TEISINGUMO TEISMO (didžioji kolegija) SPRENDIMAS
2015 m. spalio 6 d.(*)
„Prašymas priimti prejudicinį sprendimą – Asmens duomenys – Fizinių asmenų apsauga tvarkant šiuos duomenis – Europos Sąjungos pagrindinių teisių chartija – 7, 8 ir 47 straipsniai – Direktyva 95/46/EB – 25 ir 28 straipsniai – Asmens duomenų perdavimas į trečiąsias šalis – Sprendimas 2000/520/EB – Asmens duomenų perdavimas į Jungtines Amerikos Valstijas – Neadekvatus apsaugos lygis – Galiojimas – Fizinio asmens, kurio duomenys perduoti iš Europos Sąjungos į Jungtines Amerikos Valstijas, skundas – Nacionalinių priežiūros institucijų įgaliojimai“
Byloje C‑362/14
dėl High Court (Airija) 2014 m. liepos 17 d. sprendimu, kurį Teisingumo Teismas gavo 2014 m. liepos 25 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
Maximillian Schrems
prieš
Data Protection Commissioner,
dalyvaujant
Digital Rights Ireland Ltd,
TEISINGUMO TEISMAS (didžioji kolegija),
kurį sudaro pirmininkas V. Skouris, pirmininko pavaduotojas K. Lenaerts, kolegijų pirmininkai A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (pranešėjas) ir S. Rodin, K. Jürimäe, teisėjai A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen ir C. Lycourgos,
generalinis advokatas Y. Bot,
posėdžio sekretorė L. Hewlett, vyriausioji administratorė,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2015 m. kovo 24 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– M. Schrems, atstovaujamo SC N. Travers, BL P. O’Shea, solisitoriaus G. Rudden ir Rechtsanwalt H. Hofmann,
– Data Protection Commissioner, atstovaujamo BL P. McDermott, solisitorių S. More O’Ferrall ir D. Young,
– Digital Rights Ireland Ltd, atstovaujamos BL F. Crehan ir solisitorių S. McGarr ir E. McGarr,
– Airijos, atstovaujamos A. Joyce, B. Counihan ir E. Creedon, padedamų BL D. Fennelly,
– Belgijos vyriausybės, atstovaujamos J.‑C. Halleux ir C. Pochet,
– Čekijos vyriausybės, atstovaujamos M. Smolek ir J. Vláčil,
– Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocato dello Stato P. Gentili,
– Austrijos vyriausybės, atstovaujamos G. Hesse ir G. Kunnert,
– Lenkijos vyriausybės, atstovaujamos M. Kamejsza, M. Pawlicka ir B. Majczyna,
– Slovėnijos vyriausybės, atstovaujamos A. Grum ir V. Klemenc,
– Jungtinės Karalystės vyriausybės, atstovaujamos L. Christie ir J. Beeko, padedamų baristerio J. Holmes,
– Europos Parlamento, atstovaujamo D. Moore, A. Caiola ir M. Pencheva,
– Europos Komisijos, atstovaujamos B. Schima, B. Martenczuk, B. Smulders ir J. Vondung,
– Europos duomenų apsaugos priežiūros pareigūno, atstovaujamo C. Docksey, A. Buchta ir V. Pérez Asinari,
susipažinęs su generalinio advokato išvada, pateikta per 2015 m. rugsėjo 23 d. posėdį,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą pateiktas dėl 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355), iš dalies pakeistos 2003 m. rugsėjo 29 d. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 1882/2003 (OL L 284, p. 1; 2004 m. specialusis leidimas lietuvių k., 1 sk., 4 t., p. 447; toliau – Direktyva 95/46), 25 straipsnio 6 dalies ir 28 straipsnio išaiškinimo atsižvelgiant į Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 7, 8 ir 47 straipsnius, taip pat iš esmės dėl 2000 m. liepos 26 d. Komisijos sprendimo 2000/520/EB dėl Direktyvos 95/46 dėl saugaus uosto privatumo principų teikiamos apsaugos pakankamumo ir su tuo susijusių JAV komercijos departamento pateiktų Dažnai užduodamų klausimų (OL L 215, p. 7; 2004 m. specialusis leidimas lietuvių k., 16 sk., 1 t., p. 119) galiojimo.
2 Šis prašymas pateiktas nagrinėjant M. Schrems ir Data Protection Commissioner (Duomenų apsaugos komisaras, toliau – Komisaras) ginčą dėl šios institucijos atsisakymo ištirti M. Schrems skundą, susijusį su tuo, kad Facebook Ireland Ltd. (toliau – Facebook Ireland) savo naudotojų asmens duomenis perduoda į Jungtines Amerikos Valstijas ir laiko šioje šalyje esančiuose serveriuose.
Teisinis pagrindas
Direktyva 95/46
3 Direktyvos 95/46 2, 10, 56, 57, 60, 62 ir 63 konstatuojamosios dalys suformuluotos taip:
„2) <...> duomenų tvarkymo sistemos skirtos tarnauti žmogui; <...> nepriklausomai nuo fizinių asmenų tautybės ar gyvenamos vietos, duomenys turi būti tvarkomi gerbiant žmogaus teises ir laisves, ypač privatumo teisę [privatų gyvenimą], taip pat remiant <...> žmonių gerovę;
<...>
10) <...> asmens duomenų tvarkymą reglamentuojančių nacionalinių įstatymų tikslas – apsaugoti pagrindines teises ir laisves, ypač privatumo teisę [teisę į privatų gyvenimą], ir tai pripažįstama [1950 m. lapkričio 4 d. Romoje pasirašytos] Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnyje, taip pat Bendrijos teisės aktų bendruosiuose principuose [bendruosiuose Bendrijos teisės principuose]; <...> dėl šios priežasties, suvienodinant tokius įstatymus, negali būti sumažinta juose numatyta apsauga, o priešingai – turi būti siekiama aukšto apsaugos lygio visoje Bendrijoje;
<...>
56) <...> norint, kad plėstųsi tarptautinė prekyba, reikia, kad asmens duomenys judėtų iš vienos valstybės į kitą; <...> asmenų apsauga, kurią Bendrijoje garantuoja ši direktyva, nekliudo perduoti asmens duomenų į trečiąsias šalis, užtikrinančias adekvatų apsaugos lygį; <...> trečiosios šalies suteikiamos apsaugos lygio adekvatumą reikia vertinti atsižvelgiant į visas perdavimo operacijos ar operacijų grupės aplinkybes;
57) <...> kita vertus, turi būti uždrausta perduoti asmens duomenis į trečiąją šalį, kuri neužtikrina adekvataus apsaugos lygio;
<...>
60) <...> bet kokiu atveju į trečiąsias šalis duomenys gali būti perduodami tiktai griežtai laikantis pagal šią direktyvą, o ypač jos 8 straipsnį, valstybių narių priimtų nuostatų;
<...>
62) <...> valstybėse narėse įsteigus priežiūros institucijas, savo funkcijas vykdančias visiškai nepriklausomai, šios institucijos sudarys esminę asmenų apsaugos tvarkant asmens duomenis dalį;
63) <...> tokios valdžios institucijos privalo turėti būtinas priemones, kad galėtų atlikti savo pareigas, taip pat vykdyti savo įgaliojimus tirti ir įsikišti, ypač asmenims pateikus skundus, ir savo galias dalyvauti teisminiuose nagrinėjimuose [teisę kreiptis į teismą]; <...>“
4 Direktyvos 95/46 1, 2, 25, 26, 28 ir 31 straipsniuose įtvirtinta:
„1 straipsnis
Direktyvos paskirtis
1. Pagal šią direktyvą valstybės narės saugo fizinių asmenų pagrindines teises ir laisves, o ypač jų privatumo teisę [teisę į jų privatų gyvenimą,] tvarkant asmens duomenis.
<…>
2 straipsnis
Sąvokos
Šioje direktyvoje:
a) „asmens duomenys“ reiškia bet kurią informaciją, susijusią su asmeniu (duomenų subjektu), kurio tapatybė yra nustatyta arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta, yra tas asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ar netiesiogiai, ypač pasinaudojus nurodytu asmens identifikavimo kodu arba vienu ar keliais to asmens fizinei, fiziologinei, protinei, ekonominei, kultūrinei ar socialinei tapatybei būdingais veiksniais;
b) „asmens duomenų tvarkymas“ (tvarkymas) reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, kaip antai: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas;
<…>
d) „duomenų valdytojas“ reiškia tokį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus; jeigu tvarkymo tikslus ir būdus nusako nacionaliniai arba Bendrijos įstatymai bei norminiai aktai, tai duomenų valdytoją arba specifinius kriterijus, pagal kuriuos skiriamas duomenų valdytojas, gali apibrėžti nacionaliniai arba Bendrijos įstatymai;
<…>
25 straipsnis
Principai
1. Valstybės narės numato, kad asmens duomenys, kurie yra tvarkomi arba kuriuos juos perdavus ketinama tvarkyti, gali būti perduodami į trečiąją šalį tik tuo atveju, jeigu nepažeidžiant nacionalinių nuostatų, priimtų pagal kitas šios direktyvos nuostatas, ši trečioji šalis užtikrina adekvatų apsaugos lygį.
2. Apsaugos, kurią suteikia trečioji šalis, lygio adekvatumas įvertinamas atsižvelgiant į [visas] duomenų perdavimo operacijos ar operacijų grupės aplinkybes; ypatingas dėmesys atkreipiamas į duomenų pobūdį, siūlomos tvarkymo operacijos ar operacijų tikslą ir trukmę, duomenų kilmės bei paskirties valstybę ar valstybes, bendrųjų ir atskiriems sektoriams taikomų įstatymų, galiojančių trečiojoje šalyje, nuostatas, taip pat profesines taisykles ir saugumo priemones, kurių laikomasi toje valstybėje.
3. Valstybės narės ir Komisija praneša vienos kitoms apie tokius atvejus, kai jos mano, kad kuri nors trečioji šalis neužtikrina adekvataus apsaugos lygio, kaip numatyta šio straipsnio 2 dalyje.
4. Jeigu 31 straipsnio 2 dalyje numatyta tvarka Komisija išsiaiškina, kad kuri nors trečioji šalis neužtikrina adekvataus apsaugos lygio, kaip numatyta šio straipsnio 2 dalyje, valstybės narės imasi reikalingų priemonių, kad to tipo duomenys aptariamai trečiajai šaliai nebūtų perduoti.
5. Reikiamu metu Komisija pradeda derybas, kad ištaisytų padėtį, susidariusią pagal šio straipsnio 4 dalį išsiaiškinus apsaugos stoką.
6. 31 straipsnio 2 dalyje nurodyta tvarka Komisija gali išsiaiškinti, kad adekvatų apsaugos lygį, kaip numatyta šio straipsnio 2 dalyje, trečioji šalis užtikrina savo šalies įstatymais arba tarptautiniais įsipareigojimais, kuriuos ji yra prisiėmusi, ypač po 5 dalyje nurodytų derybų dėl asmenų privataus gyvenimo ir pagrindinių laisvių bei teisių apsaugos.
Valstybės narės imasi reikalingų priemonių, kad būtų laikomasi Komisijos sprendimo.
26 straipsnis
Nukrypimai [Nukrypti leidžiančios nuostatos]
1. Nesilaikydamos 25 straipsnio nuostatų, išskyrus, kai konkrečius atvejus reglamentuojantys šalies įstatymai numato ką kita, valstybės narės numato, kad asmens duomenys gali būti perduodami trečiajai šaliai, kuri neužtikrina adekvataus apsaugos lygio, kaip numatyta 25 straipsnio 2 dalyje, su sąlyga, kad:
a) duomenų subjektas yra nedviprasmiškai davęs sutikimą perduoti siūlomus duomenis;
arba
b) duomenis perduoti būtina, kad būtų įvykdyti sutarties tarp duomenų subjekto ir duomenų valdytojo reikalavimai, arba kad būtų įgyvendintos priemonės, kurių prieš pasirašant sutartį imamasi duomenų subjekto prašymu;
arba
c) duomenis perduoti būtina, kad duomenų subjekto labui būtų sudaryta duomenų valdytojo ir trečios šalies sutartis ar būtų įvykdyti tokios sutarties reikalavimai;
arba
d) duomenis perduoti arba įstatymų numatyta dėl svarbių visuomenės interesų arba norint nustatyti, įvykdyti ar apginti teisinius ieškinius [duomenų perdavimas būtinas arba teisiškai privalomas siekiant apsaugoti svarbų viešąjį interesą arba norint konstatuoti, pasinaudoti arba apginti teisę kreiptis į teismą];
arba
e) duomenis perduoti būtina, kad būtų apsaugoti gyvybiniai duomenų subjektų interesai;
arba
f) duomenys perduodami iš registro, kuris pagal įstatymus ir norminius aktus turėtų suteikti informacijos visuomenei ir kuriuo gali naudotis plačioji visuomenė arba bet kuris teisėtai reikalaujantis asmuo, tačiau kiekvienu konkrečiu atveju turi būti įvykdytos įstatymo numatytos naudojimosi tokiu registru sąlygos.
2. Nepažeisdama šio straipsnio 1 dalies nuostatų, valstybė narė gali leisti perduoti asmens duomenis į trečiąją šalį, kuri neužtikrina adekvataus apsaugos lygio pagal 25 straipsnio 2 dalį, jeigu domenų valdytojas pateikia adekvačias apsaugos priemones asmenų privatumui ir pagrindinėms teisėms bei laisvėms apsaugoti ir atitinkamoms teisėms įgyvendinti; tokios apsaugos priemonės gali būti išdėstytos atitinkamuose sutarčių punktuose.
3. Valstybės narės informuoja Komisiją ir kitas valstybes nares apie leidimus, kuriuos ji suteikia pagal šio straipsnio 2 dalį.
Jei valstybė narė arba Komisija prieštarauja pagrįstai, siekdamos apsaugoti asmenų privatumą ir pagrindines teises bei laisves, Komisija imasi atitinkamų priemonių 31 straipsnio 2 dalyje nurodyta tvarka.
Valstybės narės imasi reikalingų priemonių, kad būtų laikomasi Komisijos sprendimo.
<…>
28 straipsnis
Priežiūros institucija
1. Kiekviena valstybė narė numato, kad viena ar daugiau valdžios institucijų privalo kontroliuoti, kaip jos teritorijoje yra taikomos pagal šią direktyvą valstybių narių priimtos nuostatos.
Šios valdžios institucijos veikia visiškai nepriklausomai, vykdydamos joms patikėtas funkcijas.
2. Kiekviena valstybė narė numato, kad su priežiūros institucijomis turi būti tariamasi, kai rengiamos administracinės priemonės ar taisyklės dėl asmenų teisių ir laisvių apsaugos tvarkant asmens duomenis.
3. Kiekvienai valdžios institucijai suteikiami:
– įgaliojimai tirti, kaip antai: įgaliojimai sužinoti tvarkymo operacijų turinį ar [ir] įgaliojimai surinkti visą informaciją, reikalingą priežiūros funkcijoms atlikti,
– įgaliojimai veiksmingai įsikišti, pavyzdžiui, įgaliojimai pareikšti nuomonę, iš anksto įvertinus tvarkymo operacijas pagal 20 straipsnį, ir užtikrinti, kad tokios nuomonės būtų tinkamu būdu skelbiamos viešai, taip pat įgaliojimai nurodyti blokuoti, ištrinti arba sunaikinti duomenis, laikinai arba visiškai uždrausti tvarkyti duomenis, įspėti arba papeikti duomenų valdytoją arba įgaliojimai perduoti klausimą nacionaliniams parlamentams ar kitoms politinėms institucijoms svarstyti,
– įgaliojimai dalyvauti teismo procesuose [kreiptis į teismą], kai pažeidžiamos pagal šią direktyvą priimtos nacionalinės nuostatos, arba atkreipti teismo institucijų dėmesį į tokius pažeidimus.
Priežiūros institucijų priimti sprendimai, sukėlę nusiskundimų, gali būti skundžiami teismuose.
4. Kiekviena priežiūros institucija nagrinėja bet kurio asmens ar tam asmeniui atstovaujančios asociacijos iškeltus ieškinius [pateiktus prašymus] dėl jo teisių ir laisvių apsaugos tvarkant asmens duomenis. Suinteresuotam asmeniui pranešama apie ieškinio baigtį [prašymo nagrinėjimo eigą].
Kiekviena priežiūros institucija taip pat nagrinėja bet kurio asmens iškeltus ieškinius, reikalaujant patikrinti [pateiktus prašymus patikrinti] duomenų tvarkymo teisėtumą tais atvejais, kai taikomos pagal šios direktyvos 13 straipsnį priimtos nacionalinės nuostatos. Bet kuriuo atveju asmeniui pranešama, kad patikra buvo atlikta.
<…>
6. Kad ir kokie nacionaliniai įstatymai būtų taikomi tvarkant aptariamus duomenis, kiekviena priežiūros institucija yra kompetentinga savo valstybės narės teritorijoje naudotis pagal šio straipsnio 3 dalį jai suteiktais įgaliojimais. Kiekviena valdžios institucija gali būti kitos valstybės narės valdžios institucijos paprašyta pasinaudoti savo įgaliojimais.
<…>
31 straipsnis
<…>
2. Kai daroma nuoroda į šį straipsnį, taikomi [1999 m. birželio 28 d. Tarybos] sprendimo 1999/468/EB[, nustatančio Komisijos naudojimosi jai suteiktais įgyvendinimo įgaliojimais tvarką (OL L 184, p. 23)], 4 ir 7 straipsniai, atsižvelgiant į minėto sprendimo 8 straipsnio nuostatas.
<…>“
Sprendimas 2000/520
5 Sprendimą 2000/520 Komisija priėmė remdamasi Direktyvos 95/46 25 straipsnio 6 dalimi.
6 Šio sprendimo 2, 5 ir 8 konstatuojamosiose dalyse nustatyta:
„(2) Komisija gali nustatyti, kad trečioji šalis užtikrina tinkamą apsaugos lygį. Tuomet asmens duomenys gali būti perduodami iš valstybių narių nereikalaujant papildomų garantijų.
<...>
(5) Šiuo sprendimu pripažįstamas pakankamas duomenų perdavimo iš Bendrijos į Jungtines Valstijas apsaugos lygis yra pasiekiamas, jei organizacijos laikosi iš valstybės narės į Jungtines Valstijas perduodamų asmens duomenų apsaugos „saugaus uosto“ privatumo principų (toliau vadinamų „Principais“) ir „Dažnai užduodamų klausimų“ (toliau vadinamų „FAQ“), nurodančių, kaip laikytis 2000 m. liepos 21 d. Jungtinių Valstijų Vyriausybės išleistų Principų. Be to, organizacijos turi viešai paskelbti savo privatumo taisykles ir joms turi būti taikoma Federalinės prekybos komisijos (FPK) jurisdikcija pagal Federalinės prekybos komisijos akto 5 skirsnį, kuriuo draudžiami komercijoje galimi naudoti ar jai įtakos turėti nesąžiningi ar apgaulingi veiksmai ar metodai, arba kitos įstatyminės institucijos jurisdikcija, kuri veiksmingai užtikrintų, kad būtų laikomasi pagal FAQ įgyvendinamų Principų.
<...>
(8) Siekiant skaidrumo ir norint apsaugoti valstybių narių kompetentingų institucijų gebėjimą užtikrinti asmenų apsaugą tvarkant jų asmens duomenis, šiame sprendime būtina tiksliai apibrėžti išskirtines aplinkybes, kuriomis būtų pateisinamas tam tikrų ypatingų duomenų srautų perdavimo sulaikymas, nepaisant to, kad yra pakankama apsauga.“
7 Pagal Sprendimo 2000/520 1–4 straipsnius:
„1 straipsnis
1. Direktyvos 95/46/EB 25 straipsnio 2 dalyje numatytais tikslais, visai tos direktyvos taikymo srityje numatytai veiklai, šio sprendimo I priede pateikti „saugaus uosto privatumo principai“ (toliau vadinami „Principais“) taikomi laikantis šio sprendimo II priede pateiktų 2000 m. liepos 21 d. JAV komercijos departamento išleistų „Dažnai užduodamų klausimų“ (toliau vadinamų „FAQ“) nurodymų ir laikomi užtikrinančiais pakankamą Jungtinėse Valstijose įsikūrusioms organizacijoms iš Bendrijos perduodamų asmens duomenų apsaugos lygį, atsižvelgiant į tokius JAV komercijos departamento išleistus dokumentus:
a) „saugaus uosto“ reikalavimų vykdymo priežiūros apžvalgą, pateiktą III priede;
b) memorandumą dėl JAV teisės aktuose nustatytų nuostolių už privatumo ir aiškių įgaliojimų pažeidimus atlyginimą, pateiktą IV priede;
c) Federalinės prekybos komisijos laišką, pateiktą V priede;
d) JAV transporto departamento laišką, pateiktą VI priede.
2. Vykdant kiekvieną duomenų perdavimo operaciją, būtina įvykdyti tokias sąlygas:
a) duomenis gaunanti organizacija vienareikšmiai ir viešai turi paskelbti apie savo įsipareigojimą laikytis pagal FAQ vykdomų Principų; ir
b) ta organizacija turi priklausyti vienai iš šio sprendimo VII priede išvardytų Jungtinių Valstijų Vyriausybinių institucijų, įgaliotų tirti skundus, ginti nuo nesąžiningų ar apgaulingų veiksmų ir atlyginti žalą asmenims, nesvarbu, kokioje šalyje jie gyvena, ar kokia jų tautybė, patirtą dėl pagal FAQ vykdomų Principų nesilaikymo, jurisdikcijai.
3. Šio straipsnio 2 dalyje nustatytų sąlygų laikomasi, jei organizacija pasiskelbia besilaikanti pagal FAQ vykdomų Principų, nuo dienos, kurią ta organizacija praneša JAV komercijos departamentui (ar jo įgaliotam asmeniui) apie viešą šio straipsnio 2 dalies a punkte nurodyto įsipareigojimo paskelbimą ir nurodo šio straipsnio 2 dalies b punkte nurodytos institucijos tapatybę.
2 straipsnis
Šis sprendimas yra susijęs tik su Jungtinėse Valstijose pagal FAQ vykdomų Principų teikiamos apsaugos pakankamumu tam, kad būtų laikomasi Direktyvos 95/46/EB 25 straipsnio 1 dalies reikalavimų, ir neturi įtakos kitų su asmens duomenų tvarkymu valstybėse narėse susijusių tos direktyvos nuostatų, ypač jos 4 straipsnio, taikymui.
3 straipsnis
1. Nepažeidžiant valstybių narių kompetentingų institucijų teisių imtis veiksmų, kad būtų laikomasi nacionalinių teisės nuostatų, priimtų pagal Direktyvos 95/46/EB, išskyrus 25 straipsnį, nuostatas, tos institucijos gali pasinaudoti teise sustabdyti duomenų teikimą organizacijai, kuri pasiskelbė besilaikanti pagal FAQ vykdomų Principų, taip apsaugant asmenis, kad jų duomenys nebūtų tvarkomi, jei:
a) šio sprendimo VII priede nurodyta Jungtinių Valstijų Vyriausybinė institucija arba šio sprendimo I priede nustatyto Vykdymo priežiūros [vykdymo] principo a punkte numatytas nepriklausomas regreso teisės [skundų pateikimo] mechanizmas nustato, kad ta organizacija pažeidžia pagal FAQ vykdomus Principus; arba
b) yra didelė tikimybė, kad Principai yra pažeisti; galima pagrįstai manyti, kad naudojant atitinkamą vykdymo priežiūros [vykdymo] mechanizmą nesiimama ar nebus imtasi pakankamų ir savalaikių priemonių išspręsti iškilusią problemą; tęsiant duomenų perdavimą susidarytų neišvengiamas pavojus rimtai pakenkti duomenų subjektams; valstybės narės kompetentingos institucijos ėmėsi pagrįstų pastangų tokiomis aplinkybėmis pranešti apie tai organizacijai ir suteikti jai galimybę nurodyti priežastis.
Duomenų teikimo sustabdymas nutraukiamas, kai tik yra užtikrinama, kad laikomasi pagal FAQ vykdomų Principų ir apie tai pranešama atitinkamoms kompetentingoms institucijoms Bendrijoje.
2. Valstybės narės nedelsdamos praneša Komisijai, kai imamasi priemonių pagal šio straipsnio 1 dalies nuostatas.
3. Valstybės narės ir Komisija taip pat informuoja viena kitą apie atvejus, kai atsakingų už pagal FAQ vykdomų Principų laikymąsi institucijų Jungtinėse Valstijose veiksmai neužtikrina tokio laikymosi.
4. Jei pagal šio straipsnio 1, 2 ir 3 dalių nuostatas sukaupta informacija suteikia įrodymus, kad bet kuri atsakinga už pagal FAQ vykdomų Principų laikymąsi institucija Jungtinėse Valstijose tinkamai neatlieka savo prievolių, Komisija informuoja JAV komercijos departamentą ir, jei būtina, pagal Direktyvos 95/46/EB 31 straipsnyje nustatytą tvarką pateikia numatomų šio sprendimo atšaukimo, sustabdymo ar jos taikymo srities apribojimo priemonių projektą.
4 straipsnis
1. Šis sprendimas gali būti bet kada pakeistas atsižvelgiant į jo vykdymo patirtį ir (arba) tuo atveju, jei JAV teisės aktais būtų reikalaujama didesnio už Principų ir FAQ suteikiamą apsaugos lygį. Praėjus trejiems metams po sprendimo pranešimo valstybėms narėms, Komisija įvertina, kaip šis sprendimas vykdomas, ir remdamasi turima informacija praneša susijusias išvadas pagal Direktyvos 95/46/EB 31 straipsnį įsteigtam Komitetui, įskaitant visus įrodymus, kurie gali turėti įtakos vertinant, ar šio sprendimo 1 straipsnio nuostatos suteikia pakankamą apsaugą, kaip numato Direktyvos 95/46/EB 25 straipsnis, ir bet kokius galimus įrodymus, kad taikant šį sprendimą kas nors yra diskriminuojamas.
2. Jei būtina, Komisija pateikia numatomų priemonių projektą laikydamasi Direktyvos 95/46/EB 31 straipsnyje nustatytos tvarkos.“
8 Sprendimo 2000/520 I priedas suformuluotas taip:
„Saugaus uosto“ privatumo principai
2000 m. liepos 21 d. išleisti JAV komercijos departamento
<…>
<...> Komercijos departamentas, turėdamas įstatymų nustatytus įgaliojimus, išleidžia šį dokumentą ir „Dažnai užduodamus klausimus“ („Principus“), skirtus remti, skatinti ir plėsti tarptautinę komerciją [skirtus tarptautinei komercijai remti, skatinti ir plėsti]. Šie Principai buvo sukurti pasikonsultavus su pramonės ir visuomenės atstovais ir skirti prekybai bei komercijai tarp Jungtinių Valstijų ir Europos Sąjungos palengvinti. Jie tinka naudoti tik JAV organizacijoms, gaunančioms asmens duomenis iš Europos Sąjungos, kad jos galėtų gauti „saugaus uosto“ ir jo sukuriamos „pakankamumo“ prezumpcijos teises [skirti tik JAV organizacijoms, gaunančioms asmens duomenis iš Europos Sąjungos, ir turi leisti joms įvykdyti su „saugiu uostu“ susijusias sąlygas, kad joms būtų galima taikyti šiame sprendime numatytą „adekvataus apsaugos lygio“ prezumpciją]. Kadangi Principai skirti tik šiam konkrečiam tikslui, jie gali netikti kitiems tikslams. <...>
Organizacijos nusprendžia įgyti „saugaus uosto“ teises visiškai savanoriškai ir tas teises jos gali įgyti įvairiais būdais [Bet kuri organizacija gali laisvai vykdyti „saugaus uosto“ reikalavimus ir gali juos įvykdyti įvairiais būdais]. <…>
Principų laikymasis gali būti ribojamas: a) tiek, kiek būtina atsižvelgiant į nacionalinio saugumo, visuomenės interesus arba teisės aktų vykdymo reikalavimus [į reikalavimus, susijusius su nacionaliniu saugumu, viešuoju interesu ir Jungtinių Amerikos Valstijų teisės aktų laikymusi]; b) įstatymais, Vyriausybės nutarimais arba precedentine teise, dėl kurių atsiranda prieštaringų įsipareigojimų ar aiškių įgaliojimų, jei vykdydama tokius įgaliojimus organizacija gali įrodyti, kad Principų nesilaikoma tik tiek, kiek tai būtina atsižvelgiant į organizacijos palaikomus viršesnius teisėtus interesus; arba c) jei valstybės narės įstatymai dėl [d]irektyvos numato išimtis ar leidžiančias nukrypti nuostatas ir jei tokios išimtys ar leidžiančias nukrypti nuostatos taikomos dėl panašių priežasčių. Siekdamos privatumo apsaugos stiprinimo, organizacijos turi stengtis visiškai ir skaidriai laikytis šių Principų, o jei ankstesnio sakinio b punkte nurodytos išimtys bus taikomos reguliariai, jos turi tai nurodyti savo privatumo taisyklėse. Dėl tos pačios priežasties pageidaujama, kad tais atvejais, kai pagal Principus ir (arba) JAV taisės aktus galima pasirinkti kelis variantus, organizacijos pasirinktų geriausią apsaugą suteikiantį variantą.
<…>“
9 Sprendimo 2000/520 II priede nustatyta:
„Dažnai užduodami klausimai (FAQ)
<…>
6 FAQ – Įsipareigojimas
K: Kaip organizacija gali įsipareigoti laikytis „saugaus uosto“ principų?
A: „Saugaus uosto“ privilegijos suteikiamos nuo dienos, kurią organizacija patvirtina Komercijos departamentui (ar jo įgaliotam asmeniui), kad ji įsipareigoja laikytis Principų pagal toliau pateiktus nurodymus.
Norėdamos patvirtinti savo dalyvavimą „saugiame uoste“, organizacijos gali pateikti Komercijos departamentui (ar jo įgaliotam asmeniui) kompanijos pareigūno organizacijos vardu pasirašytą raštą, kad prisijungiama prie „saugaus uosto“, kuriame būtų pateikta bent jau tokia informacija:
1) organizacijos pavadinimas, pašto adresas, elektroninio pašto adresas, telefono ir fakso numeriai;
2) organizacijos veiklos, susijusios su asmenine informacija, gaunama iš ES, aprašymas ir;
3) organizacijos privatumo taisyklių, susijusių su asmenine informacija, aprašymas: a) kur su šiomis privatumo taisyklėmis galima viešai susipažinti; b) jų taikymo pradžios data; c) ryšių palaikymo biuras, kuris svarsto skundus, vertina reikalavimus ir tvarko visus kitus „saugaus uosto“ sistemos reikalus; d) konkreti įstatyminė institucija, turinti jurisdikciją svarstyti bet kokius skundus prieš organizaciją dėl galimų nesąžiningų ar apgaulingų veiksmų ir privatumo teisės aktų ar taisyklių pažeidimų (esanti Principų papildyme [priede] pateiktame sąraše); e) privatumo programų, kuriose dalyvauja organizacija, pavadinimai; f) patikrinimo būdas (pvz., vidinis, trečiųjų šalių) <...> ir g) nepriklausomas regreso teisės mechanizmas neišspręstiems nusiskundimams tirti [nepriklausomas skundų pateikimo mechanizmas, pagal kurį būtų tiriami neišspręsti skundai].
Organizacijos, kurios pageidauja praplėsti „saugaus uosto“ privilegijas žmogiškųjų išteklių informacijai, perduodamai iš ES ir skirtai naudoti darbo santykiuose [esant darbo santykiams], gali tai daryti, jei yra įstatyminė institucija, turinti jurisdikciją svarstyti bet kokius skundus prieš organizaciją dėl informacijos apie žmogiškuosius išteklius ir esanti Principų priede pateiktame sąraše. <...>
Departamentas (ar jo įgaliotas asmuo) turės tokius raštus pateikusių visų organizacijų sąrašą ir taip bus užtikrinta galimybė naudotis „saugaus uosto“ privilegijomis. Sąrašas bus atnaujintas pagal kasmetinius raštus ir pranešimus, gautus pagal 11 FAQ nurodymus. <...>
<…>
11 FAQ – Ginčų sprendimas ir vykdymo priežiūra [sprendimų vykdymas]
K: Kaip turi būti įgyvendinami Vykdymo priežiūros principo ginčų sprendimo reikalavimai ir kas daroma, jei organizacija nuolatos pažeidinėja Principus? [Kaip turi būti įgyvendinami vykdymo principo reikalavimai dėl ginčų sprendimo ir kaip reikia vertinti nuolatinį organizacijos vykdomą Principų pažeidimą?]
A: Vykdymo priežiūros principas nustato „saugaus uosto“ taisyklių vykdymo priežiūros reikalavimus. [Vykdymo principas nustato reikalavimus, kuriais grindžiamas „saugaus uosto“ įgyvendinimas]. FAQ dėl tikrinimo (7 FAQ) nurodyta, kaip vykdyti Principo b punkto reikalavimus. Šiame 11 FAQ kalbama apie a ir c punktus, kuriais remiantis reikalingi nepriklausomi regreso teisės [skundų pateikimo] mechanizmai. Tokie mechanizmai gali būti įvairūs, tačiau jie privalo atitikti Vykdymo priežiūros [vykdymo] principo reikalavimus. Organizacijos gali vykdyti reikalavimus taip: 1) vykdydamos kartu su privačiu sektoriumi sukurtas programas, į kurių taisykles įtraukti „saugaus uosto“ principai ir kuriuose yra veiksmingi vykdymo priežiūros [vykdymo] mechanizmai, atitinkantys aprašytuosius Vykdymo priežiūros [vykdymo] principe; 2) laikydamosi teisinių ar priežiūros institucijų, nagrinėjančių asmenų skundus ir sprendžiančių ginčus, reikalavimų; arba 3) įsipareigodamos bendradarbiauti su Europos Sąjungoje esančiomis duomenų apsaugos institucijomis arba jų įgaliotais atstovais. Šis sąrašas yra tik paaiškinamasis [pavyzdinis] ir nebaigtinis. Privatus sektorius gali sukurti kitokius vykdymo priežiūros [vykdymo] mechanizmus, bet jie privalo atitikti Vykdymo priežiūros [vykdymo] principą ir FAQ reikalavimus. Prašome atsižvelgti į tai, kad Vykdymo priežiūros [vykdymo] principo reikalavimai papildo Principų aprašymo įvado 3 pastraipos reikalavimus, ir kad pagal Federalinės prekybos komisijos akto 5 straipsnį ar panašų norminį aktą privalo būti numatytos savireguliacijos priemonės [remiantis šiais reikalavimais turi būti nustatytos savireguliacijos priemonės, numatytos Federalinės prekybos komisijos akto 5 skirsnyje arba panašiame teisės akte].
Regreso teisės [Skundų pateikimo] mechanizmai
Pirmiausia vartotojai turėtų būti raginami teikti bet kokius galimus skundus pačioms organizacijoms, o tik vėliau pasinaudoti nepriklausomais regreso teisės [skundų pateikimo] mechanizmais. <...>
<…>
FPK veikla
FPK įsipareigojo pirmumo tvarka nagrinėti iš privatumo savireguliacijos institucijų, pvz., „BBBOnline“ ir „TRUSTe“, ir iš „saugaus uosto“ principų nesilaikymą įtariančių ES valstybių narių gautus pranešimus, kad nuspręstų, ar buvo pažeistas FPK akto 5 skirsnis, kuriuo komercijoje draudžiami nesąžiningi arba apgaulingi veiksmai ir metodai. <...>
<...>“
10 Pagal Sprendimo 2000/520 IV priedą:
„Nuostolių, atsiradusių dėl privatumo pažeidimo, atlyginimas, teisiniai įgaliojimai ir susijungimai bei įsigijimai pagal JAV įstatymus
Tai – atsakymas į Europos Komisijos prašymą išaiškinti JAV teisės aktus dėl: a) ieškinių dėl privatumo pažeidimo nuostolių atlyginimo; b) „aiškių įgaliojimų“ JAV teisės aktuose naudoti asmeninę informaciją „saugaus uosto“ principų neatitinkančiu būdu ir c) susijungimų ir įsigijimų poveikio pagal „saugaus uosto“ principus prisiimtiems įsipareigojimams.
<…>
B. Aiškūs teisiniai įgaliojimai
„Saugaus uosto“ principuose numatyta išimtis, kai įstatymas, kiti teisės aktai ar precedentinė teisė sukuria „prieštaraujančius įsipareigojimus ar aiškius įgaliojimus, jei vykdydama bet kurį iš tokių įgaliojimų organizacija gali įrodyti, kad ji nesilaiko principų tik tiek, kiek tai būtina laikantis svarbesnių teisėtų interesų pagal tokį įgaliojimą“. Akivaizdu, kad tuomet, kai JAV teisės aktai nustato prieštaraujančius įsipareigojimus, tiek „saugaus uosto“ sistemai priklausančios, tiek nepriklausančios JAV organizacijos privalo laikytis teisės aktų. Kalbant apie aiškius įgaliojimus, nors „saugaus uosto“ principai skirti įveikti skirtumus tarp JAV ir Europos privatumo apsaugos režimų, mes gerbiame mūsų išrinktų įstatymų leidėjų teisines prerogatyvas. Tam tikromis griežto „saugaus uosto“ principų laikymosi išimtimis siekiama subalansuoti kiekvienos pusės teisėtus interesus.
Tokios išimtys apsiriboja aiškiais įgaliojimais. Todėl rodikli[s] yra tai, ar atitinkamas įstatymas, kiti teisės aktai ar teismo sprendimas tvirtai įgalioja „saugaus uosto“ organizacijas elgtis tam tikru būdu. Kitaip tariant, išimtis negalioja, jei apie tai neparašyta teisės aktuose. Be to, išimtys taikomos tik tuomet, kai aiškus įgaliojimas prieštarauja „saugaus uosto“ principams. Net ir tokiu atveju išimtis taikoma „tik tiek, kiek tai būtina laikantis viršesnių teisėtų interesų pagal tokį įgaliojimą“. Pavyzdžiui, jei teisės aktai tiesiog įgalioja bendrovę pateikti asmeninę informaciją Vyriausybinėms institucijoms, tokia išimtis negalioja. Ir priešingai, jei įstatymas konkrečiai įgalioja kompaniją suteikti asmeninę informaciją Vyriausybinėms institucijoms be asmens sutikimo, tai „aiškus įgaliojimas“ veikti priešingai „saugaus uosto“ principams. Priešingai, aiškiai apibrėžtos išimtys, leidžiančios nesilaikyti patvirtintų reikalavimų pranešti ir gauti sutikimą, priklausys išimties veikimo sričiai (kadangi tai atitinka konkretų įgaliojimą atskleisti informaciją nepranešant ir neprašant sutikimo). Pavyzdžiui, teisės aktas, kuris įgalioja gydytojus suteikti jų pacientų medicininių įrašų korteles sveikatos apsaugos pareigūnams be paciento išankstinio sutikimo, gali leisti išimtinai nesilaikyti pranešimo ir pasirinkimo principų. Toks įgaliojimas neleidžia gydytojui suteikti tų pačių medicininių įrašų kortelių sveikatos priežiūros organizacijoms ar komercinėms farmacinių tyrimų laboratorijoms, kurios nepatenka į teisės akto taikymo sritį, ir todėl joms netaikoma išimtis. Nagrinėjama institucija gali būti „pavieni[s]“ įgaliojim[as] panaudoti asmeninę informaciją, tačiau, kaip rodo toliau pateikti pavyzdžiai, tai dažniausiai būna platesnio teisės akto, kuris draudžia asmeninės informacijos rinkimą, naudojimą ar atskleidimą, išimti[s].
<…>“
Komunikatas COM(2013) 846 final
11 2013 m. lapkričio 27 d. Komisija priėmė Komunikatą Tarybai ir Europos Parlamentui „Pasitikėjimo ES ir JAV duomenų mainais atkūrimas“, [COM(2013) 846 final] (toliau – Komunikatas COM(2013) 846 final). Prie šio komunikato buvo pridėta tos pačios dienos ataskaita „ES ir JAV darbo grupės duomenų apsaugos klausimais ES pirmininkų išvados“ („Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection“). Kaip matyti iš šios ataskaitos 1 punkto, ji buvo parengta bendradarbiaujant su Jungtinėmis Amerikos Valstijomis, kai paaiškėjo, kad šioje šalyje vykdomos kelios sekimo programos, apimančios didelės apimties asmens duomenų rinkimą ir tvarkymą. Šioje ataskaitoje, be kita ko, pateikta išsami Jungtinių Amerikos Valstijų teisės sistemos analizė, ypač kiek tai susiję su teisiniu pagrindu, kuriuo grindžiamas sekimo programų buvimas ir Jungtinių Amerikos Valstijų institucijų vykdomas asmens duomenų rinkimas ir tvarkymas.
12 Komunikato COM(2013) 846 final 1 punkte Komisija nurodo, kad „komercinius mainus reglamentuoja Sprendimas [2000/520]“, ir priduria, kad „šis sprendimas – teisinis pagrindas, kuriuo remiantis asmens duomenys iš ES perduodami JAV įsteigtoms ir „saugaus uosto“ principus taikančioms bendrovėms“. Be to, tame pačiame 1 punkte Komisija pabrėžia vis didėjančią asmens duomenų teikimo reikšmę, susijusią su skaitmeninės ekonomikos plėtra, kuri iš tiesų „lėmė drastišką duomenų tvarkymo veiklos išaugimą kiekybės, kokybės, įvairovės ir pobūdžio požiūriu“.
13 Šio komunikato 2 punkte Komisija pažymi, kad „išaugo susirūpinimas pagal „saugaus uosto“ principus JAV perduotų [Sąjungos] piliečių asmens duomenų apsaugos lygiu“ ir kad „savanoriškas ir deklaratyvus šios priemonės pobūdis atkreipė dėmesį į jos skaidrumą ir vykdymo užtikrinimą“.
14 Be to, tame 2 punkte ji pažymėjo, kad „pagal susitarimą dėl „saugaus uosto“ [į] JAV nusiųstus [Sąjungos] piliečių asmens duomenis JAV valdžios institucijos gali gauti ir toliau tvarkyti tokiu būdu, kuris yra nesuderinamas su jų surinkimo [Sąjungoje] pagrindais ir tikslais, kuriais jie buvo perduoti JAV“, ir kad „[d]auguma JAV interneto bendrovių, kurios yra kiek labiau susijusios su [sekimo] programomis, yra sertifikuotos pagal „saugaus uosto“ schemą [yra įsipareigojusios pagal „saugaus uosto“ sistemą]“.
15 Komunikato COM(2013) 846 final 3.2 punkte Komisija atkreipia dėmesį į kelis Sprendimo 2000/520 schemos įgyvendinimo trūkumus. Tame punkte ji nurodė, pirma, kad įsipareigojusios Jungtinių Amerikos Valstijų įmonės nesilaiko Sprendimo 2000/520 1 straipsnio 1 dalyje nustatytų principų (toliau – „saugaus uosto“ principai) ir kad to sprendimo tobulinimai turėtų būti susiję su „struktūriniais trūkumais, susijusiais su skaidrumu ir vykdymo užtikrinimu, esminiais „saugaus uosto“ principais ir nacionalinio saugumo išimties taikymu“. Antra, ji pažymi, kad „saugus uostas“ taip pat veikia kaip laidininkas, kuriuo [Sąjungos] piliečių asmens duomenys JAV žvalgybos tarnybų prašymu pagal JAV žvalgybos duomenų rinkimo programas bendrovių perduodami iš ES į JAV“.
16 Tame 3.2 punkte Komisija padarė išvadą, kad „[a]tsižvelgiant į nustatytus trūkumus, „saugaus uosto“ schemos įgyvendinimas dabartinėmis aplinkybėmis negali būti tęsiamas, <...> ją panaikinus [vis dėlto] būtų pažeisti schemą taikančių [Sąjungos] ir JAV bendrovių interesai“. Galiausiai tame pačiame punkte Komisija pridūrė, kad ji „skubos tvarka kreipsis į JAV valdžios institucijas, kad aptartų nustatytus trūkumus“.
Komunikatas COM(2013) 847 final
17 Tą pačią dieną, t. y. 2013 m. lapkričio 27 d., Komisija priėmė Komunikatą Europos Parlamentui ir Tarybai dėl „saugaus uosto“ nuostatų veikimo ES piliečių ir ES įsisteigusių bendrovių požiūriu [COM(2013) 847 final, toliau – Komunikatas COM(2013) 847 final). Kaip matyti iš šio komunikato 1 punkto, jis grindžiamas, be kita ko, ad hoc Europos Sąjungos ir Jungtinių Amerikos Valstijų darbo grupės gauta informacija ir pateikiamas po dviejų Komisijos vertinimo ataskaitų, paskelbtų atitinkamai 2002 m. ir 2004 m.
18 Šio komunikato 1 punkte pažymima, kad Sprendimo 2000/520 veikimas „grindžiamas sistemoje dalyvaujančių bendrovių sprendimu įsipareigoti ir jų įsipareigojimu“, ir priduria, kad „šie susitarimai pasirašomi savanoriškai, tačiau juos pasirašius nustatytų taisyklių laikytis privaloma“.
19 Be to, iš Komunikato COM(2013) 847 final 2.2 punkto matyti, kad 2013 m. rugsėjo 26 d. 3 246 įmonės, priklausančios įvairiems ekonomikos ir paslaugų sektoriams, yra įsipareigojusios. Dažniausiai šios įmonės teikia paslaugas Sąjungos vidaus rinkoje, ypač interneto sektoriuje, o dalis jų yra Sąjungos įmonės, turinčios dukterinių bendrovių Jungtinėse Amerikos Valstijose. Kai kurios šių įmonių tvarko Europoje dirbančių savo darbuotojų duomenis, perduodamus į šią šalį žmogiškųjų išteklių valdymo tikslais.
20 Tame pačiame 2.2 punkte Komisija pabrėžė, kad „nepakankamas [skaidrumas] ir bet kokia [vykdymo] užtikrinimo spraga iš JAV pusės reiškia, kad atsakomybė tenka Europos duomenų apsaugos institucijoms ir sistemai priklausančioms bendrovėms [šią sistemą taikančioms įmonėms]“.
21 Iš Komunikato COM(2013) 847 final 3–5 ir 8 punktų matyti, kad praktiškai daug įsipareigojusių įmonių nevisiškai laikosi arba nesilaiko „saugaus uosto“ principų.
22 Be to, šio komunikato 7 punkte Komisija nurodo, kad „visos bendrovės, dalyvaujančios programoje PRISM [didelės apimties žvalgybos duomenų rinkimo programa], kuri suteikia JAV valdžios institucijoms prieigą prie visų JAV saugomų ar tvarkomų duomenų, turi „saugaus uosto“ sertifikatus“ [yra įsipareigojusios pagal „saugaus uosto“ sistemą] ir kad „saugaus uosto“ sistema „tapo informacijos kanalu, per kurį JAV žvalgybos tarnybos gali rinkti asmens duomenis, prieš tai tvarkytus [Sąjungoje]“. Šiuo klausimu minėto komunikato 7.1 punkte Komisija konstatavo, kad „JAV teisėje yra daug teisės aktų, suteikiančių teisinį pagrindą plačiu mastu rinkti ir tvarkyti asmens duomenis, kurie saugomi ar tvarkomi JAV įsteigtose bendrovėse“, ir kad „[d]idžiulis šių programų mastas gali reikšti tai, kad JAV valdžios institucijos galės gauti ir toliau tvarkyti pagal „saugaus uosto“ sistemą perduotus duomenis, viršydamos tai, kas tikrai būtina ir proporcinga užtikrinant nacionalinį saugumą, kaip numatyta pagal Sprendime [2000/520] įtvirtintą išimtį“.
23 Komunikato COM(2013) 847 final 7.2 punkte „Apribojimai ir galimybės apskųsti [teisių gynimo priemonės]“ Komisija pažymėjo, kad „JAV teisėje nustatytos apsaugos priemonės visų pirma taikytinos JAV piliečiams ar teisėtai šioje šalyje gyvenantiems asmenims“ ir kad „[b]e to, nei [Sąjungos], nei JAV duomenų subjektams nesuteikiama galimybė prieiti prie duomenų, juos taisyti ar ištrinti arba pateikti administracinį ar teisminį skundą dėl jų asmens duomenų rinkimo ar tvarkymo pagal JAV sekimo programas [pasinaudoti administracinėmis arba teisminėmis teisių gynimo priemonėmis, kai pagal Jungtinių Amerikos Valstijų sekimo programą jų asmens duomenys vėliau renkami ir tvarkomi]“.
24 Pagal Komunikato COM(2013) 847 final 8 punktą prie įsipareigojusių įmonių priskiriamos „tokios interneto bendrovės kaip „Google“, „Facebook“, „Microsoft“, „Apple“, „Yahoo“; jos turi „šimtus milijonų klientų Europoje“ ir tvarkymo tikslais perduoda į Jungtines Amerikos Valstijas asmens duomenis.
25 Tame pačiame 8 punkte Komisija nusprendė, kad „plataus masto žvalgybos tarnybų prieiga prie duomenų, kurie buvo perduoti „saugaus uosto“ sertifikatus turinčioms [įsipareigojusioms pagal „saugaus uosto“ sistemą] JAV bendrovėms, kelia rimtų abejonių, ar tebėra užtikrinama europiečių apsauga jų duomenis perduodant [į] JAV“.
Pagrindinė byla ir prejudiciniai klausimai
26 M. Schrems yra Austrijoje gyvenantis šios šalies pilietis; nuo 2008 m. jis yra socialinio tinklo Facebook (toliau – Facebook) naudotojas.
27 Visų Sąjungos teritorijoje gyvenančių asmenų, norinčių naudotis Facebook, per registracijos procedūra prašoma pasirašyti sutartį su Facebook Ireland, Jungtinėse Amerikos Valstijose įsikūrusios patronuojančiosios bendrovės Facebook Inc. dukterine bendrove. Visi Sąjungos teritorijoje gyvenančių Facebook Ireland naudotojų duomenys arba jų dalis perduodami į Facebook Inc. serverius, kurie yra Jungtinių Amerikos Valstijų teritorijoje, ir šie duomenys ten tvarkomi.
28 2013 m. birželio 25 d. M. Schrems Komisarui pateikė skundą, kuriame jo iš esmės prašė įgyvendinti savo statutinius įgaliojimus ir uždrausti Facebook Ireland perduoti jo asmens duomenis į Jungtines Amerikos Valstijas. Šiame skunde jis nurodė, kad pagal šios šalies teisę ir praktiką jos teritorijoje laikomi duomenys nėra pakankamai apsaugoti nuo šios šalies valstybės institucijų sekimo. Šiuo klausimu M. Schrems rėmėsi Edward Snowden atskleista informacija apie Jungtinių Amerikos Valstijų žvalgybos tarnybų, visų pirma Nacionalinės saugumo agentūros (National Security Agency, toliau – NSA), veiklą.
29 Manydamas, kad neprivalo atlikti tyrimo dėl M. Schrems skunde išdėstytų faktinių aplinkybių, Komisaras šį skundą atmetė kaip nepagrįstą. Jis manė, kad nėra įrodymų, jog NSA susipažino su suinteresuotojo asmens duomenimis. Komisaras pridūrė, kad M. Schrems skunde pateiktais kaltinimais negalima veiksmingai remtis, nes visi klausimai dėl asmens duomenų apsaugos Jungtinėse Amerikos Valstijose adekvatumo turi būti sprendžiami vadovaujantis Sprendimu 2000/520, o tame sprendime Komisija konstatavo, jog Jungtinės Amerikos Valstijos užtikrina adekvatų apsaugos lygį.
30 M. Schrems apskundė High Court (Aukštasis Teismas) pagrindinėje byloje nagrinėjamą sprendimą. Išnagrinėjęs šalių pagrindinėje byloje pateiktus įrodymus, šis teismas padarė išvadą, kad iš Sąjungos į Jungtines Amerikos Valstijas perduotų asmens duomenų elektroninis sekimas ir perėmimas atitinka būtinus ir neišvengiamus viešojo intereso tikslus. Vis dėlto minėtas teismas pridūrė, kad E. Snowden atskleista informacija parodė, kad NSA ir kitos federalinės agentūros „gerokai viršijo savo įgaliojimus“.
31 To paties teismo teigimu, Sąjungos piliečiai neturi jokios realios teisės būti išklausyti. Žvalgybos tarnybų veiksmų priežiūra atliekama slaptai ir neparemta rungimosi principu. Kai asmens duomenys perduodami Jungtinėms Amerikos Valstijoms, siekdamos masinio nediferencijuoto duomenų sekimo ir perėmimo tikslų su jais gali susipažinti NSA ir kitos federalinės agentūros, pavyzdžiui, Federalinis tyrimų biuras (Federal Bureau of Investigation, FBI).
32 High Court konstatavo, kad pagal Airijos teisę asmens duomenų perdavimas už nacionalinės teritorijos ribų yra draudžiamas, išskyrus atvejus, kai aptariama trečioji šalis užtikrina adekvatų privataus gyvenimo ir pagrindinių teisių bei laisvių apsaugos lygį. Pagal Airijos Konstitucijos garantuojamas teises į privatų gyvenimą ir būsto neliečiamybę reikalaujama, kad bet koks šių teisių ribojimas būtų proporcingas ir atitiktų įstatyme numatytus reikalavimus.
33 Taigi dėl masinės ir nediferencijuotos prieigos prie asmens duomenų akivaizdžiai pažeidžiamas proporcingumo principas ir pagrindinės Airijos Konstitucijos saugomos vertybės. Tam, kad elektroninės komunikacijos perėmimą būtų galima laikyti atitinkančiu šią Konstituciją, turi būti įrodyta, jog komunikacijos perėmimas yra tikslinis, kad tam tikrų asmenų ar jų grupių sekimas yra objektyviai pateisinamas nacionalinio saugumo ir nusikalstamumo užkardymo interesais ir kad yra adekvačių ir patikrinamų garantijų. Be to, High Court nuomone, jei pagrindinė byla turėtų būti išspręsta remiantis tik Airijos teise, būtų reikėję konstatuoti, kad, esant didelių abejonių dėl to, kad Jungtinės Amerikos Valstijos užtikrina adekvatų asmens duomenų apsaugos lygį, Komisaras privalėtų pradėti tyrimą dėl M. Schrems skunde išdėstytų aplinkybių ir kad jis nepagrįstai tą skundą atmetė.
34 Vis dėlto High Court mano, kad ši byla susijusi su Sąjungos teisės įgyvendinimu, kaip tai suprantama pagal Chartijos 51 straipsnį, todėl pagrindinėje byloje nagrinėjamo sprendimo teisėtumą reikia vertinti atsižvelgiant į Sąjungos teisę. Šio teismo nuomone, Sprendimas 2000/520 neatitinka to, ko reikalaujama tiek pagal Chartijos 7 ir 8 straipsnius, tiek pagal Teisingumo Teismo sprendime Digital Rights Ireland ir kt. (C‑293/12 ir C‑594/12, EU:C:2014:238) įtvirtintus principus. Chartijos 7 straipsnyje garantuojama teisė į privatų gyvenimą ir pagrindinės valstybių narių bendros tradicinės vertybės netektų prasmės, jei valdžios institucijoms būtų leista atsitiktinai ir apskritai susipažinti su elektronine komunikacija, nenurodant objektyvių pateisinimų, grindžiamų nacionalinio saugumo ar nusikalstamumo prevencijos priežastimis, susijusiomis konkrečiai su atitinkamais individais, ir nesiejant šių veiksmų su adekvačiomis ir patikrinamomis garantijomis.
35 High Court taip pat pažymi, kad iš tikrųjų savo skunde M. Schrems nesutinka su Sprendime 2000/520 nustatytos „saugaus uosto“ sistemos, dėl kurios turi būti priimtas sprendimas pagrindinėje byloje, teisėtumu. Nors M. Schrems formaliai neginčijo nei Direktyvos 95/46, nei Sprendimo 2000/520 galiojimo, šio teismo nuomone, klausimas yra susijęs su tuo, ar remiantis šios direktyvos 25 straipsnio 6 dalimi Komisaras yra saistomas Sprendime 2000/520 padarytos Komisijos išvados, kad Jungtinės Amerikos Valstijos užtikrina adekvatų apsaugos lygį, arba ar pagal Chartijos 8 straipsnį Komisarui leidžiama prireikus nesivadovauti tokia išvada.
36 Šiomis aplinkybėmis High Court nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar atsižvelgiant į Europos Sąjungos pagrindinių teisių chartijos 7, 8 ir 47 straipsnius ir nepažeidžiant to, kas numatyta Direktyvos 95/46 25 straipsnio 6 dalies nuostatose, nepriklausomas Komisaras, atsakingas už teisės aktų duomenų apsaugos srityje taikymą, nagrinėdamas skundą, susijusį su asmens duomenų perdavimu trečiajai šaliai (šiuo atveju – į Jungtines Amerikos Valstijas), kurios įstatymuose ir praktikoje, pareiškėjo teigimu, nenumatyta adekvačių atitinkamo asmens apsaugos priemonių, yra absoliučiai saistomas priešingos Sąjungos išvados, padarytos Sprendime 2000/520?
2. Jei taip nėra, ar jis gali ir (arba) privalo pats ištirti šį klausimą, atsižvelgdamas į per laikotarpį nuo tada, kai minėtas Komisijos sprendimas buvo pirmą kartą paskelbtas, pasikeitusias faktines aplinkybes?“
Dėl prejudicinių klausimų
37 Šiais prejudiciniais klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia sužinoti, ar Direktyvos 95/46 25 straipsnio 6 dalis, siejama su Chartijos 7, 8 ir 47 straipsniais, turi būti aiškinama taip, kad pagal šią nuostatą priimtas sprendimas, pavyzdžiui, Sprendimas 2000/520, kuriame Komisija konstatuoja, jog trečioji šalis užtikrina adekvatų apsaugos lygį, sudaro šios direktyvos 28 straipsnyje numatytai valstybės narės priežiūros institucijai kliūčių nagrinėti asmens prašymą apsaugoti jo teises ir laisves tvarkant su juo susijusius asmens duomenis, perduotus iš valstybės narės į šią trečiąją šalį, jei šis asmuo teigia, kad pagal šios šalies teisę ir praktiką nėra užtikrinamas adekvatus apsaugos lygis.
Dėl Direktyvos 95/46 28 straipsnyje numatytų nacionalinių priežiūros institucijų įgaliojimų, kai yra priimtas Komisijos sprendimas pagal šios direktyvos 25 straipsnio 6 dalį
38 Pirmiausia reikia priminti, kad Direktyvos 95/46 nuostatos, reglamentuojančios asmens duomenų tvarkymą, dėl kurio gali būti pažeistos pagrindinės laisvės, ypač teisė į privatų gyvenimą, turi būti būtinai aiškinamos atsižvelgiant į Chartijoje garantuojamas pagrindines teises (žr. Sprendimo Österreichischer Rundfunk ir kt., C‑465/00, C‑138/01 ir C‑139/01, EU:C:2003:294, 68 punktą; Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 68 punktą ir Sprendimo Ryneš, C‑212/13, EU:C:2014:2428, 29 punktą).
39 Iš Direktyvos 95/46 1 straipsnio, taip pat 2 ir 10 konstatuojamųjų dalių aišku, kad ja siekiama garantuoti ne tik veiksmingą ir visapusišką fizinių asmenų pagrindinių teisių ir laisvių, ypač teisės į privatų gyvenimą, apsaugą tvarkant asmens duomenis, bet ir aukštą šių pagrindinių teisių ir laisvių apsaugos lygį. Tiek Chartijos 7 straipsnyje garantuojamos pagrindinės teisės į privatų gyvenimą, tiek jos 8 straipsnyje garantuojama pagrindinė teisė į asmens duomenų apsaugą reikšmė yra taip pat pabrėžta Teisingumo Teismo praktikoje (žr. Sprendimo Rijkeboer, C‑553/07, EU:C:2009:293, 47 punktą; Sprendimo Digital Rights Ireland ir kt., C‑293/12 ir C‑594/12, EU:C:2014:238, 53 punktą ir Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 53, 66, 74 punktus ir juose nurodytą teismų praktiką).
40 Dėl nacionalinių priežiūros institucijų įgaliojimų perduodant asmens duomenis į trečiąją šalį reikia pažymėti, kad pagal Direktyvos 95/46 28 straipsnio 1 dalį valstybės narėms nurodoma įsteigti vieną ar daugiau priežiūros institucijų, kurios visiškai nepriklausomai kontroliuotų, kaip laikomasi Sąjungos taisyklių dėl fizinių asmenų apsaugos tvarkant tokius duomenis. Šis reikalavimas kyla ir iš pirminės Sąjungos teisės, visų pirma Chartijos 8 straipsnio 3 dalies ir SESV 16 straipsnio 2 dalies (šiuo klausimu žr. Sprendimo Komisija / Austrija, C‑614/10, EU:C:2012:631, 36 punktą ir Sprendimo Komisija / Vengrija, C‑288/12, EU:C:2014:237, 47 punktą).
41 Nacionalinių priežiūros institucijų nepriklausomumo garantija siekiama užtikrinti veiksmingą ir patikimą nuostatų, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis, laikymosi kontrolę ir ji turi būti aiškinama atsižvelgiant į šį tikslą. Ši garantija buvo nustatyta, kad būtų sustiprinta su šių institucijų sprendimais susijusių asmenų ir organizacijų apsauga. Kaip minėta Direktyvos 95/46 62 konstatuojamojoje dalyje, nepriklausomų priežiūros institucijų įsteigimas valstybėse narėse yra esminis asmenų apsaugos tvarkant asmens duomenis elementas (žr. Sprendimo Komisija / Vokietija, C‑518/07, EU:C:2010:125, 25 punktą ir Sprendimo Komisija / Vengrija, C‑288/12, EU:C:2014:237, 48 punktą ir jame nurodytą teismo praktiką).
42 Siekdamos garantuoti šią apsaugą nacionalinės priežiūros institucijos turi, be kita ko, užtikrinti teisingą, pirma, pagrindinės teisės į privatų gyvenimą ir, antra, laisvo asmens duomenų judėjimo interesų pusiausvyrą (šiuo klausimu žr. Sprendimo Komisija / Vokietija, C‑518/07, EU:C:2010:125, 24 punktą ir Sprendimo Komisija / Vengrija, C‑288/12, EU:C:2014:237, 51 punktą).
43 Šiuo klausimu šios institucijos turi nemažai įgaliojimų ir šie įgaliojimai, kurių negalutinis sąrašas pateiktas Direktyvos 95/46 28 straipsnio 3 dalyje, yra būtinos priemonės, kad jos galėtų atlikti savo užduotis, kaip nurodyta šios direktyvos 63 konstatuojamojoje dalyje. Taigi minėtos institucijos turi tyrimo įgaliojimus, pavyzdžiui, įgaliojimus rinkti bet kokią jų priežiūros funkcijai vykdyti būtiną informaciją, įgaliojimus imtis tokių veiksmingų intervencijos priemonių, koks yra laikinas ar galutinis draudimas tvarkyti duomenis, arba įgaliojimus kreiptis į teismą.
44 Tiesa, iš Direktyvos 96/45 28 straipsnio 1 ir 6 dalių matyti, kad nacionalinių priežiūros institucijų įgaliojimai yra susiję su asmens duomenų tvarkymu tų institucijų valstybės narės teritorijoje, todėl remiantis šiuo 28 straipsniu jos neturi įgaliojimų, kai tokie duomenys tvarkomi trečiosios šalies teritorijoje.
45 Tačiau asmens duomenų perdavimo iš valstybės narės į trečiąją šalį operacija savaime yra asmens duomenų tvarkymas pagal Direktyvos 95/46 2 straipsnio b punktą (šiuo klausimu žr. Sprendimo Parlamentas / Taryba ir Komisija, C‑317/04 ir C‑318/04, EU:C:2006:346, 56 punktą), atliekamas valstybės narės teritorijoje. Iš tiesų šioje nuostatoje „asmens duomenų tvarkymas“ apibrėžiamas kaip „bet kuri operacija ar operacijų rinkinys, automatiniais arba neautomatiniais būdais atliekamos su asmens duomenimis“, ir pateikiamas toks pavyzdys – „atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus“.
46 Direktyvos 95/46 60 konstatuojamojoje dalyje paaiškinama, kad asmens duomenys gali būti perduodami į trečiąsias šalis tik griežtai laikantis valstybių narių pagal šią direktyvą priimtų nuostatų. Šiuo klausimu minėtos direktyvos IV skyriuje, kuriame yra 25 ir 26 straipsniai, įtvirtinta tvarka, pagal kurią valstybės narės turi užtikrinti asmens duomenų perdavimo į trečiąsias valstybes kontrolę. Ši tvarka papildo šios direktyvos II skyriuje, kuriame numatytos bendrosios asmens duomenų tvarkymo teisėtumo taisyklės, nustatytą bendrąją tvarką (šiuo klausimu žr. Sprendimo Lindqvist, C‑101/01, EU:C:2003:596, 63 punktą).
47 Kadangi pagal Chartijos 8 straipsnio 3 dalį ir Direktyvos 95/46 28 straipsnį nacionalinės priežiūros institucijos įgaliotos kontroliuoti, kaip laikomasi Sąjungos taisyklių dėl fizinių asmenų apsaugos tvarkant asmens duomenis, kiekviena iš jų turi kompetenciją patikrinti, ar asmens duomenų perdavimas iš valstybės narės, kuriai ji priklauso, į trečiąją šalį atitinka Direktyvoje 95/46 nustatytus reikalavimus.
48 Direktyvos 95/46 56 konstatuojamojoje dalyje pripažinus, kad asmens duomenų perdavimas iš valstybės narės į trečiąsias šalis būtinas norint, kad plėstųsi tarptautinė prekyba, jos 25 straipsnio 1 dalyje įtvirtintas principas, pagal kurį toks perdavimas įmanomas tik jei šios trečiosios šalys užtikrina adekvatų apsaugos lygį.
49 Be to, minėtos direktyvos 57 konstatuojamojoje dalyje patikslinama, kad turi būti uždrausta perduoti asmens duomenis į trečiąsias šalis, kurios neužtikrina adekvataus apsaugos lygio.
50 Siekiant kontroliuoti asmens duomenų perdavimą į trečiąsias šalis atsižvelgiant į kiekvienoje šių šalių suteikiamą šių duomenų apsaugos lygį, Direktyvos 95/46 25 straipsnyje nustatytos tam tikros valstybių narių ir Komisijos pareigos. Iš šio straipsnio, be kita ko, matyti, kad išvadą, jog trečioji šalis užtikrina adekvatų apsaugos lygį arba jo neužtikrina, kaip savo išvados 86 punkte pažymi generalinis advokatas, gali padaryti valstybės narės arba Komisija.
51 Remdamasi Direktyvos 95/46 25 straipsnio 6 dalimi Komisija gali priimti sprendimą, kuriame konstatuojama, jog trečioji šalis užtikrina adekvatų apsaugos lygį. Pagal šios nuostatos antrą pastraipą toks sprendimas yra valstybėms narėms pagrindas imtis būtinų priemonių, kad būtų laikomasi Komisijos sprendimo. Remiantis SESV 288 straipsnio ketvirta pastraipa, šis sprendimas privalomas visoms valstybėms narėms, kurioms jis skirtas, ir visoms šių valstybių institucijoms (šiuo klausimu žr. Sprendimo Albako Margarinefabrik, 249/85, EU:C:1987:245, 17 punktą ir Sprendimo Mediaset, C‑69/13, EU:C:2014:71, 23 punktą), nes šiuo sprendimu leidžiama perduoti asmens duomenis iš valstybės narės į jame nurodytas trečiąsias šalis.
52 Tol, kol Teisingumo Teismas Komisijos sprendimo nepripažino negaliojančiu, valstybės narės ir jų institucijos, įskaitant nepriklausomas priežiūros institucijas, iš tikrųjų negali imtis šiam sprendimui prieštaraujančių priemonių, pavyzdžiui, priimti aktus, kurie būtų privalomi ir kuriuose būtų konstatuojama, kad minėtame sprendime nurodyta trečioji šalis neužtikrina adekvataus apsaugos lygio. Iš principo preziumuojama, kad Sąjungos institucijų teisės aktai yra teisėti, todėl jie sukelia teisinių pasekmių, kol nėra pripažinti netekusiais galios, panaikinti patenkinus ieškinį dėl panaikinimo, paskelbti negaliojančiais išnagrinėjus prašymą priimti prejudicinį sprendimą arba neteisėtumu grindžiamą prieštaravimą (Sprendimo Komisija / Graikija, C‑475/01, EU:C:2004:585, 18 punktas ir jame nurodyta teismo praktika).
53 Vis dėlto pagal Direktyvos 95/46 25 straipsnio 6 dalį priimtas Komisijos sprendimas, pavyzdžiui, Sprendimas 2000/520, negali sutrukdyti asmenims, kurių asmens duomenys buvo arba galėjo būti perduoti į trečiąją šalį, pateikti priežiūros institucijai prašymą, kaip jis suprantamas pagal šios direktyvos 28 straipsnio 4 dalį, dėl jų teisių ir laisvių apsaugos tvarkant šiuos duomenis. Be to, kaip savo išvados 61, 93 ir 116 punktuose pažymėjo generalinis advokatas, tokio pobūdžio sprendimas negali panaikinti ir netgi apriboti įgaliojimų, kuriuos nacionalinės priežiūros institucijos aiškiai turi pagal Chartijos 8 straipsnio 3 dalį ir minėtos direktyvos 28 straipsnį.
54 Nei Chartijos 8 straipsnio 3 dalyje, nei Direktyvos 95/46 28 straipsnyje iš nacionalinių priežiūros institucijų įgaliojimų sąrašo nėra pašalinta asmens duomenų perdavimo į trečiąją šalį, dėl kurios priimtas Komisijos sprendimas pagal šios direktyvos 25 straipsnio 6 dalį, kontrolė.
55 Konkrečiai kalbant, Direktyvos 95/46 28 straipsnio 4 dalies pirmoje pastraipoje, kurioje nustatyta, kad nacionalinės priežiūros institucijos gali nagrinėti „kiekvieno asmens <...> iškeltus ieškinius [pateiktus prašymus] dėl jo teisių ir laisvių apsaugos tvarkant asmens duomenis“, nenumatyta jokios išimties šiuo klausimu tuo atveju, kai Komisija priima sprendimą pagal šios direktyvos 25 straipsnio 6 dalį.
56 Be to, Direktyvoje 95/46 įtvirtintai sistemai ir jos 25 ir 28 straipsniuose siekiamiems tikslams prieštarauja tai, kad pagal minėtos direktyvos 25 straipsnio 6 dalį priimti Komisijos sprendimai neleidžia nacionalinei priežiūros institucijai nagrinėti asmens prašymo dėl jo teisių ir laisvių apsaugos tvarkant jo asmens duomenis, kurie buvo arba galėjo būti perduoti iš valstybės narės į tokiame sprendime nurodytą trečiąją šalį.
57 Atvirkščiai, dėl savo pobūdžio Direktyvos 95/46 28 straipsnis taikomas bet kokiam asmens duomenų tvarkymui. Taigi, net jei Komisija yra priėmusi sprendimą pagal šios direktyvos 25 straipsnio 6 dalį, nacionalinės priežiūros institucijos, kurioms asmuo yra pateikęs prašymą dėl jo teisių ir laisvių apsaugos tvarkant asmens duomenis, turi turėti galimybę visiškai nepriklausomai išnagrinėti, ar šių duomenų perdavimas atitinka minėtos direktyvos reikalavimus.
58 Jei taip nėra, asmenys, kurių asmens duomenis buvo arba galėjo būti perduoti į atitinkamą trečiąją šalį, netenka Chartijos 8 straipsnio 1 ir 3 dalyse garantuojamos teisės pateikti nacionalinėms priežiūros institucijoms prašymą apsaugoti jų pagrindines teises (pagal analogiją žr. Sprendimo Digital Rights Ireland ir kt., C‑293/12 ir C‑594/12, EU:C:2014:238, 68 punktą).
59 Direktyvos 95/46 28 straipsnio 4 dalyje numatytas prašymas, kuriame asmuo, kurio asmens duomenys buvo arba galėjo būti perduoti į trečiąją šalį, teigia, kaip yra, pavyzdžiui, pagrindinėje byloje, kad neatsižvelgiant į tai, ką Komisija konstatavo pagal šios direktyvos 25 straipsnio 6 dalį priimtame sprendime, pagal šios šalies teisę ir praktiką nėra užtikrinamas adekvatus apsaugos lygis, iš esmės turi būti suprantamas kaip susijęs su šio sprendimo suderinamumu su privataus gyvenimo ir asmenų pagrindinių teisių ir laisvių apsauga.
60 Šiuo klausimu reikia priminti nusistovėjusią Teisingumo Teismo praktiką, pagal kurią Sąjunga yra teisės sąjunga, kurioje jos institucijoms taikoma jų aktų atitikties kontrolė, būtent Sutartims, bendriesiems teisės principams ir pagrindinėmis teisėms (šiuo klausimu žr. Sprendimo Komisija ir kt. / Kadi, C‑584/10 P, C‑593/10 P ir C‑595/10 P, EU:C:2013:518, 66 punktą; Sprendimo Inuit Tapiriit Kanatami ir kt. / Parlamentas ir Taryba, C‑583/11 P, EU:C:2013:625, 91 punktą ir Sprendimo Telefónica / Komisija, C‑274/12 P, EU:C:2013:852, 56 punktą). Todėl ir Komisijos sprendimai, priimti pagal Direktyvos 95/46 25 straipsnio 6 dalį, neturi išvengti tokios kontrolės.
61 Šiomis aplinkybėmis tik Teisingumo Teismas yra kompetentingas pripažinti Sąjungos tesės aktą, pavyzdžiui, pagal Direktyvos 95/46 25 straipsnio 6 dalį priimtą Komisijos sprendimą, negaliojančiu, o šia kompetencija siekiama garantuoti teisinį saugumą užtikrinant vienodą Sąjungos teisės taikymą (žr. Sprendimo Melki ir Abdeli, C‑188/10 ir C‑189/10, EU:C:2010:363, 54 punktą ir Sprendimo CIVAD, C‑533/10, EU:C:2012:347, 40 punktą).
62 Nors nacionaliniai teismai turi teisę nagrinėti Sąjungos teisės akto, pavyzdžiui, pagal Direktyvos 95/46 25 straipsnio 6 dalį priimto Komisijos sprendimo, galiojimo klausimą, vis dėlto jie neturi kompetencijos patys pripažinti tokių aktų negaliojančiais (šiuo klausimu žr. Sprendimo Foto‑Frost, 314/85, EU:C:1987:452, 15–20 punktus ir Sprendimo IATA ir ELFAA, C‑344/04, EU:C:2006:10, 27 punktą). A fortiori, nagrinėdamos prašymą, kaip jis suprantamas pagal šios direktyvos 28 straipsnio 4 dalį, dėl pagal minėtos direktyvos 25 straipsnio 6 dalį priimto Komisijos sprendimo suderinamumo su privataus gyvenimo ir asmenų pagrindinių teisių ir laisvių apsauga, nacionalinės priežiūros institucijos neturi teisės pačios pripažinti, kad toks sprendimas negalioja.
63 Remiantis šiais argumentais, jei asmuo, kurio asmens duomenys buvo arba galėjo būti perduoti į pagal Direktyvos 95/46 25 straipsnio 6 dalį priimtame Komisijos sprendime nurodytą trečiąją šalį, pateikia nacionalinei priežiūros institucijai prašymą dėl jo teisių ir laisvių apsaugos tvarkant šiuos duomenis ir šiame prašyme ginčija, kaip pagrindinėje byloje, kad šis sprendimas suderinamas su privataus gyvenimo ir asmenų pagrindinių teisių ir laisvių apsauga, tokia institucija ypač kruopščiai turi išnagrinėti minėtą prašymą.
64 Jeigu ši institucija padarytų išvadą, kad argumentai, pateikti grindžiant šį prašymą, yra nepagrįsti ir dėl šios priežasties minėtą prašymą atmestų, šį prašymą pateikęs asmuo turi, kaip matyti iš Direktyvos 95/46 28 straipsnio 3 dalies antros pastraipos, siejamos su Chartijos 47 straipsniu, turėti galimybę pasinaudoti teisminėmis teisių gynimo priemonėmis, leidžiančiomis ginčyti šį jo nenaudai priimtą sprendimą nacionaliniuose teismuose. Atsižvelgiant į šio sprendimo 61 ir 62 punktuose nurodytą teismo praktiką reikia pažymėti, kad kai nacionaliniai teismai mano, jog vienas ar keli šalių arba jų iniciatyva nurodyti pagrindai dėl Sąjungos akto neteisėtumo yra pagrįsti, jie privalo sustabdyti bylos nagrinėjimą ir kreiptis į Teisingumo Teismą su prašymu priimti prejudicinį sprendimą dėl galiojimo vertinimo (šiuo klausimu žr. Sprendimo T & L Sugars ir Sidul Açúcares / Komisija, C‑456/13 P, EU:C:2015:284, 48 punktą ir jame nurodytą teismo praktiką).
65 Priešingu atveju, kai minėta institucija mano, kad asmens, pateikusio jai prašymą dėl teisių ir laisvių apsaugos tvarkant jo asmens duomenis, pateikti kaltinimai pagrįsti, remdamasi Direktyvos 95/46 28 straipsnio 3 dalies pirmos pastraipos trečia įtrauka, siejama, be kita ko, su Chartijos 8 straipsnio 3 dalimi, ji turi galėti kreiptis į teismą. Šiuo atžvilgiu nacionalinis teisės aktų leidėjas turi numatyti teisių gynimo priemones, leidžiančias atitinkamai nacionalinei priežiūros institucijai remtis nacionaliniuose teismuose kaltinimais, kurie, jos nuomone, yra pagrįsti, tam, kad šie teismai, vertindami Komisijos sprendimo galiojimą, pateiktų prašymą priimti prejudicinį sprendimą, jei, kaip ir ši institucija, turėtų abejonių dėl šio sprendimo galiojimo.
66 Atsižvelgiant į tai, kas išdėstyta, į pateiktus klausimus reikia atsakyti, kad Direktyvos 95/46 25 straipsnio 6 dalis, siejama su Chartijos 7, 8 ir 47 straipsniais, turi būti aiškinama taip, kad pagal šią nuostatą priimtas sprendimas, pavyzdžiui, Sprendimas 2000/520, kuriame Komisija konstatuoja, jog trečioji šalis užtikrina adekvatų apsaugos lygį, nesudaro šios direktyvos 28 straipsnyje numatytai valstybės narės priežiūros institucijai kliūčių nagrinėti asmens prašymą apsaugoti jo teises ir laisves tvarkant su juo susijusius asmens duomenis, perduotus iš valstybės narės į šią trečiąją šalį, jei šis asmuo teigia, kad pagal tos šalies teisę ir praktiką nėra užtikrinamas adekvatus apsaugos lygis.
Dėl Sprendimo 2000/520 galiojimo
67 Kaip matyti iš prašymą priimti prejudicinį sprendimą pateikusio teismo paaiškinimų dėl pateiktų klausimų, M. Schrems pagrindinėje byloje nurodo, kad pagal Jungtinių Amerikos Valstijų teisę ir praktiką nėra užtikrinamas adekvatus apsaugos lygis, kaip tai suprantama pagal Direktyvos 95/46 25 straipsnį. Kaip savo išvados 123 ir 124 punktuose pažymėjo generalinis advokatas, M. Schrems išreiškė abejonių dėl Sprendimo 2000/520 galiojimo, kurioms, beje, šis teismas iš esmės pritaria. Taigi atsižvelgiant į šio sprendimo 60–63 punktuose padarytas išvadas ir siekiant pateikti minėtam teismui išsamų atsakymą reikia išnagrinėti, ar šis sprendimas atitinka reikalavimus, numatytus šioje su Chartija siejamoje direktyvoje.
Dėl Direktyvos 95/46 25 straipsnio 6 dalies reikalavimų
68 Kaip pažymėta šio sprendimo 48 ir 49 punktuose, Direktyvos 95/46 25 straipsnio 1 dalyje draudžiama perduoti asmens duomenis į trečiąsias šalis, kurios neužtikrina adekvataus apsaugos lygio.
69 Tačiau siekiant kontroliuoti tokį perdavimą šios direktyvos 25 straipsnio 6 dalies pirmoje pastraipoje nustatyta, kad Komisija „gali išsiaiškinti, kad adekvatų apsaugos lygį, kaip numatyta šio straipsnio 2 dalyje, trečioji šalis užtikrina savo šalies įstatymais arba tarptautiniais įsipareigojimais <...> dėl asmenų privataus gyvenimo ir pagrindinių laisvių bei teisių apsaugos“.
70 Tiesa, nei Direktyvos 95/46 25 straipsnio 2 dalyje, nei jokioje kitoje jos nuostatoje nėra adekvačios apsaugos lygio apibrėžimo. Konkrečiai kalbant, minėtos direktyvos 25 straipsnio 2 dalyje tik nurodyta, kad trečiosios šalies suteikiamos apsaugos lygio adekvatumas „įvertinamas atsižvelgiant į [visas] duomenų perdavimo operacijos ar operacijų grupės aplinkybes“ ir pateikiamas negalutinis aplinkybių, į kurias reikia atsižvelgti atliekant tokį vertinimą, sąrašas.
71 Tačiau, pirma, kaip matyti iš pačios Direktyvos 95/46 25 straipsnio 6 dalies formuluotės, šioje nuostatoje reikalaujama, kad trečioji šalis „užtikrintų“ adekvatų apsaugos lygį savo įstatymais arba tarptautiniais įsipareigojimais. Antra, šioje nuostatoje taip pat numatyta, kad trečiosios šalies užtikrinamo apsaugos lygio adekvatumas vertinamas „dėl asmenų privataus gyvenimo ir pagrindinių laisvių bei teisių apsaugos“.
72 Taigi Direktyvos 95/46 25 straipsnio 6 dalimi įgyvendinama Chartijos 8 straipsnio 1 dalyje eksplicitiškai įtvirtinta pareiga apsaugoti asmens duomenis ir siekiama užtikrinti, kaip savo išvados 139 punkte pažymėjo generalinis advokatas, aukšto šios apsaugos lygio tęstinumą, kai asmens duomenys perduodami į trečiąją šalį.
73 Tiesa, remiantis Direktyvos 95/46 25 straipsnio 6 dalyje pavartota sąvoka „adekvatus“ negali būti reikalaujama, kad trečioji šalis užtikrintų tokį patį apsaugos lygį, koks užtikrinamas Sąjungos teisės sistemoje. Tačiau, kaip savo išvados 141 punkte pažymėjo generalinis advokatas, žodžių junginys „adekvatus apsaugos lygis“ turi būti suprantamas kaip reikalaujantis, kad ši trečioji šalis savo įstatymais arba tarptautiniais įsipareigojimais iš tikrųjų užtikrintų iš esmės tokį patį pagrindinių laisvių ir teisių apsaugos lygį, koks garantuojamas Sąjungoje pagal Direktyvą 95/46, siejamą su Chartija. Iš tiesų be šio reikalavimo šio sprendimo ankstesniame punkte minėto tikslo būtų nepaisoma. Be to, su Chartija siejamoje Direktyvoje 95/46 garantuojamo aukšto apsaugos lygio būtų galima lengvai nepaisyti perduodant asmens duomenis iš Sąjungos į trečiąsias šalis turint tikslą juos tvarkyti tose šalyse.
74 Iš aiškios Direktyvos 95/46 25 straipsnio 6 dalies formuluotės matyti, kad būtent Komisijos sprendime nurodytos trečiosios šalies teisės sistema turi užtikrinti adekvatų apsaugos lygį. Nors priemonės, kurių ši trečioji šalis šiuo klausimu imasi siekdama užtikrinti tokį apsaugos lygį, gali skirtis nuo priemonių, kurios Sąjungoje taikomos siekiant garantuoti šioje direktyvoje, siejamoje su Chartija, nustatytų reikalavimų laikymąsi, vis dėlto praktiškai šios priemonės turi būti veiksmingos, kad būtų užtikrinta iš esmės tokia pati apsauga, kokia garantuojama Sąjungoje.
75 Šiomis aplinkybėmis vertindama trečiosios šalies užtikrinamą apsaugos lygį Komisija privalo įvertinti šioje šalyje taikomų taisyklių turinį, kurį lemia tos šalies teisės aktai arba tarptautiniai įsipareigojimai, taip pat praktika, kuria siekiama užtikrinti šių taisyklių laikymąsi, nes ši institucija, remdamasi Direktyvos 95/46 25 straipsnio 2 dalimi, turi atsižvelgti į visas asmens duomenų perdavimo į trečiąją šalį aplinkybes.
76 Be to, turėdama omenyje tai, kad trečiosios šalies užtikrinamas apsaugos lygis gali keistis, priėmusi sprendimą pagal Direktyvos 95/46 25 straipsnio 6 dalį Komisija turi periodiškai tikrinti, ar išvada dėl aptariamos trečiosios šalies užtikrinamo adekvataus apsaugos lygio visada faktiškai ir teisiškai pateisinama. Toks patikrinimas bet kuriuo atveju būtinas, kai yra informacijos, galinčios dėl to sukelti abejonių.
77 Maža to, kaip savo išvados 134 ir 135 punktuose pažymėjo generalinis advokatas, nagrinėjant Komisijos sprendimo, priimto pagal Direktyvos 95/46 25 straipsnio 6 dalį, galiojimo klausimą taip pat reikia atsižvelgti į aplinkybes, kurios susiklostė po šio sprendimo priėmimo.
78 Šiuo klausimu reikia konstatuoti, kad atsižvelgiant, viena vertus, į asmens duomenų apsaugos svarbą pagrindinei teisei į privatų gyvenimą ir, kita vertus, į didelį asmenų, kurių pagrindinės teisės gali būti pažeistos perdavus asmens duomenis į adekvataus apsaugos lygio neužtikrinančią trečiąją šalį, skaičių, Komisijos turima trečiosios šalies užtikrinamo adekvataus apsaugos lygio vertinimo diskrecija yra nedidelė, todėl reikia taikyti griežtą reikalavimų, kylančių iš su Chartija siejamos Direktyvos 95/46 25 straipsnio, kontrolę (pagal analogiją žr. Sprendimo Digital Rights Ireland ir kt., C‑293/12 ir C‑594/12, EU:C:2014:238, 47 ir 48 punktus).
Dėl Sprendimo 2000/520 1 straipsnio
79 Sprendimo 2000/520 1 straipsnio 1 dalyje Komisija konstatavo, kad jo I priede pateikti principai, taikomi laikantis to sprendimo II priede pateiktų FAQ nurodymų, laikomi užtikrinančiais adekvatų Jungtinėse Amerikos Valstijose įsikūrusioms organizacijoms iš Sąjungos perduodamų asmens duomenų apsaugos lygį. Iš šios nuostatos matyti, kad ir šiuos principus, ir šiuos FAQ paskelbė Jungtinių Amerikos Valstijų komercijos departamentas.
80 „Saugaus uosto“ principų laikymasis paremtas įsipareigojimų sistema, kaip tai matyti iš to sprendimo 1 straipsnio 2 ir 3 dalių, siejamų su minėto sprendimo II priede pateiktu 6 FAQ.
81 Nors pati aplinkybė, kad trečioji šalis remiasi įsipareigojimų sistema, neprieštarauja Direktyvos 95/46 25 straipsnio 6 dalyje nustatytam reikalavimui, kad atitinkama trečioji šalis turi užtikrinti adekvatų apsaugos lygį „savo šalies įstatymais arba tarptautiniais įsipareigojimais“, tokios sistemos patikimumas šio reikalavimo atžvilgiu iš esmės pagrįstas veiksmingų aptikimo ir kontrolės mechanizmų, leidžiančių faktiškai nustatyti ir nubausti už galimus pagrindinių teisių apsaugą užtikrinančių normų, visų pirma teisės į privatų gyvenimą ir teisės į asmens duomenų apsaugą, pažeidimus, sukūrimu.
82 Nagrinėjamu atveju „saugaus uosto“ principai, remiantis Sprendimo 2000/520 I priedo antra pastraipa, „tinka naudoti tik JAV organizacijoms, gaunančioms asmens duomenis iš Europos Sąjungos, kad jos galėtų gauti „saugaus uosto“ ir jo sukuriamos „pakankamumo“ prezumpcijos teises [skirti tik JAV organizacijoms, gaunančioms asmens duomenis iš Europos Sąjungos, ir turi leisti joms įvykdyti su „saugiu uostu“ susijusias sąlygas, kad joms būtų galima taikyti šiame sprendime numatytą „pakankamo apsaugos lygio“ prezumpciją]“. Taigi šie principai taikomi tik įsipareigojusioms JAV organizacijoms, gaunančioms asmens duomenis iš Sąjungos, ir nereikalaujama, kad Jungtinių Amerikos Valstijų valdžios institucijos būtų įpareigotos laikytis šių principų.
83 Be to, remiantis Sprendimo 2000/520 2 straipsniu jis yra „susijęs tik su Jungtinėse Amerikos Valstijose pagal FAQ vykdomų [„saugaus uosto“ principų] teikiamos apsaugos pakankamumu tam, kad būtų laikomasi Direktyvos [95/46] 25 straipsnio 1 dalies reikalavimų“, ir jame nepateikiama pakankamai išvadų dėl priemonių, kaip savo šalies įstatymais arba tarptautiniais įsipareigojimais Jungtinės Amerikos Valstijos užtikrina adekvatų apsaugos lygį, kaip tai suprantama pagal šios direktyvos 25 straipsnio 6 dalį.
84 Reikia pridurti, kad pagal Sprendimo 2000/520 I priedo ketvirtą pastraipą minėtų principų taikymas gali būti ribojamas visų pirma „tiek, kiek tai būtina atsižvelgiant į nacionalinio saugumo, visuomenės interesus arba JAV teisės aktų vykdymo reikalavimus [į reikalavimus, susijusius su nacionaliniu saugumu, viešuoju interesu ir Jungtinių Amerikos Valstijų teisės aktų laikymusi]“ ir „įstatymais, Vyriausybės nutarimais arba precedentine teise, dėl kurių atsiranda prieštaringų įsipareigojimų ar aiškių įgaliojimų, jei vykdydama tokius įgaliojimus organizacija gali įrodyti, kad Principų nesilaikoma tik tiek, kiek tai būtina atsižvelgiant į organizacijos palaikomus viršesnius teisėtus interesus“.
85 Šiuo klausimu Sprendimo 2000/520 IV priedo B antraštinėje dalyje dėl „saugaus uosto“ principų taikymo apribojimų pažymima, jog „akivaizdu, kad tuomet, kai JAV teisės aktai nustato prieštaraujančius įsipareigojimus, tiek „saugaus uosto“ sistemai priklausančios, tiek nepriklausančios JAV organizacijos privalo laikytis teisės aktų“.
86 Taigi Sprendime 2000/520 įtvirtinta „nacionalinio saugumo, visuomenės interesų arba [JAV] teisės aktų vykdymo reikalavimų [reikalavimų, susijusių su nacionaliniu saugumu, viešuoju interesu ir Jungtinių Amerikos Valstijų teisės aktų laikymusi]“ viršenybė, t. y. viršenybė, pagal kurią įsipareigojimų prisiėmusios Jungtinių Amerikos Valstijų organizacijos, gaunančios asmens duomenis iš Sąjungos, privalo be apribojimų netaikyti šių principų, jeigu jie prieštarauja šiems reikalavimams ir dėl šios priežasties yra su jais nesuderinami.
87 Kadangi Sprendimo 2000/520 I priedo ketvirtoje pastraipoje numatyta nukrypti leidžianti nuostata yra bendrojo pobūdžio, remiantis ja taip pat galima nustatyti asmenų, kurių asmens duomenis yra arba gali būti perduoti iš Sąjungos į Jungtines Amerikos Valstijas, pagrindinių teisių apribojimus, grindžiamus reikalavimais, susijusiais su nacionaliniu saugumu, viešuoju interesu ir Jungtinių Amerikos Valstijų teisės aktų laikymusi. Nustatant, ar egzistuoja pagrindinės teisės į privatų gyvenimą apribojimas, nelabai svarbu, ar su privačiu gyvenimu susijusi informacija yra ypatingo pobūdžio ir ar dėl šio apribojimo suinteresuotieji asmenys patyrė nepatogumų (Sprendimo Digital Rights Ireland ir kt., C‑293/12 ir C‑594/12, EU:C:2014:238, 33 punktas ir jame nurodyta teismo praktika).
88 Be to, Sprendime 2000/520 nenustatyta, kad Jungtinėse Amerikos Valstijose yra valstybinio pobūdžio taisyklių, skirtų nustatyti asmenų, kurių asmens duomenys perduoti iš Sąjungos į Jungtines Amerikos Valstijas, galimoms pagrindinių teisių apribojimų riboms, t. y. apribojimų, kuriuos šios šalies valstybiniai subjektai gali nustatyti siekdami teisėtų tikslų, pavyzdžiui, nacionalinio saugumo.
89 Reikia pridurti, kad Sprendime 2000/520 nekalbama apie veiksmingos teisinės apsaugos nuo tokio pobūdžio apribojimų egzistavimą. Be to, kaip savo išvados 204–206 punktuose pabrėžė generalinis advokatas, privataus arbitražo mechanizmai ir procedūros Federalinėje prekybos komisijoje, kurios įgaliojimai, aprašyti, be kita ko, šio sprendimo II priede pateiktame 11 FAQ, apriboti komercinio pobūdžio ginčais dėl to, kaip Jungtinių Amerikos Valstijų įmonės laikosi „saugaus uosto“ principų, ir negali būti įgyvendinami nagrinėjant ginčus dėl pagrindinių teisių apribojimų, kuriuos lemia valstybinio pobūdžio priemonės, teisėtumo.
90 Be to, pateiktą Sprendimo 2000/520 analizę patvirtina pačios Komisijos atliktas dėl šio sprendimo įgyvendinimo susiklosčiusios situacijos vertinimas. Iš tiesų, be kita ko, Komunikato COM(2013) 846 final 2 ir 3.2 punktuose, taip pat Komunikato COM(2013) 847 final 7.1, 7.2 ir 8 punktuose, išdėstytuose atitinkamai šio sprendimo 13–16, 22, 23 ir 25 punktuose, ši institucija konstatavo, kad Jungtinių Amerikos Valstijų institucijos turėjo galimybę susipažinti su asmens duomenimis, perduotais iš valstybių narių į Jungtines Amerikos Valstijas, ir tvarkyti juos būdu, neatitinkančiu jų perdavimo tikslų, ir viršijant tai, kas yra griežtai būtina ir proporcinga nacionalinio saugumo apsaugai. Be to, Komisija konstatavo, kad atitinkami asmenys neturi galimybės pasinaudoti administracinėmis ar teisminėmis teisių gynimo priemonėmis, leidžiančiomis visų pirma gauti prieigą prie su jais susijusių duomenų, o prireikus juos taisyti ar ištrinti.
91 Dėl Sąjungoje garantuojamo pagrindinių teisių ir laisvių apsaugos lygio reikia pažymėti, kad Chartijos 7 ir 8 straipsniuose garantuojamų pagrindinių teisių ir laisvių apribojimus nustatančiame teisės akte pagal nusistovėjusią Teisingumo Teismo praktiką turi būti numatytos aiškios ir tikslios taisyklės, kuriomis reglamentuojama priemonės apimtis ir taikymas ir nustatomi minimalūs reikalavimai, kad asmenims, kurių duomenims tai turi įtakos, būtų suteikta pakankamai garantijų, leidžiančių veiksmingai apsaugoti jų asmens duomenis nuo piktnaudžiavimo pavojų, taip pat bet kokios neteisėtos prieigos prie jų ir neteisėto jų naudojimo. Būtinybė turėti tokias garantijas yra dar svarbesnė tais atvejais, kai asmens duomenys tvarkomi automatiniu būdu ir egzistuoja didelis neteisėtos prieigos prie šių duomenų pavojus (Sprendimo Digital Rights Ireland ir kt., C‑293/12 ir C‑594/12, EU:C:2014:238, 54 ir 55 punktai ir juose nurodyta teismo praktika).
92 Maža to, šios pagrindinės teisės į privatų gyvenimą apsauga Sąjungos lygiu bet kuriuo atveju reikalauja, kad nukrypti nuo asmens duomenų apsaugos leidžiančios nuostatos ir jos apribojimai neviršytų to, kas yra griežtai būtina (Sprendimo Digital Rights Ireland ir kt., C‑293/12 et C‑594/12, EU:C:2014:238, 52 punktas ir jame nurodyta teismo praktika).
93 Nėra ribojamas tuo, kas yra griežtai būtina toks reglamentavimas, kuris apskritai leidžia saugoti visų asmenų, kurių duomenys buvo perduoti iš Sąjungos į Jungtines Amerikos Valstijas, visus asmens duomenis nediferencijuojant, nenustatant jokių apribojimų arba išimčių pagal siekiamą tikslą ir nenumatant objektyvių kriterijų, leidžiančių nubrėžti ribas valstybės institucijų prieigai prie duomenų ir jų vėlesniam naudojimui konkrečiais, griežtai ribojamais ir galinčiais pateisinti apribojimą, taikomą tiek prieigai prie šių duomenų, tiek jų naudojimui, tikslais (šiuo klausimu, kiek tai susiję su 2006 m. kovo 15 d. Europos Parlamento ir Tarybos direktyva 2006/24/EB dėl duomenų, generuojamų arba tvarkomų teikiant viešai prieinamas elektroninių ryšių paslaugas arba viešuosius ryšių tinklus, saugojimo ir iš dalies keičiančia Direktyvą 2002/58/EB (OL L 105, p. 54), žr. Sprendimo Digital Rights Ireland ir kt., C‑293/12 ir C‑594/12, EU:C:2014:238, 57–61 punktus).
94 Konkrečiai kalbant, reglamentavimas, leidžiantis valstybės institucijoms apskritai susipažinti su elektroninės komunikacijos turiniu, turi būti laikomas keliančiu pavojų Chartijos 7 straipsnyje garantuotos pagrindinės teisės į privatų gyvenimą esmei (šiuo klausimu žr. Sprendimo Digital Rights Ireland ir kt., C‑293/12 ir C‑594/12, EU:C:2014:238, 39 punktą).
95 Be to, reglamentavimu, nenumatančiu asmeniui jokios galimybės pasinaudoti teisių gynimo priemonėmis tam, kad gautų prieigą prie su juo susijusių asmens duomenų arba galėtų juos taisyti ar ištrinti, nepaisoma Chartijos 47 straipsnyje įtvirtintos pagrindinės teisės į veiksmingą teisminę gynybą esmės. Iš tiesų Chartijos 47 straipsnio 1 pastraipoje reikalaujama, kad kiekvienas asmuo, kurio teisės ir laisvės, garantuojamos Sąjungos teisės, yra pažeistos, turėtų teisę į veiksmingą jų gynybą teisme to straipsnio nustatytomis sąlygomis. Šiuo klausimu pats veiksmingos teisminės kontrolės egzistavimas, skirtas Sąjungos teisės nuostatų laikymuisi užtikrinti, neatsiejamas nuo teisinės valstybės egzistavimo (šiuo klausimu žr. Sprendimo Les Verts / Parlamentas, 294/83, EU:C:1986:166, 23 punktą; Sprendimo Johnston, 222/84, EU:C:1986:206, 18 ir 19 punktus; Sprendimo Heylens ir kt., 222/86, EU:C:1987:442, 14 punktą ir Sprendimo UGT‑Rioja ir kt., C‑428/06–C‑434/06, EU:C:2008:488, 80 punktą).
96 Be to, kaip konstatuota, be kita ko, šio sprendimo 71, 73 ir 74 punktuose, Komisijai priimant sprendimą pagal Direktyvos 95/46 25 straipsnio 6 dalį reikalaujama, kad ši institucija tinkamai motyvuodama konstatuotų, kad atitinkama trečioji šalis savo įstatymais arba tarptautiniais įsipareigojimais iš tikrųjų užtikrintų iš esmės tokį patį pagrindinių laisvių ir teisių apsaugos lygį, koks garantuojamas Sąjungos teisės sistemoje, kaip matyti, be kita ko, iš ankstesnių šio sprendimo punktų.
97 Tačiau reikia pažymėti, kad Sprendime 2000/520 Komisija nekonstatavo, jog Jungtinės Amerikos Valstijos iš tikrųjų savo įstatymais arba tarptautiniais įsipareigojimais „užtikrina“ adekvatų apsaugos lygį.
98 Todėl, nesant būtinybės nagrinėti „saugaus uosto“ principų turinio, darytina išvada, kad šio sprendimo 1 straipsniu pažeidžiami Direktyvos 95/46 25 straipsnio 6 dalies, siejamos su Chartija, reikalavimai, todėl jis negalioja.
Dėl Sprendimo 2000/520 3 straipsnio
99 Iš šio sprendimo 53, 57 ir 63 punktuose pateiktų samprotavimų matyti, kad atsižvelgiant į Direktyvos 95/46 28 straipsnį, siejamą su, be kita ko, Chartijos 8 straipsniu, nacionalinės priežiūros institucijos turi turėti galimybę visiškai nepriklausomai išnagrinėti kiekvieną prašymą dėl asmens teisių ir laisvių apsaugos tvarkant su juo susijusius asmens duomenis. Tas pats yra tada, kai pateikęs tokį prašymą šis asmuo klausia dėl pagal šios direktyvos 25 straipsnio 6 dalį priimto sprendimo suderinamumo su privataus gyvenimo ir asmenų pagrindinių teisių ir laisvių apsauga.
100 Tačiau Sprendimo 2000/520 3 straipsnio 1 dalies pirmoje pastraipoje numatytas specifinis įgaliojimų, kuriuos nacionalinės priežiūros institucijos turi dėl Komisijos išvados apie adekvatų apsaugos lygį, kaip tai suprantama pagal Direktyvos 95/46 25 straipsnį, reglamentavimas.
101 Taigi pagal šią nuostatą „nepažeidžiant <...> teisių imtis veiksmų, kad būtų laikomasi nacionalinės teisės nuostatų, priimtų pagal [d]irektyvos [95/46], išskyrus 25 straipsnį, nuostatas, tos institucijos gali <...> sustabdyti duomenų teikimą organizacijai, kuri pasiskelbė besilaikanti [Sprendimo 2000/520] principų“, esant ribojamųjų sąlygų, nustatančių aukštą įsikišimo ribą. Nors ši nuostata nekelia pavojaus šių institucijų teisei imtis veiksmų, kad būtų laikomasi nacionalinės teisės nuostatų, priimtų pagal šią direktyvą, vis dėlto joje atmetama minėtų institucijų galimybė imtis veiksmų, kad būtų užtikrintas šios direktyvos 25 straipsnio laikymasis.
102 Taigi Sprendimo 2000/520 3 straipsnio 1 dalies pirmą pastraipą reikia suprasti, kaip atimančią iš nacionalinių priežiūros institucijų Direktyvos 95/46 28 straipsnyje numatytus įgaliojimus tuo atveju, kai asmuo, pateikęs pagal šią nuostatą prašymą, nurodo aplinkybes, galinčias sukelti abejonių dėl Komisijos sprendimo, kuriame remiantis šios direktyvos 25 straipsnio 6 dalimi konstatuota, jog trečioji šalis užtikrina adekvatų apsaugos lygį, suderinamumo su privataus gyvenimo ir asmens pagrindinių laisvių ir teisių apsauga.
103 Tačiau įgyvendinimo įgaliojimai, kuriuos Sąjungos teisės aktų leidėjas Komisijai suteikė Direktyvos 95/46 25 straipsnio 6 dalyje, nesuteikia šiai institucijai kompetencijos riboti nacionalinių priežiūros institucijų įgaliojimų, nurodytų ankstesniame šio sprendimo punkte.
104 Šiomis aplinkybėmis reikia konstatuoti, kad priimdama Sprendimo 2000/520 3 straipsnį Komisija viršijo pagal Direktyvos 95/46 25 straipsnio 6 dalį, siejamą su Chartija, suteiktus įgaliojimus, todėl jis negalioja.
105 Kadangi Sprendimo 2000/520 1 ir 3 straipsniai neatsiejami nuo jo 2 ir 4 straipsnių ir priedų, jo 1 ir 3 straipsnių negaliojimas turi įtakos viso šio sprendimo galiojimui.
106 Atsižvelgiant į tai, kas išdėstyta, darytina išvada, kad Sprendimas 2000/520 negalioja.
Dėl bylinėjimosi išlaidų
107 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia:
1. 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, iš dalies pakeistos 2003 m. rugsėjo 29 d. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 1882/2003, 25 straipsnio 6 dalis, siejama su Europos Sąjungos pagrindinių teisių chartijos 7, 8 ir 47 straipsniais, turi būti aiškinama taip, kad pagal šią nuostatą priimtas sprendimas, pavyzdžiui, 2000 m. liepos 26 d. Komisijos sprendimas 2000/520/EB dėl Direktyvos 95/46 dėl saugaus uosto privatumo principų teikiamos apsaugos pakankamumo ir su tuo susijusių JAV komercijos departamento pateiktų Dažnai užduodamų klausimų, kuriame Europos Komisija konstatuoja, jog trečioji šalis užtikrina adekvatų apsaugos lygį, nesudaro šios iš dalies pakeistos direktyvos 28 straipsnyje numatytai valstybės narės priežiūros institucijai kliūčių nagrinėti asmens prašymą apsaugoti jo teises ir laisves tvarkant su juo susijusius asmens duomenis, perduotus iš valstybės narės į šią trečiąją šalį, jei šis asmuo teigia, kad pagal tos šalies teisę ir praktiką nėra užtikrinamas adekvatus apsaugos lygis.
2. Sprendimas 2000/520 negalioja.
Parašas