Vec C‑311/18
Data Protection Commissioner
proti
Facebook Ireland Ltd
a
Maximillian Schrems
[návrh na začatie prejudiciálneho konania, ktorý podal High Court (Írsko)]
Rozsudok Súdneho dvora (veľká komora) zo 16. júla 2020
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Charta základných práv Európskej únie – Články 7, 8 a 47 – Nariadenie (EÚ) 2016/679 – Článok 2 ods. 2 – Pôsobnosť – Prenosy osobných údajov do tretích krajín na obchodné účely – Článok 45 – Rozhodnutie Komisie o primeranosti – Článok 46 – Prenosy vyžadujúce primerané záruky – Článok 58 – Právomoci dozorných orgánov – Spracúvanie prenesených údajov orgánmi verejnej moci tretej krajiny na účely národnej bezpečnosti – Posúdenie primeranosti úrovne ochrany zabezpečenej v tretej krajine – Rozhodnutie 2010/87/EÚ – Štandardné doložky o ochrane údajov pre prenos osobných údajov do tretích krajín – Primerané záruky poskytnuté prevádzkovateľom – Platnosť – Vykonávacie rozhodnutie (EÚ) 2016/1250 – Primeranosť ochrany poskytovanej štítom na ochranu osobných údajov medzi Európskou úniou a Spojenými štátmi – Platnosť – Sťažnosť fyzickej osoby, ktorej osobné údaje boli prenesené z Európskej únie do Spojených štátov“
1. Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie 2016/679 – Pôsobnosť – Pojem spracúvanie osobných údajov – Prenos osobných údajov vykonaný na obchodné účely hospodárskym subjektom usadeným v jednom členskom štáte inému hospodárskemu subjektu usadenému v tretej krajine – Zahrnutie – Údaje, ktoré môžu byť spracúvané orgánmi dotknutej tretej krajiny na účely národnej bezpečnosti – Neexistencia vplyvu
[Nariadenie Európskeho parlamentu a Rady č. 2016/679, článok 2 ods. 1 a článok 2 ods. 2 písm. a), b) a d) a článok 4 bod 2]
(pozri body 82, 83, 85 – 89, bod 1 výroku)
2. Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie 2016/679 – Prenosy osobných údajov do tretích krajín – Prenosy vyžadujúce primerané záruky založené na štandardných zmluvných doložkách o ochrane údajov – Pojem primeraná úroveň ochrany, ktorú má dotknutá tretia krajina zaručiť pri takýchto prenosoch – Výklad s ohľadom na právo Únie – Kritériá posúdenia
[Charta základných práv Európskej únie, článok 52 ods. 3; nariadenie Európskeho parlamentu a Rady 2016/679, článok 46 ods. 1 a článok 46 ods. 2 písm. c)]
(pozri body 92 – 96, 98 – 101, 103 – 105, bod 2 výroku)
3. Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie 2016/679 – Prenosy osobných údajov do tretích krajín – Prenosy vyžadujúce primerané záruky založené na štandardných zmluvných doložkách o ochrane údajov – Vnútroštátne dozorné orgány – Právomoci – Kontrola prenosov osobných údajov do tretích krajín – Povinnosť pozastaviť alebo zakázať takéto prenosy v prípade porušenia primeranej úrovne ochrany v dotknutej tretej krajine – Podmienky
[Charta základných práv Európskej únie, článok 8 ods. 3; nariadenie Európskeho parlamentu a Rady 2016/679, články 45 a 46, článok 51 ods. 1, článok 57 ods. 1 písm. a) a f), článok 58 ods. 1 a článok 58 ods. 2 písm. f) a j)]
(pozri body 107, 108, 112 – 121, bod 3 výroku)
4. Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie 2016/679 – Prenosy osobných údajov do tretích krajín – Prenosy vyžadujúce primerané záruky založené na štandardných zmluvných doložkách o ochrane údajov – Rozhodnutie 2010/87 zavádzajúce štandardné zmluvné doložky pre prenos osobných údajov do tretích krajín – Primerané záruky poskytnuté prevádzkovateľmi takého spracovania usadeným v Únii a dozornými orgánmi – Povinnosť týchto orgánov pozastaviť alebo zakázať takéto prevody v prípade porušenia uvedených doložiek – Právo na rešpektovanie súkromného života, na ochranu osobných údajov a na účinnú súdnu ochranu – Neporušenie – Platnosť rozhodnutia
[Charta základných práv Európskej únie, článok 7, 8 a 47; nariadenie Európskeho parlamentu a Rady 2016/679, článok 46 ods. 1 a článok 46 ods. 2 písm. c); rozhodnutie Komisie 2010/87, príloha]
(pozri body 128 – 130, 133 – 145, 148, 149, bod 4 výroku)
5. Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie 2016/679 – Prenosy osobných údajov do tretích krajín – Prijatie rozhodnutia, ktorým Komisia konštatovala primeranú úroveň ochrany zabezpečenú v tretej krajine – Rozhodnutie 2016/1250 konštatujúce primeranú úroveň ochrany poskytovanú štítom na ochranu osobných údajov medzi Európskou úniou a USA – Vnútroštátny dozorný orgán, ktorému bola predložená žiadosť spochybňujúca primeranosť úrovne ochrany zaručenej v tejto tretej krajine – Povinnosť tohto orgánu preskúmať žiadosť – Preskúmal platnosti rozhodnutia 2016/1250.
(Článok 288 štvrtý odsek ZFEÚ; nariadenie Európskeho parlamentu a Rady 2016/679, článok 45 ods. 3 a článok 77 ods. 1; rozhodnutie Komisie 2016/1250, príloha II)
(body 151 – 161)
6. Základné práva – Charta základných práv Európskej únie – Rešpektovanie súkromného života – Ochrana osobných údajov – Uchovávanie a prístup k osobným údajom na účely ich použitia orgánmi verejnej moci – Zásah do týchto základných práv – Obmedzenia výkonu týchto práv – Dodržiavanie zásady proporcionality
(Charta základných práv Európskej únie, články 7 a 8, článok 52 ods. 1 druhá veta; nariadenie Európskeho parlamentu a Rady č. 2016/679)
(body 170 – 176)
7. Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie 2016/679 – Prenosy osobných údajov do tretích krajín – Prijatie rozhodnutia, ktorým Komisia konštatovala primeranú úroveň ochrany zabezpečenú v tretej krajine – Rozhodnutie 2016/1250 konštatujúce primeranú úroveň ochrany poskytovanú štítom na ochranu osobných údajov medzi Európskou úniou a USA – Neexistencia úrovne ochrany, ktorá je v podstate rovnocenná tej, ktorá je zaručená v právnom poriadku Únie – Porušenie práv na rešpektovanie súkromného života, ochranu osobných údajov a účinnú súdnu ochranu osôb, ktorých sa tieto prenosy týkajú – Zavedenie mechanizmu ombudsmana v rámci štítu na ochranu osobných údajov – Neexistencia vplyvu na porušenie práva na účinnú súdnu ochranu – Neplatnosť rozhodnutia
[Charta základných práv Európskej únie, články 7, 8, 47, článok 52 ods. 1 druhá veta; nariadenie Európskeho parlamentu a Rady 2016/679, článok 45 ods. 2 písm. a) a článok 45 ods. 3; rozhodnutie Komisie 2016/1250, príloha II]
(pozri body 180 – 185, 187 – 192, 195 – 201, bod 5 výroku)
8. Prejudiciálne otázky – Posúdenie platnosti – Vyhlásenie neplatnosti aktu Únie – Rozhodnutie 2016/1250 konštatujúce primeranú úroveň ochrany poskytovanú štítom na ochranu osobných údajov medzi Európskou úniou a USA – Účinky – Časové ohraničenie – Neexistencia
(Článok 267 ZFEÚ; nariadenie Európskeho parlamentu a Rady č. 2016/679, článok 49; nariadenie Komisie 2016/1250)
(pozri bod 202)
Zhrnutie
Súdny dvor vyhlásil rozhodnutie 2016/1250 o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA za neplatné
Naopak, pokiaľ ide o rozhodnutie Komisie 2010/87 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách, toto rozhodnutie považuje za platné.
Všeobecné nariadenie o ochrane osobných údajov(1) (GDPR) stanovuje, že prenos takýchto údajov do tretej krajiny sa môže v zásade uskutočniť iba vtedy, ak dotknutá tretia krajina zaručuje týmto údajom primeranú úroveň ochrany. Podľa tohto nariadenia môže Komisia konštatovať, že tretia krajina zaručuje z dôvodu jej vnútroštátneho práva alebo medzinárodných záväzkov, ktoré prevzala, primeranú úroveň ochrany.(2) V prípade neexistencie takého rozhodnutia o primeranosti sa takýto prenos môže uskutočniť len vtedy, ak vývozca osobných údajov usadený v Únii poskytne primerané záruky, ktoré môžu vyplývať najmä zo štandardných doložiek o ochrane údajov prijatých Komisiou, a pod podmienkou, že dotknuté osoby majú vymožiteľné práva a účinné právne prostriedky nápravy.(3) Okrem toho GDPR presne stanovuje podmienky, za akých sa takýto prenos môže uskutočniť bez rozhodnutia o primeranosti alebo primeraných záruk.(4)
Maximillian Schrems, rakúsky štátny príslušník s bydliskom v Rakúsku, je používateľom siete Facebook od roku 2008. Rovnako ako v prípade osobných údajov iných používateľov s bydliskom v Únii sú údaje pána Schremsa v celom rozsahu alebo sčasti prenášané spoločnosťou Facebook Ireland na servery patriace spoločnosti Facebook Inc. nachádzajúce sa na území Spojených štátov, kde sa spracúvajú. Pán Schrems predložil írskemu dozornému orgánu sťažnosť, ktorou sa v podstate domáhal, aby boli tieto prenosy zakázané. Tvrdil, že právo a prax Spojených štátov nezabezpečujú dostatočnú ochranu údajov prenesených do tejto krajiny pred prístupom zo strany orgánov verejnej moci tejto krajiny. Táto sťažnosť bola zamietnutá najmä z dôvodu, že Komisia vo svojom rozhodnutí 2000/520(5) (nazývanom „bezpečný prístav“) konštatovala, že Spojené štáty poskytovali primeranú úroveň ochrany. Súdny dvor svojím rozsudkom zo 6. októbra 2015 v rámci rozhodovania o prejudiciálnej otázke, ktorú mu položil High Court (Vyšší súd, Írsko), rozhodol o neplatnosti tohto rozhodnutia (ďalej len „rozsudok Schrems I“)(6).
V nadväznosti na rozsudok Schrems I a následné zrušenie rozhodnutia írskeho dozorného orgánu, ktorým bola zamietnutá sťažnosť pána Schremsa, írskym súdom bol pán Schrems týmto orgánom vyzvaný, aby preformuloval svoju sťažnosť vzhľadom na zrušenie rozhodnutia 2000/520 Súdnym dvorom. Pán Schrems vo svojej preformulovanej sťažnosti tvrdí, že Spojené štáty nezabezpečujú dostatočnú ochranu údajov prenesených do tejto krajiny. Navrhuje pozastaviť alebo zakázať do budúcnosti prenos týchto údajov z Únie do Spojených štátov, ktorý Facebook Ireland vykonáva teraz na základe štandardných doložiek o ochrane údajov uvedených v prílohe rozhodnutia 2010/87(7). Keďže írsky dozorný orgán dospel k záveru, že konanie o sťažnosti pána Schremsa závisí najmä od platnosti rozhodnutia 2010/87, začal konanie na High Court (Vyšší súd), aby sa tento súd predložil Súdnemu dvoru návrh na začatie prejudiciálneho konania. Po začatí tohto konania Komisia prijala rozhodnutie 2016/1250 o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA(8) (nazvané rozhodnutie „o štíte na ochranu osobných údajov“).
Vnútroštátny súd sa svojím návrhom na začatie prejudiciálneho konania pýta Súdneho dvora na uplatniteľnosť GDPR na prenosy osobných údajov založené na štandardných doložkách o ochrane údajov uvedených v rozhodnutí 2010/87, na úroveň ochrany vyžadovanú týmto nariadením v rámci takého prenosu a na povinnosti zaväzujúce v tejto súvislosti dozorné orgány. High Court sa okrem toho pýta na platnosť tak rozhodnutia 2010/87, ako aj rozhodnutia 2016/1250.
Rozsudkom z dnešného dňa Súdny dvor konštatoval, že preskúmanie rozhodnutia 2010/87 s ohľadom na Chartu základných práv neodhalilo nijakú skutočnosť, ktorá by mohla ovplyvniť jeho platnosť. Naopak rozhodnutie Komisie 2016/1250 vyhlásil za neplatné.
Súdny dvor v prvom rade konštatoval, že právo Únie a najmä GDPR sa uplatní na prenos osobných údajov vykonaný na obchodné účely hospodárskym subjektom usadeným v jednom členskom štáte inému hospodárskemu subjektu usadenému v tretej krajine, napriek tomu, že v priebehu tohto prenosu alebo po ňom môžu byť uvedené údaje spracúvané orgánmi dotknutej tretej krajiny na účely verejnej bezpečnosti, obrany a bezpečnosti štátu. Spresnil, že tento druh spracovania údajov orgánmi tretej krajiny nemôže vylúčiť taký prenos z pôsobnosti nariadenia.
Pokiaľ ide o úroveň ochrany vyžadovanú v rámci takého prenosu, Súdny dvor rozhodol, že požiadavky stanovené na tento účel ustanoveniami GDPR, ktoré sa vzťahujú na primerané záruky, vymožiteľné práva a účinné právne prostriedky nápravy, sa majú vykladať v tom zmysle, že musia zabezpečiť, aby práva osôb, ktorých osobné údaje sa prenášajú do tretej krajiny na základe štandardných doložiek o ochrane údajov, požívali úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v rámci Únie týmto nariadením v spojení s Chartou. V tejto súvislosti spresnil, že posúdenie tejto úrovne ochrany musí zohľadniť tak zmluvné ustanovenia dohodnuté medzi vývozcom údajov usadeným v Únii a príjemcom prenosu usadeným v dotknutej tretej krajine, ako aj, pokiaľ ide o prípadný prístup orgánov verejnej moci tejto tretej krajiny k takto prenášaným údajom, relevantné prvky právneho systému danej krajiny.
Čo sa týka povinností zaväzujúcich dozorné orgány v súvislosti s takýmto prenosom, Súdny dvor rozhodol, že pokiaľ neexistuje rozhodnutie o primeranosti, ktoré Komisia platne prijala, tieto orgány sú najmä povinné pozastaviť alebo zakázať prenos osobných údajov do tretej krajiny, ak sa vzhľadom na osobitné okolnosti tohto prenosu domnievajú, že štandardné doložky o ochrane údajov nie sú alebo nemôžu byť v tejto tretej krajine dodržané a že ochrana prenesených údajov vyžadovaná podľa práva Únie nemôže byť zabezpečená inými prostriedkami, pokiaľ vývozca so sídlom v Únii sám tento prenos nepozastaví alebo neukončí.
Súdny dvor ďalej preskúmal platnosť rozhodnutia 2010/87. Podľa Súdneho dvora len samotná skutočnosť, že štandardné doložky o ochrane údajov uvedené v tomto rozhodnutí nezaväzujú z dôvodu ich zmluvnej povahy orgány tretích krajín, do ktorých môžu byť osobné údaje prenesené, nemôže byť dôvodom na pochybnosti o platnosti tohto rozhodnutia. Táto platnosť naopak závisí od toho, či uvedené rozhodnutie obsahuje účinné mechanizmy, ktoré v praxi umožňujú zabezpečiť, aby bola dodržaná úroveň ochrany vyžadovaná právom Únie a aby sa prenosy osobných údajov založené na takýchto doložkách v prípade ich porušenia alebo nemožnosti ich dodržať pozastavili alebo zakázali. Súdny dvor konštatoval, že rozhodnutie 2010/87 takéto mechanizmy zavádza. V tejto súvislosti najmä zdôraznil, že toto rozhodnutie ukladá vývozcovi údajov a príjemcovi prenosu povinnosť vopred overiť, či sa v dotknutej tretej krajine táto úroveň ochrany dodržiava, a zaväzuje vývozcu údajov informovať tohto príjemcu o jeho prípadnej nemožnosti zabezpečiť dodržanie týchto podmienok, pričom povinnosťou tohto vývozcu je vtedy pozastaviť prenos údajov a/alebo vypovedať zmluvu uzavretú s príjemcom.
Súdny dvor napokon preskúmal platnosť rozhodnutia 2016/1250 s ohľadom na požiadavky vyplývajúce z GDPR v spojení s ustanoveniami Charty, ktorými sa zaručuje rešpektovanie súkromného a rodinného života, ochrana osobných údajov a právo na účinnú súdnu ochranu. V tejto súvislosti Súdny dvor uviedol, že toto rozhodnutie podobne ako rozhodnutie 2000/520 stanovuje prednosť požiadaviek týkajúcich sa národnej bezpečnosti, verejného záujmu a dodržiavania právnych predpisov Spojených štátov, čím sa umožňuje zasahovanie do základných práv osôb, ktorých údaje sa do tejto tretej krajiny prenášajú. Podľa Súdneho dvora obmedzenia ochrany osobných údajov, ktoré vyplývajú z vnútroštátnej právnej úpravy Spojených štátov týkajúcej sa prístupu a používania takýchto údajov prenášaných z Únie do tejto tretej krajiny americkými orgánmi verejnej moci a ktoré Komisia posúdila v rozhodnutí 2016/1250, nie sú vymedzené takým spôsobom, aby zodpovedali požiadavkám, ktoré sú v podstate rovnocenné požiadavkám vyžadovaným v práve Únie zásadou proporcionality, pretože programy sledovania založené na tejto právnej úprave sa neobmedzujú na to, čo je striktne nevyhnutné. Na základe konštatovaní uvedených v danom rozhodnutí Súdny dvor uvádza, že v prípade niektorých programov sledovania z uvedenej právnej úpravy nijako nevyplýva, že by oprávnenia, ktoré obsahuje a ktorým sa vykonávajú tieto programy boli akokoľvek obmedzené, ani existencia záruk pre osoby, ktoré nie sú americkými občanmi a ktorých sa môžu tieto programy týkať. Súdny dvor dodal, že hoci táto istá právna úprava stanovuje požiadavky, ktoré musia americké orgány dodržiavať pri vykonávaní dotknutých programov sledovania, nepriznávajú dotknutým osobám práva uplatniteľné pred súdmi voči týmto orgánom.
Pokiaľ ide o požiadavku súdnej ochrany, Súdny dvor rozhodol, že na rozdiel od toho, k čomu dospela Komisia v rozhodnutí 2016/1250, mechanizmus ombudsmana uvedený v tomto rozhodnutí neposkytuje opravný prostriedok pred orgánom, ktorý by ponúkal osobám, ktorých údaje sa prenášajú do Spojených štátov, záruky, ktoré sú v podstate rovnocenné zárukám vyžadovaným v práve Únie, v tom zmysle, že by zaručoval tak nezávislosť ombudsmana stanoveného týmto mechanizmom, ako aj existenciu noriem oprávňujúcich uvedeného ombudsmana prijímať záväzné rozhodnutia voči spravodajským službám Spojených štátov. Na základe všetkých týchto dôvodov Súdny dvor vyhlásil rozhodnutie 2016/1250 za neplatné.