Хартата, без да е необходимо да се разглежда дали е съответна и необходима за постигането на преследваната цел.
273. В тази връзка Съдът е постановил, че национална правна уредба, която позволява общ достъп на публичните органи до съдържанието на електронни съобщения, трябва да се счита за засягаща същественото съдържание на правото на зачитане на личния живот, гарантирано с член 7 от Хартата(147). В замяна на това, като подчертава рисковете, свързани с достъпа и анализа на данните за трафик и за местонахождение(148), Съдът същевременно приема, че същественото съдържание на това право не е засегнато, когато национална правна уредба позволява общ достъп на държавните органи до тези данни(149).
274. Според мен член 702 от FISA не може да се счита за основание за общ достъп на американските разузнавателни служби до съдържанието на електронните съобщения.
275. Всъщност, от една страна, достъпът на разузнавателните служби до данните съгласно член 702 от FISA за целите на техния анализ и евентуалното им използване е ограничен до данните, които отговарят на критерии за подбор, свързани с индивидуални цели.
276. От друга страна, програмата Upstream несъмнено би могла да включва общ достъп до съдържанието на електронните съобщения за автоматизираното им филтриране в случай на прилагане на критерии за подбор не само за полетата „от“ и „до“, но и за цялото съдържание на потоците от съобщения (търсене „относно“ критерия за подбор)(150). Както обаче поддържа Комисията и противно на твърдяното от г‑н Schrems и EPIC, временният достъп на разузнавателните служби до цялото съдържание на електронните съобщения единствено за целите на тяхното филтриране чрез прилагане на критерии за подбор не може да бъде приравнено на общ достъп до това съдържание(151). Считам, че тежестта на намесата, произтичаща от този ограничен във времето достъп за целите на автоматизираното филтриране, е по-малка от тежестта на намесата, произтичаща от общ достъп до това съдържание от публичните органи с цел неговия анализ и евентуалното му използване(152). Временният достъп с цел филтриране не дава възможност на тези органи да съхраняват метаданните или съдържанието на съобщенията, които не съответстват на критериите за подбор, нито по-специално, както отбелязва американското правителство, да изградят профили на лицата, които не са цел на тези критерии.
277. Предвид това въпросът дали целевото събиране чрез критерии за подбор в рамките на програмите, основани на член 702 от FISA, ефективно ограничава правомощията на разузнавателните служби, зависи от регламентирането на избора на критериите за подбор(153). Г‑н Schrems изтъква в тази връзка, че поради липсата на достатъчен контрол в това отношение американското право не предвижда гаранции срещу общ достъп до съдържанието на съобщенията при филтрирането, така че то засяга самата същност на правото на зачитане на личния живот на субектите на данни.
278. Както по-подробно ще изложа по-долу(154), склонен съм да споделя съмненията, че правната уредба, която регламентира избора на критериите за подбор, е достатъчна, за да отговори на изискванията за предвидимост и пропорционалност на намесата. Наличието на тази, макар и несъвършена, правна уредба обаче противоречи на заключението, че член 702 от FISA позволява общ достъп на публичните органи до съдържанието на електронните съобщения и следователно е равнозначен на нарушение на самата същност на правото, предвидено в член 7 от Хартата.
279. Подчертавам също, че в Становище 1/15 Съдът е приел, че същественото съдържание на гарантираното в член 8 от Хартата право на защита на личните данни не е накърнено, когато целите на обработването са очертани, а обработването е обвързано с правила, целящи да осигурят по-специално сигурността, поверителността и целостта на тези данни, както и тяхната защита срещу незаконен достъп и обработване(155).
280. В решението относно Щита за личните данни Комисията е установила, че както член 702 от FISA, така и PPD 28 очертават целите, за които тези данни могат да бъдат събирани в рамките на програмите, изпълнявани съгласно член 702 от FISA(156). Комисията също посочва в решението, че PPD 28 предвижда правила, които регламентират достъпа до данните, както и съхранението и разкриването им, за да се гарантира сигурността им и да се предотврати неразрешеният достъп до тях(157). Както ще стане ясно от моето изложение по-нататък(158), имам съмнения по специално относно това дали целите на разглежданото обработване са определени достатъчно ясно и точно, за да се осигури ниво на защита, което е равностойно по същество на преобладаващото в правния ред на Съюза. Според мен обаче тези евентуални слабости не са достатъчни да обосноват заключението, че ако такива програми бъдат използвани на територията на Съюза, те ще нарушат основното съдържание на правото на защита на личните данни.
281. Припомням освен това, че адекватността на нивото на защита, осигурено в рамките на дейностите по наблюдение, извършвани въз основа на EO 12333, трябва да бъде оценено с оглед на разпоредбите на ЕКПЧ. В тази връзка от решението относно Щита за личните данни следва, че единствените ограничения върху прилагането на основаните на EO 12333 мерки за събиране на данните, отнасящи се до лица, които не са американски граждани, са предвидените от PPD 28(159). Тази президентска директива предвижда, че използването на външноразузнавателната информация трябва да бъде „съобразено с конкретния случай, доколкото това е практически възможно“. Тя все пак посочва изрично възможността да се събират „масиви от данни“ извън територията на Съединените щати с оглед на преследването на някои конкретни цели на националната сигурност(160). Според г‑н Schrems разпоредбите на PPD 28, която впрочем не поражда права за физическите лица, не защитават субектите на данни срещу риска от всеобщ достъп до съдържанието на техните електронни съобщения.
282. В тази връзка ще отбележа само, че в своята практика относно член 8 от ЕКПЧ ЕСПЧ не е използвал понятието за нарушение на основното съдържание или на самата същност на правото на зачитане на личния живот(161). Досега той не е постановявал, че режими, които позволяват прихващането на електронни съобщения, дори масово, сами по себе си надхвърлят свободата на преценка на държавите членки. ЕСПЧ счита, че такива режими са съвместими с член 8, параграф 2 от ЕКПЧ, стига да са обвързани с определен брой минимални гаранции(162). При това положение считам, че не е уместно да се прави изводът, че режим на наблюдение като предвидения от EO 12333 надхвърля свободата на преценка на държавите членки, без да се разгледат евентуалните гаранции, които го съпътстват.
4) По преследването на законосъобразна цел
283. Съгласно член 52, параграф 1 от Хартата всяко ограничаване на упражняването на предвидените в нея права трябва да отговаря на призната от Съюза цел от общ интерес. Член 8, параграф 2 от Хартата предвижда също, че всяко обработване на лични данни, което не се основава на съгласието на заинтересованото лице, трябва да се извършва по силата на друго „предвидено от закона легитимно основание“. Член 8, параграф 2 от ЕКПЧ от своя страна изброява целите, които могат да обосноват намеса в упражняването на правото на зачитане на личния живот.
284. Съгласно решението относно Щита за личните данни спазването на посочените в него принципи може да бъде ограничено, за да се изпълнят задължения, свързани с националната сигурност, обществения интерес и правоприлагането(163). Съображения 67—124 от това решение разглеждат по-конкретно ограниченията, които произтичат от достъпа до данните и тяхното използване от американските публични органи за целите на националната сигурност.
285. Безспорно е, че защитата на националната сигурност представлява законосъобразна цел, която може да обоснове дерогации от изискванията, изведени от ОРЗД(164), както и от основните права, предвидени в членове 7 и 8 от Хартата(165) и в член 8, параграф 2 от ЕКПЧ. Г‑н Schrems, австрийското правителство и EPIC обаче отбелязват, че целите, преследвани от програмите за наблюдение, основани на член 702 от FISA и на EO 12333, надхвърлят самата национална сигурност. Всъщност тези актове имат за цел получаването на „външноразузнавателната информация“, като това понятие обхваща различни видове информация, които включват такава, свързана с националната сигурност, без задължително да се ограничават до нея(166). Така в обхвата на понятието „външноразузнавателна информация“ по смисъла на член 702 от FISA попадат данните, отнасящи се до провеждането на външната политика(167). Що се отнася до EO 12333, той определя това понятие като включващо информацията относно възможностите, намеренията или дейностите на чужди правителства, чужди организации или чужди лица(168). Г‑н Schrems поставя под въпрос законосъобразния характер на така преследваната цел, тъй като надхвърляла националната сигурност.
286. По мое мнение в обхвата на националната сигурност може в известна степен да бъде включена защитата на интереси, свързани с провеждането на външната политика(169). Освен това е възможно някои цели, различни от защитата на националната сигурност, които са обхванати от понятието „външноразузнавателна информация“, както е определено в член 702 от FISA и в EO 12333, да съответстват на важни цели от общ интерес, които могат да обосноват намеса в основните права на зачитане на личния живот и на защита на личните данни. Във всеки случай тези цели имат по-малка тежест от защитата на националната сигурност при претеглянето на основните права на субектите на данни и на преследваната с намесата цел(170).
287. Съгласно член 52, параграф 1 от Хартата обаче националната сигурност или друга законосъобразна цел трябва освен това действително да са преследвани от мерките, предвиждащи разглежданите случаи на намеса(171). Нещо повече, целите на намесата трябва да бъдат определени така, че да отговорят на изискванията за яснота и точност(172).
288. Според г‑н Schrems обаче целта на мерките за наблюдение, предвидени от член 702 от FISA и от EO 12333, не е изложена достатъчно точно, за да отговаря на изискванията за предвидимост и пропорционалност. Това било така по-специално защото определението на понятието „външноразузнавателна информация“ в тези актове било особено широко. Освен това в съображение 109 от решението относно Щита за личните данни Комисията е констатирала, че член 702 от FISA изисква събирането на външноразузнавателна информация да представлява „значима цел“ на събирането, като на пръв поглед, както посочва EPIC, тази формулировка не изключва преследването на други неопределени цели.
289. Поради тези причини, без да се изключва възможността мерките за наблюдение съгласно член 702 от FISA и EO 12333 да отговарят на законосъобразни цели, може да се постави въпросът дали те са определени достатъчно ясно и точно, за да се предотвратят рисковете от злоупотреби и да се позволи проверка на пропорционалността на произтичащата от тях намеса(173).
5) По необходимостта и пропорционалността на намесата
290. Съдът нееднократно е подчертавал, че правата, закрепени в членове 7 и 8 от Хартата, не са абсолютни, а трябва да се разглеждат във връзка с тяхната социална функция и да бъдат претегляни спрямо други основни права в съответствие с принципа на пропорционалност(174). Както подчертава Facebook Ireland, сред тези други права е гарантираното в член 6 от Хартата право на сигурност.
291. В това отношение съгласно също така установената съдебна практика всяка намеса в упражняването на гарантираните в членове 7 и 8 от Хартата права трябва да е предмет на строг контрол за пропорционалност(175).
292. От решение Schrems следва по-конкретно, че „не се ограничава до строго необходимото правна уредба, която общо разрешава съхраняването на всички лични данни […], без да въвежда никакво разграничаване, ограничаване или изключение с оглед на преследваната цел и без да предвижда обективен критерий, позволяващ да се ограничи достъпът на публичните органи до данните и тяхното последващо използване за конкретни цели, които са строго ограничени и могат да обосноват намесата, каквато съдържат достъпът и използването на тези данни“(176).
293. Съдът е постановил също, че освен в надлежно обосновани неотложни случаи, достъпът следва да се предоставя след предварителен контрол, осъществяван или от юрисдикция, или от независима административна структура, чието решение цели да ограничи достъпа до данните и тяхното използване само до строго необходимото за постигането на преследваната цел(177).
294. Понастоящем в член 23, параграф 2 от ОРЗД се посочват поредица от гаранции, които държава членка трябва да предвиди, когато дерогира разпоредбите на този регламент. Правната уредба, позволяваща такова дерогиране, трябва да съдържа по-специално разпоредби относно целите на обработването, обхвата на дерогацията, гаранциите за предотвратяване на злоупотреби, периодите на съхранение, както и правото на субектите на данни да бъдат информирани за дерогацията, освен ако това би било в разрез с нейната цел.
295. В случая г‑н Schrems поддържа, че член 702 от FISA не се съпътства от достатъчни гаранции срещу рисковете от злоупотреби и незаконен достъп до данните. По-конкретно изборът на критериите за подбор не бил достатъчно регламентиран, поради което тази разпоредба не предоставяла гаранции срещу общ достъп до съдържанието на съобщенията.
296. Правителството на Съединените щати и Комисията твърдят, напротив, че член 702 от FISA ограничава чрез обективни изисквания избора на критериите за подбор, тъй като тази разпоредба допуска единствено събирането на данни от електронни съобщения на лица, които не са американски граждани, установени извън Съединените щати, с цел получаване на външноразузнавателна информация.
297. Считам, че има основания за съмнения относно достатъчната яснота и точност на тези критерии, както и относно наличието на достатъчни гаранции за предотвратяване на рисковете от злоупотреби.
298. Най-напред, в съображение 109 от решението относно Щита за личните данни се посочва, че преди прилагането им тези критерии за подбор не се одобряват индивидуално от FISC, нито от друг независим съдебен или административен орган. В него Комисията е констатирала, че „[FISC] не дава разрешение за отделни мерки за наблюдение, а за програми за наблюдение […] въз основа на годишни сертифицирания“, което правителството на Съединените щати потвърждава пред Съда. В това съображение се уточнява, че „в сертифициранията, подлежащи на одобрение от [FISC], не се съдържа информация относно отделните лица, които ще бъдат обект на разследване, а се посочват категориите външноразузнавателна информация“, която може да бъде събирана. В него Комисията констатира също, че „[FISC] не прави преценка дали — по определена вероятна причина или според някакво друго изискване — лицата са определени правилно за обект на разследване с цел придобиване на разузнавателни данни“, въпреки че той проверява условието, че „значима цел на придобиването е получаването на външноразузнавателна информация“.
299. По-нататък, съгласно посоченото съображение член 702 от FISA допуска NSA да събира информация за съобщенията „само ако има разумни основания да се счита, че дадено съобщително средство се използва за предаване на данни, представляващи разузнавателен интерес“. В съображение 70 от решението относно Щита за личните данни се добавя, че изборът на критериите за подбор се осъществява в обхвата на цялостната Рамка на приоритетите в националното разузнаване (National Intelligence Priorities Framework, NIPF). В това решение не се посочват по-точни изисквания за мотивиране или обосноваване на избора на критериите за подбор с оглед на тези административни приоритети, които били задължителни за NSA(178).
300. Накрая, в съображение 71 от решението относно Щита за личните данни се прави позоваване на предвиденото в PPD 28 изискване събирането на разузнавателна информация да бъде „съобразено с конкретния случай, доколкото това е практически възможно“. Освен че тази президентска директива не поражда права за физическите лица, струва ми се, че равностойността по същество между критерия за дейност, която е „съобразена с конкретния случай, доколкото това е практически възможно“, и този за „строга необходимост“, който се налага по силата на член 52, параграф 1 от Хартата, за да се обоснове намеса в упражняването на гарантираните в членове 7 и 8 от нея права, далеч не е очевидна(179).
301. С оглед на тези съображения въз основа на информацията, изложена в решението относно Щита за личните данни, не може да се твърди със сигурност, че основаните на член 702 от FISA мерки за наблюдение са обвързани с гаранции — относно ограничаването на лицата, които могат да се обект на мярка за наблюдение, и на целите, за които тези данни могат да се събират — които са равностойни по същество на изискваните по силата на ОРЗД, разглеждан във връзка с членове 7 и 8 от Хартата(180).
302. Освен това, що се отнася до преценката на адекватността на нивото на защита относно наблюдението съгласно EO 12333, ЕСПЧ признава на държавите членки широка свобода на преценка при избора на средства за защита на тяхната национална сигурност, като тази свобода при все това е ограничена от изискването да се предвидят подходящи и достатъчни гаранции срещу злоупотребите(181). В своята практика относно мерките за тайно наблюдение ЕСПЧ проверява дали вътрешното право, на което се основават тези мерки, съдържа достатъчни и ефективни гаранции и предпазни механизми, които могат да изпълнят изискванията за „предвидимост“ и за „необходимост в едно демократично общество“(182).
303. В това отношение ЕСПЧ посочва определен брой минимални гаранции. Тези гаранции се отнасят до ясното посочване на естеството на нарушенията, които могат да обосноват заповед за прихващане, определянето на категориите лица, чиито съобщения могат да бъдат прихващани, определянето на ограничение на периода на изпълнение на мярката, процедурата, която трябва да се следва при проверката, използването и съхранението на събраните данни, предпазните мерки, които трябва да се вземат при съобщаването на данните на други страни, и обстоятелствата, при които може или трябва да се извърши изтриването или унищожаването на записите(183).
304. Адекватността и ефективността на гаранциите, съпътстващи намесата, зависи от всички обстоятелства по делото, в т.ч. естеството, обхвата и периода на мерките, причините, необходими за разпореждането им, компетентните органи за разрешаването, изпълнението и контрола им и вида на предоставените от вътрешното право средства за защита(184).
305. По-конкретно, за целите на преценката на основателността на мярка за тайно наблюдение ЕСПЧ взема предвид всички извършвани проверки „при нейното разпореждане“, „при нейното провеждане“ и „след като е преустановена“(185). Що се отнася до първия от тези три етапа, ЕСПЧ изисква такава мярка да бъде разпоредена от независим орган. Въпреки че според тази юрисдикция съдебната власт предоставя най-добрите гаранции за независимост, безпристрастност и редовност на процедурата, разглежданият орган не трябва непременно да принадлежи към тази власт(186). Последващ задълбочен съдебен контрол може да компенсира евентуални недостатъци на процедурата за издаване на разрешение(187).
306. В настоящия случай от решението относно Щита за личните данни следва, че единствените гаранции, които ограничават събирането и използването на данни извън територията на Съединените щати, се съдържат в PPD 28, тъй като член 702 от FISA не се прилага извън тази територия. Не съм убеден, че тези гаранции могат да са достатъчни, за да изпълнят условията за „предвидимост“ и „необходимост в едно демократично общество“.
307. Най-напред, вече посочих, че тази президентска директива не поражда права за физическите лица. По-нататък, съмнявам се, че изискването да се осигури наблюдение, „съобразено с конкретния случай, доколкото това е практически възможно“, е достатъчно ясно и точно формулирано, за да предпази адекватно субектите на данни от рисковете от злоупотреба(188). Накрая, решението относно Щита за личните данни не установява, че основаващото се на EO 12333 наблюдение ще бъде подложено на предварителен контрол от независим орган или ще бъде предмет на последващ съдебен контрол(189).
308. При това положение възниква въпросът за основателността на констатацията, че в рамките на дейностите на своите разузнавателни служби съгласно член 702 от FISA и EO 12333 Съединените щати осигуряват адекватно ниво на защита по смисъла на член 45, параграф 1 от ОРЗД, разглеждан във връзка с членове 7 и 8 от Хартата, както и с член 8 от ЕКПЧ.
3) По валидността на решението относно Щита за личните данни с оглед на правото на ефективни правни средства за защита
309. С петия преюдициален въпрос от Съда се иска да установи дали лицата, чиито данни се предават към Съединените щати, се ползват от съдебна защита, която по същество е равностойна на тази, която трябва да бъде осигурена в Съюза съгласно член 47 от Хартата. С десетия си преюдициален въпрос запитващата юрисдикция иска по същество от Съда да установи дали петият въпрос изисква утвърдителен отговор с оглед на въвеждането с решението относно Щита за личните данни на механизма на омбудсмана.
310. В самото начало ще отбележа, че в съображение 115 от това решение Комисията признава, че в американската правна система има пропуски в съдебната защита на физическите лица.
311. Съгласно това съображение, първо, от възможностите за съдебна защита „не са обхванати най-малкото някои от правните основания, които могат да се използват от разузнавателните органи на САЩ (напр. [EO] 12333)“. Всъщност EO 12333 и PPD 28 не предоставят права на субектите на данни, които не могат да се позовават на тях пред съдилищата. Ефективната съдебна защита обаче предполага най-малкото че физическите лица разполагат с права, на които могат да се позоват пред съда.
312. Второ, „дори когато по принцип са налице възможности за съдебна правна защита за лицата, които не са граждани на САЩ, например при наблюдение съгласно [FISA], възможните начини на действие са ограничени и предявените […] искове ще бъдат обявени за недопустими, ако [лицата] не мо[гат] да […] докаж[ат процесуалната си легитимация], а това ограничава достъпа до обикновените съдилища“.
313. От съображения 116—124 от решението относно Щита за личните данни следва, че институцията на омбудсмана има за цел да компенсира тези ограничения. В съображение 139 от това решение Комисията стига до извода, че „взети заедно, механизмите за надзор и защита, предвидени съгласно Щита за личните данни, […] осигуряват средства за правна защита на субектите на данни, с възможност за достъп до свързаните с тях лични данни и евентуалното коригиране или заличаване на тези данни“ (курсивът е мой).
314. Като същевременно припомня основните принципи, които се извеждат от практиката на Съда и на ЕСПЧ относно правото на обжалване на мерки за наблюдение на съобщенията, ще разгледам дали предвидените от американското право средства за съдебна защита като описаните в решението относно Щита за личните данни предоставят възможност да се осигури адекватна съдебна защита на субектите на данни (раздел 1). По-нататък ще установя дали въвеждането на извънсъдебния механизъм на омбудсмана позволява при необходимост да се компенсират евентуалните недостатъци, характеризиращи съдебната защита на тези лица (раздел 2).
1) По ефективността на предвидените от правото на Съединените щати правни средства за съдебна защита
315. На първо място, член 47, първа алинея от Хартата предвижда, че всеки, чиито права и свободи, гарантирани от правото на Съюза, са били нарушени, има право на ефективни правни средства за защита пред съд(190). Съгласно втора алинея от този член всеки има право неговото дело да бъде гледано от независим и безпристрастен съд(191). Достъпът до независим съд спада към основното съдържание на правото, гарантирано в член 47 от Хартата(192).
316. Това право на индивидуална съдебна защита се прибавя към задължението на държавите членки по членове 7 и 8 от Хартата да обвързват всяка мярка за наблюдение, освен в надлежно обосновани неотложни случаи, с предварителен контрол, осъществяван или от съд, или от независим административен орган(193).
317. Несъмнено, както твърдят германското и френското правителство, правото на ефективна съдебна защита не е абсолютно(194), тъй като то може да бъде ограничено поради съображения, свързани с националната сигурност. Дерогациите обаче са допустими само при положение че не засягат основното съдържание на това право и че са строго необходими за постигането на законосъобразна цел.
318. В това отношение в решение Schrems Съдът е постановил, че правна уредба, в която не се предвижда никаква възможност правният субект да използва правни средства за защита, за да получи достъп до засягащи го лични данни или да поправи или заличи такива данни, не зачита същественото съдържание на основното право, признато в член 47 от Хартата(195).
319. Подчертавам, че това право на достъп предполага възможността, без да се засягат строго необходимите дерогации за постигането на законен интерес, субект на данни да получи от публичните органи потвърждение дали те обработват отнасящи се до него лични данни(196). Такъв според мен е практическият обхват на правото на достъп, когато субектът на данни не знае дали публичните органи са съхранили отнасящи се до него лични данни вследствие по-специално на автоматизирано филтриране на потоците от електронни съобщения.
320. Освен това от съдебната практика следва, че органите на държава членка по принцип са длъжни да уведомят заинтересованото лице за достъпа до данните веднага щом това уведомяване вече не може да попречи на водените разследвания(197). Такова уведомяване всъщност е предпоставка за упражняването на правото на правни средства за защита съгласно член 47 от Хартата(198). Това задължение понастоящем е възпроизведено в член 23, параграф 2, буква з) от ОРЗД.
321. В съображения 111—135 от решението относно Щита за личните данни са описани накратко всички средства за правна защита, предвидени за лицата, чиито данни са предавани, когато посочените лица се опасяват, че тези данни са били обработвани от американските разузнавателни служби след предаването. Тези средства за правна защита са описани също в съдебното решение на High Court (Висш съд) от 3 октомври 2017 г., както и в писмените становища, по-специално тези на правителството на Съединените щати.
322. Не е необходимо да припомням подробно съдържанието на тези изложения. Всъщност запитващата юрисдикция поставя под съмнение адекватността на гаранциите относно правната защита на субектите на данни главно поради това че изключително строгите изисквания по отношение на процесуалната легитимация (standing)(199), съчетани с липсата на каквото и да било задължение за уведомяване на лицата, които са били предмет на мярка за наблюдение, дори когато уведомяването вече не може да застраши неговите цели, правели на практика прекомерно трудно упражняването на предвидените в правото на Съединените щати средства за правна защита. КЗЛД, г‑н Schrems, австрийското, полското и португалското правителство, както и ЕКЗД споделят тези съмнения(200).
323. В тази връзка ще се огранича да припомня, че правилата относно процесуалната легитимация не могат да засягат ефективната съдебна защита(201), както и да констатирам, че в решението относно Щита за личните данни не се посочва нито едно изискване субектите на данни да бъдат уведомявани за това, че са обект на мярка за наблюдение(202). При положение че би могла да възпрепятства упражняването на средствата за съдебна защита, липсата на задължение за съобщаване на такава мярка дори когато уведомяването на субекта на данни вече не би могло да засегне нейната ефикасност, изглежда проблематична с оглед на споменатата в точка 320 от настоящото заключение съдебна практика.
324. В бележка под линия 169 от решението относно Щита за личните данни се посочва освен това, че възможните начини на действие „налагат да е налице вреда […] или да се докаже, че правителството възнамерява да използва или разкрие информацията, получена […] от електронно наблюдение на съответното лице, срещу това лице […]“. Както подчертават запитващата юрисдикция, КЗЛД и г‑н Schrems, това изискване противоречи на практиката на Съда, съгласно която за целите на определянето на наличие на намеса в упражняването на правото на зачитане на личния живот на субекта на данни не е необходимо това лице да е претърпяло евентуални неудобства поради твърдяната намеса(203).
325. Освен това изразената от Facebook Ireland и правителството на Съединените щати гледна точка, че слабостите, които характеризират съдебната защита на лицата, чиито данни се предават към Съединените щати, били компенсирани от упражнявания от FISC предварителен и последващ контрол, както и от многобройните механизми за надзор, установени в рамките на изпълнителната и съдебната власт(204), според мен не е убедителна.
326. Вече посочих, от една страна, че съгласно констатациите, съдържащи се в решението относно Щита за личните данни, FISC не контролира индивидуалните мерки за наблюдение преди тяхното прилагане(205). Както е посочено в съображение 109 от това решение и както потвърждава правителството на Съединените щати в писмения си отговор на поставените от Съда въпроси, последващият контрол на прилагането на критериите за подбор, от друга страна, има за предмет проверката на спазването на условията, уреждащи избора на предвидените в ежегодното сертифициране критерии за подбор, когато разузнавателна агенция(206) представи на вниманието на FISC нарушение, свързано с възможно неспазване на процедурите за определяне на обекта за наблюдение и за свеждане до минимум. Следователно процедурата пред FISC, изглежда, не предоставя индивидуално ефективно средство за правна защита на лицата, чиито данни се предават към Съединените щати.
327. Макар механизмите за извънсъдебен контрол, посочени в съображения 95—110 от решението относно Щита за личните данни, да могат при необходимост да подсилят евентуални средства за съдебна защита, те според мен не са достатъчни, за да осигурят адекватно ниво на защита с оглед на правото на обжалване на субектите на данни. По-конкретно главните инспектори, които са част от вътрешната структура на всяка агенция, според мен не съставляват независими механизми за контрол. Колкото до надзора, упражняван от PCLOB и от комисиите по въпросите на разузнаването на Конгреса, той не е равнозначен на механизъм за индивидуално правно средство за защита срещу мерките за наблюдение.
328. Ето защо следва да се разгледа дали институцията на омбудсмана преодолява тези недостатъци, като предоставя на субектите на данни ефективно средство за правна защита пред независим и безпристрастен орган(207).
329. Припомням, на второ място, че релевантната референтна рамка за целите на преценката на основателността на направената в решението относно Щита за личните данни констатация за адекватност с оглед на средствата за правна защита, предоставени на лицата, които смятат, че са били обект на наблюдение въз основа на EO 12333, се съдържа в разпоредбите на ЕКПЧ.
330. Както е обяснено по-горе(208), за да прецени дали мярка за наблюдение отговаря на условията за „предвидимост“ и „необходимост в едно демократично общество“ по смисъла на член 8, параграф 2 от ЕКПЧ(209), ЕСПЧ разглежда всички механизми за контрол и надзор, приложени „преди, по време и след“ изпълнението ѝ. Когато упражняването на индивидуално правно средство за защита е възпрепятствано, поради това че уведомяването за мярката за наблюдение не е възможно, без да се застраши нейната ефикасност(210), този недостатък може да бъде компенсиран с независим контрол, осъществен преди прилагането на разглежданата мярка(211). Ето защо ЕСПЧ не е въздигнал това уведомяване в изискване, макар да приема, че то е „желателно“, при положение че може да бъде извършено, без да застраши ефикасността на мярката за наблюдение(212).
331. В това отношение от решението относно Щита за личните данни не може да се изведе, че мерките за наблюдение, основани на EO 12333, ще бъдат съобщени на съответните лица или че ще бъдат регламентирани от механизми за независим съдебен или административен контрол на какъвто и да било етап от приемането или прилагането им.
332. При това положение следва да се разгледа дали въпреки това сезирането на омбудсмана може да осигури независим контрол на мерките за наблюдение, включително когато се основават на EO 12333.
2) По значението на механизма на омбудсмана за нивото на защита на правото на ефективни правни средства за защита
333. Съгласно съображение 116 от решението относно Щита за личните данни механизмът на омбудсмана, описан в приложение III А към това решение, има за цел да осигури достъп до допълнителни възможности за всички лица, чиито данни се предават от Съюза към Съединените щати.
334. Както подчертава правителството на Съединените щати, допустимостта на подадена до омбудсмана жалба не е обвързана със спазването на правила относно процесуалната легитимация, подобни на уреждащите достъпа до американските съдилища. В тази връзка съображение 119 от посоченото решение уточнява, че сезирането на омбудсмана не предполага заинтересованото лице да доказва, че правителството на Съединените щати е осъществило достъп до отнасящите се до него лични данни.
335. Подобно на КЗЛД, г‑н Schrems, полското и португалското правителство, както и EPIC, се съмнявам, че този механизъм може да компенсира недостатъците на правната защита, предоставена на лицата, чиито данни се предават от Съюза към Съединените щати.
336. Първо, въпреки че определен механизъм за извънсъдебни средства за защита може да представлява ефективно правно средство за защита по смисъла на член 47 ДФЕС, това е така само по-специално когато разглежданият орган е създаден със закон и отговаря на условието за независимост(213).
337. От решението относно Щита за личните данни обаче следва, че механизмът на омбудсмана, основан на PPD 28(214), не произтича от закона. Омбудсманът се назначава от държавния секретар и е неразделна част от Държавния департамент на Съединените щати(215). Никъде в това решение не е посочено, че освобождаването от длъжност на омбудсмана или отмяната на назначаването му са обвързани с конкретни гаранции(216). Въпреки че омбудсманът е представен като независим от „разузнавателните структури“, той се отчита пред държавния секретар и следователно не е независим от изпълнителната власт(217).
338. Освен това считам, че ефективността на даден извънсъдебен способ за защита зависи също от способността на разглеждания орган да приема задължителни и мотивирани решения. В тази връзка никъде в решението относно Щита за личните данни не се посочва, че омбудсманът приема такива решения. Това решение не установява, че институцията на омбудсмана позволява на жалбоподателите да получат достъп до отнасящите се до тях лични данни и да поискат коригирането или заличаването им, нито че омбудсманът предоставя обезщетение на увредени от мярка за наблюдение лица. По-специално, както следва от приложение III А, точка 4, буква д) към това решение, „[о]мбудсманът […] нито потвърждава, нито отрича, че се извършва целево наблюдение на физическото лице, както и не потвърждава конкретната корективна мярка, която е приложена“(218). Макар американското правителство да е поело ангажимент съответната разузнавателна структура да отстрани всяко установено от омбудсмана нарушение на приложимите норми(219), в посоченото решение не се съдържат законови гаранции, които да придружават този ангажимент и на които съответните лица да могат да се позоват.
339. Следователно институцията на омбудсмана по мое мнение не предоставя способ за защита пред независим орган, който дава възможност на лицата, чиито данни се предават, да предявят правото си на достъп до данните или да оспорят евентуални нарушения на приложимите правила от разузнавателните структури.
340. Накрая, съгласно съдебната практика зачитането на правото, гарантирано в член 47 от Хартата, в такъв случай предполага, че решението на този административен орган, което само по себе си не отговаря на изискването за независимост, подлежи на последващ контрол от страна на правораздавателен орган, компетентен да разгледа всички релевантни въпроси(220). Съгласно предоставената в решението относно Щита за личните данни информация обаче решенията на омбудсмана не са предмет на независим съдебен контрол.
341. При това положение, както твърдят КЗЛД, г‑н Schrems, EPIC, полското и португалското правителство, равностойността по същество между съдебната защита, предоставена в правния ред на Съединените щати на лицата, чиито данни се предават от Съюза, и съдебната защита, произтичаща от ОРЗД, разглеждан във връзка с член 47 от Хартата и член 8 от ЕКПЧ, ми се струва спорна.
342. С оглед на всички изложени съображения имам известни съмнения по отношение на съответствието на решението относно Щита за личните данни с член 45, параграф 1 от ОРЗД, разглеждан във връзка с членове 7, 8 и 47 от Хартата, както и с член 8 от ЕКПЧ.
V. Заключение
343. Предлагам на Съда да отговори на отправените от High Court (Висш съд, Ирландия) преюдициални въпроси, както следва:
„Анализът на преюдициалните въпроси не разкри обстоятелства, които да поставят под съмнение валидността на Решение 2010/87/ЕС на Комисията от 5 февруари 2010 година относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета, изменено с Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 г.“.