CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2019:1145

ĢENERĀLADVOKĀTA HENRIKA SAUGMANDSGORA ĒES[HENRIK SAUGMANDSGAARD ØE] SECINĀJUMI,

sniegti 2019. gada 19. decembrī (1)

Lieta C‑311/18

Data Protection Commissioner

pret

Facebook Ireland Limited,

Maximillian Schrems,

piedaloties

Amerikas Savienotajām Valstīm,

Electronic Privacy Information Centre,

BSA Business Software Alliance, Inc.,

Digitaleurope

(High Court (Augstā tiesa, Īrija) lūgums sniegt prejudiciālu nolēmumu)

Lūgums sniegt prejudiciālu nolēmumu – Fizisku personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 2. panta 2. punkts – Piemērošanas joma – Personas datu pārsūtīšana komerciāliem mērķiem uz Amerikas Savienotajām Valstīm – Pārsūtīto datu apstrāde, ko veic Amerikas Savienoto Valstu iestādes valsts drošības nolūkos – 45. pants – Trešajā valstī nodrošinātā aizsardzības līmeņa pietiekamības vērtējums – 46. pants – Pārziņa sniegtās atbilstošas garantijas – Datu aizsardzības standartklauzulas – 58. panta 2. punkts – Uzraudzības iestāžu pilnvaras – Īstenošanas lēmums 2010/87/ES – Spēkā esamība – Lēmums (ES) 2016/1250 – “ES un Amerikas Savienoto Valstu privātuma vairogs” – Spēkā esamība – Eiropas Savienības Pamattiesību hartas 7., 8. un 47. pants

Satura rādītājs

I. Ievads

1. Tā kā attiecībā uz personas datu aizsardzību nepastāv kopīgas garantijas pasaules līmenī, šādu datu pārrobežu plūsmas nozīmē, ka pastāv Eiropas Savienībā nodrošinātā aizsardzības līmeņa turpinātības pārrāvuma risks. Vēloties veicināt šīs plūsmas, vienlaikus ierobežojot šo risku, Savienības likumdevējs ir ieviesis trīs mehānismus, saskaņā ar kuriem personas datus no Savienības var pārsūtīt uz trešo valsti.

2. Pirmkārt, šādu pārsūtīšanu var veikt, pamatojoties uz lēmumu, ar kuru Eiropas Komisija konstatē, ka attiecīgā trešā valsts nodrošina uz to nosūtīto datu “pietiekamu aizsardzības līmeni” (2). Otrkārt, ja šāda lēmuma nav, pārsūtīšana tiek atļauta, ja to aptver “atbilstošas garantijas” (3). Šīs garantijas var izpausties kā līgums starp datu nosūtītāju un datu saņēmēju, kurā ir ietvertas Komisijas pieņemtas standarta datu aizsardzības klauzulas. Treškārt, Vispārīgajā datu aizsardzības regulā ir paredzētas dažas atkāpes, kas balstītas tostarp uz datu subjekta piekrišanu, kas ļauj veikt pārsūtīšanu uz trešo valsti pat tad, ja nav lēmuma par aizsardzības līmeņa pietiekamību vai atbilstošu garantiju (4).

3. High Court (Augstā tiesa, Īrija) lūgums sniegt prejudiciālu nolēmumu attiecas uz otro no šiem mehānismiem. Precīzāk, tas attiecas uz Lēmuma 2010/87/ES (5), ar kuru Komisija ir izstrādājusi līguma standartklauzulas attiecībā uz atsevišķām pārsūtīšanas kategorijām, spēkā esamību, ņemot vērā Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 7., 8. un 47. pantu.

4. Šis lūgums ir iesniegts saistībā ar tiesvedību starp Data Protection Commissioner (Datu aizsardzības komisārs, Īrija, turpmāk tekstā – “DPC”) un Facebook Ireland Ltd un Maximillian Schrems. Pēdējais minētais ir iesniedzis DPC sūdzību, kas attiecas uz viņa personas datu pārsūtīšanu, kurus Facebook Ireland nosūtīja savam mātesuzņēmumam Facebook Inc., kas ir reģistrēta Amerikas Savienotajās Valstīs (turpmāk tekstā – “ASV”). DPC uzskata, ka šīs sūdzības rezultāts ir atkarīgs no Lēmuma 2010/87 spēkā esamības. Šādā kontekstā tas vērsās iesniedzējtiesā, lūdzot tai uzdot jautājumus Tiesai.

5. Uzreiz vēlos norādīt, ka prejudiciālo jautājumu vērtējumā, manuprāt, nav atklājies neviens apstāklis, kas varētu ietekmēt Lēmuma 2010/87 spēkā esamību.

6. Turklāt iesniedzējtiesa ir norādījusi uz dažām šaubām, kas būtībā attiecas uz ASV nodrošinātā aizsardzības līmeņa pietiekamību, ņemot vērā iejaukšanos, kas ar ASV izlūkošanas iestāžu darbībām tiek radīta to personu pamattiesību īstenošanā, kuru dati tiek pārsūtīti uz šo trešo valsti. Šīs šaubas netieši liek apšaubīt Komisijas vērtējumu šajā jautājumā Īstenošanas lēmumā (ES) 2016/1250 (6). Lai gan, lai izšķirtu pamatlietu, nav nepieciešams, lai Tiesa pieņem nolēmumu par šo jautājumu, un līdz ar to es to aicinu no tā atturēties; pakārtoti izklāstīšu iemeslus, kas man liek šaubīties par šī lēmuma spēkā esamību.

7. Visu manu vērtējumu ievirzīs līdzsvara meklējumi starp, no vienas puses, nepieciešamību izrādīt “saprātīgu pragmatisma līmeni, lai nodrošinātu mijiedarbību ar pārējo pasauli” (7), un, no otras puses, nepieciešamību apstiprināt Savienības un tās dalībvalstu tiesību sistēmās it īpaši ar Hartu atzītās pamatvērtības.

II. Atbilstošās tiesību normas

A. Direktīva 95/46/EK

8. Direktīvas 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (8) 3. panta 2. punktā bija noteikts:

“Šī direktīva neattiecas uz personas datu apstrādi:

– tādu pasākumu gaitā, uz kuru neattiecas Kopienas tiesību akti, kā Līguma par Eiropas Savienību V un VI sadaļā paredzētie pasākumi un, jebkurā gadījumā, uz apstrādes operācijām attiecībā uz sabiedrības drošību, aizsardzību, valsts drošību (ieskaitot valsts ekonomisko labklājību, ja apstrādes operācija attiecas uz valsts drošības jautājumiem) un uz valsts pasākumiem krimināltiesību jomā;

[..].”

9. Šīs direktīvas 13. panta 1. punkts bija formulēts šādi:

“Dalībvalstis var pieņemt tiesību aktus, lai ierobežotu 6. panta 1. punktā, 10. pantā, 11. panta 1. punktā, 12. pantā un 21. pantā paredzēto pienākumu un tiesību jomu, ja šāds ierobežojums ir nepieciešams aizsargpasākums:

a) valsts drošībai;

b) aizsardzībai;

c) sabiedrības drošībai;

d) kriminālsodāmu noziedzīgu nodarījumu vai reglamentētu profesiju ētikas pārkāpumu profilaksei, izziņai, atklāšanai un kriminālvajāšanai;

e) dalībvalsts vai [Eiropas Savienības] svarīgās ekonomiskās vai finansiālās interesēs, ieskaitot monetāros, budžeta un nodokļu jautājumus;

f) ar oficiālo pilnvaru realizāciju c), d) un e) apakšpunktā minētajos gadījumos pat laiku pa laikam saistītajai uzraudzībai, pārbaudei un reglamentējošām funkcijām;

g) datu subjekta aizsardzībai vai citu personu tiesību un brīvību aizsardzībai.”

10. Minētās direktīvas 25. pantā bija paredzēts:

“1. Dalībvalstis paredz to, ka personas datu, kuri atrodas apstrādē vai ir paredzēti apstrādei pēc pārsūtīšanas, pārsūtīšana var notikt tikai tad, ja, neierobežojot atbilstību attiecīgās valsts noteikumiem, kuri pieņemti saskaņā ar šīs direktīvas pārējiem noteikumiem, attiecīgā trešā valsts nodrošina pietiekamu aizsardzības līmeni.

2. Trešās valsts sniegtās aizsardzības līmeņa pietiekamība jānovērtē, paturot prātā visus ar datu pārsūtīšanas darbību vai datu pārsūtīšanas darbību kopumu cieši saistītos apstākļus; jo īpaši jāapsver datu raksturs, ierosinātās apstrādes darbības vai darbību nolūks un ilgums, izcelsmes valsts un valsts, kura ir galamērķis, attiecīgajā trešajā valstī spēkā esošās gan vispārējo, gan nozaru tiesību normas un šajā valstī ievērotie profesionālie noteikumi un drošības pasākumi.

[..]

6. Saskaņā ar 31. panta 2. punktā minēto procedūru Komisija var konstatēt, ka trešā valsts nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, pamatojoties uz savas valsts tiesībām vai uz starptautiskajām saistībām, kuras tā noslēgusi, jo īpaši uz 5. punktā minēto sarunu par personu privātās dzīves un pamatbrīvību un tiesību aizsardzību atzinumu.

Dalībvalstis veic nepieciešamos pasākumus, lai izpildītu Komisijas lēmumu.”

11. Šīs pašas direktīvas 26. panta 2. un 4. punktā bija noteikts:

“2. Neierobežojot 1. punktu, dalībvalsts var atļaut personas datu pārsūtīšanu vai pārsūtījumu kopumu uz trešo valsti, kura nenodrošina pietiekamu aizsardzības līmeni 25. panta 2. punkta nozīmē, ja personas datu apstrādātājs sniedz atbilstošas garantijas attiecībā uz personu privātās dzīves un pamattiesību un brīvību aizsardzību un attiecībā uz atbilstošo tiesību izmantošanu; šādas garantijas jo īpaši var izrietēt no attiecīgajiem līguma punktiem.

[..]

4. Ja Komisija [..] nolemj, ka daži līguma pamatpunkti sniedz pietiekamas garantijas, kā paredzēts 2. punktā, dalībvalstis veic nepieciešamos pasākumus, lai izpildītu Komisijas lēmumu.”

12. Direktīvas 95/46 28. panta 3. punkts bija formulēts šādi:

“Katrai iestādei ir piešķirtas:

[..]

– efektīvas iejaukšanās pilnvaras, tādas kā, piemēram, saskaņā ar 20. pantu atzinumu sniegšana pirms datu apstrādes darbību veikšanas un pilnvaras nodrošināt šādu atzinumu atbilstīgu nodošanu atklātībai, likt noslēgt piekļuvi, dzēst vai iznīcināt datus, noteikt pagaidu vai galīgu aizliegumu datu apstrādei, brīdināt vai izteikt aizrādījumu personas datu apstrādātājam vai nodot jautājumu izskatīšanai valstu parlamentiem vai citām politiskām institūcijām,

[..].”

B. VDAR

13. Atbilstoši VDAR 94. panta 1. punktam ar to no 2018. gada 25. maija tika atcelta Direktīva 95/46, proti, šajā datumā šī regula kļuva piemērojama saskaņā ar tās 99. panta 2. punktu.

14. Minētās regulas 2. panta 2. punktā ir noteikts:

“Šo regulu nepiemēro personas datu apstrādei:

a) tādas darbības gaitā, kas neietilpst Savienības tiesību aktu darbības jomā;

b) ko īsteno dalībvalstis, veicot darbības, kas ir LES V sadaļas 2. nodaļas darbības jomā;

[..]

d) ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.”

15. Šīs pašas regulas 4. panta 2. punktā “apstrāde” ir definēta kā “jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana”.

16. VDAR 23. pantā ir paredzēts:

“1. Saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:

a) valsts drošību;

b) aizsardzību;

c) sabiedrisko drošību;

d) noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem vai kriminālsodu izpildi, tostarp aizsardzību pret sabiedriskās drošības apdraudējumiem un to novēršanu;

e) citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses [..];

[..]

2. Jo īpaši – jebkurā leģislatīvā pasākumā, kas minēts 1. punktā, ietver konkrētus noteikumus attiecīgā gadījumā vismaz par:

a) nolūkiem, kādos veic apstrādi, vai apstrādes kategorijām;

b) personas datu kategorijām;

c) ieviesto ierobežojumu darbības jomu;

d) garantijām, lai novērstu ļaunprātīgu izmantošanu vai nelikumīgu piekļuvi vai nosūtīšanu;

e) pārziņa vai pārziņu kategoriju noteikšanu;

f) glabāšanas laikposmiem un piemērojamām garantijām, ņemot vērā apstrādes vai apstrādes kategoriju raksturu, darbības jomu un nolūkus;

g) riskiem attiecībā uz datu subjektu tiesībām un brīvībām; un

h) datu subjektu tiesībām saņemt informāciju par ierobežojumu, izņemot tad, ja tas var kaitēt ierobežojuma mērķim.”

17. Šīs regulas 44. pantā “Nosūtīšanas vispārīgie principi” ir noteikts:

“Personas datus, kas tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, nosūta tikai tad, ja, ņemot vērā citus šīs regulas noteikumus, pārzinis un apstrādātājs ir ievērojuši šajā nodaļā paredzētos nosacījumus, ietverot arī personas datu tālāku nosūtīšanu no trešās valsts vai starptautiskās organizācijas uz citu trešo valsti vai citu starptautisku organizāciju. Piemēro visus šīs nodaļas noteikumus, lai nodrošinātu, ka nemazinās ar šo regulu garantētais fizisku personu aizsardzības līmenis.”

18. Saskaņā ar minētās regulas 45. pantu “Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību”:

“1. Personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja.

2. Izvērtējot aizsardzības līmeņa pietiekamību, Komisija jo īpaši ņem vērā šādus elementus:

a) tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām un publisko iestāžu piekļuvi personas datiem, kā arī šādu tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta;

b) tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un īstenošanu, tostarp ar adekvātām izpildes pilnvarām, par palīdzību un konsultāciju sniegšanu datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un

c) starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību.

3. Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē. Īstenošanas aktā paredz periodiskas, vismaz reizi četros gados notiekošas pārskatīšanas mehānismu, kurā ņem vērā visas attiecīgās norises trešajā valstī vai starptautiskajā organizācijā. [..]

4. Komisija trešās valstīs un starptautiskajās organizācijās pastāvīgi uzrauga norises, kas varētu ietekmēt saskaņā ar šā panta 3. punktu pieņemto lēmumu un, balstoties uz [Direktīvas 95/46/EK] 25. panta 6. punktu, pieņemto lēmumu darbību.

5. Ja pieejamā informācija, jo īpaši pēc šā panta 3. punktā minētās pārskatīšanas, liecina, ka kāda trešā valsts, teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai kāda starptautiska organizācija vairs nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, Komisija, pieņemot īstenošanas aktus, ciktāl tas nepieciešams, atceļ, groza vai aptur šā panta 3. punktā minēto lēmumu bez atpakaļejoša spēka. [..]

6. Komisija ar trešo valsti vai starptautisko organizāciju sāk konsultācijas, lai labotu stāvokli, kura dēļ saskaņā ar 5. punktu ir pieņemts lēmums.

[..]

9. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz [Direktīvas 95/46/EK] 25. panta 6. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 3. vai 5. punktu.”

19. Šīs pašas regulas 46. pants “Nosūtīšana, pamatojoties uz atbilstošām garantijām” ir formulēts šādi:

“1. Ja nav pieņemts lēmums saskaņā ar 45. panta 3. punktu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti vai uz starptautisku organizāciju tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi.

2. Šā panta 1. punktā minētās atbilstošās garantijas, uzraudzības iestādei neprasot īpašu atļauju, var tikt nodrošinātas ar:

[..]

c) standarta datu aizsardzības klauzulām, ko Komisija pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru;

[..]

5. Dalībvalsts vai uzraudzības iestādes atļaujas, kas izsniegtas saskaņā ar [Direktīvas 95/46/EK] 26. panta 2. punktu, ir spēkā, kamēr minētā uzraudzības iestāde tās vajadzības gadījumā negroza, neaizstāj vai neatceļ. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz [Direktīvas 95/46/EK] 26. panta 4. punktu, ir spēkā, kamēr tos vajadzības gadījumā negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 2. punktu.”

20. Saskaņā ar VDAR 58. panta 2., 4. un 5. punktu:

“2. Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras:

a) brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, iespējams, var tikt pārkāpti šīs regulas noteikumi;

b) izteikt rājienu pārzinim vai apstrādātājam, ja ar apstrādes darbībām ir tikuši pārkāpti šīs regulas noteikumi;

c) izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības;

d) izdot rīkojumu pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā;

e) izdot rīkojumu pārzinim paziņot datu subjektam par personas datu aizsardzības pārkāpumu;

f) uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu;

[..]

i) piemērot administratīvu naudas sodu saskaņā ar 83. pantu, papildinot vai aizstājot šajā punktā minētos pasākumus atkarībā no katras konkrētās lietas apstākļiem;

j) izdot rīkojumu apturēt datu plūsmu pie saņēmēja trešā valstī vai pie starptautiskas organizācijas.

[..]

4. Uzraudzības iestāde saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības un dalībvalstu tiesību aktos saskaņā ar Hartu.

5. Katra dalībvalsts ar tiesību aktiem paredz, ka tās uzraudzības iestādei ir pilnvaras pievērst tiesu iestāžu uzmanību šīs regulas pārkāpumiem un vajadzības gadījumā uzsākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu šīs regulas noteikumus.”

C. Lēmums 2010/87

21. Pamatojoties uz Direktīvas 95/46 26. panta 4. punktu Komisija ir pieņēmusi trīs lēmumus, kuros tā ir konstatējusi, ka tajā minētās līguma standartklauzulas sniedz atbilstošas garantijas attiecībā uz personu privātās dzīves un pamattiesību un brīvību aizsardzību, kā arī attiecībā uz atbilstošo tiesību izmantošanu (turpmāk tekstā – “LSK lēmumi”) (9).

22. To skaitā ir Lēmums 2010/87, kura 1. pantā ir noteikts, ka “uzskata, ka šā lēmuma pielikumā paredzētās līguma standartklauzulas sniedz pienācīgu nodrošinājumu attiecībā uz indivīdu privātās dzīves, pamattiesību un pamatbrīvību aizsardzību un attiecībā uz attiecīgo tiesību izmantošanu, kā noteikts [Direktīvas 95/46] 26. panta 2. punktā”.

23. Saskaņā ar šī lēmuma 3. pantu:

“Šajā lēmumā piemēro šādas definīcijas:

[..]

c) “datu nosūtītājs” ir atbildīgais par datu apstrādi, kas pārsūta personas datus;

d) “datu saņēmējs” ir trešā valstī reģistrēts atbildīgais par datu apstrādi, kas piekrīt personas datus saņemt no datu nosūtītāja, lai tos pēc pārsūtīšanas apstrādātu nosūtītāja uzdevumā saskaņā ar tā norādījumiem un šā lēmuma noteikumiem, un uz ko neattiecas trešās valsts sistēma, ar kuru nodrošina pienācīgu aizsardzību [Direktīvas 95/46] 25. panta 1. punkta nozīmē;

[..]

f) “piemērojamie tiesību akti datu aizsardzības jomā” ir tiesību akti, kas aizsargā personu pamattiesības un pamatbrīvības, un jo īpaši viņu tiesības uz privāto dzīvi attiecībā uz personas datu apstrādi, un kas attiecas uz atbildīgo par datu apstrādi dalībvalstī, kurā datu nosūtītājs ir reģistrēts;

[..].”

24. Minētā lēmuma 4. panta 1. punkta sākotnējā redakcijā bija paredzēts:

“Neskarot dalībvalstu kompetento iestāžu pilnvaras rīkoties, lai nodrošinātu to valsts tiesību aktu ievērošanu, kas ir pieņemti atbilstīgi [Direktīvas 95/46] II, III, V un VI nodaļai, tās var īstenot savas pašreizējās pilnvaras, lai aizliegtu vai apturētu datu plūsmu uz trešām valstīm, lai aizsargātu personas attiecībā uz viņu personas datu apstrādi, ja:

a) konstatē, ka tiesību akti, kuri datu saņēmējam vai apakšapstrādātājam jāievēro, uzliek tam pienākumu atkāpties no piemērojamiem tiesību aktiem datu aizsardzības jomā, kas pārsniedz ierobežojumus, kuri ir vajadzīgi demokrātiskā sabiedrībā, kā paredzēts [Direktīvas 95/46] 13. pantā, ja ir iespējamība, ka šis pienākums var ļoti negatīvi ietekmēt garantijas, kas ir paredzētas piemērojamos tiesību aktos datu aizsardzības jomā un līguma standartklauzulās;

b) kompetentā iestāde ir konstatējusi, ka datu saņēmējs vai apakšapstrādātājs nav ievērojis pielikumā minētās līguma standartklauzulas; vai

c) ir liela iespējamība, ka nav ievērotas vai netiks ievērotas pielikumā minētās līguma standartklauzulas, un pārsūtīšanas turpināšana datu subjektiem radītu būtiska kaitējuma draudus.”

25. Pašreizējā redakcijā, kas izriet no Lēmuma 2010/87 grozījumiem, kuri veikti ar Īstenošanas lēmumu (ES) 2016/2297 (10), Lēmuma 2010/87 4. pantā ir noteikts, ka tad, “kad kompetentās iestādes dalībvalstī, lai pasargātu personas attiecībā uz viņu personas datu apstrādi, izmanto savas pilnvaras atbilstīgi [Direktīvas 95/46] 28. panta 3. punktam, kā rezultātā tiek apturētas vai pilnībā aizliegtas datu plūsmas uz trešām valstīm, attiecīgā dalībvalsts nekavējoties informē Komisiju, kas nosūta informāciju pārējām dalībvalstīm”.

26. Lēmuma 2010/87 pielikumā ir ietvertas visas līguma standartklauzulas. It īpaši, šajā pielikumā ietvertā 3. klauzula “Ieinteresētās trešās personas klauzula” paredz:

“1. Datu subjekts kā ieinteresētā trešā persona var piemērot pret datu nosūtītāju šo klauzulu, 4. klauzulas b)–i) punktu, 5. klauzulas a)–e) un g)–j) punktu, 6. klauzulas 1. un 2. punktu, 7. klauzulu, 8. klauzulas 2. punktu un 9.–12. klauzulu.

2. Datu subjekts var piemērot pret datu saņēmēju šo klauzulu, 5. klauzulas a)–e) un g) punktu, 6. klauzulu, 7. klauzulu, 8. klauzulas 2. punktu un 9.–12. klauzulu gadījumos, kad datu nosūtītājs ir faktiski zudis vai juridiski beidzis pastāvēt, ja vien kāds tiesību pārņēmējs ar līgumu vai likumiskā kārtā nav uzņēmies visas datu nosūtītāja juridiskās saistības, kā rezultātā tas uzņemas datu nosūtītāja tiesības un pienākumus, un šādā gadījumā datu subjekts tos var piemērot pret minēto personu.

[..]”

27. Minētā pielikuma 4. klauzulā “Datu nosūtītāja pienākumi” ir noteikts:

“Datu nosūtītājs piekrīt un garantē, ka:

a) personas datu apstrāde, tostarp pati pārsūtīšana, tiek un arī turpmāk tiks veikta saskaņā ar datu aizsardzības jomā piemērojamiem tiesību aktiem (un attiecīgos gadījumos par to tiek ziņots attiecīgajām iestādēm dalībvalstī, kurā reģistrēts datu nosūtītājs) un netiek pārkāpti minētās valsts attiecīgie noteikumi;

b) tas ir devis norādījumus un visā personas datu apstrādes pakalpojumu sniegšanas laikā turpinās dot norādījumus datu saņēmējam apstrādāt pārsūtītos personas datus vienīgi datu nosūtītāja uzdevumā un saskaņā ar datu aizsardzības jomā piemērojamiem tiesību aktiem un šīm klauzulām;

c) datu saņēmējs sniegs pietiekamas garantijas attiecībā uz tehniskajiem un organizatoriskajiem drošības pasākumiem, kas minēti šā līguma 2. papildinājumā;

d) pēc tam, kad tiks novērtētas datu aizsardzības jomā piemērojamo tiesību aktu prasības, drošības pasākumi būs piemēroti, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi tiem, īpaši – ja apstrāde ietver datu pārraidi elektronisko sakaru tīklā, un pret visām citām nelikumīgām apstrādes formām, un ka minētie pasākumi nodrošina raksturīgajiem apstrādes un aizsargājamo datu riskiem atbilstošu drošības pakāpi, ņemot vērā šo pasākumu pašreizējo līmeni un to īstenošanas izmaksas;

e) tas nodrošinās drošības pasākumu ievērošanu;

f) tad, ja pārsūtīšana ietver īpašas datu kategorijas, datu subjekts tiek vai tiks informēts iepriekš, ka tā dati varētu tikt pārraidīti uz trešo valsti, kas nesniedz pietiekamu aizsardzības līmeni [Direktīvas 95/46] nozīmē, vai iespējami drīz pēc tam;

g) saskaņā ar 5. klauzulas b) punktu un 8. klauzulas 3. punktu datu aizsardzības uzraudzības iestādei tiek pārsūtīti visi paziņojumi, kas saņemti no datu saņēmēja vai kāda apakšapstrādātāja, ja datu nosūtītājs nolemj turpināt pārsūtīšanu vai atcelt aizliegumu;

h) izņemot 2. papildinājumā ietvertās klauzulas, datu subjektiem pēc pieprasījuma dara pieejamu šajā pielikumā ietverto klauzulu kopiju un drošības pasākumu rezumējošu aprakstu, kā arī visu apakšuzņēmuma līgumu par apakšapstrādes pakalpojumiem kopijas, kas jāsagatavo saskaņā ar šīm klauzulām, ja vien klauzulas vai līgums nesatur komerciālu informāciju, ko tādā gadījumā datu nosūtītājs var dzēst;

i) apakšapstrādes gadījumā apstrādes darbības saskaņā ar 11. klauzulu veic apakšapstrādātājs, nodrošinot vismaz tādu pašu personas datu un datu subjekta tiesību aizsardzību kā datu nosūtītājs saskaņā ar šo klauzulu noteikumiem; kā arī

j) ka tas nodrošinās atbilstību 4. klauzulas a)–i) punktam.”

28. Tā paša pielikuma 5. klauzulā “Datu saņēmēja pienākumi (¹)” ir noteikts:

“Datu saņēmējs piekrīt un garantē, ka:

a) tas apstrādās personas datus vienīgi datu nosūtītāja vārdā un saskaņā ar tā norādījumiem un klauzulām; gadījumā, ja datu saņēmējs kāda iemesla dēļ nevar nodrošināt norādījumu un klauzulu ievērošanu, tas piekrīt nekavējoties informēt par to datu nosūtītāju, un šādā gadījumā datu nosūtītājam ir tiesības apturēt datu pārsūtīšanu un/vai izbeigt līgumu;

b) tam nav iemesla uzskatīt, ka datu saņēmējam piemērojamie tiesību akti neļauj tam izpildīt datu nosūtītāja norādījumus un līgumā paredzētos pienākumus, un ka gadījumā, ja tiek izdarītas tādas izmaiņas datu saņēmēja tiesību aktos, kas var negatīvi ietekmēt klauzulās noteiktās garantijas un pienākumus, tas nekavējoties paziņos par šīm izmaiņām datu nosūtītājam, tiklīdz tās kļūs zināmas, un šādā gadījumā datu nosūtītājam ir tiesības apturēt datu pārsūtīšanu un/vai izbeigt līgumu;

c) pirms apstrādāt pārsūtītos personas datus, tas ir ieviesis tehniskos un organizatoriskos drošības pasākumus, kas norādīti 2. papildinājumā;

d) tas nekavējoties paziņos datu nosūtītājam par:

i) tiesībaizsardzības iestāžu jebkuru juridiski saistošu pieprasījumu atklāt personas datus, ja vien tas citādi nav aizliegts, piemēram, krimināltiesībās paredzētais aizliegums nolūkā saglabāt tiesībaizsardzības iestāžu veiktās izmeklēšanas konfidencialitāti;

ii) jebkuru nejaušu vai neatļautu piekļuvi; kā arī

iii) jebkuru pieprasījumu, kas tiešā veidā saņemts no datu subjektiem, neatbildot uz minēto pieprasījumu, ja vien tas nav citādi pilnvarots to darīt;

e) nekavējoties un pienācīgi atbildēs uz visiem datu nosūtītāja pieprasījumiem, kas saistīti ar tā veikto pārsūtāmo personas datu apstrādi, un ievēros uzraudzības iestādes padomus attiecībā uz pārsūtīto datu apstrādi;

f) pēc datu nosūtītāja pieprasījuma tas ļaus datu apstrādes telpās veikt revīziju par apstrādes darbībām, uz kurām attiecas klauzulas; revīziju veic datu nosūtītājs vai pārbaudes struktūra, kurā ir neatkarīgi locekļi un kurai ir vajadzīgā profesionālā kvalifikācija un konfidencialitātes saistības; šo struktūru izvēlas datu nosūtītājs, atbilstošā gadījumā vienojoties ar uzraudzības iestādi;

[..].”

29. Saskaņā ar 1. zemsvītras piezīmi, uz kuru ir atsauce Lēmuma 2010/87 pielikumā ietvertās 5. klauzulas nosaukumā:

“Valsts tiesību aktu obligātās prasības, ko piemēro datu saņēmējam un kas nepārsniedz prasības, kuras ir vajadzīgas demokrātiskā sabiedrībā, pamatojoties uz vienu no [Direktīvas 95/46] 13. panta 1. punktā minētajām interesēm, proti, ja tās ir nepieciešams aizsargpasākums valsts drošībai, aizsardzībai, sabiedrības drošībai, kriminālsodāmu noziedzīgu nodarījumu vai reglamentētu profesiju ētikas pārkāpumu novēršanai, izmeklēšanai, atklāšanai un kriminālvajāšanai, valsts svarīgās ekonomiskās vai finansiālās interesēs vai datu subjekta aizsardzībai vai citu personu tiesību un brīvību aizsardzībai, nav pretrunā līguma standartklauzulām. Piemēri dažām tādām obligātajām prasībām, kas nepārsniedz prasības, kuras ir vajadzīgas demokrātiskā sabiedrībā, inter alia ir starptautiski atzītas sankcijas, nodokļu deklarēšanas prasības vai prasība ziņot par nelikumīgi iegūtu līdzekļu legalizāciju.”

30. Šajā pielikumā ietvertā 6. klauzula “Atbildība” ir formulēta šādi:

“1. Puses vienojas, ka datu subjektam, kam nodarīts kaitējums 3. vai 11. klauzulā minēto noteikumu pārkāpumu rezultātā, kurus izdarījusi kāda no pusēm vai apakšapstrādātājs, ir tiesības saņemt no datu nosūtītāja kompensāciju par nodarīto kaitējumu.

2. Ja datu subjekts pret datu nosūtītāju nevar vērsties ar 1. punktā minēto prasību par kompensāciju, kas izriet no tā, ka datu nosūtītājs vai tā apakšapstrādātājs nav izpildījis kādu no 3. vai 11. klauzulā minētajiem pienākumiem, sakarā ar to, ka datu nosūtītājs ir faktiski zudis vai juridiski beidzis pastāvēt, vai arī ir kļuvis maksātnespējīgs, datu saņēmējs piekrīt, ka datu subjekts var izvirzīt prasību pret datu saņēmēju tā, it kā tas būtu datu nosūtītājs, ja vien kāds tiesību pārņēmējs ar līgumu vai likumiskā kārtā nav uzņēmies visas datu nosūtītāja juridiskās saistības, kā rezultātā datu subjekts var piemērot savas tiesības pret minēto tiesību pārņēmēju.

[..]”

31. Minētajā pielikumā ietvertajā 7. klauzulā “Starpniecība un jurisdikcija” ir noteikts:

“1. Datu saņēmējs piekrīt, ka gadījumā, ja datu subjekts attiecībā uz to piemēro ieinteresētās trešās personas tiesības un/vai saskaņā ar klauzulām pieprasa kompensāciju par kaitējumu, datu saņēmējs pieņems datu subjekta lēmumu:

a) strīda izšķiršanai izmantot neatkarīgas personas vai attiecīgā gadījumā uzraudzības iestādes starpniecību;

b) nodot strīdu izskatīšanai tās dalībvalsts tiesās, kurā datu nosūtītājs ir reģistrēts.

2. Puses piekrīt, ka datu subjekta izvēle neskar tā materiālās vai procesuālās tiesības uz aizsardzības līdzekļiem saskaņā ar citiem valsts vai starptautisko tiesību noteikumiem.”

32. Tajā pašā pielikumā ietvertā 9. klauzula “Piemērojamie tiesību akti” paredz, ka līguma standartklauzulas reglamentē tās dalībvalsts tiesību akti, kurā datu nosūtītājs ir reģistrēts.

D. “Privātuma vairoga” lēmums

33. Direktīvas 95/46 25. panta 6. punkts bija pamats, lai Komisija pieņemtu divus secīgus lēmumus, kuros tā konstatēja, ka ASV nodrošina pienācīgu to personas datu aizsardzības līmeni, kas tiek nosūtīti uz ASV reģistrētiem uzņēmumiem, kuri, izmantojot pašsertifikācijas procedūru, ir paziņojuši, ka ievēro šajos lēmumos noteiktos principus.

34. Vispirms Komisija pieņēma Lēmumu 2000/520/EK par pienācīgu aizsardzību, kas noteikta ar privātuma “drošības zonas” principiem un attiecīgajiem visbiežāk uzdotajiem jautājumiem, kurus izdevusi [ASV] Tirdzniecības ministrija (11). 2015. gada 6. oktobra spriedumā lietā Schrems (12) Tiesa šo lēmumu atzina par spēkā neesošu.

35. Pēc tam – pēc šī sprieduma Komisija pieņēma “Privātuma vairoga” lēmumu.

36. Šī lēmuma 1. pantā ir noteikts:

“1. [Direktīvas 95/46] 25. panta 2. punkta izpratnē Amerikas Savienotās Valstis nodrošina pienācīgu aizsardzības līmeni personas datiem, kas ES un ASV privātuma vairoga ietvaros no Savienības tiek nosūtīti organizācijām Amerikas Savienotajās Valstīs.

2. ES un ASV privātuma vairogu veido principi, kurus ASV Tirdzniecības ministrija izdevusi 2016. gada 7. jūlijā, kas izklāstīti II pielikumā, un oficiālie apgalvojumi un saistības, kas iekļautas dokumentos I un III–VII pielikumā.

3. Šā panta 1. punkta īstenošanai personas dati tiek pārsūtīti ES un ASV privātuma vairoga ietvaros, ja tos no Savienības pārsūta Amerikas Savienoto Valstu organizācijām, kuras ir iekļautas “Privātuma vairoga sarakstā”, ko uztur un publicē ASV Tirdzniecības ministrija saskaņā ar II pielikumā izklāstīto principu I un III sadaļu.”

37. Šī lēmuma III pielikuma A pielikumā “ES un ASV privātuma vairoga ombuda mehānisms Sakaru izlūkošanas jomā”, kurš ir pievienots Džona Kerija [John Kerry], kas tolaik bija Secretary of State (Valsts sekretārs, ASV), 2016. gada 7. jūlija vēstulei, ir ietverts memorands, kurā ir aprakstīta jauna starpniecības procedūra ar “vecāko koordinatoru starptautiskās informācijas tehnoloģijas diplomātijas jautājumos” (turpmāk tekstā – “ombuds”), ko iecēlis Valsts sekretārs.

38. Saskaņā ar šo memorandu šī procedūra tika ieviesta, “lai veicinātu tādu ar valsts drošību saistītu piekļuves pieprasījumu apstrādi, kuri attiecas uz datiem, ko ar iedibinātiem piemērojamos Amerikas Savienoto Valstu tiesību aktos un politikā paredzētiem līdzekļiem no [Savienības] pārsūta Amerikas Savienotajām Valstīm saskaņā ar privātuma vairogu, saistošiem uzņēmumu noteikumiem, standarta līgumu klauzulām (SLK), “atkāpēm” vai “iespējamām turpmākām atkāpēm”, kā arī atbildēšanu uz tiem”.

III. Pamatlieta, prejudiciālie jautājumi un tiesvedība Tiesā

39. M. Schrems, Austrijas pilsonis, kurš dzīvo Austrijā, ir sociālā tīkla Facebook lietotājs. Visiem šī sociālā tīkla lietotājiem, kas dzīvo Savienības teritorijā, reģistrēšanās brīdī ir jānoslēdz līgums ar Facebook Ireland, kas ir ASV reģistrētās sabiedrības Facebook Inc. meitasuzņēmums. Šo lietotāju personas dati pilnībā vai daļēji tiek nosūtīti uz Facebook Inc. piederošiem serveriem, kas atrodas ASV teritorijā, kur tos apstrādā.

40. 2013. gada 25. jūnijā M. Schrems iesniedza DPC sūdzību, kurā būtībā viņš lūdza, lai Facebook Ireland tiktu aizliegts nosūtīt viņa personas datus uz ASV. Sūdzībā viņš norādīja, ka šajā trešajā valstī spēkā esošās tiesības un prakse nenodrošinot pietiekamu šīs valsts teritorijā glabāto personas datu aizsardzību pret iejaukšanos, kas izriet no [trešās valsts] valsts iestāžu īstenotās uzraudzības. Šajā ziņā M. Schrems atsaucās uz Edvarda Snoudena [Edward Snowden] atklāto informāciju par ASV izlūkdienestu, it īpaši National Security Agency (Nacionālā drošības aģentūra, ASV, turpmāk tekstā – “NSA”) darbībām.

41. Šī sūdzība tika noraidīta, pamatojoties it īpaši uz to, ka visi jautājumi par ASV nodrošinātās aizsardzības pietiekamību ir jārisina saskaņā ar “drošības zonas” lēmumu. Šajā lēmumā Komisija bija konstatējusi, ka šī trešā valsts sniedz pietiekamu to personas datu aizsardzības līmeni, kuri tiek nosūtīti to teritorijā esošiem uzņēmumiem, kas ievēro minētajā lēmumā norādītos principus.

42. M. Schrems cēla prasību High Court (Augstā Tiesa) par lēmumu noraidīt viņa sūdzību. Šī tiesa uzskatīja, ka, lai gan M. Schrems formāli nav apstrīdējis “drošības zonas” lēmuma spēkā esamību, viņa sūdzībā tika faktiski apstrīdēts ar šo lēmumu ieviestās sistēmas tiesiskums. Šādos apstākļos minētā tiesa uzdeva Tiesai jautājumus būtībā par to, vai dalībvalstu datu aizsardzības iestādēm (turpmāk tekstā – “uzraudzības iestādes”), ja tajās ir iesniegta sūdzība par personas tiesību un brīvību aizsardzību saistībā ar to personas datu apstrādi, kuri attiecas uz šo personu un kuri ir nosūtīti uz trešo valsti, ir saistoši konstatējumi par šīs trešās valsts sniegtā aizsardzības līmeņa pietiekamību, ko Komisija veikusi saskaņā ar Direktīvas 95/46 25. panta 6. punktu, lai gan sūdzības iesniedzējs šos konstatējumus apstrīd.

43. Pēc tam, kad sprieduma Schrems 51. un 52. punktā Tiesa nosprieda, ka lēmums par aizsardzības līmeņa pietiekamību ir saistošs uzraudzības iestādēm tik ilgi, kamēr tas nav pasludināts par spēkā neesošu, šī sprieduma 63. un 65. punktā Tiesa nosprieda:

“63. [..] Ja persona, kuras personas dati ir tikuši vai var tikt pārsūtīti uz trešo valsti, par ko Komisija saskaņā ar Direktīvas 95/46 25. panta 6. punktu ir pieņēmusi lēmumu, vēršas valsts uzraudzības iestādē ar prasību par tās tiesību un brīvību aizsardzību saistībā ar šo datu apstrādi un šīs prasības ietvaros [..] apstrīd šī lēmuma saderīgumu ar personu privātās dzīves neaizskaramības un pamatbrīvību un pamattiesību aizsardzību, šai iestādei minētā prasība ir jāizskata ar vislielāko rūpību.

[..]

65. [..] Gadījumā, ja minētā iestāde par pamatotām atzīst iebildes, ko izvirzījusi [šī persona], šai pašai iestādei atbilstoši Direktīvas 95/46 28. panta 3. punkta pirmās daļas trešajam ievilkumam, to lasot kopā ar Hartas 8. panta 3. punktu, ir jāvar iesaistīties tiesvedībā. Šajā ziņā valsts likumdevēja ziņā ir paredzēt tiesiskās aizsardzības līdzekļus, kas valsts uzraudzības iestādei ļauj valstu tiesās izvirzīt iebildes, kuras tā uzskata par pamatotām, lai šīs tiesas – ja arī tās piekrīt šīs iestādes šaubām par Komisijas lēmuma spēkā esamību – iesniegtu lūgumu sniegt prejudiciālu nolēmumu šī lēmuma spēkā esamības izvērtēšanas nolūkos.”

44. Tiesa minētajā spriedumā arī pārbaudīja “drošības zonas” lēmuma spēkā esamību, ņemot vērā no Direktīvas 95/46 izrietošās prasības, lasot tās kopsakarā ar Hartu. Pēc šīs pārbaudes tā atzina šo lēmumu par spēkā neesošu (13).

45. Pēc sprieduma Schrems iesniedzējtiesa atcēla lēmumu, ar kuru DPC bija noraidījis M. Schrems sūdzību, un nosūtīja to DPC pārbaudei. Pēdējais minētais uzsāka izmeklēšanu un aicināja M. Schrems pārformulēt savu sūdzību, ņemot vērā “drošības zonas” lēmuma atzīšanu par spēkā neesošu.

46. Šajā nolūkā M. Schrems lūdza Facebook Ireland identificēt juridiskos pamatus, uz kuriem ir balstīta sociālā tīkla Facebook lietotāju personas datu nosūtīšana no Savienības uz ASV. Facebook Ireland, neidentificējot visus juridiskos pamatus, uz kuriem tas balstās, atsaucās uz nolīgumu par datu nosūtīšanu un apstrādi (data transfer processing agreement), kas noslēgts starp viņu un Facebook Inc. un kas ir piemērojams kopš 2015. gada 20. novembra, un norādīja uz Lēmumu 2010/87.

47. Savā pārformulētajā sūdzībā M. Schrems norāda, pirmkārt, ka šajā nolīgumā ietvertās klauzulas neatbilst līguma standartklauzulām, kas ietvertas Lēmuma 2010/87 pielikumā. Otrkārt, M. Schrems apgalvo, ka līguma standartklauzulas jebkurā gadījumā nevarot būt pamats viņa personas datu nosūtīšanai uz ASV. Tas tā esot tādēļ, ka ASV tiesības uzliek Facebook Inc. pienākumu nodot savu lietotāju personas datus tādu ASV iestāžu rīcībā kā, piemēram, NSA un Federal Bureau of Investigation (Federālais izmeklēšanas birojs, ASV, turpmāk tekstā – “FBI”) uzraudzības programmu ietvaros, kas traucējot īstenot Hartas 7., 8. un 47. pantā garantētās tiesības. M. Schrems apgalvo, ka neviens tiesību aizsardzības līdzeklis neļauj datu subjektiem īstenot viņu tiesības uz privātās dzīves neaizskaramību un personas datu aizsardzību. Šādos apstākļos M. Schrems lūdz DPC apturēt šo pārsūtīšanu, piemērojot Lēmuma 2010/87 4. pantu.

48. DPC veiktās izmeklēšanas ietvaros Facebook Ireland ir atzinis, ka tas turpina nosūtīt sociālā tīkla Facebook Savienībā dzīvojošo lietotāju personas datus uz ASV un ka šajā nolūkā tas lielā mērā balstās uz līguma standartklauzulām, kas ir ietvertas Lēmuma 2010/87 pielikumā.

49. DPC izmeklēšanas mērķis bija noteikt, pirmkārt, vai ASV nodrošina pietiekamu Savienības pilsoņu personas datu aizsardzību un, otrkārt, noliedzošas atbildes gadījumā, vai LSK lēmumi sniedz pietiekamas garantijas attiecībā uz šo pēdējo minēto pamattiesību un pamatbrīvību aizsardzību.

50. Šajā ziņā lēmuma projektā (draft decision) DPC provizoriski uzskatīja, ka ASV tiesības nenodrošina efektīvus tiesību aizsardzības līdzekļus Hartas 47. panta izpratnē Savienības pilsoņiem, kuru dati tiek nosūtīti uz ASV, kur tos, iespējams, apstrādās ASV iestādes valsts drošības nolūkos tādā veidā, kas nav saderīgs ar Hartas 7. un 8. pantu. Garantijas, kas paredzētas LSK lēmumu pielikumā ietvertajās klauzulās, nenovēršot šo trūkumu, jo tās neesot saistošas ASV iestādēm vai aģentūrām un ar tām datu subjektiem tiekot piešķirtas tikai līgumiskas tiesības attiecībā pret datu nosūtītāju un/vai saņēmēju.

51. Šādos apstākļos DPC uzskatīja, ka viņš nevar lemt par M. Schrems sūdzību, pirms Tiesa ir pārbaudījusi LSK lēmumu spēkā esamību. Atbilstoši tam, kas ir noteikts sprieduma Schrems 65. punktā, DPC tādējādi uzsāka tiesvedību iesniedzējtiesā, lai tā, ja tā piekrīt DPC šaubām, iesniedz Tiesai lūgumu sniegt prejudiciālu nolēmumu par šo lēmumu spēkā esamību.

52. ASV valdība, Electronic Privacy Information Centre (turpmāk tekstā – “EPIC”), Business Software Alliance (turpmāk tekstā – “BSA”) un Digitaleurope tika atļauts iestāties lietā iesniedzējtiesā.

53. High Court (Augstā Tiesa), lai noteiktu, vai tā piekrīt DPC izteiktajām šaubām par LSK lēmumu spēkā esamību, saņēma lietas dalībnieku iesniegtos pierādījumus un uzklausīja viņu, kā arī personu, kas iestājušās lietā, argumentus. It īpaši, pierādījumu ietvaros eksperti prezentēja ASV tiesību normas. Īrijas tiesībās ārvalsts tiesības tiek uzskatītas par faktu, kas jāpierāda tādā pašā veidā kā jebkurš citu fakts. Pamatojoties uz šiem pierādījumiem, iesniedzējtiesa izvērtēja ASV tiesību normas, ar kurām valdības iestādēm un aģentūrām ir atļauts veikt uzraudzību, divu publiski atzītu uzraudzības programmu (“PRISM” un “Upstream”) darbību, dažādās iespējas vērsties tiesā, kas ir pieejamas privātpersonām, kuru tiesības ir pārkāptas ar uzraudzības pasākumiem, kā arī sistēmiskās garantijas un kontroles mehānismus. Vērtējuma rezultātus šī tiesa atspoguļoja 2017. gada 3. oktobra spriedumā, kas ir pievienots tās lūgumam sniegt prejudiciālu nolēmumu (turpmāk tekstā – “High Court (Augstā tiesa) 2017. gada 3. oktobra spriedums”).

54. Šajā spriedumā iesniedzējtiesa kā vienu no juridiskajiem pamatiem, ar kuru ASV izlūkdienestiem tiek atļauts pārtvert ārvalstu sakarus, norāda Foreign Intelligence and Surveillance Act (Ārvalstu izlūkošanas uzraudzības likums, turpmāk tekstā – “FISA”) 702. pantu un Executive Order 12333 (Prezidenta dekrēts Nr. 12333, turpmāk tekstā – “EO 12333”).

55. Saskaņā ar šajā spriedumā izdarītajiem konstatējumiem FISA 702. pants ļauj Attorney General (ģenerālprokurors, ASV) un Director of National Intelligence (Nacionālās izlūkošanas direktors, ASV, turpmāk tekstā – “DNI”) abiem kopā atļaut – uz vienu gadu ilgu laikposmu, nolūkā iegūt informāciju ārvalstu izlūkošanas jomā – tādu personu uzraudzību, kuri nav ASV pilsoņi un kuru pastāvīgā dzīvesvieta nav ASV (tā sauktās “citu valstu personas”), ja ir pamatoti iemesli uzskatīt, ka tās atrodas ārpus ASV teritorijas (14). Saskaņā ar FISA jēdziens “ārvalstu izlūkošana” nozīmē informāciju, kas saistīta ar valdības spēju nodrošināties pret ārvalstu uzbrukumiem, terorismu, masu iznīcināšanas ieroču izplatīšanu, kā arī ar ASV ārlietām (15).

56. Šīs gada atļaujas, tāpat kā procedūras, kas reglamentē uzraugāmo personu mērķatlasi un apkopotās informācijas apstrādi (“minimizācija”) (16), ir jāapstiprina Foreign Intelligence Surveillance Court (Ārvalstu izlūkošanas uzraudzības tiesa, ASV, turpmāk tekstā – “FISC”). Lai arī “tradicionālā” uzraudzība, kuru veic, pamatojoties uz citām FISA tiesību normām, prasa, lai tiktu pierādīts “ticams iemesls”, kas ļauj uzskatīt, ka uzraugāmās personas pieder ārvalsts varai vai ir ārvalstu varas pārstāvji, uzraudzības darbības, kuras veiktas saskaņā ar FISA 702. pantu, nav pakļautas ne šādai “ticama iemesla” pierādīšanai, ne apstiprinājuma saņemšanai no FISC, lai mērķēti atlasītu noteiktas personas. Turklāt, joprojām saskaņā ar iesniedzējtiesas konstatējumiem, minimizācijas procedūras neattiecas uz citu valstu personām, kas atrodas ārpus ASV.

57. Praksē, tiklīdz FISC ir piešķīrusi atļauju, NSA nosūta ASV reģistrētiem elektronisko komunikāciju pakalpojumu sniedzējiem norādes, kuras satur meklēšanas kritērijus, ko sauc par “atlasītājiem”, sasaistot tos ar interesējošajām personām (piemēram, tālruņa numuri vai e‑pasta adreses). Šiem piegādātājiem ir pienākums nosūtīt atlasītājiem atbilstošos datus NSA, un tiem ir jāglabā noslēpums attiecībā uz tiem sniegtajām norādēm. Tie var iesniegt prasības pieteikumu FISC, lai panāktu NSA sniegtas norādes grozīšanu vai nepiemērošanu. FISC lēmumu var pārsūdzēt Foreign Intelligence Surveillance Court of Review (Ārvalstu izlūkošanas uzraudzības apelācijas tiesa, ASV, turpmāk tekstā – “FISCR”).

58. High Court (Augstā Tiesa) konstatēja, ka FISA 702. pants ir juridiskais pamats “PRISM” un “Upstream” programmām.

59. “PRISM” programmas ietvaros elektronisko komunikāciju pakalpojumu sniedzējiem ir pienākums nosūtīt NSA visas komunikācijas, kurās tās norādītais atlasītājs ir “sākumpunkts” vai “galamērķis”. Daļa no šīm komunikācijām tiekot pārsūtīta FBI un Central Intelligence Agency (Centrālā izlūkošanas pārvalde, ASV, turpmāk tekstā – “CIA”). 2015. gadā esot bijušas uzraudzītas 94 386 personas, un 2011. gadā ASV valdība šīs programmas ietvaros esot ieguvusi vairāk nekā 250 miljonus komunikācijas.

60. “Upstream” programma balstās uz obligāto palīdzību no uzņēmumiem, kas ekspluatē “mugurkaulu”, proti, kabeļu tīklu, pārslēdzējus un maršrutētājus, pa kuriem cirkulē telefoniskās un interneta komunikācijas. Šie uzņēmumi ir spiesti ļaut NSA kopēt un filtrēt interneta datu plūsmu, lai iegūtu saziņu, kuras “sākumpunkts” vai “galamērķis” ir šīs aģentūras norādēs minētais atlasītājs, vai kura “attiecas uz” šo atlasītāju. Saziņa, kas “attiecas uz” atlasītāju, ir saziņa, kurā ir atsauce uz šo atlasītāju, lai gan citas valsts persona, kas ir sasaistīta ar minēto atlasītāju, ne obligāti piedalās šajā saziņā. Lai gan no FISC 2017. gada 26. aprīļa atzinuma izriet, ka kopš šī datuma ASV valdība vairs nevāc un neiegūst saziņu, kas “attiecas uz” jebkādu atlasītāju, šajā atzinumā nav norādīts, ka NSA būtu pārtrauksi kopēt un filtrēt saziņas plūsmu, kas cirkulē tās uzraudzības mehānismā. Tādējādi “Upstream” programma nozīmējot NSA piekļuvi gan metadatiem, gan arī saziņas saturam. Kopš 2011. gada “Upstream” programmas ietvaros NSA esot ieguvusi aptuveni 26,5 miljonus komunikāciju gadā, kas tomēr esot tikai neliela daļa no saziņas, kas saskaņā ar šo programmu tiek filtrēta.

61. Turklāt saskaņā ar High Court (Augstā tiesa) konstatējumiem EO 12333 atļauj elektronisko komunikāciju uzraudzību ārpus ASV teritorijas, ļaujot – ārvalstu izlūkošanas nolūkā – piekļūt datiem, kas ir “tranzītā” uz šo teritoriju vai ir “tranzītā” caur šo teritoriju, lai arī šos datus nav paredzēts tur apstrādāt, kā arī vākt un glabāt šos datus. EO 12333 jēdziens “ārvalstu izlūkošana” ir definēts kā tāds, kas ietver informāciju par ārvalstu valdību, ārvalstu organizāciju vai ārvalstu personu spējām, nodomiem vai darbībām (17).

62. EO 12333 piešķirot tiesības NSA piekļūt zemūdens kabeļiem, kuri atrodas Atlantijas okeāna dzīlēs un ar kuru palīdzību dati no Savienības tiek nosūtīti uz ASV, pirms šie dati nonāk ASV un šī iemesla dēļ ir pakļauti FISA tiesību normām. Tomēr nav nekādu pierādījumu tam, ka saskaņā ar šo prezidenta dekrētu būtu īstenota jebkāda programma.

63. Lai gan EO 12333 ir paredzēti ierobežojumi attiecībā uz informācijas vākšanu, turēšanu un izplatīšanu, šie ierobežojumi neattiecas uz citu valstu personām. Uz šīm pēdējām minētajām attiecas tikai garantijas, kas ir norādītas Presidential Policy Directive 28 (Prezidenta politikas direktīva Nr. 28, turpmāk tekstā – “PPD 28”), kas ir piemērojama visām informācijas vākšanas un izmantošanas darbībām ārvalstu sakaru izlūkošanas jomā. PPD 28 ir noteikts, ka privātās dzīves neaizskaramība ir šo darbību plānošanas laikā ievērojamo apsvērumu neatņemama sastāvdaļa, ka vākšanas vienīgajam mērķim ir jābūt informācijas iegūšanai ārvalstu izlūkošanas, kā arī pretizlūkošanas jomā un ka minētajām darbībām ir jābūt “pēc iespējas precīzāk mērķētām”.

64. Iesniedzējtiesa uzskata, ka NSA darbības, kas balstās uz EO 12333, kuru ASV Prezidents var grozīt vai atsaukt jebkurā brīdī, nereglamentē tiesību akti, tās nav pakļautas tiesas uzraudzībai un par tām nevar celt prasību tiesā.

65. Pamatojoties uz šiem secinājumiem, šī tiesa uzskata, ka ASV veic plašu un visaptverošu personas datu apstrādi, kas datu subjektus pakļauj riskam, ka viņu no Hartas 7. un 8. panta izrietošās tiesības tiek pārkāptas.

66. Turklāt minētā tiesa norāda, ka Savienības pilsoņiem nav pieejama tāda pati tiesību aizsardzība tiesā pret viņu personas datu nelikumīgu apstrādi, ko veic ASV iestādes, kāda ir ASV pilsoņiem. ASV Konstitūcijas ceturtais labojums, kas esot vislielākā aizsardzība pret nelikumīgu uzraudzību, neesot piemērojams Savienības pilsoņiem, kuriem nav apzinātas, nozīmīgas saiknes ar ASV. Kaut arī šiem pēdējiem minētajiem tomēr ir dažas citas iespējas, tie tik un tā atdurtos pret būtiskiem šķēršļiem.

67. It īpaši, saskaņā ar ASV Konstitūcijas III pantu jebkāda prasības celšana federālajās tiesās ir pakārtota nosacījumam, ka attiecīgajai personai ir jāpierāda savs locus standi (standing). Locus standi konkrēti nozīmē, ka šai personai ir jāpierāda, ka viņai ir nodarīts faktisks kaitējums, kas, pirmkārt, ir konkrēts un individualizēts un, otrkārt, ir jau radies vai ir nenovēršams. Atsaucoties tostarp uz Supreme Court of the United States (ASV Augstākā tiesa) spriedumu Clapper pret Amnesty International US (18), iesniedzējtiesa uzskata, ka šo nosacījumu izpildīt praksē ir pārmērīgi grūti, ņemot it īpaši vērā to, ka nepastāv pienākums informēt datu subjektus par attiecībā uz viņiem veiktajiem uzraudzības pasākumiem (19). Daļa no Savienības pilsoņiem pieejamiem tiesību aizsardzības līdzekļiem turklāt ir pakļauta citiem ierobežojošiem nosacījumiem, piemēram, nepieciešamībai pierādīt mantisku kaitējumu. Izlūkošanas aģentūrām atzītā suverēnā imunitāte un attiecīgās informācijas klasifikācija arī esot šķērslis dažu tiesību aizsardzības līdzekļu izmantošanai (20).

68. Turklāt High Court (Augstā Tiesa) apraksta dažādus izlūkošanas aģentūru darbību kontroles un uzraudzības mehānismus.

69. Viens no tiem ir, pirmkārt, ikgadējās sertifikācijas mehānisms, kad FISC sertificē uz FISA 702. pantu balstītās programmas, kura ietvaros FISC tomēr neapstiprina individuālos atlasītājus. Turklāt nekāda iepriekšēja pārbaude tiesā nereglamentē informācijas vākšanu ārvalstu izlūkošanas jomā saskaņā ar EO 12333.

70. Otrkārt, iesniedzējtiesa atsaucas uz vairākiem izlūkošanas darbību ārpustiesas uzraudzības mehānismiem. Tā it īpaši piemin Inspectors General (ģenerālinspektori, ASV) lomu, kuru uzdevums ir pārraudzīt uzraudzības darbības katrā izlūkošanas aģentūrā. Turklāt Privacy and Civil Liberties Oversight Board (Privātuma un pilsonisko brīvību pārraudzības padome, ASV, turpmāk tekstā – “PCLOB”) – neatkarīga aģentūra izpildvaras ietvaros – saņem ziņojumus no personām, kas katrā aģentūrā ir ieceltas par pilsonisko brīvību vai privātuma aģentiem (civil liberties or privacy officers). PCLOB regulāri gatavo ziņojumus Parlamenta komisijām un Prezidentam. Attiecīgajām aģentūrām ir jāziņo tostarp DNI par incidentiem, kas saistīti ar noteikumu un procedūru par ārvalstu izlūkošanas [informācijas] vākšanu neievērošanu. Par šiem incidentiem tiek ziņots arī FISC. ASV Kongresam ar [Pārstāvju] palātas un Senāta izlūkošanas komisiju starpniecību arī ir noteikta atbildība kontrolēt ārvalstu izlūkošanas darbības.

71. Tomēr High Court (Augstā Tiesa) uzsver, ka ir būtiska atšķirība starp, no vienas puses, noteikumiem, kuru mērķis ir nodrošināt, ka dati ir iegūti likumīgi un, tiklīdz tie ir iegūti, tie netiek izmantoti ļaunprātīgi, un, no otras puses, pieejamo tiesību aizsardzību tiesā, ja šie noteikumi netiek ievēroti. Datu subjektu pamattiesību aizsardzība būtu nodrošināta tikai tad, ja tiesību aizsardzības līdzekļi tiem ļautu īstenot viņu tiesības minēto noteikumu neievērošanas gadījumā.

72. Šādos apstākļos iesniedzējtiesa uzskata par pamatotiem DPC izvirzītos argumentus, saskaņā ar kuriem ierobežojumi, kas ir noteikti ASV tiesībās attiecībā uz to personu tiesībām celt prasību, kuru dati tiek nosūtīti no Savienības, neatbilst Hartas 47. pantā garantēto tiesību būtībai, un katrā ziņā ir nesamērīga iejaukšanās šo tiesību īstenošanā.

73. High Court (Augstā tiesa) ieskatā, tas, ka ASV valdība ir ieviesusi “Privātuma vairoga” lēmumā aprakstīto ombuda mehānismu, nav pamats apšaubīt šo vērtējumu. Pēc tam, kad minētā tiesa ir uzsvērusi, ka šis mehānisms ir pieejams Savienības pilsoņiem, kuri pamatoti uzskata, ka viņu dati ir tikuši nosūtīti atbilstoši LSK lēmumiem (21), šī tiesa norādīja, ka ombuds nav tiesa, kas atbilst Hartas 47. panta prasībām, un, it īpaši, tas nav neatkarīgs no izpildvaras (22). Minētā tiesa arī šaubās, ka ombuda iesaistīšanās, kura lēmumus nevar pārsūdzēt tiesā, ir efektīvs tiesību aizsardzības līdzeklis. Šī iesaistīšanās neļauj personām, kuru personas dati ir tikuši nelikumīgi savākti, apstrādāti vai izplatīti, saņemt kompensāciju vai panākt rīkojumu pārtraukt nelikumīgās darbības, jo ombuds neapstiprina un nenoliedz, ka prasītājam ir bijis piemērots elektroniskās uzraudzības pasākums.

74. Šādi izklāstījusi savus jautājumus par ASV tiesībās paredzēto garantiju līdzvērtību pēc būtības prasībām, kas izriet no Hartas 7., 8. un 47. panta, iesniedzējtiesa pauda bažas par to, vai līguma standartklauzulas, kas paredzētas LSK lēmumos un kas pēc savas būtības nav saistošas ASV iestādēm, tomēr var nodrošināt datu subjektu pamattiesību aizsardzību. Šī tiesa secināja, ka tā piekrīt DPC šaubām par šo lēmumu spēkā esamību.

75. Šajā ziņā iesniedzējtiesa it īpaši uzskata, ka Direktīvas 95/46 28. panta 3. punkts, uz kuru ir atsauce Lēmuma 2010/87 4. pantā, ciktāl tajā ir atzītas uzraudzības iestāžu pilnvaras apturēt vai aizliegt pārsūtīšanu, kas balstīta uz šajā lēmumā paredzētajām līguma standartklauzulām, nav pietiekams, lai kliedētu šīs šaubas. Papildus tam, ka šīm pilnvarām, tās ieskatā, ir tikai ar rīcības brīvību saistīts raksturs, iesniedzējtiesa, ņemot vērā Lēmuma 2010/87 11. apsvērumu, uzdod jautājumu par iespēju tās īstenot, ja konstatētie trūkumi neattiecas uz konkrētu un izņēmuma gadījumu, bet tiem ir vispārīgs un sistēmisks raksturs (23). Tā arī uzskata, ka risks, ka dažādās dalībvalstīs tiek pasludināti atšķirīgi nolēmumi, varētu izraisīt iebildumus pret to, ka šādu trūkumu konstatēšana tiek uzticēta uzraudzības iestādēm.

76. Šādos apstākļos High Court (Augstā tiesa) ar 2018. gada 4. maija nolēmumu (24), kas Tiesā reģistrēts 2018. gada 9. maijā, nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

“1) Vai – apstākļos, kad privāts uzņēmums no [Savienības] dalībvalsts saskaņā ar [Lēmumu 2010/87] komerciāliem mērķiem pārsūta personas datus privātam uzņēmumam trešajā valstī, kurā turpmāk šīs trešās valsts iestādes var tos apstrādāt ne vien valsts drošības vajadzībām, bet arī šīs trešās valsts tiesībaizsardzības un ārlietu vajadzībām, – attiecībā uz šo datu pārsūtīšanu ir piemērojami Savienības tiesību akti, tostarp Harta, neraugoties uz LES 4. panta 2. punkta noteikumiem par valsts drošību un [Direktīvas 95/46] 3. panta 2. punkta pirmā ievilkuma noteikumiem attiecībā uz sabiedrisko drošību, aizsardzību un valsts drošību?

2) a) Vai [Direktīvas 95/46] izpratnē atbilstoša mēraukla, lai noteiktu, vai ir noticis fiziskas personas tiesību pārkāpums, saskaņā ar Lēmumu [2010/87] veicot datu pārsūtīšanu no [Savienības] uz trešo valsti, kur tos vēlāk varētu apstrādāt valsts drošības nolūkos, ir:

i) Harta, LES, LESD, Direktīva [95/46], [Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencija, kas parakstīta Romā 1950. gada 4. novembrī (turpmāk tekstā – “ECPAK”)] (vai jebkura cita [Savienības] tiesību norma), vai

ii) vienas vai vairāku dalībvalstu valsts tiesību normas?

b) Vai – gadījumā, ja atbilstošā mēraukla ir ii) iedaļā minētās tiesību normas, – šajā mērauklā ir iekļaujami arī pasākumi, kas vienā vai vairākās dalībvalstīs tiek veikti saistībā ar valsts drošību?

3) Vai, vērtējot to, vai personas datiem, kas saskaņā ar Direktīvas [95/46] 26. pantu tiek pārsūtīti uz trešo valsti, šī valsts nodrošina tādu aizsardzības līmeni, kāds tiek prasīts Savienības tiesību aktos, šajā trešajā valstī esošais aizsardzības līmenis ir jāvērtē atsaucoties uz:

a) trešajā valstī piemērojamajiem noteikumiem, kas izriet no tās valsts tiesībām vai starptautiskajām saistībām, un praksi, ar kuru paredzēts nodrošināt šo noteikumu ievērošanu, tostarp šajā trešajā valstī ievērotajām profesionālās ētikas normām un veiktajiem drošības pasākumiem;

vai

b) noteikumiem, kas minēti a) daļā, kopā ar tādu administratīvo, regulēšanas un īstenošanas praksi un aizsardzības pasākumu politiku, procedūrām, protokoliem, pārraudzības mehānismiem un ārpustiesas tiesību aizsardzības līdzekļiem, kādi ir spēkā trešajā valstī?

4) Vai – ņemot vērā High Court (Augstā tiesa) konstatētos faktus par ASV tiesībām – ar fiziskas personas datu pārsūtīšanu no [Savienības] uz ASV saskaņā ar Lēmumu [2010/87] tiek pārkāptas Hartas 7. vai 8. pantā paredzētās fizisko personu tiesības?

5) Vai – ņemot vērā High Court (Augstā tiesa) konstatētos faktus par ASV tiesībām – personas datu pārsūtīšanā no [Savienības] uz ASV saskaņā ar Lēmumu [2010/87]:

a) ar ASV nodrošināto aizsardzības līmeni tiek ievērota pati būtība, kas piemīt tiesībām – kuras Hartas 47. pantā ir garantētas fiziskajai personai – vērsties tiesā gadījumā, ja ir pārkāptas tās tiesības uz personas datu aizsardzību?

Ja atbilde uz a) daļā esošo jautājumu ir apstiprinoša,

b) vai ierobežojumi, ko ASV valsts drošības kontekstā fiziskas personas tiesībām vērsties tiesā paredz ASV tiesību akti, ir samērīgi Hartas 52. panta izpratnē un nepārsniedz to, kas ir vajadzīgs demokrātiskā sabiedrībā valsts drošības nolūkos?

6) a) Kāda līmeņa aizsardzība – Direktīvas [95/46] tiesību normu, it īpaši tās 25. un 26. panta kontekstā, lasot tos kopsakarā ar Hartu – ir jānodrošina personas datiem, kas uz trešo valsti pārsūtīti atbilstoši līguma standartklauzulām, kuras pieņemtas, pamatojoties uz Komisijas lēmumu saskaņā ar [šīs direktīvas] 26. panta 4. punktu?

b) Kas ir jāņem vērā, vērtējot, vai aizsardzības līmenis, kas tiek nodrošināts datiem, kuri tiek pārsūtīti uz trešo valsti saskaņā ar Lēmumu [2010/87], atbilst Direktīvas [95/46] un Hartas prasībām?

7) Vai tas, ka līguma standartklauzulas ir piemērojamas attiecībās starp datu nosūtītāju un datu saņēmēju un nav saistošas trešās valsts iestādēm, kuras savu drošības dienestu labā varētu pieprasīt no datu saņēmēja piekļuvi, lai turpmāk apstrādātu datus, kas pārsūtīti saskaņā ar Lēmumā [2010/87] paredzētajam klauzulām, izslēdz, ka šajās klauzulās tiek sniegtas atbilstošas garantijas, kā paredzēts Direktīvas [95/46] 26. panta 2. punktā?

8) Vai – gadījumā, ja attiecībā uz trešajā valstī esošo datu saņēmēju ir piemērojami uzraudzības tiesību akti, kas [uzraudzības iestādes] ieskatā, ir pretrunā līguma standartklauzulām vai Direktīvas [95/46] 25. un 26. pantam vai Hartai, – [uzraudzības iestādei] ir pienākums izmantot savas Direktīvas [95/46] 28. panta 3. punktā paredzētās pilnvaras, lai apturētu datu plūsmu, vai šādu pilnvaru izmantošana ir ierobežota, to paredzot tikai ārkārtas gadījumiem, ņemot vērā [Lēmuma 2010/87] 11. apsvērumu, vai [uzraudzības iestāde] var izmantot savu rīcības brīvību neapturēt datu plūsmu?

9) a) Vai – Direktīvas [95/46] 25. panta 6. punkta izpratnē – [“Privātuma vairoga”] lēmums ir vispārpiemērojams un dalībvalstu [uzraudzības iestādēm] un tiesām saistošs konstatējums, ka ASV nodrošina pietiekamu aizsardzības līmeni Direktīvas [95/46] 25. panta 2. punkta izpratnē ar savu valsts tiesību vai noslēgto starptautisko saistību palīdzību?

b) Kāda – gadījumā, ja atbildams noliedzoši, – ir [“Privātuma vairoga”] lēmuma nozīme, ja tāda ir, vērtējumā par aizsardzības pasākumu līmeņa pienācīgumu, kas tiek nodrošināti personas datiem, kuri tiek pārsūtīti uz Amerikas Savienotajām Valstīm saskaņā ar Lēmumu [2010/87]?

10) Vai, ņemot vērā High Court (Augstā tiesa) atzinumus par ASV tiesībām, [“Privātuma vairoga”] lēmuma [III A pielikumā] rodamais noteikums par “Privātuma vairoga” ombudu, aplūkojot to kopsakarā ar ASV pastāvošo kārtību, nodrošina, ka datu subjektiem, kuru personas dati tiek pārsūtīti uz ASV saskaņā ar Lēmumu [2010/87], ASV paredz tādus tiesību aizsardzības līdzekļus, kas ir saderīgi ar Hartas 47. pantu?

11) Vai ar Lēmumu [2010/87] tiek pārkāpts Hartas 7., 8. vai 47. pants?”

77. DPC, Facebook Ireland, M. Schrems, ASV valdība, EPIC, BSA, Digitaleurope, Īrija, Beļģijas, Čehijas, Vācijas, Nīderlandes, Austrijas, Polijas, Portugāles un Apvienotās Karalistes valdības, Eiropas Parlaments, kā arī Komisija iesniedza Tiesai rakstveida apsvērumus. DPC, Facebook Ireland, M. Schrems, ASV valdība, EPIC, BSA, Digitaleurope, Īrija, Vācijas, Francijas, Nīderlandes, Austrijas un Apvienotās Karalistes valdības, Parlaments, Komisija, kā arī Eiropas Datu aizsardzības kolēģija (European Data Protection Board, EDPB) tika pārstāvēti 2019. gada 9. jūlija tiesas sēdē mutvārdu paskaidrojumu uzklausīšanai.

IV. Vērtējums

A. Ievada apsvērumi

78. Pēc tam, kad Tiesa spriedumā Schrems atzina “drošības zonas” lēmumu par spēkā neesošu, personas datu pārsūtīšana uz ASV turpinājās atbilstoši citiem juridiskajiem pamatiem. It īpaši, datu nosūtītājas sabiedrības varēja izmantot ar datu saņēmējiem noslēgtus līgumus, kuros bija iekļautas Komisijas izstrādātās standartklauzulas. Šīs klauzulas kalpo arī par juridisko pamatu [datu] nosūtīšanai uz daudzām citām trešajām valstīm, attiecībā uz kurām Komisija nav pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību (25). “Privātuma vairoga” lēmums turpmāk dod iespēju uzņēmumiem, kuri paši ir apliecinājuši, ka ievēro tajā noteiktos principus, pārsūtīt personas datus uz ASV, neievērojot nekādas citas formalitātes.

79. Kā tas ir skaidri norādīts lūgumā sniegt prejudiciālu nolēmumu un kā to uzsvēra BSA, Digitaleurope, Īrija, Austrijas un Francijas valdības, Parlaments, kā arī Komisija, High Court (Augstā Tiesa) izskatītās lietas vienīgais mērķis ir noteikt, vai lēmums, ar kuru Komisija ir ieviesusi līguma standartklauzulas, kas ir izvirzītas, lai pamatotu M. Schrems sūdzībā minēto [personas datu] pārsūtīšanu, proti, Lēmums 2010/87 (26), ir spēkā esošs.

80. Šīs lietas pirmsākumi ir meklējami sūdzībā, ar kuru DPC lūdza iesniedzējtiesai, lai tā uzdod Tiesai prejudiciālu jautājumu par Lēmuma 2010/87 spēkā esamību. Kā norāda šī tiesa, pamatlieta tādējādi attiecas uz tāda tiesību aizsardzības līdzekļa īstenošanu, kura ieviešanu Tiesa uzdeva dalībvalstīm sprieduma Schrems 65. punktā.

81. Atgādinājumam – Tiesa šī sprieduma 63. punktā nosprieda, ka uzraudzības iestādei ar vislielāko rūpību ir jāizskata sūdzība, kā ietvaros persona, kuras personas dati ir tikuši vai var tikt pārsūtīti uz trešo valsti, attiecībā uz ko ir pieņemts lēmums par aizsardzības līmeņa pietiekamību, apstrīd šī lēmuma saderību ar Hartā paredzētajām pamattiesībām. Saskaņā ar minētā sprieduma 65. punktu gadījumā, ja šī iestāde uzskata, ka šajā sūdzībā izvirzītie iebildumi ir pamatoti, tai saskaņā ar Direktīvas 95/46 28. panta 3. punkta pirmās daļas trešo ievilkumu (kam atbilst VDAR 58. panta 5. punkts), lasot to kopā ar Hartas 8. panta 3. punktu, ir jāvar iesaistīties tiesvedībā. Šajā ziņā valsts likumdevējam ir jāparedz tiesību aizsardzības līdzekļi, kas tam ļauj izvirzīt šos iebildumus valsts tiesās, lai šīs pēdējās minētās – ja arī tās piekrīt šīs iestādes šaubām – iesniegtu lūgumu sniegt prejudiciālu nolēmumu attiecīgā lēmuma spēkā esamības izvērtēšanas nolūkos.

82. Tāpat kā iesniedzējtiesa es uzskatu, ka šie secinājumi ir piemērojami pēc analoģijas, ja, izskatot tai iesniegtu sūdzību, uzraudzības iestādei rodas šaubas nevis par to, vai ir spēkā lēmums par aizsardzības līmeņa pietiekamību, bet gan par to, vai ir spēkā tāds lēmums kā Lēmums 2010/87, ar ko ievieš līguma standartklauzulas personas datu pārsūtīšanai uz trešajām valstīm. Pretēji Vācijas valdības apgalvotajam nav nozīmes, vai šīs šaubas sakrīt ar iebildumiem, kurus tai iesniegtajā sūdzībā paudis tās iesniedzējs, vai arī šī iestāde pati apšauba attiecīgā lēmuma spēkā esamību. Proti, prasības, kas izriet no VDAR 58. panta 5. punkta un Hartas 8. panta 3. punkta, ar kurām ir nostiprināts Tiesas pamatojums, ir piemērojamas neatkarīgi no uzraudzības iestādē iesniegtajā sūdzībā minētās [datu] pārsūtīšanas juridiskajiem pamatiem un iemesliem, kas šajā iestādē, izskatot šo sūdzību, ir viesuši šaubas par attiecīgā lēmuma spēkā esamību.

83. Ņemot vērā minēto, DPC lūdza iesniedzējtiesai uzdot Tiesai jautājumu par Lēmuma 2010/87 spēkā esamību tādēļ, ka Tiesas atbilde uz šo jautājumu tam liekas nepieciešama, lai izskatītu sūdzību, ar kuru M. Schrems tam lūdz īstenot pilnvaras, kuras DPC bija piešķirtas saskaņā ar Direktīvas 95/46 28. panta 3. punkta otro ievilkumu – un kuras turpmāk tam ir piešķirtas ar VDAR 58. panta 2. punkta f) apakšpunktu –, proti, apturēt viņa personas datu pārsūtīšanu no Facebook Ireland uz Facebook Inc.

84. Tādējādi, lai gan pamatlieta attiecas vienīgi uz Lēmuma 2010/87 spēkā esamību in abstracto, pamata procedūra, kas ierosināta DPC, ir saistīta ar DPC pilnvaru piemērot korektīvus pasākumus īstenošanu konkrētā gadījumā. Es ierosināšu Tiesai izvērtēt tai uzdotos jautājumus, ciktāl tas nepieciešams, lai izlemtu par Lēmuma 2010/87 spēkā esamību, jo šāds vērtējums būs pietiekams, lai iesniedzējtiesa varētu atrisināt tajā izskatāmo strīdu (27).

85. Pirms izvērtēju šī lēmuma spēkā esamību, ir jānoraida daži iebildumi, kas izvirzīti pret lūguma sniegt prejudiciālu nolēmumu pieņemamību.

B. Par lūguma sniegt prejudiciālu nolēmumu pieņemamību

86. Lūguma sniegt prejudiciālu nolēmumu pieņemamība tika apstrīdēta dažādu iemeslu dēļ, kas galvenokārt ir saistīti ar prejudiciālajos jautājumos minētās Direktīvas 95/46 nepiemērojamību ratione temporis (1. iedaļa), ar faktu, ka process DPC nav vēl sasniedzis stadiju, lai pamatotu tā lietderību (2. iedaļa), un ar to, ka pastāv neskaidrības attiecībā uz iesniedzējtiesas aprakstītajiem faktiskajiem apstākļiem (3. iedaļa).

87. Es atbildēšu uz šīm iebildēm par nepieņemamību, paturot prātā atbilstības prezumpciju, kas attiecināma uz jautājumiem, kuri uzdoti Tiesai atbilstoši LESD 267. pantam. Saskaņā ar pastāvīgo judikatūru Tiesa var atteikties lemt par lūgumu sniegt prejudiciālu nolēmumu tikai tad, ja ir acīmredzams, ka lūgtajai Savienības tiesību interpretācijai nav nekāda sakara ar pamatlietas faktisko situāciju vai priekšmetu, ja problēmsituācija ir hipotētiska vai arī ja Tiesas rīcībā nav tādi faktiskie un tiesību elementi, kas nepieciešami, lai sniegtu lietderīgu atbildi uz tai uzdotajiem jautājumiem (28).

1. Par Direktīvas 95/46 piemērojamību “ratione temporis”

88. Facebook Ireland atsaucas uz prejudiciālo jautājumu nepieņemamību, pamatojoties uz to, ka tajos ir atsauce uz Direktīvu 95/46, jo šī direktīva no 2018. gada 25. maija tika atcelta un aizstāta ar VDAR (29).

89. Es piekrītu viedoklim, ka Lēmuma 2010/87 spēkā esamība ir jāpārbauda, ņemot vērā VDAR tiesību normas.

90. Saskaņā ar šīs regulas 94. panta 2. punktu “atsauces uz atcelto direktīvu uzskata par atsaucēm uz [šo regulu]”. No tā, manuprāt, izriet, ka Lēmums 2010/87, ciktāl tajā kā juridiskais pamats ir minēts Direktīvas 95/46 26. panta 4. punkts, ir jāsaprot kā atsauce uz VDAR 46. panta 2. punkta c) apakšpunktu, kurā būtībā ir pārņemts tā saturs (30). Līdz ar to īstenošanas lēmumi, ko Komisija pieņēmusi atbilstoši Direktīvas 95/46 26. panta 4. punktam pirms VDAR stāšanās spēkā, ir jāinterpretē, ņemot vērā šo regulu. Arī to spēkā esamība vajadzības gadījumā ir jāizvērtē, ņemot vērā minēto regulu.

91. Šo secinājumu neliek apšaubīt judikatūra, saskaņā ar kuru Savienības tiesību akta tiesiskums ir jāizvērtē atkarībā no faktiskajiem un tiesību elementiem, kas pastāvēja šī akta pieņemšanas brīdī. Šī judikatūra attiecas uz Savienības tiesību akta spēkā esamības vērtējumu, ņemot vērā tā pieņemšanas brīdī pastāvošos atbilstošos faktiskos apstākļus (31) vai procesuālos noteikumus, kas reglamentē tā pieņemšanu (32). Turpretim Tiesa ir atkārtoti vērtējusi atvasināto tiesību aktu spēkā esamību, ņemot vērā augstāka juridiska spēka materiāltiesiskās normas, kas stājušās spēkā pēc šo aktu pieņemšanas (33).

92. Tomēr tas, ka prejudiciālo jautājumu formulējumā ir norādīts tiesību akts, kas vairs nav piemērojams ratione temporis, var pamatot šo jautājumu pārformulēšanu, bet nevar izraisīt to nepieņemamību (34). Kā norādīja DPC un M. Schrems, atsauces uz Direktīvu 95/46 prejudiciālo jautājumu formulējumā var turklāt tikt izskaidrotas ar šīs lietas procesuālo grafiku, jo šie jautājumi Tiesai tika uzdoti pirms VDAR stāšanās spēkā.

93. Jebkurā gadījumā VDAR tiesību normās, kas tiks aplūkotas, lai vērtētu prejudiciālos jautājumus, proti, it īpaši tās 45., 46. un 58. pantā, galvenokārt ir pārņemts – mazliet to attīstot un niansējot – Direktīvas 95/46 25., 26. un 28. panta saturs. Attiecībā uz šo VDAR tiesību normu atbilstošajiem aspektiem, lai lemtu par Lēmuma 2010/87 spēkā esamību, es neredzu nevienu iemeslu piešķirt tām tvērumu, kas atšķirtos no Direktīvas 95/46 atbilstošo tiesību normu tvēruma (35).

2. Par DPC pausto šaubu pagaidu raksturu

94. Vācijas valdība uzskata, ka lūgums sniegt prejudiciālu nolēmumu nav pieņemams, pamatojoties uz to, ka sprieduma Schrems 65. punktā minētā vēršanās tiesā procedūra nozīmē, ka uzraudzības iestādei ir jābūt nonākušai pie galīga viedokļa par to iebildumu pamatotību, ko prasītājs izvirzījis saistībā ar attiecīgā lēmuma spēkā esamību. Šajā gadījumā tas tā neesot, jo DPC ir izteicis savas šaubas par Lēmuma 2010/87 spēkā esamību, ko M. Schrems turklāt neapstrīd, lēmuma projektā, kas pasludināts provizoriski, kas neietekmē iespēju Facebook Ireland un M. Schrems iesniegt papildu apsvērumus.

95. Manuprāt, DPC pausto šaubu pagaidu raksturs neietekmē lūguma sniegt prejudiciālu nolēmumu pieņemamību. Prejudiciālā jautājuma pieņemamības kritēriji ir jāvērtē attiecībā pret strīda priekšmetu, ko noteikusi iesniedzējtiesa (36). Nav strīda par to, ka tas attiecas uz Lēmuma 2010/87 spēkā esamību. Saskaņā ar lūgumu sniegt prejudiciālu nolēmumu un tam pievienoto spriedumu šī tiesa uzskatīja, ka DPC paustās šaubas – nav svarīgi, vai tās tika izteiktas provizoriski vai galīgi, – ir pamatotas, un līdz ar to uzdeva Tiesai jautājumu par šī lēmuma spēkā esamību. Šādos apstākļos Tiesas atbilde uz šo jautājumu, bez šaubām, ir nozīmīga, lai iesniedzējtiesai ļautu atrisināt tajā izskatāmo strīdu.

3. Par neskaidrībām attiecībā uz faktisko apstākļu noteikšanu

96. Apvienotās Karalistes valdība apgalvo, ka faktiskajos apstākļos, ko aprakstījusi iesniedzējtiesa, ir vairāki trūkumi, kuri var likt apšaubīt prejudiciālo jautājumu pieņemamību. Šī tiesa neesot noskaidrojusi, vai personas dati par M. Schrems tika faktiski pārsūtīti uz ASV, nedz arī – apstiprinošas atbildes gadījumā – vai ASV iestādes tos ir ievākušas. Šīs iespējamās pārsūtīšanas juridiskais pamats arī neesot skaidri identificēts, jo lūgumā sniegt prejudiciālu nolēmumu ir vienīgi norādīts, ka sociālā tīkla Facebook Eiropas lietotāju dati tiek pārsūtīti, “lielā mērā” balstoties uz Lēmumā 2010/87 paredzētajām līguma standartklauzulām. Katrā ziņā neesot pierādīts, ka līgumā starp Facebook Ireland un Facebook Inc., uz ko tiek izdarīta atsauce strīdīgās pārsūtīšanas pamatojumam, šīs klauzulas ir atveidotas uzticami. Vācijas valdība arī apstrīd lūguma sniegt prejudiciālu nolēmumu pieņemamību, pamatojoties uz to, ka iesniedzējtiesa nav pārbaudījusi, vai M. Schrems neapšaubāmi ir sniedzis savu piekrišanu attiecīgajai pārsūtīšanai, jo tādā gadījumā tā būtu bijusi pamatoti balstīta uz Direktīvas 95/46 26. panta 1. punktu, [kura saturs būtībā ir pārņemts VDAR 49. panta 1. punkta a) apakšpunktā].

97. Šie argumenti nekādi neliek apšaubīt lūguma sniegt prejudiciālu nolēmumu atbilstību attiecībā uz pamatlietas priekšmetu. Tā kā šis strīds izriet no sprieduma Schrems 65. punktā paredzētā tiesību aizsardzības līdzekļa īstenošanas, ko veic DPC, tā priekšmets pēc būtības ir panākt, lai valsts tiesa izteiktu lūgumu sniegt prejudiciālu nolēmumu par Lēmuma 2010/87 spēkā esamību. Vācijas un Apvienotās Karalistes valdības faktiski apstrīd prejudiciālo jautājumu nepieciešamību nevis nolūkā noteikt, vai šis lēmums ir spēkā esošs, bet nolūkā ļaut DPC pieņemt lēmumu in concreto par M. Schrems sūdzību.

98. Jebkurā gadījumā, pat no šīs pamatlietas pamatā esošās procedūras aspekta, man nešķiet, ka prejudiciālajiem jautājumiem par Lēmuma 2010/87 spēkā esamību nav nozīmes. Proti, iesniedzējtiesa ir konstatējusi, ka Facebook Ireland turpināja pārsūtīt savu lietotāju datus uz ASV pēc “drošības zonas” lēmuma atzīšanas par spēkā neesošu un ka šī pārsūtīšana vismaz daļēji tiek pamatota ar Lēmumu 2010/87. Turklāt, lai arī tas var būt izdevīgi, ka visi atbilstošie fakti ir pierādīti, pirms iesniedzējtiesa īsteno savu kompetenci saskaņā ar LESD 267. pantu, tai vienīgajai ir jāizvērtē, kurā procesa stadijā tai ir vajadzīgs Tiesas prejudiciālais nolēmums (37).

99. Ņemot vērā visu iepriekš minēto, es uzskatu, ka lūgums sniegt prejudiciālu nolēmumu ir pieņemams.

C. Par Savienības tiesību piemērojamību personas datu pārsūtīšanai komerciālos nolūkos uz trešo valsti, kas tos var apstrādāt valsts drošības vajadzībām (pirmais jautājums)

100. Ar pirmo jautājumu iesniedzējtiesa vēlas noskaidrot, vai Savienības tiesības ir piemērojamas personas datu pārsūtīšanai komerciālos nolūkos, ko veic sabiedrība, kura atrodas dalībvalstī, uz sabiedrību, kura ir reģistrēta trešajā valstī, ja pēc pārsūtīšanas šīs trešās valsts iestādes datus var apstrādāt mērķiem, kas ietver valsts drošības aizsardzību.

101. Šī jautājuma nozīme pamatlietas atrisināšanā ir tāda, ka gadījumā, ja šāda pārsūtīšana neietilpst Savienības tiesību piemērošanas jomā, visiem iebildumiem, kas izvirzīti saistībā ar Lēmuma 2010/87 spēkā esamību šajā lietā, vairs nebūtu pamatojuma.

102. Kā ir norādījusi iesniedzējtiesa, personas datu apstrāde saistībā ar valsts drošību bija izslēgta no Direktīvas 95/46 piemērošanas jomas saskaņā ar šīs direktīvas 3. panta 2. punktu. Turpmāk VDAR 2. panta 2. punktā ir precizēts, ka šī regula neattiecas tostarp uz datu apstrādi tādas darbības ietvaros, kas neietilpst Savienības tiesību piemērošanas jomā, vai [uz tādu apstrādi], ko veic kompetentās iestādes sabiedriskās drošības aizsardzības nolūkos. Šajās tiesību normās ir atspoguļota kompetence, kas ar LES 4. panta 2. punktu ir atzīta dalībvalstīm valsts drošības aizsardzības jomā.

103. DPC, M. Schrems, Īrija, Vācijas, Austrijas, Beļģijas, Čehijas, Nīderlandes, Polijas un Portugāles valdības, kā arī Parlaments un Komisija norāda, ka uz tādu pārsūtīšanu, kāda ir minēta M. Schrems sūdzībā, šīs tiesību normas neattiecas un tādējādi tā ietilpst Savienības tiesību piemērošanas jomā. Facebook Ireland aizstāv pretēju viedokli. Es pievienojos pirmajam viedoklim.

104. Šajā ziņā ir jāuzsver, ka personas datu pārsūtīšana no dalībvalsts uz trešo valsti pati par sevi ir “apstrāde” VDAR 4. panta 2. punkta nozīmē, kas tiek veikta dalībvalsts teritorijā (38). Pirmā prejudiciālā jautājuma mērķis ir konkrēti noteikt, vai Savienības tiesības ir piemērojamas apstrādei, kas ir pati pārsūtīšana. Šis jautājums neattiecas uz Savienības tiesību piemērojamību uz ASV nosūtītu datu iespējamai vēlākai apstrādei, ko veic ASV iestādes valsts drošības nolūkos, kura neietilpst VDAR teritoriālās piemērošanas jomā (39).

105. Raugoties no šāda skatupunkta, lai noteiktu, vai Savienības tiesības ir piemērojamas attiecīgo datu pārsūtīšanai, ir jāņem vērā tikai tā darbība, kuras ietvaros notiek pārsūtīšana, nepiešķirot nozīmi iespējamas vēlākas apstrādes mērķim, kurai šie pārsūtītie dati tiks pakļauti, kad tos pārsūtīs galamērķa trešās valsts iestādes (40).

106. No iesniedzējtiesas lēmuma izriet, ka M. Schrems sūdzībā minētā pārsūtīšana ir saistīta ar komerciālu darbību. Turklāt šīs pārsūtīšanas mērķis nav ļaut ASV iestādēm attiecīgos datus vēlāk apstrādāt valsts drošības nolūkos.

107. Turklāt Facebook Ireland piedāvātā pieeja laupītu VDAR tiesību normām, kas attiecas uz pārsūtīšanu uz trešajām valstīm, lietderīgo iedarbību, jo nekad nevar būt izslēgts, ka komerciālas darbības ietvaros nosūtītie dati tiks apstrādāti valsts drošības nolūkos pēc pārsūtīšanas.

108. Manis piedāvātā interpretācija ir apstiprināta VDAR 45. panta 2. punkta a) apakšpunkta formulējumā. Šajā tiesību normā ir norādīts, ka, pieņemot lēmumu par aizsardzības līmeņa pietiekamību, Komisija tostarp ņem vērā attiecīgās trešās valsts tiesību aktus valsts drošības jomā. No tā var secināt, ka iespēja, ka dati ir pakļauti tādai galamērķa trešās valsts iestāžu apstrādei, kuras mērķis ir valsts drošības aizsardzība, nepadara Savienības tiesības nepiemērojamas apstrādei, kas ir datu pārsūtīšana uz šo trešo valsti.

109. Argumentācija un secinājumi, kurus Tiesa ir paudusi spriedumā Schrems, ir balstīti arī uz šo premisu. Konkrēti, Tiesa tajā, ņemot vērā Direktīvas 95/46 25. panta 6. punktu, lasot to kopsakarā ar Hartu, pārbaudīja “drošības zonas” lēmuma spēkā esamību aspektā, kurā tas attiecās uz personas datu pārsūtīšanu uz ASV, kur tos varēja ievākt un apstrādāt valsts drošības aizsardzības nolūkos (41).

110. Ņemot vērā šos apsvērumus, es uzskatu, ka Savienības tiesības ir piemērojamas personas datu pārsūtīšanai no dalībvalsts uz trešo valsti, ja šī pārsūtīšana notiek komerciālas darbības ietvaros, nepiešķirot nozīmi tam, ka šīs trešās valsts iestādes var apstrādāt pārsūtītos datus, lai aizsargātu valsts drošību.

D. Par nepieciešamo aizsardzības līmeni tādas pārsūtīšanas ietvaros, kas pamatota ar līguma standartklauzulām (sestā jautājuma pirmā daļa)

111. Atbilstoši sestā jautājuma pirmajai daļai iesniedzējtiesa vēlas noskaidrot, kāds ir datu subjektu pamattiesību aizsardzības līmenis, kas ir jānodrošina, lai personas dati varētu tikt pārsūtīti uz trešo valsti atbilstoši Lēmumā 2010/87 paredzētajām līguma standartklauzulām.

112. Šī tiesa uzsver, ka spriedumā Schrems Tiesa interpretēja Direktīvas 95/46 25. panta 6. punktu (kura saturs būtībā ir pārņemts VDAR 45. panta 3. punktā), ciktāl tajā bija paredzēts, ka Komisija lēmumu par aizsardzības līmeņa pietiekamību var pieņemt tikai pēc tam, kad ir pārliecinājusies, ka attiecīgā trešā valsts nodrošina pietiekamu aizsardzības līmeni, proti, pieņemot, ka tā konstatē, ka šī [trešā] valsts nodrošina būtībā ekvivalentu pamatbrīvību un pamattiesību aizsardzības līmeni, kāds saskaņā ar šo direktīvu, to lasot Hartas gaismā, ir garantēts Savienībā (42).

113. Šādā kontekstā ar sestā prejudiciālā jautājuma pirmo daļu Tiesai tiek lūgts noteikt, vai līguma “standartklauzulu”, ko Komisija pieņēmusi, piemērojot Direktīvas 95/46 26. panta 4. punktu – kurš tagad atbilst VDAR 46. panta 2. punkta c) apakšpunktā minētajām “standarta datu aizsardzības klauzulām” – piemērošanai ir jāļauj sasniegt aizsardzības līmeni, kas atbilst tādam pašam “līdzvērtības pēc būtības” standartam.

114. Šajā ziņā VDAR 46. panta 1. punktā ir paredzēts, ka pārzinis vai apstrādātājs, ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību, var nosūtīt personas datus uz trešo valsti “tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi” (mans izcēlums) (43). Saskaņā ar VDAR 46. panta 2. punkta c) apakšpunktu šīs garantijas var tostarp izrietēt no Komisijas izstrādātajām standarta datu aizsardzības klauzulām.

115. Tāpat kā DPC, M. Schrems un Īrija es uzskatu, ka pārziņa sniegtajām “atbilstošajām garantijām”, uz ko ir atsauce VDAR 46. panta 1. punktā, ir jānodrošina, ka to personu, kuru dati tiek pārsūtīti – kā tas ir tādas pārsūtīšanas ietvaros, kas balstīta uz lēmumu par aizsardzības līmeņa pietiekamību –, tiesībām ir tāds aizsardzības līmenis, kas ir pēc būtības līdzvērtīgs tam, kurš izriet no VDAR, lasot to kopsakarā ar Hartu.

116. Šis secinājums izriet no šīs tiesību normas mērķa un no instrumenta, kurā tā ietilpst.

117. VDAR 45. un 46. panta mērķis ir nodrošināt ar šo regulu garantētā personas datu aizsardzības augstā līmeņa nepārtrauktību, pārsūtot datus ārpus Savienības. VDAR 44. pants “Nosūtīšanas vispārīgie principi” ievada V nodaļu par personas datu nosūtīšanu uz trešajām valstīm, nosakot, ka piemēro visus šīs nodaļas noteikumus, lai nodrošinātu, ka nemazinās ar VDAR garantētais aizsardzības līmenis pārsūtīšanas gadījumā uz trešajām valstīm (44). Šī noteikuma mērķis ir novērst, ka no Savienības tiesībām izrietošie aizsardzības standarti tiek apieti, pārsūtot personas datus uz trešo valsti nolūkā tur tos apstrādāt (45). Ņemot vērā šo mērķi, nav svarīgi, ka pārsūtīšana ir pamatota ar lēmumu par aizsardzības līmeņa pietiekamību vai ar pārziņa sniegtajām atbilstošajām garantijām, it īpaši izmantojot līguma klauzulas. Attiecībā uz Hartā garantēto pamattiesību aizsardzības prasībām nav noteiktas atšķirības atkarībā no tiesiskā pamatojuma, uz kuru ir balstīta konkrētā pārsūtīšana (46).

118. Savukārt veids, kādā tiek saglabāta augstā aizsardzības līmeņa nepārtrauktība, atšķiras atkarībā no pārsūtīšanas juridiskā pamata.

119. No vienas puses, lēmuma par aizsardzības līmeņa pietiekamību mērķis ir konstatēt, ka attiecīgā trešā valsts pati nodrošina aizsardzības līmeni, kas ir pēc būtības līdzvērtīgs tam līmenim, kāds ir jāsasniedz Savienībā. Lēmuma par aizsardzības līmeņa pietiekamību pieņemšana nozīmē, ka Komisija attiecībā uz noteiktu trešo valsti iepriekš novērtē aizsardzības līmeni, kas tiek nodrošināts ar šīs trešās valsts tiesībām un praksi, ņemot vērā VDAR 45. panta 3. punktā minētos faktorus. Tādā gadījumā personas datus var pārsūtīt uz minēto trešo valsti bez vajadzības pārzinim saņemt īpašu atļauju.

120. No otras puses, kā sīkāk izklāstīts nākamajā iedaļā, pārziņa sniegto atbilstošo garantiju mērķis ir nodrošināt augstu aizsardzības līmeni gadījumā, ja galamērķa trešajā valstī pieejamās garantijas nav pietiekamas. Tādējādi, lai arī VDAR 46. panta 1. punkts pieļauj, ka personas dati tiek pārsūtīti uz trešajām valstīm, kurās nav nodrošināts pienācīgs aizsardzības līmenis, šī tiesību norma atļauj šādu pārsūtīšanu tikai tad, ja atbilstošas garantijas tiek sniegtas, izmantojot citus līdzekļus. Komisijas pieņemtās līguma standartklauzulas šajā ziņā sniedz vispārēju mehānismu, kas piemērojams pārsūtīšanai neatkarīgi no galamērķa trešās valsts un tajā nodrošinātā aizsardzības līmeņa.

E. Par Lēmuma 2010/87 spēkā esamību, ņemot vērā Hartas 7., 8. un 47. pantu (septītais, astotais un vienpadsmitais jautājums)

121. Ar septīto jautājumu iesniedzējtiesa būtībā jautā Tiesai, vai Lēmums 2010/87 ir spēkā neesošs, jo tas nav saistošs to trešo valstu iestādēm, uz kurām dati tiek nosūtīti saskaņā ar šī lēmuma pielikumā paredzētajām līguma standartklauzulām, un, it īpaši, tas neliedz šīm valstīm pieprasīt datu saņēmējam nodot šos datus to rīcībā. Tādējādi ar šo jautājumu tiek apšaubīta pati iespēja nodrošināt šādu datu pienācīgu aizsardzības līmeni, izmantojot vienīgi līgumiska rakstura mehānismus. Vienpadsmitais jautājums attiecas vispārīgāk uz Lēmuma 2010/87 spēkā esamību, ņemot vērā Hartas 7., 8. un 47. pantu.

122. Ar astoto jautājumu Tiesai tiek lūgts noteikt, vai uzraudzības iestādei ir pienākums izmantot pilnvaras, kuras tai piešķirtas ar VDAR 58. panta 2. punkta f) un j) apakšpunktu, lai apturētu pārsūtīšanu uz trešo valsti, kas pamatota ar Lēmumā 2010/87 paredzētajām līguma standartklauzulām, ja tā uzskata, ka datu saņēmējs šajā valstī ir pakļauts pienākumiem, kuri tam liedz ievērot šīs klauzulas, un tādējādi netiek nodrošināta atbilstoša pārsūtīto datu aizsardzība. Tā kā atbildei uz šo jautājumu, manuprāt, ir ietekme uz Lēmuma 2010/87 spēkā esamību (47), es to aplūkošu kopā ar septīto un vienpadsmito jautājumu.

123. VDAR 46. panta 1. punkta formulējums, ciktāl tas paredz, ka tad, “ja nav pieņemts lēmums saskaņā ar 45. panta 3. punktu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti [..] tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas [..]” (mans izcēlums), uzsver loģiku, kas tiek piemērota tādiem līgumiskiem mehānismiem kā Lēmumā 2010/87 paredzētais. Kā uzsvērts VDAR 108. un 114. apsvērumā, šo mehānismu mērķis ir ļaut pārsūtīt datus uz trešajām valstīm, attiecībā uz kurām Komisija nav pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību; tādā gadījumā ar šīs trešās valsts tiesību sistēmu nodrošinātās aizsardzības iespējamos trūkumus kompensē ar garantijām, ko datu nosūtītājs un datu saņēmējs līgumiski apņemas ievērot.

124. Ja līgumisko garantiju pastāvēšanas iemesls konkrēti ir novērst iespējamos trūkumus galamērķa trešo valstu sniegtajā aizsardzībā, lai arī kādas tās būtu, tāda lēmuma spēkā esamība, ar kuru Komisija konstatē, ka atsevišķas standartklauzulas pienācīgi novērš šos trūkumus, nevar būt atkarīga no aizsardzības līmeņa, kāds ir nodrošināts katrā no konkrētajām trešajām valstīm, uz kurām dati varētu tikt pārsūtīti. Šāda lēmuma spēkā esamība ir atkarīga tikai no tā, cik stabilas ir garantijas, kas paredzētas ar šīm klauzulām, lai kompensētu iespējamo aizsardzības trūkumu galamērķa trešajā valstī. Šo garantiju efektivitāte ir jāizvērtē, ņemot vērā arī aizsargmehānismus, ko veido uzraudzības iestāžu pilnvaras saskaņā ar VDAR 58. panta 2. punktu.

125. Šajā ziņā, kā būtībā norādīja DPC, M. Schrems, BSA, Īrija, Austrijas, Francijas, Polijas un Portugāles valdības, kā arī Komisija, līguma standartklauzulās ietverto garantiju iedarbība var tikt samazināta vai pat izzust, ja galamērķa trešās valsts tiesībās datu saņēmējam ir noteikti pienākumi, kas ir pretrunā šīm klauzulām. Tādējādi galamērķa trešajā valstī pastāvošais tiesiskais konteksts atkarībā no pārsūtīšanas konkrētajiem apstākļiem (48) var padarīt šajās klauzulās paredzēto pienākumu izpildi neiespējamu.

126. Šādos apstākļos, kā to ir uzsvēris M. Schrems un Komisija, VDAR 46. panta 2. punkta c) apakšpunktā paredzētais līguma mehānisms balstās uz atbildības noteikšanu datu nosūtītājam, kā arī, pakārtoti, uzraudzības iestādēm. Attiecībā uz katru konkrēto pārsūtīšanu pārzinim vai, ja tāda nav, uzraudzības iestādei katrā gadījumā atsevišķi ir jāpārbauda, vai galamērķa trešās valsts tiesības rada šķērsli standartklauzulu izpildei un – tādējādi – pārsūtīto datu atbilstošai aizsardzībai un līdz ar to pārsūtīšana ir jāaizliedz vai jāaptur.

127. Ņemot vērā šos apsvērumus, es uzskatu, ka tas, ka Lēmums 2010/87 un tajā noteiktās līguma standartklauzulas nav saistošas galamērķa trešās valsts iestādēm, pats par sevi nepadara šo lēmumu par spēkā neesošu. Lēmuma 2010/87 saderība ar Hartas 7., 8. un 47. pantu, manuprāt, ir atkarīga no tā, vai pastāv pietiekami stabili mehānismi, kas ļauj nodrošināt, ka pārsūtīšana, kas balstās uz līguma standartklauzulām, tiek apturēta vai aizliegta gadījumā, ja šīs klauzulas tiek pārkāptas vai nav iespējams tās izpildīt.

128. Šajā ziņā VDAR 46. panta 1. punktā ir paredzēts, ka pārsūtīšana, kas balstās uz atbilstošām garantijām, var notikt tikai “ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi”. Vēl ir jāpārbauda, vai garantijas, kas paredzētas ar Lēmuma 2010/87 pielikumā minētajām klauzulām, tās papildinot ar uzraudzības iestāžu pilnvarām, ļauj nodrošināt šī nosacījuma ievērošanu. Manuprāt, tā tas ir tikai tad, ja pārziņiem (1. iedaļa) un – to bezdarbības gadījumā – uzraudzības iestādēm (2. iedaļa) ir noteikts pienākums apturēt vai aizliegt pārsūtīšanu, ja minētās klauzulas nevar būt ievērotas tā iemesla dēļ, ka pastāv kolīzija starp pienākumiem, kas izriet no standartklauzulām, un pienākumiem, kas noteikti galamērķa trešās valsts tiesībās.

1. Par pārziņiem uzliktajiem pienākumiem

129. Pirmkārt, līguma standartklauzulās, kas ietvertas Lēmuma 2010/87 pielikumā, ir noteikts, ka gadījumā, ja pastāv kolīzija starp tajās paredzētajiem pienākumiem un normām, kas izriet no galamērķa trešās valsts tiesībām, uz šīm klauzulām nevar atsaukties, lai pamatotu pārsūtīšanu uz šo trešo valsti vai, ja pārsūtīšana jau ir uzsākta, pamatojoties uz minētajām klauzulām, ir jāinformē datu nosūtītājs par šo kolīziju, lai viņš varētu apturēt šo pārsūtīšanu.

130. Tādējādi saskaņā ar 5. klauzulas a) punktu datu saņēmējs apņemas apstrādāt pārsūtītos personas datus vienīgi datu nosūtītāja vārdā un saskaņā ar tā norādījumiem un līguma standartklauzulām. Ja datu saņēmējs nevar nodrošināt šo klauzulu ievērošanu, tas piekrīt nekavējoties informēt par to datu nosūtītāju, un šādā gadījumā datu nosūtītājam ir tiesības apturēt datu pārsūtīšanu un/vai izbeigt līgumu (49).

131. 5. klauzulas 5. zemsvītras piezīmē ir precizēts, ka standartklauzulas nav pārkāptas, ja datu saņēmējs ievēro valsts tiesību aktu obligātās prasības, kuras viņam piemēro trešajā valstī, ja šīs prasības nepārsniedz tās, kas ir vajadzīgas demokrātiskā sabiedrībā, lai aizsargātu vienu no Direktīvas 95/46 13. panta 1. punktā minētajām interesēm (šī panta saturs būtībā ir pārņemts VDAR 23. panta 1. punktā), tostarp – sabiedrības un valsts drošību. Pretējā gadījumā šo klauzulu neievērošana, lai izpildītu tām pretrunīgu pienākumu, kurš izriet no galamērķa trešās valsts tiesībām un kurš pārsniedz to, kas ir samērīgs ar Savienības atzītu leģitīmu interešu aizsardzību, tiek uzskatīta par minēto klauzulu pārkāpumu.

132. Manuprāt, kā ir norādījis M. Schrems un Komisija, 5. klauzulas a) punktu nevar interpretēt tādējādi, ka pārsūtīšanas apturēšanai vai līguma izbeigšanai ir tikai izvēles raksturs, ja saņēmējs nevar ievērot standartklauzulas. Lai arī šajā klauzulā ir atsauce tikai uz šādām datu nosūtītāja tiesībām, šis formulējums ir jāuztver kā atsauce uz šo tiesību līgumisko ietvaru. Fakts, ka datu nosūtītājam ir piešķirtas tiesības viņa divpusējās attiecībās ar datu saņēmēju apturēt pārsūtīšanu vai lauzt līgumu, ja pēdējais minētais nevar ievērot standartklauzulas, neskar datu nosūtītāja pienākumu šādi rīkoties, ņemot vērā datu subjektu tiesību aizsardzības prasības, kas izriet no VDAR. Jebkādas citādas interpretācijas rezultātā Lēmums 2010/87 zaudētu spēku, jo tajā paredzētās līguma standartklauzulas neļautu attiecināt uz pārsūtīšanu “atbilstošas garantijas”, kā tas ir prasīts VDAR 46. panta 1. punktā, lasot to kopsakarā ar Hartas tiesību normām (50).

133. Turklāt saskaņā ar 5. klauzulas b) punktu datu saņēmējs apliecina, ka tam nav iemesla uzskatīt, ka viņam piemērojamie tiesību akti neļauj tam izpildīt datu nosūtītāja norādījumus un līgumā paredzētos pienākumus. Gadījumā, ja šajos tiesību aktos tiek izdarītas tādas izmaiņas, kas var negatīvi ietekmēt standartklauzulās noteiktās garantijas un pienākumus, tas nekavējoties par tām paziņos datu nosūtītājam, un šādā gadījumā datu nosūtītājam ir tiesības apturēt datu pārsūtīšanu un/vai izbeigt līgumu. Saskaņā ar 4. klauzulas g) punktu, ja datu nosūtītājs nolemj turpināt pārsūtīšanu, viņam ir jāpārsūta kompetentajai uzraudzības iestādei visi paziņojumi, kas saņemti no datu saņēmēja.

134. Uzskatu, ka šajā gadījumā ir jāsniedz daži precizējumi par tās pārbaudes saturu, kuru vajadzētu veikt līgumslēdzējām pusēm, lai, ņemot vērā 5. klauzulas zemsvītras piezīmi, noteiktu, vai pienākumi, ko trešās valsts tiesības uzliek datu saņēmējam, nozīmē standartklauzulu pārkāpumu un tādējādi liedz nodrošināt pārsūtīšanai atbilstošas garantijas. Šī problemātika būtībā tika izvirzīta sestā prejudiciālā jautājuma otrajā daļā.

135. Šāda pārbaude, manuprāt, nozīmē to, ka ir jāņem vērā visi apstākļi, kas raksturīgi katrai no pārsūtīšanām, tostarp datu veids un to iespējamais sensitīvais raksturs, datu nosūtītāja un/vai datu saņēmēja īstenotie mehānismi, lai garantētu to drošību (51), trešās valsts iestāžu, kurām dati būs pieejami, veiktās apstrādes veids un mērķis, šīs apstrādes kārtība, kā arī šīs trešās valsts ierobežojumi un sniegtās garantijas. Manuprāt, elementi, kas raksturo valsts iestāžu veiktās apstrādes darbības, un minētās trešās valsts tiesību sistēmā piemērojamās garantijas var pārklāties ar tiem elementiem un garantijām, kas ir paredzēti VDAR 45. panta 2. punktā.

136. Otrkārt, ar Lēmuma 2010/87 pielikumā minētajām līguma standartklauzulām datu subjektiem tiek piešķirtas pret datu nosūtītāju un, pakārtoti, pret datu saņēmēju īstenojamas tiesības, kā arī tiesību aizsardzības līdzekļi.

137. Tādējādi 3. klauzulas “Ieinteresētās trešās personas klauzula” 1. punktā ir paredzētas datu subjekta tiesības celt prasību pret datu nosūtītāju gadījumā, ja ir pārkāpts tostarp 5. klauzulas a) vai b) punkts. Saskaņā ar 3. klauzulas 2. punktu, ja datu nosūtītājs ir faktiski zudis vai juridiski beidzis pastāvēt, datu subjekts var piemērot šo klauzulu pret datu saņēmēju.

138. Ar 6. klauzulas 1. punktu datu subjektam, kam nodarīts kaitējums 3. klauzulā minēto noteikumu pārkāpumu rezultātā, tiek piešķirtas tiesības saņemt no datu nosūtītāja kompensāciju par nodarīto kaitējumu. Saskaņā ar 7. klauzulas 1. punktu datu saņēmējs piekrīt, ka gadījumā, ja datu subjekts attiecībā uz to izmanto ieinteresētās trešās personas tiesības un/vai pieprasa kompensāciju par kaitējumu, datu saņēmējs pieņems šīs personas lēmumu strīda izšķiršanai izmantot neatkarīgas personas vai, attiecīgā gadījumā, uzraudzības iestādes starpniecību vai vērsties tās dalībvalsts tiesās, kurā datu nosūtītājs ir reģistrēts.

139. Papildus tiesību aizsardzības līdzekļiem, kas ir to rīcībā atbilstoši Lēmuma 2010/87 pielikumā paredzētajām līguma standartklauzulām, datu subjekti, ja tie uzskata, ka šīs klauzulas ir pārkāptas, var lūgt uzraudzības iestādēm īstenot korektīvās pilnvaras saskaņā ar VDAR 58. panta 2. punktu, uz kuru ir atsauce Lēmuma 2010/87 4. pantā (52).

2. Par uzraudzības iestādēm uzliktajiem pienākumiem

140. Turpinājumā izklāstītie iemesli man liek uzskatīt – gluži kā M. Schrems, Īrija, Vācijas, Austrijas, Beļģijas, Nīderlandes un Portugāles valdības, kā arī EDPB –, ka ar VDAR 58. panta 2. punktu uzraudzības iestādēm, kad tās pēc rūpīgas pārbaudes veikšanas uzskata, ka uz trešo valsti pārsūtītajiem datiem netiek nodrošināta pietiekama aizsardzība līguma klauzulu neievērošanas dēļ, ir pienākums veikt atbilstošus pasākumus, lai novērstu šo nelikumību, vajadzības gadījumā izdodot rīkojumu apturēt pārsūtīšanu.

141. Pirmkārt, ir jānorāda, ka pretēji tam, ko apgalvo DPC, nevienā Lēmuma 2010/87 tiesību normā nav paredzēts, ka saskaņā ar VDAR 58. panta 2. punkta f) un j) apakšpunktu uzraudzības iestādēm piešķirtās pilnvaras “uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu” un “izdot rīkojumu apturēt datu plūsmu pie saņēmēja trešā valstī” var īstenot tikai ārkārtas gadījumos.

142. Ir taisnība, ka saskaņā ar Lēmuma 2010/87 4. panta 1. punkta sākotnējo redakciju uzraudzības iestāžu pilnvaras apturēt vai aizliegt datu pārrobežu plūsmu varēja īstenot atsevišķos gadījumos, kad ir noteikts, ka pārsūtīšana, pamatojoties uz līgumu, iespējams, var ļoti negatīvi ietekmēt garantijas, kas datu subjektam sniedz aizsardzību. Tomēr šī lēmuma, kurā Komisija izdarīja grozījumus 2016. gadā, lai izpildītu spriedumu Schrems (53), 4. pantā turpmāk ir tikai atsauce uz šīm pilnvarām, tās nekādi neierobežojot. Katrā ziņā tāds Komisijas īstenošanas lēmums kā Lēmums 2010/87 nevar likumīgi ierobežot ar pašu VDAR uzraudzības iestādēm piešķirtās pilnvaras (54).

143. Šo secinājumu nevar apšaubīt, balstoties uz Lēmuma 2010/87 11. apsvērumu, kurā ir noteikts, ka uzraudzības iestādes var izmantot pilnvaras pārtraukt un aizliegt pārsūtīšanu tikai “izņēmuma gadījumos”. Šis apsvērums, kas jau bija ietverts šī lēmuma sākotnējā redakcijā, attiecās uz minētā lēmuma iepriekšējo 4. panta 1. punktu, kurā uzraudzības iestāžu pilnvaras bija ierobežotas. Kad Lēmums 2010/87 tika pārskatīts ar Lēmumu 2016/2297, Komisija minēto apsvērumu neizņēma vai negrozīja, lai pielāgotu tā saturu jaunā 4. panta noteikumiem. Tomēr Lēmuma 2016/2297 5. apsvērums apstiprināja uzraudzības iestāžu pilnvaras apturēt vai aizliegt pārsūtīšanu, ja tās uzskata, ka tā ir pretrunā Savienības tiesībām, piemēram, ja datu saņēmējs neievēro līguma standartklauzulas. Lēmuma 2010/87 11. apsvērums, ciktāl tas ir pretrunā tā paša lēmuma juridiski saistošas tiesību normas formulējumam un mērķim, ir jāuzskata par novecojušu (55).

144. Otrkārt, pretēji tam, ko apgalvo arī DPC, VDAR 58. panta 2. punkta f) un j) apakšpunktā minēto apturēšanas un aizliegšanas pilnvaru īstenošana nav tikai vienkārša iespēja, attiecībā uz kuru uzraudzības iestādēm ir rīcības brīvība. Šis secinājums, manuprāt, izriet no VDAR 58. panta 2. punkta interpretācijas, lasot to kopsakarā ar citām šīs regulas un Hartas tiesību normām, kā arī no Lēmuma 2010/87 vispārējās sistēmas un mērķiem.

145. Konkrēti, VDAR 58. panta 2. punkts ir jālasa, ņemot vērā Hartas 8. panta 3. punktu un LESD 16. panta 2. punktu. Saskaņā ar šīm tiesību normām to prasību ievērošana, kas izriet no pamattiesībām uz personas datu aizsardzību, ir jāpakļauj neatkarīgu iestāžu kontrolei. Šis uzdevums uzraudzīt ar personas datu aizsardzību saistīto prasību ievērošanu, kas arī ir minēts VDAR 57. panta 1. punkta a) apakšpunktā, nozīmē, ka uzraudzības iestādēm ir pienākums rīkoties tā, lai nodrošinātu šīs regulas pareizu piemērošanu.

146. Tādējādi uzraudzības iestādei ar visu nepieciešamo rūpību ir jāpārbauda prasība, ko iesniegusi persona, kuras dati, kā tā apgalvo, ir pārsūtīti uz trešo valsti, neievērojot pārsūtīšanai piemērojamās līguma standartklauzulas (56). Šajā nolūkā ar VDAR 58. panta 1. punktu uzraudzības iestādēm ir piešķirtas plašas izmeklēšanas pilnvaras (57).

147. Kompetentajai uzraudzības iestādei ir arī pienākums atbilstoši reaģēt uz iespējamiem datu subjekta tiesību pārkāpumiem, ko tā ir konstatējusi savas izmeklēšanas rezultātā. Šajā ziņā katrai uzraudzības iestādei saskaņā ar VDAR 58. panta 2. punktu ir virkne līdzekļu – dažādas korektīvās pilnvaras, kas uzskaitītas šajā tiesību normā –, lai izpildītu tai uzticēto uzdevumu (58).

148. Lai arī kompetentajai uzraudzības iestādei ir brīvība izvēlēties visefektīvāko līdzekli, ņemot vērā visus attiecīgās pārsūtīšanas apstākļus, tai ir pienākums pilnībā izpildīt tai uzticēto uzraudzības uzdevumu. Ja nepieciešams, šai iestādei ir jāaptur pārsūtīšana, ja tā secina, ka līguma standartklauzulas nav ievērotas un ka pārsūtīto datu pienācīga aizsardzība nevar tikt nodrošināta ar citu līdzekļu palīdzību, ja datu nosūtītājs pats nav izbeidzis pārsūtīšanu.

149. Šo interpretāciju apstiprina VDAR 58. panta 4. punkts, kurā ir paredzēts, ka uzraudzības iestādes saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā saskaņā ar Hartas 47. pantu. Turklāt ar VDAR 78. panta 1. un 2. punktu ir atzītas ikvienas personas tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas skar minēto personu, vai ja šī iestāde neizskata tās sūdzību (59).

150. Šīs tiesību normas, kā to būtībā norāda M. Schrems, BSA, Īrija, Polijas un Apvienotās Karalistes valdības, kā arī Komisija, nozīmē, ka lēmumu, ar kuru uzraudzības iestāde atturas aizliegt vai apturēt datu pārsūtīšanu uz trešo valsti pēc tādas personas pieprasījuma, kura norāda, ka pastāv risks, ka tās dati tur tiks apstrādāti, pārkāpjot tās pamattiesības, var pārsūdzēt tiesā. Savukārt tas, ka tiek atzītas tiesības celt prasību tiesā, nozīmē, ka uzraudzības iestādēm ir visai konkrēta un ne pārāk brīva kompetence. Turklāt M. Schrems un Komisija pamatoti uzsvēra, ka efektīvas pārbaudes tiesā īstenošana nozīmē, ka apstrīdētā akta izdevējiestādei tas ir pienācīgi jāpamato (60). Šis pienākums norādīt pamatojumu, manuprāt, nozīmē uzraudzības iestāžu izvēli izmantot kādas no tām ar VDAR 58. panta 2. punktu piešķirtajām pilnvarām.

151. Tomēr vēl ir jāatbild uz argumentiem, ar kuriem DPC apgalvo, ka, lai arī uzraudzības iestādēm esot pienākums apturēt vai aizliegt pārsūtīšanu, kad tas nepieciešams datu subjekta tiesību aizsardzībai, Lēmuma 2010/87 spēkā esamība tomēr netiekot nodrošināta.

152. Pirmkārt, DPC uzskata, ka šāds pienākums nenovērš sistēmiskās problēmas saistībā ar to, ka tādā trešajā valstī kā ASV nepastāv atbilstošas garantijas. Proti, uzraudzības iestāžu pilnvaras var tikt īstenotas tikai katrā gadījumā atsevišķi, lai gan ASV tiesībām raksturīgie trūkumi ir vispārēji un strukturāli. No tā izrietot risks, ka dažādas uzraudzības iestādes var pieņemt atšķirīgus lēmumus attiecībā uz līdzīgām pārsūtīšanām.

153. Šajā ziņā es nevaru neņemt vērā praktiskās grūtības, kas saistītas ar likumdevēja izvēli noteikt uzraudzības iestādēm atbildību uzraudzīt datu subjektu pamattiesību ievērošanu konkrētu pārsūtīšanu vai plūsmas konkrētam saņēmējam ietvaros. Tomēr, manā ieskatā, šīs grūtības neizraisa Lēmuma 2010/87 spēkā neesamību.

154. Savienības tiesībās, manuprāt, nav noteikta prasība sniegt visaptverošu un preventīvu risinājumu attiecībā uz visām pārsūtīšanām uz noteiktu trešo valsti, kas varētu izraisīt tādus pašus pamattiesību pārkāpuma riskus.

155. Turklāt decentralizētās uzraudzības uzbūvei, kādu ir vēlējies likumdevējs, piemīt risks, ka dažādo uzraudzības iestāžu izmantotās pieejas ir sašķeltas (61). Tomēr, kā uzsvēra Vācijas valdība, ar VDAR VII nodaļu “Sadarbība un konsekvence” ir izveidoti mehānismi, kuru mērķis ir izvairīties no šī riska. Šīs regulas 60. pants datu pārrobežu apstrādes gadījumā paredz sadarbības procedūru starp attiecīgajām uzraudzības iestādēm un pārziņa darbības vietas uzraudzības iestādi, ko sauc par “vadošo uzraudzības iestādi” (62). Atšķirīgu viedokļu gadījumā domstarpības izskata EDPB (63). EDPB ir arī kompetence, pēc uzraudzības iestādes pieprasījuma, sniegt atzinumus par jebkuru jautājumu, kura intereses skar vairākas dalībvalstis (64).

156. Otrkārt, DPC atsaucas uz Lēmuma 2010/87 spēkā neesamību, ņemot vērā Hartas 47. pantu, pamatojoties uz to, ka uzraudzības iestādes var aizsargāt datu subjektu tiesības tikai uz nākotni vērstā veidā, nesniedzot risinājumu tiem, kuru dati jau ir pārsūtīti. It īpaši DPC norāda, ka VDAR 58. panta 2. punktā nav paredzētas ne tiesības piekļūt, labot un dzēst datus, ko ievākušas trešās valsts iestādes, ne arī iespēja saņemt kompensāciju par kaitējumu, kas nodarīts datu subjektiem.

157. Attiecībā uz piekļuves, labošanas un dzēšanas tiesību apgalvoto neesamību ir jākonstatē, ka gadījumā, ja galamērķa trešajā valstī nav efektīvu tiesību aizsardzības līdzekļu, Savienībā paredzētie tiesību aizsardzības līdzekļi pret pārzini neļauj iegūt no šīs trešās valsts iestādēm piekļuvi šiem datiem vai panākt to labošanu vai dzēšanu.

158. Manuprāt, šis iebildums tomēr nepamato Lēmuma 2010/87 nesaderību ar Hartas 47. pantu. Proti, šī lēmuma spēkā esamība nav atkarīga no aizsardzības līmeņa, kāds pastāv ikvienā trešajā valstī, uz kuru datus varētu pārsūtīt, pamatojoties uz tajā minētajām līguma standartklauzulām. Ja galamērķa trešās valsts tiesības liedz datu saņēmējam ievērot šīs klauzulas, nosakot, ka tam ir jāpiešķir valsts iestādēm tāda piekļuve datiem, kuru nepapildina atbilstošas pārsūdzēšanas iespējas, gadījumā, ja datu nosūtītājs nav apturējis pārsūtīšanu saskaņā ar Lēmuma 2010/87 pielikumā minētās 5. klauzulas a) vai b) punktu, uzraudzības iestādēm ir jāīsteno korektīvās pilnvaras.

159. Turklāt, kā uzsvēra M. Schrems, personām, kuru tiesības ir pārkāptas, turpmāk saskaņā ar VDAR 82. pantu ir tiesības saņemt no pārziņa vai apstrādātāja kompensāciju par materiālo vai morālo kaitējumu, kas radies šīs regulas pārkāpuma dēļ (65).

160. Kā izriet no visiem šiem apsvērumiem, manā vērtējumā nav atklājies neviens apstāklis, kas varētu ietekmēt Lēmuma 2010/87 spēkā esamību, ņemot vērā Hartas 7., 8. un 47. pantu.

F. Par to, ka nav nepieciešamības atbildēt uz citiem prejudiciālajiem jautājumiem un pārbaudīt “Privātuma vairoga” lēmuma spēkā esamību

161. Šajā iedaļā izklāstīšu iemeslus, kuri galvenokārt ir saistīti ar to, ka pamatlietas priekšmets aprobežojas ar Lēmuma 2010/87 spēkā esamību, un kuru dēļ es uzskatu, ka nav jāatbild uz otro līdz piekto prejudiciālo jautājumu, kā arī uz devīto un desmito prejudiciālo jautājumu un ka nav jālemj par “Privātuma vairoga” lēmuma spēkā esamību.

162. Otrais prejudiciālais jautājums attiecas to aizsardzības standartu noteikšanu, kuri trešajai valstij ir jāievēro, lai datus uz to varētu pārsūtīt likumīgi, pamatojoties uz līguma standartklauzulām, ja šos datus pēc to pārsūtīšanas šīs trešās valsts iestādes var apstrādāt valsts drošības nolūkos. Trešais Tiesai uzdotais jautājums attiecas uz to elementu noteikšanu, kuri raksturo galamērķa trešajā valstī piemērojamo aizsardzības sistēmu un kuri ir jāņem vērā, lai pārbaudītu, vai šī sistēma atbilst šiem standartiem.

163. Ar ceturto, piekto un desmito jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai, ņemot vērā faktus, ko tā ir konstatējusi par ASV tiesībām, tajās ir paredzētas atbilstošas garantijas pret ASV izlūkošanas iestāžu iejaukšanos pamattiesību uz privātās dzīves neaizskaramību, uz personas datu aizsardzību un uz efektīvu tiesību aizsardzību tiesā īstenošanā.

164. Devītais prejudiciālais jautājums ir par to, kāda ietekme – pārbaudes ietvaros, ar ko uzraudzības iestāde pārbauda, vai pārsūtīšanā uz ASV, kura pamatota ar Lēmumā 2010/87 paredzētajām līguma standartklauzulām, tiek nodrošinātas atbilstošas garantijas, – ir apstāklim, ka Komisija “Privātuma vairoga” lēmumā ir konstatējusi, ka ASV nodrošina pietiekamu datu subjektu pamattiesību aizsardzības līmeni pret šādu iejaukšanos.

165. Savukārt jautājumu par “Privātuma vairoga” lēmuma spēkā esamību iesniedzējtiesa nav uzdevusi tieši, lai gan, kā izskaidrots turpinājumā (66), ceturtais, piektais un desmitais prejudiciālais jautājums netieši liek apšaubīt šajā lēmumā minētā Komisijas konstatējuma par aizsardzības līmeņa pietiekamību pamatotību.

166. Manuprāt, ņemot vērā no iepriekš veiktā vērtējuma izrietošos elementus, Tiesas atbilde uz šiem jautājumiem nevar ietekmēt tās secinājumu par Lēmuma 2010/87 spēkā esamību in abstracto un tādējādi ietekmēt pamatlietas atrisinājumu (1. iedaļa). Turklāt, lai arī Tiesas atbildes uz minētajiem jautājumiem vēlākā stadijā varētu būt lietderīgas DPC, lai šī strīda pamatā esošajā procedūrā noteiktu, vai attiecīgā pārsūtīšana in concreto ir jāaptur tādēļ, ka – kā tiek apgalvots – neesot nodrošinātas atbilstošas garantijas, manuprāt, sniegt atbildes uz tiem šīs lietas ietvaros ir pāragri (2. iedaļa).

1. Par Tiesas atbilžu nepieciešamības neesamību, ņemot vērā pamatlietas priekšmetu

167. Atgādinu, ka pamatlieta izriet no sprieduma Schrems 65. punktā aprakstītā tiesību aizsardzības līdzekļa īstenošanas, kuru veic DPC un saskaņā ar kuru katrai dalībvalstij ir jāļauj uzraudzības iestādei, ja tā, izskatot tajā iesniegtu sūdzību, to uzskata par nepieciešamu, lūgt valsts tiesai uzdot Tiesai prejudiciālu jautājumu par lēmuma par aizsardzības līmeņa pietiekamību vai, pēc analoģijas, lēmuma, ar kuru tiek ieviestas līguma standartklauzulas, spēkā esamību.

168. Šajā ziņā High Court (Augstā tiesa) uzsvēra, ka pēc tam, kad DPC bija pie tās vērsies, tās vienīgās iespējas bija vai nu, kā to lūdza DPC, iesniegt lūgumu sniegt prejudiciālu nolēmumu par Lēmuma 2010/87 spēkā esamību – gadījumā, ja tā piekristu viņa šaubām par šī lēmuma spēkā esamību, vai arī noraidīt šo lūgumu – pretējā gadījumā. Šī tiesa uzskata, ka tad, ja tā būtu izvēlējusies šo otro iespēju, tai būtu bijis jānoraida tiesvedība, jo DPC sūdzībai nav cita priekšmeta (67).

169. Tādā pašā veidā Supreme Court (Augstākā tiesa), izskatot Facebook Ireland apelācijas sūdzību par lūgumu sniegt prejudiciālu nolēmumu, raksturoja pamatlietu kā tiesvedību par juridiska fakta konstatēšanu, kurā DPC lūdza iesniedzējtiesai uzdot Tiesai prejudiciālu jautājumu par Lēmuma 2010/87 spēkā esamību. Kā uzskata Īrijas Augstākā tiesa, vienīgais būtiskais jautājums, kas izvirzīts iesniedzējtiesā un Tiesā, tādējādi attiecas uz šī lēmuma spēkā esamību (68).

170. Ņemot vērā tādējādi ierobežoto pamatlietas priekšmetu, iesniedzējtiesa uzdeva Tiesai pirmos desmit jautājumus, jo tā uzskata, ka to izskatīšana sekmēs vispārīgu vērtējumu, kas Tiesai nepieciešams, lai, atbildot uz vienpadsmito jautājumu, paustu savu nostāju par Lēmuma 2010/87 spēkā esamību, ņemot vērā Hartas 7., 8. un 47. pantu. Saskaņā ar iesniedzējtiesas lūgumu sniegt prejudiciālu nolēmumu šis jautājums ir visu iepriekšējo jautājumu loģisks rezultāts.

171. No šī viedokļa raugoties, man šķiet, ka otrais līdz piektais, kā arī devītais un desmitais jautājums ir balstīti uz premisu, ka Lēmuma 2010/87 spēkā esamība ir atkarīga no pamattiesību aizsardzības līmeņa, kas paredzēts katrā no trešajām valstīm, uz kurām datus var pārsūtīt, pamatojoties uz tajā paredzētajām līguma standartklauzulām. Taču, kā izriet no mana septītā jautājuma vērtējuma (69), manuprāt, šī premisa ir kļūdaina. Galamērķa trešās valsts tiesību izvērtēšana tiek veikta tikai tad, kad Komisija pieņem lēmumu par aizsardzības līmeņa pietiekamību, vai tad, ja pārzinis vai – ja tāda nav – kompetentā uzraudzības iestāde pārbauda, vai tādas pārsūtīšanas ietvaros, kura pamatota ar atbilstošām garantijām VDAR 46. panta 1. punkta nozīmē, pienākumi, kas saskaņā ar šīs trešās valsts tiesībām ir noteikti datu saņēmējam, apdraud ar šīm garantijām nodrošinātās aizsardzības efektivitāti.

172. Līdz ar to Tiesas atbildes uz iepriekš minētajiem jautājumiem nevar ietekmēt tās secinājumu par vienpadsmito jautājumu (70). Tāpat nav uz to jāatbild no pamatlietas priekšmeta viedokļa.

173. Ierosinu Tiesai izskatīt šo lietu tikai no šī strīda priekšmeta viedokļa. Manuprāt, Tiesai nevajadzētu pārsniegt to, ko prasa minētā strīda izšķiršana, izskatot prejudiciālos jautājumus no pamata tiesvedības, kas ierosināta DPC, viedokļa. Kā izklāstīts turpinājumā, šis aicinājums būt atturīgai izriet no, pirmkārt, vēlmes neapiet tās tiesvedības normālo norisi, kas turpināsies DPC pēc tam, kad Tiesa būs lēmusi par Lēmuma 2010/87 spēkā esamību. Otrkārt, ņemot vērā konkrētos lietas apstākļus, man šķiet nedaudz sasteigti, pat no šīs tiesvedības nozīmes viedokļa, ka Tiesa izskatītu ar otro līdz piekto, kā arī ar devīto un desmito jautājumu izvirzītos problēmjautājumus.

2. Par iemesliem, kuru dēļ Tiesai nevajadzētu veikt vērtējumu, ņemot vērā DPC izskatāmās tiesvedības priekšmetu

174. M. Schrems savā sūdzībā DPC lūdz šai uzraudzības iestādei īstenot pilnvaras, kuras tai ir saskaņā ar VDAR 58. panta 2. punkta f) apakšpunktu, izdodot rīkojumu Facebook Ireland apturēt viņa personas datu pārsūtīšanu uz ASV, pamatojoties uz līguma klauzulām. Šī lūguma pamatojumam M. Schrems būtībā atsaucas uz šo līgumisko garantiju neatbilstošo raksturu, ņemot vērā iejaukšanos viņa pamattiesību īstenošanā, kas izriet no ASV izlūkdienestu darbībām.

175. M. Schrems argumentācija liek apšaubīt Komisijas izdarīto konstatējumu “Privātuma vairoga” lēmumā, ka ASV saskaņā ar šo lēmumu pārsūtītajiem datiem nodrošina pietiekamu aizsardzības līmeni, ņemot vērā ierobežojumus, kas noteikti, lai piekļūtu šiem datiem un lai ASV izlūkošanas iestādes tos izmantotu, kā arī ņemot vērā datu subjektiem sniegto juridisko aizsardzību (71). DPC provizoriski paustās bažas (72), kā arī iesniedzējtiesas paustās bažas ceturtā, piektā un desmitā jautājuma ietvaros arī netieši norāda uz šaubām par šī konstatējuma pamatotību.

176. Protams, “Privātuma vairoga” lēmumā ir tikai konstatēta to personas datu aizsardzības līmeņa pietiekamība, kas pārsūtīti saskaņā ar šajā lēmumā noteiktajiem principiem uz uzņēmumu ASV, kurš pats ir apliecinājis, ka ievēro šos principus (73). Tomēr tajā minētie apsvērumi pārsniedz to pārsūtīšanu kontekstu, uz kurām attiecas šis lēmums, jo tie attiecas uz šīs trešās valsts tiesībām un praksi, kas ir spēkā attiecībā uz pārsūtīto datu apstrādi valsts drošības nolūkos. Kā būtībā ir norādījuši Facebook Ireland, M. Schrems, ASV valdība un Komisija, ASV izlūkošanas iestāžu veiktā uzraudzība, tāpat kā garantijas pret ļaunprātīgas izmantošanas riskiem, ko tā ietver, un mehānismi, lai kontrolētu šo garantiju ievērošanu, ir piemērojami, lai kāds arī būtu – no Savienības tiesību viedokļa – pārsūtīšanu juridiskais pamats.

177. No šāda viedokļa raugoties, jautājums par to, vai konstatējumi, kas šajā ziņā ir izdarīti “Privātuma vairoga” lēmumā, ir saistoši uzraudzības iestādēm, kad tās pārbauda tādas pārsūtīšanas likumību, kas veikta, pamatojoties uz līguma standartklauzulām, varētu izrādīties būtisks, DPC izskatot M. Schrems sūdzību. Ja atbilde uz šo jautājumu ir apstiprinoša, rastos jautājums, vai šis lēmums ir spēkā esošs.

178. Tomēr es neiesaku Tiesai lemt par šiem jautājumiem, tikai lai palīdzētu DPC izskatīt šo sūdzību, jo uz šiem jautājumiem nav pat jāatbild, lai ļautu iesniedzējtiesai atrisināt pamatlietu. Saskaņā ar LESD 267. pantā paredzēto procedūru, ar ko izveido dialogu starp tiesām, Tiesai nav jāsniedz skaidrojums, tikai lai palīdzētu administratīvai iestādei šīs tiesvedības pamatā esošās procedūras ietvaros.

179. Manuprāt, no tā būtu jāatturas vēl jo vairāk tāpēc, ka jautājums par “Privātuma vairoga” lēmuma spēkā esamību tai netika uzdots skaidri – turklāt Eiropas Savienības Vispārējā tiesā jau ir celta prasība šo lēmumu atcelt (74).

180. Turklāt, lemjot par iepriekš aprakstītajiem problēmjautājumiem, Tiesa, manuprāt, traucētu tās tiesvedības normālo norisi, kurai jānotiek pēc tam, kad tā būs pasludinājusi savu spriedumu šajā lietā. Šīs tiesvedības ietvaros DPC būs jāizskata M. Schrems sūdzība, ņemot vērā Tiesas atbildi uz vienpadsmito prejudiciālo jautājumu. Ja Tiesa nospriedīs, kā ierosinu es un pretēji tam, ko Tiesā apgalvoja DPC, ka Lēmums 2010/87 nav spēkā neesošs, ņemot vērā Hartas 7., 8. un 47. pantu, es uzskatu, ka būtu jādod iespēja DPC pārskatīt viņa izskatāmās lietas materiālus. Gadījumā, ja DPC uzskatītu, ka tas nevar lemt par M. Schrems sūdzību, kamēr Tiesa iepriekš nav noteikusi, vai “Privātuma vairoga” lēmums rada šķērsli tā pilnvarām apturēt attiecīgo pārsūtīšanu, un apstiprinātu, ka tam ir šaubas par šī lēmuma spēkā esamību, viņam būtu atļauts atkal vērsties valsts tiesās ar mērķi, lai tās uzdod Tiesai jautājumus šajā sakarā (75).

181. Tādā gadījumā tiktu uzsākta procedūra, kura ļauj jebkurai pusei un ikvienai ieinteresētajai personai, kas paredzēta Tiesas statūtu 23. panta otrajā daļā, iesniegt Tiesai apsvērumus konkrēti par “Privātuma vairoga” lēmuma spēkā esamības jautājumu, vajadzības gadījumā norādot konkrētus vērtējumus, ko tā apstrīd, kā arī iemeslus, kuru dēļ tā uzskata, ka Komisija šajā lēmumā ir pārsniegusi tai piešķirto ierobežoto novērtējuma brīvību (76). Šādā procedūrā Komisijai būtu iespēja precīzi un detalizēti atbildēt uz katru iespējamo kritiku, kas vērsta pret minēto lēmumu. Lai gan šī lieta ir sniegusi lietas dalībniekiem un ieinteresētajām personām, kuras iesniegušas apsvērumus Tiesai, iespēju apspriest atsevišķus nozīmīgus aspektus, lai novērtētu “Privātuma vairoga” lēmuma saderību ar Hartas 7., 8. un 47. pantu, šis jautājums, ņemot vērā tā nozīmi, ir pelnījis, ka tam tiek veltītas izsmeļošas un padziļinātas debates.

182. Manuprāt, piesardzības labad būtu jānogaida, līdz šīs procesuālās stadijas noslēdzas, pirms Tiesa pārbauda, kā “Privātuma vairoga” lēmums ietekmē veidu, kādā uzraudzības iestāde apstrādā prasību apturēt uz ASV veiktu pārsūtīšanu saskaņā ar VDAR 46. panta 1. punktu, un pirms tā pauž savu nostāju par šī lēmuma spēkā esamību.

183. Tas tā ir a fortiori, jo no Tiesai iesniegtajiem lietas materiāliem nevar secināt, ka M. Schrems sūdzības izskatīšana, ko veic DPC, noteikti būs atkarīga no tā, vai “Privātuma vairoga” lēmums nepieļauj, ka uzraudzības iestādes īsteno savas pilnvaras apturēt ar līguma standartklauzulām pamatotu pārsūtīšanu.

184. Šajā ziņā, pirmkārt, nav izslēgts, ka DPC ir jāaptur attiecīgā pārsūtīšana, pamatojoties uz citiem iemesliem, nevis tiem, kuri saistīti ar apgalvoto nepietiekamo ASV nodrošināto aizsardzības līmeni pret datu subjektu pamattiesību pārkāpumiem, kas izriet no ASV izlūkdienestu darbības. Konkrēti, iesniedzējtiesa ir precizējusi, ka M. Schrems savā sūdzībā DPC apgalvo, ka līguma standartklauzulas, uz kurām atsaucas Facebook Ireland, lai pamatotu šo pārsūtīšanu, neatspoguļo precīzi Lēmuma 2010/87 pielikumā minētās klauzulas. M. Schrems turklāt apgalvo, ka minētā pārsūtīšana ietilpst nevis šī lēmuma, bet gan citu LSK lēmumu piemērošanas jomā (77).

185. Otrkārt, DPC un iesniedzējtiesa ir uzsvēruši, ka Facebook Ireland, lai pamatotu M. Schrems sūdzībā minēto pārsūtīšanu, nav atsaucies uz “Privātuma vairoga” lēmumu (78), ko šis uzņēmums apstiprināja tiesas sēdē. Lai arī Facebook Inc. pati ir apliecinājusi, ka ievēro “privātuma vairoga” principus kopš 2016. gada 30. septembra (79), Facebook Ireland apgalvo, ka šī ievērošana attiecas tikai uz atsevišķu datu kategoriju pārsūtīšanu, proti, kas attiecas uz Facebook Inc. komerciālajiem partneriem. Manā ieskatā, nebūtu lietderīgi Tiesai priekšlaicīgi izskatīt jautājumus, kas varētu rasties šajā sakarā, pārbaudot, vai – pieņemot, ka Facebook Ireland nevar atsaukties uz Lēmumu 2010/87, lai pamatotu attiecīgo pārsūtīšanu, – uz šo pārsūtīšanu tik un tā attiektos “Privātuma vairoga” lēmums, lai gan šis pēdējais minētais šo argumentu nav izvirzījis ne iesniedzējtiesā, ne DPC.

186. No tā es secinu, ka nav jāatbild uz otro līdz piekto, kā arī uz devīto un desmito prejudiciālo jautājumu, nedz arī jāpārbauda “Privātuma vairoga” lēmuma spēkā esamība.

G. Pakārtoti apsvērumi par “Privātuma vairoga” lēmuma iedarbību un spēkā esamību

187. Lai gan iepriekš izklāstītais vērtējums mani mudina ierosināt Tiesai galvenokārt atturēties lemt par “Privātuma vairoga” lēmuma ietekmi uz tādas sūdzības izskatīšanu, kādu M. Schrems ir iesniedzis DPC, un lemt par šī lēmuma spēkā esamību, man šķita lietderīgi, pakārtoti un ievērojot atsevišķus nosacījumus, sniegt dažus neizsmeļošus apsvērumus attiecībā uz šo jautājumu.

1. Par “Privātuma vairoga” lēmuma ietekmi, kad uzraudzības iestāde izskata sūdzību par tādas pārsūtīšanas likumību, kas pamatota ar līgumiskām garantijām

188. Devītais prejudiciālais jautājums ir par to, vai “Privātuma vairoga” lēmumā veiktais konstatējums par ASV nodrošinātā aizsardzības līmeņa pietiekamību, ņemot vērā ierobežojumus, kuri noteikti attiecībā uz piekļuvi pārsūtītajiem datiem un to izmantošanu, ko veic ASV iestādes valsts drošības nolūkā, kā arī attiecībā uz datu subjektu juridisko aizsardzību, rada šķērsli tam, lai uzraudzības iestāde apturētu pārsūtīšanu uz šo trešo valsti, kas tiek īstenota saskaņā ar līguma standartklauzulām.

189. Manuprāt, šī problemātika ir jāaplūko, ņemot vērā sprieduma Schrems 51. un 52. punktu, no kuriem izriet, ka uzraudzības iestādēm lēmums par aizsardzības līmeņa pietiekamību ir saistošs tik ilgi, kamēr tas nav atzīts par spēkā neesošu. Uzraudzības iestāde, kas izskata tās personas sūdzību, kuras dati ir pārsūtīti uz trešo valsti, uz ko attiecas lēmums par aizsardzības līmeņa pietiekamību, tādējādi nevar apturēt pārsūtīšanu, pamatojoties uz to, ka aizsardzības līmenis tajā nav pienācīgs, pirms Tiesa iepriekš nav atzinusi šo lēmumu par spēkā neesošu (80).

190. Iesniedzējtiesa būtībā vēlas noskaidrot, vai attiecībā uz tādu lēmumu par aizsardzības līmeņa pietiekamību, kāds ir “Privātuma vairoga” lēmums vai – pirms tā – “drošības zonas” lēmums, kas ir balstīts uz to, ka uzņēmumi brīvprātīgi ievēro šajā lēmumā noteiktos principus, šis secinājums ir spēkā tikai tad, ja pārsūtīšana uz attiecīgo trešo valsti notiek saskaņā ar šo lēmumu vai arī tad, ja tai ir norādīts cits juridiskais pamats.

191. M. Schrems, Vācijas, Nīderlandes, Polijas un Portugāles valdības, kā arī Komisija uzskata, ka aizsardzības līmeņa pietiekamības konstatējums “Privātuma vairoga” lēmumā neatņem uzraudzības iestādēm to pilnvaras apturēt vai aizliegt tādu pārsūtīšanu uz ASV, kas īstenota saskaņā ar līguma standartklauzulām. Ja pārsūtīšana uz ASV nav pamatota ar “Privātuma vairoga” lēmumu, uzraudzības iestādēm šis lēmums formāli neesot saistošs, īstenojot pilnvaras, kas tām piešķirtas ar VDAR 58. panta 2. punktu. Citiem vārdiem sakot, šīs iestādes varot distancēties no Komisijas konstatējumiem par to, ka aizsardzības līmenis pret ASV valsts iestāžu iejaukšanos datu subjektu pamattiesību īstenošanā ir pietiekams. Nīderlandes valdība un Komisija precizē, ka uzraudzības iestādēm tomēr tie ir jāņem vērā, īstenojot šīs pilnvaras. Vācijas valdība uzskata, ka šīs iestādes varot nākt klajā ar pretēju vērtējumu tikai pēc tam, kad ir izvērtējušas Komisijas konstatējumus pēc būtības, veicot atbilstošu izmeklēšanu.

192. Savukārt Facebook Ireland un ASV valdība būtībā apgalvo, ka lēmuma par aizsardzības līmeņa pietiekamību saistošā iedarbība, ņemot vērā tiesiskās drošības prasības un Savienības tiesību vienveidīgas piemērošanas prasības, nozīmē, ka uzraudzības iestādēm nav tiesību apšaubīt minētajā lēmumā izdarītos konstatējumus, pat izskatot tādu sūdzību, kuras mērķis ir panākt, ka tiek apturēta pārsūtīšana uz attiecīgo trešo valsti, kas pamatota kā citādi, nevis ar šo lēmumu.

193. Es piekrītu pirmajai no šīm divām pieejām. Tā kā “Privātuma vairoga” lēmuma piemērošanas jomā ietilpst tikai tā pārsūtīšana, kas veikta uz uzņēmumu, kurš ir pašsertificējies saskaņā ar šo lēmumu, minētais lēmums nevar būt formāli saistošs uzraudzības iestādēm attiecībā uz pārsūtīšanu, kas neietilpst šajā piemērošanas jomā. Attiecīgi “Privātuma vairoga” lēmuma mērķis ir garantēt tiesisko drošību tikai datu nosūtītājiem, kas pārsūta datus šī lēmuma ietvarā. Manuprāt, neatkarība, kas ir atzīta uzraudzības iestādēm VDAR 52. pantā, nepieļauj arī to, ka tām ir saistoši konstatējumi, kurus Komisija izdarījusi lēmumā par aizsardzības līmeņa pietiekamību, kas ir ārpus tā piemērošanas jomas.

194. Protams, “Privātuma vairoga” lēmumā minētie konstatējumi, ka ASV nodrošinātais aizsardzības līmenis pret iejaukšanos, kas saistīta ar ASV izlūkdienestu darbību, ir pietiekams, ir pamatā analīzei, kurā uzraudzības iestāde katrā gadījumā atsevišķi izvērtē, vai ar līguma standartklauzulām pamatota pārsūtīšana ir jāaptur šādas iejaukšanās dēļ. Tomēr, ja padziļinātas izmeklēšanas rezultātā tā uzskata, ka tā nevar piekrist šiem konstatējumiem par izvērtējamo pārsūtīšanu, kompetentā uzraudzības iestāde, manuprāt, saglabā iespēju īstenot pilnvaras, kas tai piešķirtas ar VDAR 58. panta 2. punkta f) un j) apakšpunktu.

195. Ņemot vērā iepriekš minēto, gadījumā, ja Tiesa uz šeit izvērtēto jautājumu sniegtu atbildi, kas ir pretēja manis ieteiktajai, būtu jāpārbauda, vai šīs pilnvaras tomēr nebūtu jāatjauno “Privātuma vairoga” lēmuma spēkā neesamības dēļ.

2. Par “Privātuma vairoga” lēmuma spēkā esamību

196. Turpmākajos apsvērumos tiks izvirzīti vairāki jautājumi par to vērtējumu pamatotību, kas minēti “Privātuma vairoga” lēmumā un kuri attiecas uz ASV nodrošinātā aizsardzības līmeņa pietiekamo raksturu VDAR 45. panta 1. punkta nozīmē, ņemot vērā ASV izlūkošanas iestāžu veiktās elektronisko komunikāciju uzraudzības darbības. Šo apsvērumu mērķis nav sniegt galīgu vai izsmeļošu nostāju par šī lēmuma spēkā esamību. Tajos tiks paustas tikai dažas pārdomas, kas Tiesai varētu būt lietderīgas gadījumā, ja tā, pretēji manam ieteikumam, vēlētos lemt par šo jautājumu.

197. Šajā sakarā no “Privātuma vairoga” lēmuma 64. apsvēruma un II pielikuma I daļas 5. punkta izriet, ka to, ka uzņēmumi ievēro šajā lēmumā izklāstītos principus, var ierobežot, ciktāl tas ir nepieciešams valsts drošības, sabiedrības interešu vai tiesībaizsardzības prasību ievērošanai vai ASV tiesībās paredzētu pretēju pienākumu izpildei.

198. Komisija izvērtēja aizsardzības pasākumus, kas ASV tiesībās paredzēti attiecībā uz piekļuvi datiem, kuri tiek nosūtīti, un attiecībā uz to izmantošanu ASV valsts iestādēs, tostarp valsts drošības nolūkos (81). Tā saņēma no ASV valdības apņemšanos, pirmkārt, par ierobežojumiem attiecībā uz piekļuvi pārsūtītajiem datiem un to izmantošanu ASV valsts iestādēs, kā arī, otrkārt, par datu subjektiem nodrošināto juridisko aizsardzību (82).

199. Tiesā M. Schrems atsaucas uz “Privātuma vairoga” lēmuma spēkā neesamību, pamatojot, ka šādi aprakstītās garantijas nav pietiekamas, lai nodrošinātu pietiekamu aizsardzības līmeni to personu pamattiesībām, kuru dati tiek pārsūtīti uz ASV. DPC, EPIC, kā arī Austrijas, Polijas un Portugāles valdības, tieši neapšaubot šī lēmuma spēkā esamību, apstrīd šajā lēmumā iekļautos Komisijas vērtējumus, ka aizsardzības līmenis pret ASV izlūkdienestu iejaukšanos ir pietiekams. Šīs šaubas sasaucas arī ar Parlamenta (83), EDPB (84) un EDAU bažām (85).

200. Pirms “Privātuma vairoga” lēmumā izdarīto konstatējumu par aizsardzības līmeņa pietiekamību pārbaudīšanas ir jāprecizē šajā pārbaudē izmantojamā metodoloģija.

a) Precizējumi par lēmuma par aizsardzības līmeņa pietiekamību spēkā esamības pārbaudes saturu

1) Par salīdzinājuma kritērijiem, kas ļauj novērtēt aizsardzības līmeņa “līdzvērtību pēc būtības”

201. Saskaņā ar VDAR 45. panta 3. punktu un Tiesas judikatūru (86) Komisija var konstatēt, ka trešā valsts nodrošina pietiekamu aizsardzības līmeni, tikai tad, ja tā ar pienācīgu pamatojumu ir secinājusi, ka datu subjektu pamattiesību aizsardzības līmenis šajā valstī ir “pēc būtības līdzvērtīgs” līmenim, kāds tiek prasīts Savienībā saskaņā ar šo regulu, lasot to kopsakarā ar Hartu.

202. Tādējādi – trešajā valstī nodrošinātā aizsardzības līmeņa pietiekamības pārbaude noteikti nozīmē, ka ir jāsalīdzina, no vienas puses, šajā trešajā valstī dominējošie noteikumi un prakse un, no otras puses, Savienībā spēkā esošie aizsardzības standarti. Ar savu otro jautājumu iesniedzējtiesa lūdz Tiesu precizēt šī salīdzinājuma kritērijus (87).

203. Konkrētāk, šī tiesa vēlas noskaidrot, vai kompetence, kas ar LES 4. panta 2. punktu un VDAR 2. panta 2. punktu ir atzīta dalībvalstīm valsts drošības aizsardzības jomā, nozīmē, ka Savienības tiesību sistēmā nav ietverti aizsardzības standarti, ar kuriem būtu jāsalīdzina trešajā valstī sniegtās garantijas uz šo trešo valsti nosūtītajiem datiem pret valsts iestāžu veiktu apstrādi valsts drošības aizsardzības nolūkā, lai novērtētu pēdējo minēto pietiekamību. Apstiprinošas atbildes gadījumā minētā tiesa vēlas noskaidrot, kādā veidā ir jānosaka atbilstošā atsauces sistēma.

204. Šajā ziņā ir jāpatur prātā, ka ierobežojumi, kuri Savienības tiesībās paredzēti personas datu starptautiskai pārsūtīšanai un ar kuriem ir noteikts, ka ir jāievēro datu subjektu tiesību aizsardzības līmeņa turpinātība, pastāv tādēļ, lai izvairītos no Savienībā piemērojamo standartu apiešanas (88). Kā būtībā norādīja Facebook Ireland, ņemot vērā šo mērķi, nav pamatoti gaidīt no trešās valsts, ka tā ievēros prasības, kas neatbilst dalībvalstīm noteiktajiem pienākumiem.

205. Atbilstoši Hartas 51. panta 1. punktam tā ir piemērojama dalībvalstīm tikai tad, ja tās īsteno Savienības tiesības. Līdz ar to lēmuma par aizsardzības līmeņa pietiekamību spēkā esamība, ņemot vērā datu subjektu pamattiesību īstenošanas ierobežojumus, kuri izriet no galamērķa trešās valsts tiesiskā regulējuma, ir atkarīga no šo ierobežojumu salīdzinājuma ar ierobežojumiem, kas ar Hartas tiesību normām ir atļauti dalībvalstīm tikai tad, ja līdzīgs dalībvalsts tiesiskais regulējums ietilpst Savienības tiesību piemērošanas jomā.

206. Tomēr galamērķa trešajā valstī nodrošinātā aizsardzības līmeņa pietiekamību nevar novērtēt, neņemot vērā to iespējamo iejaukšanos datu subjektu pamattiesību īstenošanā, kas izriet no valsts īstenotiem pasākumiem, konkrēti, valsts drošības jomā, kuri, ja tos būtu pieņēmusi dalībvalsts, neietilptu Savienības tiesību piemērošanas jomā. Lai veiktu šo vērtējumu, VDAR 45. panta 2. punkta a) apakšpunktā ir noteikts, ka ir jāņem vērā – bez jebkādiem ierobežojumiem – šajā trešajā valstī spēkā esošais tiesiskais regulējums valsts drošības jomā.

207. Aizsardzības līmeņa pietiekamības novērtējums, ņemot vērā šādus valsts pasākumus, manuprāt, nozīmē, ka ir jāsalīdzina garantijas, kas papildina šos pasākumus, ar aizsardzības līmeni, kas tiek prasīts Savienībā atbilstoši dalībvalstu tiesībām, tostarp atbilstoši to saistībām saskaņā ar ECPAK. Tā kā dalībvalstu pievienošanās ECPAK uzliek tām pienākumu saskaņot savas iekšējās tiesības ar šīs konvencijas tiesību normām un tādējādi, kā būtībā ir uzsvēra Facebook Ireland, Vācijas un Čehijas valdības, kā arī Komisija, tas ir uzskatāms par dalībvalstu kopsaucēju, es šīs tiesību normas uzskatīšu par atbilstošu salīdzinājuma kritēriju šī novērtējuma nolūkā.

208. Šajā gadījumā, kā norādīts iepriekš (89), ar ASV valsts drošību saistītās prasības ir pārākas par to uzņēmumu pienākumiem, kas pašsertificējušies saskaņā ar “Privātuma vairoga” lēmumu. Tāpat šī lēmuma spēkā esamība ir atkarīga no tā, vai šīs prasības ir saistītas ar garantijām, kas nodrošina pēc būtības līdzvērtīgu aizsardzības līmeni tam līmenim, kāds jānodrošina Savienībā.

209. Lai atbildētu uz šo jautājumu, vispirms ir jānosaka standarti – proti, tie, kas izriet no Hartas vai ECPAK –, kuriem Savienībā būtu jāatbilst tiesiskajiem regulējumiem elektronisko komunikāciju uzraudzības jomā, kas ir līdzīgi regulējumiem, kurus Komisija ir izvērtējusi “Privātuma vairoga” lēmumā. Piemērojamo standartu noteikšana ir atkarīga no tā, vai uz tādiem tiesiskajiem regulējumiem kā FISA 702. pants un EO 12333, ja tie būtu kādas dalībvalsts regulējumi, attiektos vai neattiektos VDAR piemērošanas jomas ierobežojums saskaņā ar šī regulas 2. panta 2. punktu, to lasot kopsakarā ar LES 4. panta 2. punktu.

210. Šajā ziņā no LES 4. panta 2. punkta formulējuma un pastāvīgās judikatūras izriet, ka Savienības tiesības, it īpaši atvasinātie tiesību instrumenti attiecībā uz personas datu aizsardzību, nav piemērojami darbībām valsts drošības aizsardzības jomā, jo tās ir valstu vai valstu iestāžu darbības, kas neietilpst privātpersonu darbības lokā (90).

211. Šis princips, pirmkārt, nozīmē, ka tiesiskais regulējums valsts drošības aizsardzības jomā neietilpst Savienības tiesību piemērošanas jomā, ja tas reglamentē tikai valsts darbības, nereglamentējot privātpersonu veiktas darbības. Līdz ar to šīs tiesības, manuprāt, nav piemērojamas valsts pasākumiem attiecībā uz personas datu vākšanu un izmantošanu, ko tieši īsteno valsts nacionālās drošības aizsardzības nolūkos, neuzliekot īpašus pienākumus privātajiem uzņēmējiem. Konkrēti, kā to tiesas sēdē apgalvoja Komisija, dalībvalsts veikts pasākums, ar kuru, tāpat kā ar EO 12333, tās drošības dienestiem būtu atļauta tieša piekļuve tranzītā esošajiem datiem, būtu izslēgts no Savienības tiesību piemērošanas jomas (91).

212. Sarežģītāks ir jautājums par to, vai, otrkārt, valsts tiesību normas, kurās tāpat kā FISA 702. pantā ir noteikts pienākums elektronisko komunikāciju pakalpojumu sniedzējiem sniegt atbalstu valsts drošības jomā kompetentajām iestādēm, lai tām ļautu piekļūt noteiktiem personas datiem, arī neietilpst Savienības tiesību piemērošanas jomā.

213. Lai arī PNR spriedums liecina par labu apstiprinošai atbildei uz šo jautājumu, spriedumos Tele2 Sverige un Ministerio Fiscal sniegtā argumentācija varētu attaisnot to, ka uz to tiek sniegta noraidoša atbilde.

214. PNR spriedumā Tiesa atcēla lēmumu, kurā Komisija bija konstatējusi pietiekamu aizsardzības līmeni pasažieru datu reģistrā (Passenger Name Record, PNR) iekļautajiem lidmašīnu pasažieru personas datiem, kas nosūtīti ASV muitas un robežapsardzes jomā kompetentajai iestādei (92). Tiesa nosprieda, ka apstrāde, uz kuru attiecās šis lēmums, proti, PNR datu pārsūtīšana attiecīgajai iestādei, ko veica aviosabiedrības, ņemot vērā tās mērķi, ir izslēgta no Direktīvas 95/46 piemērošanas jomas saskaņā ar tās 3. panta 2. punktā paredzēto izņēmumu. Tiesa uzskatīja, ka šī datu apstrāde bija nepieciešama nevis pakalpojumu sniegšanai, bet sabiedriskās drošības nodrošināšanai un represīviem nolūkiem. Tā kā attiecīgā pārsūtīšana iekļāvās valsts iestāžu izveidotā ietvarā un attiecās uz sabiedrisko drošību, tā bija izslēgta no šīs direktīvas piemērošanas jomas, neraugoties uz to, ka pasažieru datu reģistra datus sākotnēji ievāca privāti uzņēmumi tādas komercdarbības ietvaros, kas ietilpst šajā piemērošanas jomā, un ka šo pārsūtīšanu organizēja šie pēdējie minētie (93).

215. Vēlāk spriedumā Tele2 Sverige (94) Tiesa nosprieda, ka valsts tiesību normas, kuras ir balstītas uz Direktīvas 2002/58/EK (95) 15. panta 1. punktu, kas reglamentē gan telekomunikāciju pakalpojumu sniedzēju veikto informācijas par datu plūsmu un atrašanās vietu saglabāšanu, gan valsts iestāžu piekļuvi saglabātajiem datiem šajā tiesību normā minētajos nolūkos – kas ietver kriminālsodu piemērošanu un valsts drošības aizsardzību –, ietilpst šīs direktīvas un tādējādi Hartas piemērošanas jomā. Tiesa uzskata, ka ne uz tiesību normām par datu saglabāšanu, ne uz tiesību normām par piekļuvi saglabātajiem datiem neattiecas šīs direktīvas 1. panta 3. punktā paredzētā izslēgšana no šīs direktīvas piemērošanas jomas, kurā tostarp ir atsauce uz valsts darbībām sodu piemērošanas un valsts drošības aizsardzības jomā (96). Tiesa šo judikatūru apstiprināja spriedumā Ministerio Fiscal (97).

216. FISA 702. pants tomēr atšķiras no šāda tiesiskā regulējuma, jo šajā tiesību normā elektronisko komunikāciju pakalpojumu sniedzējiem nav noteikts neviens pienākums saglabāt datus vai arī veikt kādu citu apstrādi, ja tie nesaņem no izlūkošanas iestādēm pieprasījumu par piekļuvi datiem.

217. Līdz ar to rodas jautājums, vai VDAR un tādējādi arī Hartas piemērošanas jomā ietilpst valsts pasākumi, ar kuriem šiem pakalpojumu sniedzējiem ir noteikts pienākums nodot datus valsts iestāžu rīcībā valsts drošības nolūkos neatkarīgi no jebkāda saglabāšanas pienākuma (98).

218. Pirmā pieeja varētu izpausties, apvienojot, cik vien iespējams, abus iepriekš minētos judikatūras virzienus, interpretējot Tiesas secinājumu spriedumos Tele2 Sverige un Ministerio Fiscal par Savienības tiesību piemērojamību pasākumiem, kas valsts iestāžu piekļuvi datiem konkrēti valsts drošības aizsardzības nolūkā (99) reglamentē kā tādu, kura attiecas tikai uz gadījumiem, kad dati ir saglabāti saskaņā ar likumisku pienākumu, kas ieviests saskaņā ar Direktīvas 2002/58 15. panta 1. punktu. Šis secinājums savukārt nebūtu piemērojams PNR sprieduma atšķirīgajam faktiskajam kontekstam, kas attiecās uz aviosabiedrību komerciālos nolūkos saglabātu datu pārsūtīšanu pēc savas iniciatīvas ASV iekšējās drošības jomā kompetentajai iestādei.

219. Saskaņā ar otro pieeju, kuru iesaka Komisija un kura, manuprāt, ir pārliecinošāka, argumentācija, kas izmantota spriedumos Tele2 Sverige un Ministerio Fiscal, pamato Savienības tiesību piemērojamību valsts tiesību normām, kurās elektronisko komunikāciju pakalpojumu sniedzējiem ir noteikts pienākums sniegt palīdzību iestādēm, kas ir atbildīgas par valsts drošību, lai tās varētu piekļūt noteiktiem datiem, nepiešķirot nozīmi tam, vai šīs normas papildina vai nepapildina datu iepriekšējas saglabāšanas pienākumu.

220. Šīs argumentācijas kodols faktiski ir balstīts nevis uz attiecīgo tiesību normu priekšmetu, kā tas ir PNR spriedumā, bet gan uz faktu, ka šīs tiesību normas reglamentēja pakalpojumu sniedzēju darbības, liekot viņiem veikt datu apstrādi. Šīs darbības nebija valsts darbības tajās jomās, kas minētas Direktīvas 2002/58 1. panta 3. punktā un Direktīvas 95/46 3. panta 2. punktā, kura saturs būtībā ir pārņemts VDAR 2. panta 2. punktā.

221. Spriedumā Tele2 Sverige Tiesa norādīja, ka “piekļuv[e] minēto pakalpojumu sniedzēju saglabātajiem datiem [..] attiecas uz šo pakalpojumu sniedzēju veiktu personas datu apstrādi, proti, apstrādi, kas ietilpst šīs direktīvas piemērošanas jomā” (100). Arī spriedumā Ministerio Fiscal tā nosprieda, ka tiesību akti, kuros pakalpojumu sniedzējiem ir noteikts pienākums sniegt kompetentajām valsts iestādēm piekļuvi saglabātajiem datiem, “noteikti nozīmē, ka šie pakalpojumu sniedzēji [minētos] datus arī apstrādā” (101).

222. Tas, ka pārzinis nodod datus valsts iestādes rīcībā, atbilst VDAR 4. panta 2. punktā paredzētajai “apstrādes” definīcijai (102). Tas pats attiecas uz datu iepriekšēju filtrēšanu, izmantojot meklēšanas kritēriju, lai nošķirtu tos datus, kuriem valsts iestādes ir lūgušas piekļuvi (103).

223. No tā es secinu, ka, ņemot vērā Tiesas argumentāciju spriedumos Tele2 Sverige un Ministerio Fiscal, VDAR un tātad arī Harta ir piemērojamas valsts tiesiskajam regulējumam, kurā elektronisko komunikāciju pakalpojumu sniedzējam ir noteikts pienākums sniegt palīdzību par valsts drošību atbildīgajām iestādēm, nododot to rīcībā datus, ja nepieciešams, pēc to filtrēšanas pat neatkarīgi no jebkāda likumiska pienākuma saglabāt šos datus.

224. Turklāt šķiet, ka šī interpretācija vismaz netieši izriet no sprieduma Schrems. Kā uzsvēra DPC, Austrijas un Polijas valdības, kā arī Komisija, Tiesa, izvērtējot “drošības zonas” lēmuma spēkā esamību, nosprieda, ka tās trešās valsts tiesībās, attiecībā uz kuru ir pieņemts lēmums par aizsardzības līmeņa pietiekamību, ir jāparedz tādas garantijas pret šīs trešās valsts iestāžu iejaukšanos datu subjektu pamattiesībās valsts drošības nolūkā, kas ir līdzvērtīgas pēc būtības tām, kuras izriet konkrēti no Hartas 7., 8. un 47. panta (104).

225. Precīzāk, no tā izriet, ka uz valsts pasākumu, ar kuru elektronisko komunikāciju pakalpojumu sniedzējiem ir uzlikts pienākums atsaukties uz valsts drošības jomā kompetento iestāžu pieprasījumu sniegt piekļuvi atsevišķiem datiem, kurus šie pakalpojumu sniedzēji ir saglabājuši savu komerciālo darbību ietvaros, neatkarīgi no jebkāda likumiska pienākuma, iepriekš identificējot pieprasītos datus, piemērojot atlasītājus (kā tas ir PRISM programmas ietvaros), neattiecas VDAR 2. panta 2. punkts. Tas pats būtu sakāms par valsts pasākumu, ar kuru uzņēmumiem, kas pārvalda telekomunikāciju “mugurkaulu”, tiek prasīts, lai tie par valsts drošību atbildīgajām iestādēm sniedz piekļuvi datiem, kuri tiek pārsūtīti viņu pārvaldītās infrastruktūras ietvaros (kā tas ir Upstream programmas ietvaros).

226. Turpretim, tiklīdz valsts iestādes ir saņēmušas attiecīgos datus, uz to saglabāšanu un vēlāku izmantošanu valsts drošības nolūkos, ko īsteno šīs iestādes, manuprāt, to pašu iemeslu dēļ, kas minēti šo secinājumu 211. punktā, attiecas VDAR 2. panta 2. punktā paredzētā atkāpe, kas nozīmē, ka tie neietilpst nedz šīs regulas, nedz tādējādi arī Hartas piemērošanas jomā.

227. Ņemot vērā visu iepriekš minēto, es uzskatu, ka “Privātuma vairoga” lēmuma spēkā esamības pārbaude, ņemot vērā tajā noteikto principu ierobežojumus, kas var izrietēt no ASV izlūkošanas iestāžu darbībām, nozīmē divkāršu pārbaudi.

228. Pirmkārt, ir jāpārbauda, vai ASV nodrošina no VDAR un Hartas tiesību normām izrietošajam aizsardzības līmenim pēc būtības līdzvērtīgu aizsardzības līmeni pret ierobežojumiem, kuri izriet no FISA 702. panta piemērošanas, jo šajā tiesību normā NSA tiek ļauts pieprasīt pakalpojumu sniedzējiem nodot personas datus tās rīcībā.

229. Otrkārt, ECPAK tiesību normas veidos atbilstošu atsauces sistēmu, lai novērtētu, vai ierobežojumi, ko var izraisīt EO 12333 īstenošana, jo ar to izlūkošanas iestādēm ir atļauts pašām – bez privāto uzņēmēju palīdzības – ievākt personas datus, liek apšaubīt ASV nodrošinātā aizsardzības līmeņa pietiekamību. Šīs tiesību normas sniegs arī salīdzināšanas standartus, kas ļauj novērtēt šī aizsardzības līmeņa pietiekamību attiecībā uz minēto iestāžu iegūto datu saglabāšanu un izmantošanu valsts drošības nolūkos.

230. Tomēr vēl ir jānosaka, vai konstatējums par atbilstības līmeņa pietiekamību nozīmē, ka datu vākšana saskaņā ar EO 12333 notiek aizsardzības līmenī, kas ir līdzvērtīgs pēc būtības tām, kas jānodrošina Savienībā, pat ja šī vākšana notiek ārpus ASV teritorijas stadijā, kad dati ir tranzītā no Savienības uz šo trešo valsti.

2) Par nepieciešamību nodrošināt pietiekamu aizsardzības līmeni datu tranzīta stadijā

231. Tiesā tika aizstāvētas trīs atšķirīgas nostājas par to, vai Komisijai, lai novērtētu trešajā valstī nodrošinātā aizsardzības līmeņa pietiekamību, ir vai nav jāņem vērā valsts pasākumi, kas attiecas uz šīs trešās valsts iestāžu piekļuvi datiem – ārpus tās teritorijas – stadijā, kad dati ir tranzītā no Savienības uz šo teritoriju.

232. Pirmkārt, Facebook Ireland, kā arī ASV un Apvienotās Karalistes valdības būtībā apgalvo, ka šādu pasākumu esamība neietekmē konstatējumu par aizsardzības līmeņa pietiekamību. Lai pamatotu šo pieeju, tās atsaucas uz to, ka trešā valsts nevar kontrolēt visus komunikāciju kanālus, kas atrodas ārpus tās teritorijas, pa kuriem aprit dati no Savienības, un līdz ar to hipotētiski nekādā gadījumā nevar garantēt, ka cita trešā valsts slepeni neievāc datus to tranzīta laikā.

233. Otrkārt, DPC, M. Schrems, EPIC, Austrijas un Nīderlandes valdības, Parlaments un EDPB norāda, ka VDAR 44. pantā paredzētā aizsardzības līmeņa turpinātības prasība nozīmē, ka šim līmenim ir jābūt pietiekamam visu pārsūtīšanas ceļu, tostarp arī tad, kad dati ir tranzītā zemūdens kabeļos pirms galamērķa trešās valsts teritorijas sasniegšanas.

234. Atzīstot šo principu, Komisija apgalvo, treškārt, ka konstatējums par aizsardzības līmeņa pietiekamību attiecas tikai uz aizsardzību, ko nodrošina attiecīgā trešā valsts savas valsts teritorijā, līdz ar to apstāklis, ka aizsardzības līmeņa pietiekamība nav garantēta tranzīta laikā uz šo trešo valsti, neliek apšaubīt lēmuma par aizsardzības līmeņa pietiekamību spēkā esamību. Tomēr pārzinim saskaņā ar VDAR 32. pantu būtu jāuzrauga pārsūtīšanas drošība, aizsargājot – cik vien iespējams – personas datus, kamēr tie ir tranzītā uz minēto trešo valsti.

235. Šajā ziņā jānorāda, ka ar VDAR 44. pantu pārsūtīšana uz trešo valsti tiek pakļauta nosacījumam, ka ir jāievēro šīs regulas V nodaļā minētie noteikumi, jo dati var tikt apstrādāti “pēc šīs pārsūtīšanas”. Šos noteikumus varētu saprast tādējādi, kā to apgalvoja ASV valdība savā rakstveida atbildē uz Tiesas jautājumiem, ka vai nu šie nosacījumi ir jāievēro tad, kad dati ir nonākuši galamērķī, vai arī tie ir jāievēro pēc tam, kad pārsūtīšana ir uzsākta (tostarp tranzīta stadijā).

236. Tā kā VDAR 44. panta formulējums nav viennozīmīgs, teleoloģiska interpretācija mani mudina piekrist otrajai no šīm interpretācijām un līdz ar to atbalstīt otro no iepriekš minētajām pieejām. Proti, ja tiktu uzskatīts, ka šajā tiesību normā paredzētā aizsardzības līmeņa turpinātības prasība attiecas tikai uz uzraudzības pasākumiem, kas tiek īstenoti galamērķa trešās valsts teritorijā, tā varētu tikt apieta, ja šī trešā valsts īsteno šādus pasākumus ārpus tās teritorijas datu tranzīta stadijā. Lai izvairītos no šī riska, trešās valsts nodrošinātā aizsardzības līmeņa pietiekamības novērtējumam ir jāattiecas uz visām šīs trešās valsts tiesību sistēmas normām, it īpaši valsts drošības jomā (105), tostarp uz normām, kas attiecas uz tās teritorijā īstenoto uzraudzību, gan uz normām, kuras ļauj uzraudzīt datus, kas ir tranzītā uz šo teritoriju (106).

237. Ņemot vērā iepriekš minēto, neviens neapstrīd, kā to uzsvēra EDPB, ka aizsardzības līmeņa pietiekamības novērtējums attiecas, kā tas izriet no VDAR 45. panta 1. punkta, vienīgi uz datu galamērķa trešās valsts tiesību sistēmas normām. Neiespējamība garantēt, ka cita trešā valsts slepeni neievāc šos datus to tranzīta laikā, uz kuru atsaucas Facebook Ireland, kā arī ASV un Apvienotās Karalistes valdības, neietekmē šo vērtējumu. Turklāt šādu risku nevar izslēgt pat pēc tam, kad dati ir nonākuši galamērķa trešās valsts teritorijā.

238. Turklāt ir taisnība arī, ka Komisija, izvērtējot trešās valsts garantētā aizsardzības līmeņa pietiekamību, attiecīgā gadījumā varētu saskarties ar to, ka šī trešā valsts nav to informējusi par atsevišķu slepenu uzraudzības programmu pastāvēšanu. Tomēr no tā neizriet, ka Komisija, ja tā tiek informēta par šādām programmām, var atturēties no to ņemšanas vērā aizsardzības līmeņa pietiekamības pārbaudē. Tāpat, ja pēc tam, kad ir pieņemts lēmums par aizsardzības līmeņa pietiekamību, Komisija tiek informēta, ka pastāv atsevišķas slepenas uzraudzības programmas, ko īsteno attiecīgā trešā valsts savā teritorijā vai stadijā, kamēr dati ir tranzītā uz šo valsti, tai ir jāpārskata savs konstatējums par šīs trešās valsts nodrošinātā aizsardzības līmeņa pietiekamību, ja šīs informācijas atklāšana rada šaubas šajā sakarā (107).

3) Par Komisijas un iesniedzējtiesas veiktā faktu konstatējuma par ASV tiesībām ņemšanu vērā

239. Kaut arī nav strīda par to, ka Tiesas kompetencē nav veikt tādu trešās valsts tiesību interpretāciju, kas būtu saistoša tās tiesību sistēmā, “Privātuma vairoga” lēmuma spēkā esamība ir atkarīga no Komisijas veikto vērtējumu pamatotības par personu, kuru dati tiek pārsūtīti uz ASV, pamattiesību aizsardzības līmeni, kas nodrošināts ar šīs trešās valsts tiesībām un praksi. Proti, Komisijai bija jāpamato savs konstatējums par aizsardzības līmeņa pietiekamību, ņemot vērā VDAR 45. panta 2. punktā minētos elementus, kuri konkrēti attiecas uz minētās trešās valsts tiesību saturu (108).

240. High Court (Augstā tiesa) savā 2017. gada 3. oktobra spriedumā izklāstīja detalizētus konstatējumus, aprakstot ASV tiesību atbilstošos aspektus pēc tam, kad bija izvērtējusi lietas dalībnieku iesniegtos pierādījumus (109). Šis izklāsts lielā mērā pārklājas ar Komisijas konstatējumiem “Privātuma vairoga” lēmumā par to tiesību normu saturu, kas attiecas uz ASV izlūkošanas iestāžu veikto pārsūtīto datu vākšanu un piekļuvi tiem, kā arī uz ar šīm darbībām saistītajiem tiesību aizsardzības līdzekļiem un uzraudzības mehānismiem.

241. Iesniedzējtiesa, tāpat kā vairāki lietas dalībnieki un ieinteresētās personas, kuras iesniegušas apsvērumus Tiesā, liek vairāk apšaubīt juridiskās sekas, ko Komisija ir paredzējusi šo konstatējumu rezultātā, proti, secinājumu, ka ASV nodrošina to personu pamattiesību pienācīgu aizsardzības līmeni, kuru dati tiek pārsūtīti saskaņā ar šo lēmumu, nevis tās veikto ASV tiesību satura aprakstu.

242. Šādos apstākļos es galvenokārt vērtēšu “Privātuma vairoga” lēmuma spēkā esamību, ņemot vērā Komisijas pašas veiktos konstatējumus attiecībā uz ASV tiesību saturu, pārbaudot, vai tie pamato šī lēmuma par aizsardzības līmeņa pietiekamību pieņemšanu.

243. Šajā ziņā es nepiekrītu DPC un M. Schrems aizstāvētajam viedoklim, ka High Court (Augstā tiesa) veiktie konstatējumi par ASV tiesībām būtu saistoši Tiesai “Privātuma vairoga” lēmuma spēkā esamības pārbaudes ietvaros. Tie norāda, ka, tā kā ārvalsts tiesības ir faktisks jautājums saskaņā ar Īrijas procesuālajām tiesībām, iesniedzējtiesai vienīgajai ir kompetence noteikt tā saturu.

244. Protams, pastāvīgajā judikatūrā valsts tiesai ir atzīta ekskluzīva kompetence konstatēt atbilstošos faktiskos elementus, kā arī interpretēt dalībvalsts tiesības un tās piemērot tajā izskatāmajam strīdam (110). Šī judikatūra atspoguļo Tiesas un iesniedzējtiesas funkciju sadalījumu ar LESD 267. pantu izveidotās procedūras ietvaros. Tiesai vienīgajai ir kompetence interpretēt Savienības tiesības un lemt par atvasināto tiesību spēkā esamību, taču valsts tiesai, kurai ir jāatrisina tajā izskatāmais konkrētais strīds, ir jākonstatē tā faktiskais un tiesiskais konteksts, lai Tiesa varētu tai sniegt lietderīgu atbildi.

245. Manuprāt, šīs iesniedzējtiesas ekskluzīvās kompetences pastāvēšanas jēgu nevar attiecināt uz konstatējumu, atbilstoši kuram trešās valsts tiesības ir elements, kas var ietekmēt Tiesas secinājumu par atvasināto tiesību akta spēkā esamību (111). Tā kā tāda akta atzīšana par spēkā neesošu ir saistoša erga omnes Savienības tiesību sistēmā (112), Tiesas secinājums nevar būt atkarīgs no lūguma sniegt prejudiciālu nolēmumu izcelsmes. Taču, kā uzsvēra Facebook Ireland un ASV valdība, šis secinājums būtu tam pakārtots, ja Tiesai būtu saistoši iesniedzējtiesas izdarītie konstatējumi par trešās valsts tiesībām, ņemot vērā, ka tie var atšķirties atkarībā no valsts tiesas, kura tos veic.

246. Ņemot vērā šos apsvērumus, es uzskatu, ka gadījumā, ja atbilde uz prejudiciālu jautājumu par Savienības tiesību akta spēkā esamību nozīmē, ka ir jānovērtē trešās valsts tiesību saturs, Tiesai, lai arī tā var tos ņemt vērā, nav saistoši iesniedzējtiesas konstatējumi par šīs trešās valsts tiesību aktiem. Attiecīgā gadījumā Tiesa var tos noraidīt vai papildināt, atbilstoši sacīkstes principam ņemot vērā citus avotus, lai konstatētu attiecīgā akta spēkā esamības izvērtēšanai nepieciešamos elementus (113).

4) Par “līdzvērtības pēc būtības” standarta tvērumu

247. Atgādinu, ka “Privātuma vairoga” lēmuma spēkā esamība ir atkarīga no tā, vai ASV tiesību sistēma nodrošina tām personām, kuru dati tiek pārsūtīti no Savienības uz šo trešo valsti, tādu aizsardzības līmeni, kas ir “līdzvērtīgs pēc būtības” aizsardzības līmenim, kurš garantēts dalībvalstīs atbilstoši VDAR un Hartai, kā arī – jomās, kas ir izslēgtas no Savienības tiesību piemērošanas jomas, – atbilstoši to saistībām saskaņā ar ECPAK.

248. Kā Tiesa uzsvēra spriedumā Schrems (114), šis standarts nenozīmē, ka aizsardzības līmenim ir jābūt “identiskam” tam līmenim, kāds tiek prasīts Savienībā. Lai arī līdzekļi, kurus trešā valsts izmanto, lai aizsargātu datu subjektu tiesības, var atšķirties no tiem, kas noteikti VDAR, to lasot kopsakarā ar Hartu, “šiem līdzekļiem tik un tā praksē būtu jābūt efektīviem, lai nodrošinātu Savienībā esošajai aizsardzībai būtībā ekvivalentu aizsardzību”.

249. Manuprāt, no tā arī izriet, ka galamērķa trešās valsts tiesības var atspoguļot tās vērtību skalu, atbilstoši kurai dažādo iesaistīto interešu attiecīgais svarīgums var atšķirties no tā svarīguma, kas šīm interesēm ir piešķirts Savienības tiesību sistēmā. Turklāt personas datu aizsardzība, kas prevalē Savienībā, atbilst īpaši augstam standartam, salīdzinājumā ar pārējās pasaules valstīs spēkā esošo aizsardzības līmeni. Līdz ar to, manuprāt, “līdzvērtības pēc būtības” kritērijs būtu jāpiemēro tā, lai saglabātu zināmu elastīgumu un lai ņemtu vērā dažādas juridiskās un kultūras tradīcijas. Šis kritērijs, ja vien tam netiek laupīta pati būtība, tomēr nozīmē, ka noteiktām minimālām garantijām un no VDAR, no Hartas un no ECPAK izrietošo pamattiesību aizsardzības vispārējām prasībām, ir jābūt ekvivalentiem arī galamērķa trešās valsts tiesību sistēmā (115).

250. Šajā ziņā saskaņā ar Hartas 52. panta 1. punktu jebkuram tajā atzīto tiesību un brīvību īstenošanas ierobežojumam ir jābūt noteiktam tiesību aktos, tajā ir jāievēro to būtība un saskaņā ar samērīguma principu tam ir jābūt nepieciešamam un ir efektīvi jāatbilst Savienības atzītam vispārējo interešu mērķim vai vajadzībai aizsargāt citu personu tiesības un brīvības. Šīs prasības būtībā atbilst ECPAK 8. panta 2. punktā noteiktajām prasībām (116).

251. Saskaņā ar Hartas 52. panta 3. punktu, tā kā tās 7., 8. un 47. pantā garantētās tiesības atbilst tām, kas paredzētas ECPAK 8. un 13. pantā, tām ir kopīga nozīme un tvērums, ņemot vērā, ka Savienības tiesības tomēr tām var piešķirt plašāku aizsardzību. No šāda viedokļa raugoties, kā tas atklāsies manā izklāstā, standarti, kas izriet no Hartas 7., 8. un 47. panta, kā tos ir interpretējusi Tiesa, atsevišķos aspektos ir stingrāki nekā tie, kas izriet no ECPAK 8. panta, kā to ir interpretējusi Eiropas cilvēktiesību tiesa (turpmāk tekstā – “ECT”).

252. Jānorāda arī, ka lietas, kas tiek izskatītas abās šajās tiesās, mudina tās pārskatīt atsevišķus to attiecīgo judikatūru aspektus. Tādējādi, pirmkārt, divi neseni ECT spriedumi elektronisko komunikāciju uzraudzības jomā, proti, spriedumi Centrüm för Rättvisa pret Zviedriju (117) un Big Brother Watch pret Apvienoto Karalisti (118), ir tikuši nosūtīti izskatīšanai virspalātā. Otrkārt, trīs valstu tiesas Tiesai ir iesniegušas lūgumus sniegt prejudiciālu nolēmumu par to, vai ir vai nav jāveic izmaiņas tās judikatūrā, kas izriet no sprieduma Tele2 Sverige (119).

253. Ņemot vērā šos precizējumus, tagad izvērtēšu “Privātuma vairoga” lēmuma spēkā esamību, ņemot vērā VDAR 45. panta 1. punktu, lasot to kopsakarā ar Hartu un ECPAK, jo tās garantē, pirmkārt, tiesības uz privātās dzīves neaizskaramību, kā arī personas datu aizsardzību (b) iedaļa) un, otrkārt, tiesības uz efektīvu tiesību aizsardzību tiesā (c) iedaļa).

b) Par “Privātuma vairoga” lēmuma spēkā esamību, ņemot vērā tiesības uz privātās dzīves neaizskaramību un tiesības uz personas datu aizsardzību

254. Sava ceturtā jautājuma ietvaros iesniedzējtiesa būtībā apstrīd ASV nodrošinātā aizsardzības līmeņa līdzvērtību pēc būtības tam aizsardzības līmenim, kas datu subjektiem Savienībā izriet no to pamattiesībām uz privātās dzīves neaizskaramību un uz personas datu aizsardzību.

1) Par iejaukšanās pastāvēšanu

255. “Privātuma vairoga” lēmuma 67.–124. apsvērumā Komisija norāda uz iespēju, ka ASV valsts iestādes piekļūst no Savienības pārsūtītajiem datiem un tos izmanto valsts drošības nolūkos tādu programmu ietvaros, kas balstās konkrēti uz FISA 702. pantu vai EO 12333.

256. Šo programmu īstenošanas rezultāts ir ASV izlūkdienestu iejaukšanās, kas, ja to īstenotu kādas dalībvalsts iestādes, tiktu uzskatīta par iejaukšanos Hartas 7. pantā un ECPAK 8. pantā garantēto tiesību uz privātās dzīves neaizskaramību īstenošanā. Tāpat ar šo īstenošanu datu subjekti tiek pakļauti riskam, ka to personas dati tiks apstrādāti veidā, kas neatbilst Hartas 8. pantā noteiktajām prasībām (120).

257. Vispirms jāprecizē, ka tiesības uz privātās dzīves neaizskaramību un personas datu aizsardzību aptver ne tikai komunikāciju satura aizsardzību, bet arī informācijas par datu plūsmu (121) un atrašanās vietu (abus kopā apzīmē termins “metadati”) aizsardzību. Gan Tiesa, gan ECT ir atzinušas, ka metadati, tāpat kā dati par saturu, var atklāt ļoti precīzu informāciju par indivīda privāto dzīvi (122).

258. Saskaņā ar Tiesas judikatūru, lai noteiktu, vai pastāv iejaukšanās Hartas 7. pantā garantēto tiesību īstenošanā, nav nozīmes tam, vai attiecīgajiem datiem ir vai nav sensitīvs raksturs, un tam, vai ieinteresētajām personām ir vai nav radītas neērtības attiecīgā uzraudzības pasākuma dēļ (123).

259. Ņemot vērā šo atgādinājumu, uzraudzības programmas, kas balstītas uz FISA 702. pantu, pirmām kārtām, izraisa iejaukšanos to personu pamattiesību īstenošanā, kuru komunikācijas atbilst NSA izvēlētajiem atlasītājiem, un ko līdz ar to šai pēdējai minētai nodod elektronisko komunikāciju pakalpojumu sniedzēji (124). Konkrētāk, pakalpojumu sniedzēju pienākums nodot datus NSA rīcībā, tā kā tas ir atkāpe no komunikāciju konfidencialitātes principa (125), pats par sevi ir iejaukšanās, pat ja izlūkošanas iestādes pēc tam šos datus neaplūkos un neizmantos (126). Tas, ka šīs iestādes saglabā un faktiski piekļūst šiem metadatiem un viņu rīcībā nodoto komunikāciju saturam, kā arī šo datu izmantošana nozīmē papildu iejaukšanos (127).

260. Turklāt saskaņā ar iesniedzējtiesas konstatējumiem (128) un citiem avotiem, piemēram, PCLOB ziņojumu par programmām, kas tiek īstenotas atbilstoši FISA 702. pantam, kuram Tiesas uzmanību ir pievērsusi ASV valdība (129), “Upstream” programmas ietvaros NSA jau esot piekļuve filtrēšanas nolūkos tādiem lieliem datu kopumiem (“datu paketēm”), kas iekļaujas komunikāciju plūsmā pa telekomunikāciju “mugurkaulu” un kas aptver komunikācijas, kuras nesatur NSA identificētos atlasītājus. NSA varot pārbaudīt šos datu kopumus tikai, lai ātri un automātiski noteiktu, vai tie satur šos atlasītājus. Tādējādi NSA datubāzēs tiekot saglabātas tikai šādi filtrētas komunikācijas. Šāda piekļuve datiem to filtrēšanas nolūkā, manuprāt, arī nozīmētu iejaukšanos datu subjektu tiesību uz privātās dzīves neaizskaramību īstenošanā, lai arī kāds būtu šo datu vēlākas izmantošanas mērķis (130).

261. Turklāt aplūkoto datu nodošana rīcībā un filtrēšana (131), izlūkošanas iestāžu piekļuve šiem datiem, kā arī minēto datu iespējamā uzglabāšana, analīze un izmantošana ietilpst jēdzienā “apstrāde” VDAR 4. panta 2. punkta un Hartas 8. panta 2. punkta izpratnē. Šai apstrādei pēc tam ir jāatbilst šajā pēdējā minētajā tiesību normā paredzētajām prasībām (132).

262. Uzraudzība, ko veic saskaņā ar EO 12333, savukārt varētu nozīmēt, ka izlūkošanas iestādēm ir tieša piekļuve tranzītā esošiem datiem, tādējādi izraisot iejaukšanos ECPAK 8. pantā garantēto tiesību īstenošanā. Šo iejaukšanos papildinātu iejaukšanās, ko veido šo datu iespējama vēlāka izmantošana.

2) Par iejaukšanās “tiesību aktos paredzēto” raksturu

263. Saskaņā ar Tiesas judikatūru (133) un ECT judikatūru (134) prasība, saskaņā ar kuru jebkurai iejaukšanās darbībai pamattiesību īstenošanā ir “jābūt paredzētai tiesību aktos” Hartas 52. panta 1. punkta un ECPAK 8. panta 2. punkta izpratnē, nozīmē ne tikai to, ka pasākumam, ar kuru ir paredzēta iejaukšanās, ir jābūt valsts tiesībās noteiktam juridiskam pamatam, bet arī to, ka šim juridiskajam pamatam ir jāatbilst noteiktiem pieejamības un paredzamības aspektiem, lai izvairītos no patvaļas riska.

264. Šajā sakarā lietas dalībnieki un ieinteresētās personas, kas iesniegušas apsvērumus Tiesai, būtībā nav vienisprātis par to, vai FISA 702. pants un EO 12333 atbilst nosacījumam par tiesību akta paredzamību.

265. Šis nosacījums, kā to ir interpretējusi Tiesa (135) un ECT (136), ietver prasību, ka ar tiesisko regulējumu, kurš paredz iejaukšanos tiesību uz privātās dzīves neaizskaramību īstenošanā, ir jāievieš skaidri un precīzi noteikumi, kas reglamentē attiecīgā pasākuma apjomu un piemērošanu un kas nosaka minimālās prasības, lai datu subjektiem nodrošinātu pietiekamas garantijas, lai aizsargātu viņu datus pret ļaunprātīgas izmantošanas risku, kā arī pret jebkuru nelikumīgu piekļuvi šiem datiem vai to nelikumīgu izmantošanu. Šādiem noteikumiem it īpaši ir jānorāda, kādos apstākļos un ar kādiem nosacījumiem valsts iestādes var saglabāt personas datus, tiem piekļūt un tos izmantot (137). Turklāt pašā juridiskajā pamatā, ar kuru tiek atļauta iejaukšanās, ir jānosaka tiesību uz privātās dzīves neaizskaramību īstenošanas ierobežojuma apjoms (138).

266. Tāpat kā M. Schrems un EPIC, es šaubos, ka EO 12333, tāpat kā PPD 28, kuros ir noteiktas garantijas attiecībā uz visām sakaru izlūkošanas darbībām (139), ir pietiekami paredzami, lai uz tiem varētu attiecināt “likuma statusu”.

267. Šajos instrumentos ir skaidri noteikts, ka ar tiem netiek piešķirtas juridiski īstenojamas tiesības datu subjektiem (140). Līdz ar to tie nevar atsaukties tiesā uz PPD 28 paredzētajām garantijām (141). Turklāt “Privātuma vairoga” lēmumā Komisija uzskatīja, ka šajā prezidenta politikas direktīvā uzskaitītās garantijas, lai arī tām ir saistošs raksturs attiecībā uz izlūkdienestiem (142), “nav noformulētas šajos juridiskajos noteikumos [lietotas kā juridiski termini]” (143). EO 12333 un PPD 28 ir vairāk pielīdzināmi iekšējiem administratīviem norādījumiem, ko ASV prezidents var atsaukt vai grozīt. ECT jau ir nospriedusi, ka iekšējām administratīvām direktīvām nav “likuma” statusa (144).

268. M. Schrems apšauba FISA 702. pantu paredzamo raksturu, jo to atlases kritēriju izvēle, kas tiek izmantoti, lai filtrētu datus, nav papildināta ar pietiekamām garantijām pret ļaunprātīgas izmantošanas risku. Tā kā šī problemātika attiecas arī uz FISA 702. pantā paredzētās iejaukšanās absolūti nepieciešamo raksturu, to izskatīšu sava izklāsta turpinājumā (145).

269. Trešais prejudiciālais jautājums pārklājas ar nosacījuma par “likuma statusu” ievērošanas tematiku. Ar šo jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai trešajā valstī nodrošinātā aizsardzības līmeņa pietiekamība ir jāizvērtē, ņemot vērā vienīgi šajā trešajā valstī spēkā esošās juridiski saistošās normas un praksi, kuras mērķis ir nodrošināt to ievērošanu, vai ņemot vērā arī tajā piemērotos dažādus nesaistošus instrumentus un ārpustiesas kontroles mehānismus.

270. Šajā ziņā VDAR 45. panta 2. punkta a) apakšpunktā ir ietverts neizsmeļošs apstākļu saraksts, kas Komisijai jāņem vērā, lai novērtētu trešās valsts nodrošinātā aizsardzības līmeņa pietiekamību. Viens no šiem apstākļiem ir piemērojamie tiesību akti, kā arī veids, kādā tie tiek īstenoti. Šajā tiesību normā ir minēta arī cita veida noteikumu, piemēram, dienesta noteikumu un drošības pasākumu, ietekme. Turklāt tajā ir prasīts, lai tiktu ņemtas vērā “efektīvi un tiesiski īstenojamas tiesības” un “efektīva aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta” (146).

271. Lasot to kopumā un ņemot vērā tajā ietverto neizsmeļošo sarakstu, minētā tiesību norma, manuprāt, nozīmē, ka prakse vai instrumenti, kas nav balstīti uz pieejamu un paredzamu juridisko pamatu, var tikt ņemti vērā, vērtējot kopumā attiecīgās trešās valsts nodrošinātās aizsardzības līmeni tā, lai apstiprinātu garantijas, kurām pašām ir pieejams un paredzams juridisks pamatojums. Savukārt, kā to būtībā norādīja DPC, M. Schrems, Austrijas valdība un EDPB, šādi instrumenti vai prakse nevar aizstāt šādas garantijas, ne arī tādējādi paši nodrošināt nepieciešamo aizsardzības līmeni.

3) Par pamattiesību būtības aizskāruma neesamību

272. Hartas 52. panta 1. punktā paredzētā prasība, saskaņā ar kuru visos Hartā garantēto tiesību un brīvību ierobežojumos ir jārespektē to būtība, nozīmē, ka gadījumā, ja iejaukšanās apdraud šo būtību, to nevar attaisnot neviens leģitīms mērķis. Tādā gadījumā iejaukšanās tiek uzskatīta par nesaderīgu ar Hartu un nav jāpārbauda, vai tā ir piemērota un nepieciešama mērķa sasniegšanai.

273. Šajā ziņā Tiesa nosprieda, ka valsts tiesiskais regulējums, ar kuru valsts iestādēm vispārīgi tiek ļauts piekļūt elektronisko komunikāciju saturam, apdraud Hartas 7. pantā garantēto tiesību uz privātās dzīves neaizskaramību pašu būtību (147). Turpretim, uzsverot riskus, kas saistīti ar piekļuvi informācijai par datu plūsmu un atrašanās vietu un tās analīzi (148), Tiesa uzskatīja, ka šo tiesību būtība netiek ietekmēta, ja ar valsts tiesisko regulējumu valsts iestādēm tiek atļauta vispārināta piekļuve šiem datiem (149).

274. FISA 702. pantu, manuprāt, nevar uzskatīt par tādu, kas sniedz ASV izlūkošanas iestādēm pilnvaras vispārināti piekļūt elektronisko komunikāciju saturam.

275. Pirmkārt, saskaņā ar FISA 702. pantu izlūkošanas iestāžu piekļuve datiem iespējamas to analīzes un izmantošanas nolūkos aprobežojas ar datiem, kas atbilst atlases kritērijiem, kuri ir saistīti ar atsevišķiem mērķiem.

276. Otrkārt, programma “Upstream”, protams, varētu nozīmēt vispārinātu piekļuvi elektronisko komunikāciju saturam to automātiskas filtrēšanas nolūkā gadījumā, ja atlasītājus piemērotu ne tikai laukiem “no” un “kam”, bet visam komunikāciju plūsmas saturam (meklēšana “par” atlasītāju) (150). Tomēr, kā apgalvo Komisija un pretēji tam, ko apgalvo M. Schrems un EPIC, izlūkošanas iestāžu pagaidu piekļuvi visam elektronisko komunikāciju saturam tikai to filtrēšanas nolūkā, izmantojot atlases kritērijus, nevar pielīdzināt vispārinātai piekļuvei šādam saturam (151). Manuprāt, tādas iejaukšanās smaguma pakāpe, kas izriet no šīs laikā ierobežotās piekļuves automatizētas filtrēšanas nolūkā, nesasniedz tādas iejaukšanās smaguma pakāpi, kas izriet no valsts iestāžu vispārinātas piekļuves šim saturam tā analīzes un turpmākas izmantošanas nolūkā (152). Pagaidu piekļuve filtrēšanas nolūkā neļauj šīm iestādēm saglabāt metadatus vai komunikāciju saturu, kas neatbilst atlases kritērijiem, un, kā norādīja ASV valdība, neļauj noteikt to indivīdu profilus, uz kuriem šie kritēriji nav vērsti.

277. Ņemot to vērā, jautājums par to, vai mērķatlase, izmantojot atlasītājus tādu programmu ietvaros, kas balstītas uz FISA 702. pantu, efektīvi ierobežo izlūkošanas iestāžu pilnvaras, ir atkarīgs no atlasītāju izvēles principiem (153). M. Schrems šajā ziņā norāda – tā kā šajā nolūkā veiktā uzraudzība nav pietiekama, ASV tiesībās nav paredzētas garantijas pret vispārinātu piekļuvi filtrēšanas stadijā esošu komunikāciju saturam, tādēļ tā apdraud datu subjektu tiesību uz privātās dzīves neaizskaramību pašu būtību.

278. Kā detalizētāk izklāstīšu turpinājumā (154), es sliecos piekrist šīm šaubām, ka atlasītāju izvēles regulējums ir pietiekams, lai atbilstu iejaukšanās paredzamības un samērīguma kritērijiem. Tomēr tas, ka šāds regulējums pastāv, lai arī tas ir nepilnīgs, nepieļauj secinājumu, ka ar FISA 702. pantu valsts iestādēm ir atļauta vispārināta piekļuve elektronisko komunikāciju saturam, un tādēļ tas nozīmē Hartas 7. pantā noteikto tiesību būtības apdraudējumu.

279. Tāpat es uzsveru, ka Atzinumā 1/15 Tiesa uzskatīja, ka Hartas 8. pantā garantēto tiesību uz personas datu aizsardzību būtība ir saglabāta, ja apstrādes mērķi ir ierobežoti un ja apstrādi papildina noteikumi, kuru mērķis ir it īpaši nodrošināt datu drošību, konfidencialitāti un integritāti, kā arī tos aizsargāt pret nelikumīgu piekļuvi un apstrādi (155).

280. “Privātuma vairoga” lēmumā Komisija konstatēja, ka gan FISA 702. pants, gan PPD 28 ierobežo nolūkus, kādos datus var vākt saskaņā ar FISA 702. pantu īstenoto programmu ietvaros (156). Tajā Komisija arī norādīja, ka PPD 28 paredz noteikumus, kas reglamentē piekļuvi datiem, kā arī to glabāšanu un izplatīšanu, lai nodrošinātu to drošību un tos pasargātu no neatļautas piekļuves (157). Kā tas redzams manā turpmākajā izklāstā (158), man ir šaubas it īpaši par to, vai attiecīgās apstrādes nolūki ir definēti pietiekami skaidri un precīzi, lai nodrošinātu tādu aizsardzības līmeni, kurš ir līdzvērtīgs pēc būtības tam līmenim, kas prevalē Savienības tiesību sistēmā. Tomēr šie iespējamie trūkumi, manuprāt, nav pietiekami, lai ļautu konstatēt, ka šādas programmas, ja tās tiktu īstenotas Savienībā, būtu pretrunā tiesību uz personas datu aizsardzību būtībai.

281. Turklāt atgādinu, ka saskaņā ar EO 12333 veikto uzraudzības darbību ietvaros nodrošinātā aizsardzības līmeņa pietiekamība ir jānovērtē, ņemot vērā ECPAK tiesību normas. Šajā ziņā no “Privātuma vairoga” lēmuma izriet, ka vienīgie ierobežojumi, kas ir noteikti uz EO 12333 balstītu pasākumu īstenošanai, lai vāktu datus par citu valstu personām, ir tie, kas paredzēti PPD 28 (159). Šajā prezidenta politikas direktīvā ir noteikts, ka ārvalstu izlūkošanas datu izmantošanai ir jābūt “cik vien iespējams pielāgotai”. Tomēr tajā ir skaidri noteikta iespēja vākt “lielapjoma” datus ārpus ASV teritorijas nolūkā sasniegt atsevišķus specifiskus valsts drošības mērķus (160). M. Schrems uzskata, ka PPD 28 tiesību normas, ar kuru turklāt netiek radītas tiesības indivīdiem, neaizsargā datu subjektus pret vispārinātas piekļuves viņu elektronisko komunikāciju saturam risku.

282. Šajā sakarā tikai piebildīšu, ka ECT savā judikatūrā, kas attiecas uz ECPAK 8. pantu, nav atsaukusies uz tiesību uz privātās dzīves neaizskaramību būtiskā satura vai pašas būtības apdraudējuma koncepciju (161). Līdz šim tā nav uzskatījusi, ka [tiesību] sistēmas, kas atļauj elektronisko komunikāciju pārtveršanu, pat masveidā, pašas par sevi pārsniedz dalībvalstu rīcības brīvību. ECT uzskata, ka šādas sistēmas ir saderīgas ar ECPAK 8. panta 2. punktu, ja vien tās ir papildinātas ar noteiktu skaitu minimālo garantiju (162). Šādos apstākļos man nešķiet atbilstoši secināt, ka tāds uzraudzības režīms kā tas, kas paredzēts EO 12333, pārsniedz dalībvalstu rīcības brīvību, nekādā veidā nepārbaudot iespējamās garantijas, kas to papildina.

4) Par leģitīma mērķa sasniegšanu

283. Saskaņā ar Hartas 52. panta 1. punktu visiem Hartā atzīto tiesību izmantošanas ierobežojumiem ir patiešām jāatbilst vispārējas nozīmes mērķim, ko atzinusi Savienība. Hartas 8. panta 2. punktā ir arī noteikts, ka jebkurai personas datu apstrādei, kas nav pamatota ar attiecīgās personas piekrišanu, ir jābūt “likumīgam pamatojumam, kas paredzēts tiesību aktos”. ECPAK 8. panta 2. punktā savukārt ir uzskaitīti mērķi, kas var attaisnot iejaukšanos tiesību uz privātās dzīves neaizskaramību īstenošanā.

284. Saskaņā ar “Privātuma vairoga” lēmumu tajā noteikto principu ievērošanu var ierobežot, lai pildītu ar valsts drošību, ar sabiedrības interesēm vai ar tiesībaizsardzību saistītus pienākumus (163). Šī lēmuma 67.–124. apsvērumā ir precīzāk izskatīti ierobežojumi, kas izriet no tā, ka ASV valsts iestādes piekļūst datiem un tos izmanto valsts drošības nolūkos.

285. Nav strīda par to, ka valsts drošības aizsardzība ir leģitīms mērķis, kas var attaisnot atkāpes no VDAR noteiktajām prasībām (164), kā arī no Hartas 7. un 8. pantā un ECPAK 8. panta 2. punktā paredzētajām pamattiesībām (165). Tomēr M. Schrems, Austrijas valdība un EPIC ir norādījuši, ka mērķi, kas izvirzīti tādu uzraudzības programmu ietvaros, kas balstās uz FISA 702. pantu un uz EO 12333, pārsniedz “tikai valsts drošību”. Proti, šo instrumentu mērķis ir iegūt “ārvalstu izlūkošanas” informāciju, taču šis jēdziens aptver dažāda veida informāciju, kas satur ar valsts drošību saistītu informāciju, bet neaprobežojas tikai ar to (166). Saskaņā ar FISA 702. pantu “ārvalstu izlūkošanas” informācijā ietilpst arī dati, kas saistīti ar ārlietām (167). Savukārt EO 12333 šis jēdziens ir definēts kā tāds, kas ietver informāciju par ārvalstu valdību, ārvalstu organizāciju vai ārvalstu personu spējām, nodomiem vai darbībām (168). M. Schrems apšauba šādi noteikta mērķa leģitīmo raksturu, jo tas pārsniedzot valsts drošību.

286. Manā ieskatā, valsts drošības perimetrs zināmā mērā var aptvert ar ārlietām saistītu interešu aizsardzību (169). Turklāt nav iedomājams, ka daži no mērķiem, kas nav valsts drošības aizsardzība, ko aptver jēdziens “ārvalstu izlūkošana”, kā tas ir definēts FISA 702. pantā un EO 12333, atbilst svarīgiem vispārējo sabiedrības interešu mērķiem, kuri var attaisnot iejaukšanos pamattiesībās uz privātās dzīves neaizskaramību un uz personas datu aizsardzību. Izsverot datu subjektu pamattiesības un ar iejaukšanos sasniedzamo mērķi, šie mērķi būtu mazāk nozīmīgi, nekā valsts drošības saglabāšana (170).

287. Tomēr saskaņā ar Hartas 52. panta 1. punktu joprojām ir nepieciešams, lai pasākumi, ar kuriem paredz attiecīgo iejaukšanos, ļauj efektīvi sasniegt valsts drošības vai citu leģitīmu mērķi (171). Turklāt iejaukšanās mērķi ir jādefinē tā, lai tie atbilstu skaidrības un precizitātes prasībām (172).

288. Savukārt M. Schrems uzskata, ka FISA 702. pantā un EO 12333 paredzēto uzraudzības pasākumu mērķis nav norādīts pietiekami precīzi, lai ievērotu paredzamības un samērīguma garantijas. Tas tā esot it īpaši tādēļ, ka šajos instrumentos jēdziens “ārvalstu izlūkošana” ir definēts īpaši plaši. Turklāt Komisija “Privātuma vairoga” lēmuma 109. apsvērumā konstatēja, ka FISA 702. pantā ir noteikta prasība, ka informācijas vākšanai ārvalstu izlūkošanas jomā pašai par sevi ir jābūt vākšanas “svarīgam mērķim”, taču šis formulējums, kā tas šķiet sākotnēji un kā to ir norādījis EPIC, neizslēdz centienus sasniegt citus – nenoteiktus mērķus.

289. Šo iemeslu dēļ, neizslēdzot, ka uzraudzības pasākumi saskaņā ar FISA 702. pantu vai EO 12333 atbilst leģitīmiem mērķiem, var jautāt, vai tie ir definēti pietiekami skaidri un precīzi, lai novērstu ļaunprātīgas izmantošanas riskus un varētu pārbaudīt no tiem izrietošo iejaukšanos samērīgumu (173).

5) Par iejaukšanās nepieciešamību un samērīgumu

290. Tiesa vairākkārt ir uzsvērusi, ka Hartas 7. un 8. pantā paredzētās tiesības nav absolūtas tiesības, bet tās ir jāaplūko, ņemot vērā to funkcijas sabiedrībā, un ir jāizsver, salīdzinot ar citām pamattiesībām atbilstoši samērīguma principam (174). Kā uzsvēra Facebook Ireland, šo citu tiesību starpā ir Hartas 6. pantā garantētās tiesības uz drošību.

291. Šajā ziņā saskaņā ar tikpat pastāvīgu judikatūru jebkāda iejaukšanās Hartas 7. un 8. pantā garantēto tiesību īstenošanā ir jāpakļauj stingrai samērīguma pārbaudei (175).

292. It īpaši no sprieduma Schrems izriet, ka “līdz absolūti nepieciešamajam nav ierobežots tiesiskais regulējums, saskaņā ar kuru vispārīgi tiek pieļauta visu [..] datu saglabāšana [..] – nešķirojot, bez ierobežojumiem vai izņēmumiem saistībā ar mērķi, kam tie kalpo, vai neparedzot objektīvus kritērijus, kas valsts iestāžu piekļuvi datiem un to vēlāku izmantošanu ļauj ierobežot precīziem, strikti ierobežotiem un tādiem mērķiem, kas pamato gan piekļuvi šiem datiem, gan arī to izmantošanu” (176).

293. Tāpat Tiesa nosprieda, ka, izņemot atbilstoši pamatotus steidzamības gadījumus, piekļuve ir jāpakļauj iepriekšējai kontrolei, ko veic vai nu tiesa, vai neatkarīga administratīva iestāde, kuras lēmums paredz ierobežot piekļuvi datiem un to izmantošanu ar to, kas ir absolūti nepieciešams izvirzītā mērķa sasniegšanai (177).

294. VDAR 23. panta 2. punktā turpmāk ir ietverta virkne garantiju, kas dalībvalstij ir jāparedz, ja tā atkāpjas no šīs regulas tiesību normām. Tiesiskajā regulējumā, kas pieļauj šādu atkāpi, ir jābūt ietvertām tiesību normām, kuras it īpaši attiecas uz apstrādes mērķiem, atkāpes apjomu, garantijām, kas ir paredzētas, lai novērstu ļaunprātīgu izmantošanu, glabāšanas ilgumu, kā arī datu subjektu tiesībām tikt informētiem par atkāpi, ja vien tas nerada kaitējuma risku tās mērķim.

295. Šajā gadījumā M. Schrems apgalvo, ka FISA 702. pants nav papildināts ar pietiekamām garantijām pret datu ļaunprātīgas izmantošanas risku un pret risku, ka datiem piekļūs nelikumīgi. It īpaši atlases kritēriju izvēle neesot pietiekami reglamentēta, tādēļ šī tiesību norma neparedzot garantijas pret vispārinātu piekļuvi komunikāciju saturam.

296. Gluži pretēji, ASV valdība un Komisija apgalvo, ka FISA 702. pants ar objektīviem kritērijiem ierobežo atlasītāju izvēli, jo šis noteikums ļauj vākt ārpus ASV atrodošos citu valstu personu elektronisko komunikāciju datus nolūkā iegūt informāciju ārvalstu izlūkošanas jomā.

297. Manuprāt, ir pieļaujami šaubīties par šo kritēriju pietiekami skaidro un precīzo raksturu, kā arī šaubīties par pietiekamu garantiju esamību, lai novērstu ļaunprātīgas izmantošanas riskus.

298. Vispirms – “Privātuma vairoga” lēmuma 109. apsvērumā ir norādīts, ka atlasītājus pirms to piemērošanas individuāli neapstiprina ne FISC, ne kāda cita tiesa vai neatkarīga administratīva iestāde. Šajā lēmumā Komisija konstatēja, ka “FISC neapstiprina individuālus uzraudzības pasākumus, bet gan uzraudzības programmas [..], pamatojoties uz ikgadējām sertifikācijām”, ko Tiesā ir apstiprinājusi ASV valdība. Šajā apsvērumā ir precizēts, ka “sertifikācijas, kuras jāapstiprina FISC, nesatur informāciju par atsevišķām personām, kuras jāizseko, bet gan identificē ārvalstu izlūkošanas informācijas kategorijas”, ko var vākt. Komisija tajā arī konstatē, ka “FISC nevērtē – pamatojoties uz ticamu iemeslu vai kādu citu standartu –, vai personas ir atbilstīgi izsekotas, lai iegūtu ārvalstu izlūkošanas informāciju”, lai arī tā pārbauda nosacījumu, ka “būtisks iegūšanas mērķis ir iegūt ārvalstu izlūkošanas informāciju”.

299. Turpinot – saskaņā ar minēto apsvērumu FISA 702. pantā NSA ir atļauts vākt komunikācijas “tikai tad, ja ir pamats uzskatīt, ka attiecīgais sakaru līdzeklis tiek izmantots, lai izplatītu ārvalstu izlūkošanas informāciju”. “Privātuma vairoga” lēmuma 70. apsvērumā ir piebilsts, ka atlasītāju izvēle notiek nacionālās izlūkošanas prioritāšu satvara (National Intelligence Priorities Framework, NIPF) ietvaros. Šajā lēmumā nav minētas precīzākas prasības norādīt pamatojumu vai attaisnojumu atlasītāju izvēlei, ņemot vērā šīs NSA noteiktās administratīvās prioritātes (178).

300. Visbeidzot – “Privātuma vairoga” lēmuma 71. apsvērumā ir atsauce uz PPD 28 paredzēto prasību, saskaņā ar kuru izlūkošanas datu vākšanai ir jābūt “cik vien iespējams pielāgotai”. Papildus tam, ka šī prezidenta politikas direktīva nerada tiesības indivīdiem, “cik vien iespējams pielāgotas” darbības kritērija līdzvērtība pēc būtības “absolūtas nepieciešamības” kritērijam, kas noteikts Hartas 52. panta 1. punktā, lai pamatotu iejaukšanos tās 7. un 8. pantā garantēto tiesību īstenošanā, man it nemaz nav acīmredzama (179).

301. Ņemot vērā šos apsvērumus, pamatojoties uz “Privātuma vairoga” lēmumā izklāstītajiem elementiem, nav droši zināms, ka uzraudzības pasākumus, kas pamatoti ar FISA 702. pantu, papildina garantijas, kas attiecas uz personu, kurām var piemērot uzraudzības pasākumu, ierobežojumu un to mērķu ierobežojumu, kādos datus var vākt, kas ir līdzvērtīgas pēc būtības garantijām, kuras noteiktas saskaņā ar VDAR, lasot to kopsakarā ar Hartas 7. un 8. pantu (180).

302. Turklāt attiecībā uz aizsardzības līmeņa, kas aptver uzraudzību saskaņā ar EO 12333, pietiekamības novērtējumu, ECT atzīst dalībvalstīm plašu rīcības brīvību līdzekļu izvēlē, lai aizsargātu to valsts drošību, tomēr šo brīvību ierobežo prasība paredzēt pienācīgas un pietiekamas garantijas pret ļaunprātīgu izmantošanu (181). Savā judikatūrā, kas attiecas uz slepenas uzraudzības pasākumiem, ECT pārbauda, vai iekšējie tiesību akti, uz kuriem ir balstīti šie pasākumi, satur pietiekamas un efektīvas garantijas un aizsargmehānismus, kas ir piemēroti, lai izpildītu “paredzamības” un “nepieciešamības demokrātiskā sabiedrībā” prasības (182).

303. Šajā ziņā ECT uzskaita virkni minimālo garantiju. Šīs garantijas attiecas uz skaidru norādi par noziedzīgajiem nodarījumiem, kas var būt par pamatu pārtveršanas orderim, uz tādu personu kategoriju noteikšanu, kuru komunikācijas var pārtvert, uz pasākuma izpildes ilguma ierobežojuma noteikšanu, uz procedūru, kas jāievēro, veicot savākto datu pārbaudi, izmantošanu un uzglabāšanu, uz drošības pasākumiem, kas jāievēro, paziņojot datus citām iesaistītām pusēm, un uz apstākļiem, kādos var veikt vai ir nepieciešams veikt ierakstu dzēšanu vai iznīcināšanu (183).

304. Garantiju, kas regulē iejaukšanos, pienācīgais un faktiskais raksturs ir atkarīgs no visiem lietas apstākļiem, tostarp no pasākumu veida, apjoma un ilguma, no iemesliem, kas ir nepieciešami, lai par tiem izdotu rīkojumus, no kompetentajām iestādēm, lai tos atļautu, izpildītu un uzraudzītu, un no iekšējās tiesībās pieejamā pārsūdzības veida (184).

305. It īpaši, lai novērtētu slepenas uzraudzības pasākuma pamatojumu, ECT ņem vērā visas veiktās pārbaudes stadijā “kad par to tiek izdots rīkojums”, “kamēr tas tiek īstenots” un “pēc tā beigšanās” (185). Attiecībā uz pirmo no šīm trīs stadijām ECT nosaka prasību, ka atļauju šāda pasākuma veikšanai ir jāizdod neatkarīgai institūcijai. Lai gan, tās ieskatā, tiesu iestāde ir labākā garantija neatkarībai, objektivitātei un procedūras likumībai, attiecīgajai iestādei nav obligāti jāpieder tiesu sistēmai (186). Tiesas veikta padziļināta pārbaude vēlākā stadijā var atsvērt iespējamos trūkumus atļaujas piešķiršanas procedūras stadijā (187).

306. Šajā gadījumā no “Privātuma vairoga” lēmuma izriet, ka vienīgās garantijas, ar kurām tiek ierobežota datu vākšana un izmantošana ārpus ASV teritorijas, ir ietvertas PPD 28, jo FISA 702. pants nav piemērojams ārpus šīs teritorijas. Neesmu pārliecināts, ka šīs garantijas var būt pietiekamas, lai izpildītu “paredzamības” un “nepieciešamības demokrātiskā sabiedrībā” nosacījumus.

307. Pirmkārt, es jau norādīju, ka šī prezidenta politikas direktīva nerada tiesības indivīdiem. Otrkārt, man ir šaubas, ka prasība nodrošināt “cik vien iespējams pielāgotu” uzraudzību ir formulēta pietiekami skaidri un precīzi, lai pienācīgi pasargātu datu subjektus pret ļaunprātīgas izmantošanas riskiem (188). Visbeidzot, “Privātuma vairoga” lēmumā nav noteikts, ka ar EO 12333 pamatota uzraudzība ir pakļauta iepriekšējai kontrolei, ko veic neatkarīga iestāde, vai ka to varētu pārbaudīt tiesā a posteriori (189).

308. Šādos apstākļos man rodas jautājums, vai ir pamatots konstatējums, ka ASV savu izlūkdienestu darbību ietvaros, kas īstenotas saskaņā ar FISA 702. pantu un EO 12333, nodrošina pietiekamu aizsardzības līmeni VDAR 45. panta 1. punkta izpratnē, lasot to kopsakarā ar Hartas 7. un 8. pantu, kā arī ECPAK 8. pantu.

c) Par “Privātuma vairoga” lēmuma spēkā esamību, ņemot vērā tiesības uz efektīvu tiesību aizsardzību

309. Ar piekto prejudiciālo jautājumu Tiesa tiek aicināta noteikt, vai personām, kuru dati tiek pārsūtīti uz ASV, šajā valstī ir nodrošināta tiesību aizsardzība tiesā, kas ir līdzvērtīga pēc būtības tai, kāda ir jānodrošina Savienībā saskaņā ar Hartas 47. pantu. Ar desmito jautājumu iesniedzējtiesa tai būtībā jautā, vai uz piekto jautājumu ir jāatbild apstiprinoši, ņemot vērā, ka ar “Privātuma vairoga” lēmumu ir ieviests ombuda mehānisms.

310. Vispirms ir jākonstatē, ka šī lēmuma 115. apsvērumā Komisija atzīst, ka ASV tiesību sistēmā ir trūkumi attiecībā uz indivīdu tiesību aizsardzību tiesā.

311. Saskaņā ar šo apsvērumu, pirmkārt, tiesiskās aizsardzības iespējās “nav iekļauti atsevišķi juridiskie pamatojumi (piemēram, EO 12333), kurus var izmantot ASV izlūkdienesti”. Ir taisnība, ka EO 12333 un PPD 28 nepiešķir tiesības datu subjektiem un tie nevar uz tiem atsaukties tiesās. Efektīva tiesību aizsardzība tiesā nozīmē vismaz to, ka privātpersonām ir tiesības, uz kurām var atsaukties tiesā.

312. Otrkārt, “ja tiesiskās aizsardzības iespējas principā ir citu valstu personām, piemēram, uzraudzībai saskaņā ar FISA, pieejamie rīcības pamatojumi ir ierobežoti un [..] prasības tiks atzītas par nepieņemamām, ja tās nevar pierādīt “tiesībspēju”, un tas ierobežo piekļuvi parastajām tiesām”.

313. No “Privātuma vairoga” lēmuma 116.–124. apsvēruma izriet, ka ombuda izveides mērķis ir kompensēt šos ierobežojumus. Šī lēmuma 139. apsvērumā Komisija secina, ka “kopumā ar privātuma vairogu nodrošinātā pārraudzība un tiesību aizsardzības mehānismi ļauj [..] piedāvāt datu subjektam tiesiskās aizsardzības līdzekļus, kas ļauj piekļūt ar viņu saistītiem personas datiem un galu galā panākt šādu datu labošanu vai dzēšanu” (mans izcēlums).

314. Atgādinot vispārējos principus, kas izriet no Tiesas judikatūras un ECT judikatūras attiecībā uz tiesībām celt prasību par komunikāciju uzraudzības pasākumiem, es izvērtēšu, vai ASV tiesībās paredzētās tiesības celt prasību tiesā, kā tās ir aprakstītas “Privātuma vairoga” lēmumā, ļauj nodrošināt pienācīgu datu subjektu tiesību aizsardzību tiesā (1) iedaļa). Pēc tam noteikšu, vai ombuda ārpustiesas mehānisma ieviešana attiecīgajā gadījumā ļauj novērst iespējamos trūkumus, kas raksturo šo personu tiesību aizsardzību tiesā (2) iedaļa).

1) Par ASV tiesībās paredzēto tiesību celt prasību tiesā efektivitāti

315. Pirmkārt, Hartas 47. panta pirmajā daļā ir paredzēts, ka ikvienai personai, kuras tiesības un brīvības, kas garantētas Savienības tiesībās, ir tikušas pārkāptas, ir tiesības uz efektīvu tiesību aizsardzību tiesā (190). Saskaņā ar šī panta otro daļu ikvienai personai ir tiesības uz lietas izskatīšanu neatkarīgā un objektīvā tiesā (191). Piekļuve neatkarīgai tiesai ietilpst Hartas 47. pantā garantēto tiesību būtībā (192).

316. Šīs tiesības uz individuālu tiesību aizsardzību tiesā papildina pienākumu, kas dalībvalstīm noteikts saskaņā ar Hartas 7. un 8. pantu, pakļaut jebkuru uzraudzības pasākumu, izņemot atbilstoši pamatotus steidzamības gadījumus, iepriekšējai kontrolei, ko veic tiesa vai neatkarīga administratīva iestāde (193).

317. Protams, kā norādīja Vācijas un Francijas valdības, tiesības uz efektīvu tiesību aizsardzību tiesā nav absolūta garantija (194), jo šīs tiesības var tikt ierobežotas valsts drošības apsvērumu dēļ. Tomēr atkāpes ir atļautas tikai tad, ja tās neskar šo tiesību būtību un ja tās ir absolūti nepieciešamas leģitīma mērķa sasniegšanai.

318. Šajā ziņā spriedumā Schrems Tiesa nosprieda, ka tiesiskajā regulējumā, kurā indivīdiem nav paredzētas nekādas iespējas likt lietā tiesību aizsardzības līdzekļus, lai piekļūtu personas datiem, kas uz tiem attiecas, vai panākt šādu datu labošanu vai dzēšanu, nav ņemta vērā Hartas 47. pantā iedibināto pamattiesību būtība (195).

319. Ir jāuzsver, ka šīs piekļuves tiesības nozīmē, ka personai ir tiesības saņemt no valsts iestādēm, izņemot atkāpes, kas ir absolūti nepieciešamas leģitīma mērķa sasniegšanai, apstiprinājumu par to, ka tās apstrādā vai neapstrādā personas datus, kas attiecas uz šo personu (196). Manuprāt, tāds ir piekļuves tiesību praktiskais tvērums, ja ieinteresētā persona nezina, vai valsts iestādes ir saglabājušas personas datus, kas uz to attiecas, kad elektronisko komunikāciju plūsmu automatizētā filtrēšana ir pabeigta.

320. Turklāt no judikatūras izriet, ka dalībvalstu iestādēm principā ir pienākums paziņot par piekļuvi datiem, tiklīdz paziņojums vairs nevar traucēt veiktajai izmeklēšanai (197). Šāds paziņojums ir priekšnosacījums Hartas 47. pantā noteiktajām tiesībām celt prasību tiesā (198). Šis pienākums turpmāk ir pārņemts VDAR 23. panta 2. punkta h) apakšpunktā.

321. “Privātuma vairoga” lēmuma 111.–135. apsvērumā īsumā ir izklāstīti visi tiesību aizsardzības līdzekļi, kas ir pieejami personām, kuru dati tiek pārsūtīti, ja tām ir bažas, ka ASV izlūkdienesti šos datus ir apstrādājuši pēc to pārsūtīšanas. Šie tiesību aizsardzības līdzekļi ir arī aprakstīti High Court (Augstā tiesa) 2017. gada 3. oktobra spriedumā, kā arī ASV valdības apsvērumos.

322. Nav nepieciešams detalizēti atgādināt šo izklāstu saturu. Iesniedzējtiesa apšauba ar attiecīgo personu tiesisko aizsardzību saistīto garantiju pietiekamību, pamatojoties galvenokārt uz to, ka īpaši stingras prasības locus standi (standing) jomā (199) apvienojumā ar to, ka nav noteikts pienākums informēt personas, kurām ir bijis piemērots uzraudzības pasākums, pat ja paziņošana vairs neapdraudētu mērķus, ASV tiesībās paredzēto tiesību aizsardzības līdzekļu īstenošanu praksē padarītu pārmērīgi grūtu. Šādas šaubas ir arī DPC, M. Schrems, Austrijas, Polijas un Portugāles valdībām, kā arī EDPB (200).

323. Šajā ziņā es vēlreiz atgādināšu, ka noteikumi locus standi jomā nevar apdraudēt efektīvu tiesību aizsardzību tiesā (201), un konstatēšu, ka “Privātuma vairoga” lēmumā nav noteikta prasība informēt datu subjektus par to, ka tiem ir bijis piemērots uzraudzības pasākums (202). Ja tas, ka nepastāv pienākums paziņot par šādu pasākumu, var radīt šķēršļus tiesību aizsardzības līdzekļu īstenošanai tiesā, pat ja attiecīgās personas informēšana neradītu kaitējumu šī pasākuma efektivitātei, šī paziņošanas pienākuma nepastāvēšana šķiet problemātiska, ņemot vērā šo secinājumu 320. punktā minēto judikatūru.

324. “Privātuma vairoga” lēmuma 169. zemsvītras piezīmē turklāt ir atzīts, ka pieejamajiem rīcības veidiem “ir nepieciešama zaudējumu esība [..] vai apliecinājums par to, ka valdība plāno izmantot vai izpaust informāciju, kas iegūta [..] no attiecīgās personas elektroniskās uzraudzības”. Kā ir uzsvēruši iesniedzējtiesa, DPC un M. Schrems, šī prasība ir pretrunā Tiesas judikatūrai, saskaņā ar kuru, lai konstatētu iejaukšanos datu subjekta tiesībās uz privātās dzīves neaizskaramību, nav nepieciešams, ka tam ir radītas iespējamas neērtības apgalvotā uzraudzības pasākuma dēļ (203).

325. Turklāt Facebook Ireland un ASV valdības paustais viedoklis, ka trūkumi, kas raksturo to personu tiesību aizsardzību tiesā, kuru dati ir pārsūtīti uz ASV, tiek kompensēti ar FISC veiktajām iepriekšējām pārbaudēm un pārbaudēm a posteriori, kā arī ar daudziem uzraudzības mehānismiem, kas noteikti izpildvaras un likumdošanas varas ietvaros (204), mani nepārliecina.

326. Jau norādīju, ka, pirmkārt, saskaņā ar “Privātuma vairoga” lēmumā iekļautajiem konstatējumiem FISC nepārbauda individuālus uzraudzības pasākumus pirms to īstenošanas (205). Kā norādīts šī lēmuma 109. apsvērumā un kā rakstveida atbildē uz Tiesas uzdotajiem jautājumiem ir apstiprinājusi ASV valdība, atlasītāju piemērošanas vēlāka pārbaude, otrkārt, ir vērsta uz to, lai – gadījumā, kad izlūkošanas aģentūra informē FISC par incidentu, kas saistīts ar mērķatlases un minimizācijas procedūru iespējamu pārkāpumu (206), – pārbaudītu, ka ir ievēroti atlasītāju izvēli reglamentējošie nosacījumi, kas paredzēti ikgadējā sertifikācijā. Tādējādi šķiet, ka tiesvedība FISC nesniedz efektīvu individuālu tiesību aizsardzības līdzekli tām personām, kuru dati ir pārsūtīti uz ASV.

327. “Privātuma vairoga” lēmuma 95.–110. apsvērumā minētie ārpustiesas kontroles mehānismi, ja attiecīgā gadījumā tie varētu stiprināt iespējamus pārsūdzības tiesā līdzekļus, manuprāt, nevar būt pietiekami, lai nodrošinātu attiecīgo personu tiesību celt prasību pienācīgu aizsardzības līmeni. It īpaši ģenerālinspektori, kas ir daļa no katras aģentūras iekšējās struktūras, manuprāt, nav uzskatāmi par neatkarīgiem kontroles mehānismiem. PCLOB un Kongresa izlūkošanas komisiju veiktā uzraudzība pati par sevi nav līdzvērtīga individuālas tiesiskās aizsardzības pret uzraudzības pasākumiem mehānismam.

328. Līdz ar to ir jāpārbauda, vai ombuda institūts novērš šos trūkumus, piedāvājot datu subjektiem efektīvu tiesību aizsardzības līdzekli neatkarīgā un objektīvā iestādē (207).

329. Otrkārt, lai novērtētu “Privātuma vairoga” lēmumā veiktā konstatējuma par aizsardzības līmeņa pietiekamību pamatotību, ņemot vērā tiesību aizsardzības līdzekļus, kas ir pieejami personām, kuras uzskata, ka tām ir piemērota uzraudzība, pamatojoties uz EO 12333, atgādinu, ka atbilstošā atsauces sistēma ir ECPAK tiesību normas.

330. Kā izklāstīts iepriekš (208), lai novērtētu, vai uzraudzības pasākums atbilst “paredzamības” un “nepieciešamības demokrātiskā sabiedrībā” nosacījumiem ECPAK 8. panta 2. punkta izpratnē (209), ECT pārbauda visus kontroles un uzraudzības mehānismus, kas īstenoti “pirms” pasākuma izpildes, tā izpildes “laikā” un “pēc” tā izpildes. Ja individuālas tiesiskās aizsardzības īstenošanai ir likts šķērslis, kas izriet no tā, ka uzraudzības pasākuma paziņošana nav iespējama, neapdraudot tā efektivitāti (210), šo trūkumu var atsvērt, īstenojot neatkarīgu kontroli pirms attiecīgā pasākuma piemērošanas (211). Tādējādi, lai arī tā uzskata šādu paziņošanu par “vēlamu”, ja tā var notikt, neietekmējot negatīvi uzraudzības pasākuma efektivitāti, ECT to nav izvirzījusi kā prasību (212).

331. Šajā ziņā “Privātuma vairoga” lēmumā nav norādīts, ka uzraudzības pasākumi, kas balstīti uz EO 12333, tiek paziņoti attiecīgajām personām, ne arī, ka tos papildina tiesas vai administratīvas iestādes īstenoti neatkarīgi kontroles mehānismi jebkādā to pieņemšanas vai īstenošanas stadijā.

332. Šādos apstākļos ir jāpārbauda, vai vēršanās pie ombuda tomēr ļauj nodrošināt uzraudzības pasākumu neatkarīgu kontroli, tostarp arī tad, ja šie pasākumi ir pamatoti ar EO 12333.

2) Par ombuda mehānisma ietekmi uz tiesību uz efektīvu tiesību aizsardzību aizsardzības līmeni

333. Saskaņā ar “Privātuma vairoga” lēmuma 116. apsvērumu šī lēmuma III A pielikumā aprakstītais ombuda mehānisma mērķis ir sniegt papildu tiesību aizsardzības līdzekļus visām personām, kuru dati no Savienības ir pārsūtīti uz ASV.

334. Kā uzsvērusi ASV valdība, ombudam iesniegtās sūdzības pieņemamība nav pakļauta nosacījumam, ka ir jāievēro noteikumi locus standi jomā, kas ir līdzīgi tiem, kuri reglamentē piekļuvi ASV tiesām. Minētā lēmuma 119. apsvērumā šajā ziņā ir precizēts, ka sūdzības iesniegšana ombudam nenozīmē, ka attiecīgajai personai ir jāpierāda, ka ASV valdība ir piekļuvusi tās personas datiem.

335. Tāpat kā DPC, M. Schrems, Polijas un Portugāles valdībām, kā arī EPIC, arī man ir šaubas par šī mehānisma spēju kompensēt tādas tiesiskās aizsardzības trūkumus, kas ir nodrošināta personām, kuru dati ir pārsūtīti no Savienības uz ASV.

336. Vispirms, lai arī ārpustiesas tiesību aizsardzības mehānisms var būt efektīvs tiesību aizsardzības līdzeklis LESD 47. panta izpratnē, tā tas ir tikai tad, ja, konkrēti, attiecīgā iestāde ir izveidota ar likumu un atbilst neatkarības nosacījumam (213).

337. No “Privātuma vairoga” lēmuma izriet, ka ombuda mehānisms, kura izcelsme ir rodama PPD 28 (214), nav izveidots ar likumu. Ombudu ieceļ Valsts sekretārs, un tas ietilpst ASV Valsts departamentā (215). Šajā lēmumā nav nevienas norādes par to, ka ombuda atsaukšanu vai tā iecelšanas atcelšanu papildina īpašas garantijas (216). Lai arī ombuds ir pasniegts kā neatkarīgs no “izlūkdienestiem”, tam ir jāatskaitās Valsts sekretāram (217).

338. Turpinot – man šķiet, ka ārpustiesas tiesību aizsardzības līdzekļa efektivitāte ir atkarīga arī no attiecīgās iestādes spējas pieņemt saistošus un pamatotus lēmumus. Šajā ziņā “Privātuma vairoga” lēmumā nav ietverta neviena norāde par to, ka ombuds pieņemtu šādus lēmumus. Tajā nav arī konstatēts, ka ombuda iestāde ļautu prasītājiem piekļūt datiem, kas uz tiem attiecas, un likt tos labot vai dzēst, nedz arī ka ombuds piešķirtu kompensāciju personām, kurām ar uzraudzības pasākumu ir nodarīts kaitējums. Konkrēti, no šī lēmuma III A pielikuma 4. punkta e) apakšpunkta izriet, ka “[..] ombuds neapstiprinās un nenoliegs, vai indivīds ir ticis novērots; ombuds arī neapstiprinās konkrēto piemēroto tiesiskās aizsardzības līdzekli” (218). Lai arī ASV valdība ir apņēmusies, ka attiecīgajam izlūkdienestu elementam ir jānovērš jebkurš piemērojamo normu pārkāpums, ko konstatējis ombuds (219), minētajā lēmumā nav norādītas tiesiskās garantijas, kas papildinātu šo apņemšanos un uz kurām attiecīgie indivīdi varētu atsaukties.

339. Līdz ar to, manuprāt, ombuda institūts nesniedz tiesību aizsardzības līdzekli neatkarīgā iestādē, kas – personām, kuru dati ir pārsūtīti, – piedāvā iespēju izmantot viņu tiesības piekļūt datiem, ne arī apstrīdēt izlūkdienestu iespējamos piemērojamo noteikumu pārkāpumus.

340. Visbeidzot, saskaņā ar judikatūru Hartas 47. pantā garantēto tiesību ievērošana tādā gadījumā nozīmētu, ka par šīs administratīvās iestādes, kura pati neatbilst nosacījumam par neatkarību, lēmumu vēlāk tiek veikta pārbaude, ko veic tiesu iestāde, kurai ir jābūt pilnvarām aplūkot visus atbilstošos jautājumus (220). Tomēr atbilstoši “Privātuma vairoga” lēmumā sniegtajām norādēm ombuda lēmumi netiek pakļauti neatkarīgai tiesas pārbaudei.

341. Šādos apstākļos un kā ir norādījuši DPC, M. Schrems, EPIC, kā arī Polijas un Portugāles valdības, tādas tiesību aizsardzības tiesā, kas piešķirta ar ASV tiesību sistēmu personām, kuru dati no Savienības ir pārsūtīti uz šo valsti, līdzvērtība pēc būtības tai, kas izriet no VDAR, to lasot kopsakarā ar Hartas 47. pantu un ECPAK 8. pantu, ir apšaubāma.

342. Ņemot vērā visus iepriekš minētos apsvērumus, man ir zināmas šaubas par “Privātuma vairoga” lēmuma atbilstību VDAR 45. panta 1. punktam, lasot to kopsakarā ar Hartas 7., 8. un 47. pantu, kā arī ECPAK 8. pantu.

V. Secinājumi

343. Ierosinu Tiesai uz High Court (Augstā tiesa, Īrija) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi:

Prejudiciālo jautājumu analīze nav atklājusi apstākļus, kas varētu ietekmēt Komisijas Lēmuma 2010/87/ES (2010. gada 5. februāris) par līguma standartklauzulām attiecībā uz personas datu pārsūtīšanu trešās valstīs reģistrētiem apstrādātājiem saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK, kurā grozījumi izdarīti ar Komisijas Īstenošanas lēmumu (ES) 2016/2297 (2016. gada 16. decembris), spēkā esamību.

1 Oriģinālvaloda – franču.

2 Skat. Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46 (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 45. pantu.

3 Skat. VDAR 46. pantu.

4 Skat. VDAR 49. pantu.

5 Komisijas Lēmums (2010. gada 5. februāris) par līguma standartklauzulām attiecībā uz personas datu pārsūtīšanu trešās valstīs reģistrētiem apstrādātājiem saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (OV 2010, L 39, 5. lpp.), kurā grozījumi izdarīti ar Komisijas Īstenošanas lēmumu (ES) 2016/2297 (2016. gada 16. decembris) (OV 2016, L 344, 100. lpp.) (turpmāk tekstā – “Lēmums 2010/87”).

6 Komisijas Lēmums (2016. gada 12. jūlijs) saskaņā ar [Direktīvu 95/46/EK] par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs (OV 2016, L 207, 1. lpp.; turpmāk tekstā – ““Privātuma vairoga” lēmums”).

7 Skat. bijušā Eiropas Datu aizsardzības uzraudzītāja (EDAU) P. Hustinksa [P. Hustinx] runu “Le droit de l’Union européenne sur la protection des données: la révision de la directive 95/46/CE et la proposition de règlement général sur la protection des données”, 49. lpp., pieejams tīmekļa vietnē https://edps.europa.eu/sites/edp/files/publication/14–09‑15_article_eui_fr.pdf.

8 Eiropas Parlamenta un Padomes Direktīva (1995. gada 24. oktobris) (OV 1995, L 281, 31. lpp.), kurā grozījumi izdarīti ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 1882/2003 (2003. gada 29. septembris) (OV 2003, L 284, 1. lpp.) (turpmāk tekstā – “Direktīva 95/46”).

9 Komisijas Lēmums 2001/497/EK (2001. gada 15. jūnijs) par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm saskaņā ar [Direktīvu 95/46] (OV 2001, L 181, 19. lpp.); Komisijas Lēmums 2004/915/EK (2004. gada 27. decembris), ar ko groza [Lēmumu 2001/497] attiecībā uz alternatīvu līguma standartklauzulu ieviešanu personas datu nosūtīšanai trešām valstīm (OV 2004, L 385, 74. lpp.), kā arī Lēmums 2010/87.

10 Komisijas Lēmums (2016. gada 16. decembris), ar ko groza Lēmumus [2001/497] un [2010/87] par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm un šādās valstīs reģistrētiem apstrādātājiem saskaņā ar [Direktīvu 95/46] (OV 2016, L 344, 100. lpp.).

11 Lēmums (2000. gada 26. jūlijs) atbilstīgi [Direktīvai 95/46] (OV 2000, L 215, 7. lpp.; turpmāk tekstā – ““drošības zonas” lēmums”).

12 C‑362/14 (EU:C:2015:650, turpmāk tekstā – “spriedums Schrems”).

13 Skat. spriedumu Schrems (106. punkts).

14 50 U.S.C. 1881 (a).

15 50 U.S.C. 1881 (e).

16 Iesniedzējtiesa konstatēja, ka mērķatlases procedūras attiecas uz veidu, kādā izpildvara nosaka, ka ir pamatoti uzskatīt, ka konkrēts indivīds ir citas valsts persona, kas atrodas ārpus ASV, un ka šī indivīda mērķatlase var ļaut iegūt informāciju ārvalstu izlūkošanas jomā. Minimizācijas procedūras aptver jebkādas nepubliskas informācijas, kas iegūta par ASV personu saskaņā ar FISA 702. pantu, iegūšanu, turēšanu, izmantošanu un izplatīšanu.

17 EO 12333 3.5. punkta e) apakšpunkts.

18 133 S.Ct. 1138 (2013).

19 Tomēr iesniedzējtiesa konstatēja, ka principam, saskaņā ar kuru personai, uz ko attiecas uzraudzības pasākums, nav jāizsniedz paziņojums, ir viens izņēmums, ja ASV valdība vēlas izmantot saskaņā ar FISA 702. pantu savāktos datus pret šo personu kriminālprocesā vai administratīvā procesā.

20 Konkrēti, iesniedzējtiesa norādīja, ka, lai arī ar Judicial Redress Act (Likums par tiesību aizsardzību tiesā, turpmāk tekstā – “JRA”) uz Savienības pilsoņiem tiek attiecinātas Privacy Act (Likums par privātās dzīves neaizskaramību) tiesību normas, kas ļauj fiziskām personām piekļūt informācijai, kas uz tām attiecas un kas ir atsevišķu aģentūru rīcībā saistībā ar noteiktām trešajām valstīm, NSA nav iekļauta to aģentūru skaitā, kuras ir norādītas saskaņā ar JRA.

21 Iesniedzējtiesa šajā ziņā atsaucas uz “Privātuma vairoga” lēmuma III pielikuma A pielikumu (skat. šo secinājumu 37. un 38. punktu).

22 Iesniedzējtiesa atsaucas uz 2005. gada 27. janvāra spriedumu Denuit un Cordenier (C‑125/04, EU:C:2005:69, 12. punkts).

23 Lēmuma 2010/87 11. apsvērumā ir noteikts: “Dalībvalstu uzraudzības iestādēm ir izšķiroša nozīme šajā līguma mehānismā, nodrošinot personas datu pienācīgu aizsardzību pēc pārsūtīšanas. Izņēmuma gadījumos, kad datu nosūtītāji atsakās dot datu saņēmējam pietiekamus norādījumus vai arī nespēj šādus norādījumus dot, tādējādi radot būtiska kaitējuma draudus datu subjektiem, līguma standartklauzulās uzraudzības iestādēm jāļauj veikt pārbaudes attiecībā uz datu saņēmējiem un apakšapstrādātājiem un attiecīgā gadījumā pieņemt lēmumus, kas datu saņēmējiem apakšapstrādātājiem ir saistoši. Uzraudzības iestādēm jābūt pilnvarotām aizliegt vai pārtraukt vienu vai vairākas datu pārsūtīšanas, balstoties uz līguma standartklauzulām tajos izņēmuma gadījumos, kad ir noteikts, ka pārsūtīšana, pamatojoties uz līgumu, iespējams, var ļoti negatīvi ietekmēt garantijas un pienākumus, kas datu subjektam sniedz pienācīgu aizsardzību.”

24 Facebook Ireland par iesniedzējtiesas lēmumu iesniedza apelācijas sūdzību Supreme Court (Augstākā tiesa, Īrija). Šī apelācijas sūdzība tika noraidīta ar 2019. gada 31. maija spriedumu The Data Protection Commissioner pret Facebook Ireland Limited un Maximillian Schrems, Appeal Nr. 2018/68 (turpmāk tekstā – “Supreme Court (Augstākā tiesa) 2019. gada 31. maija spriedums”).

25 BSA apgalvo, ka 70 % no uzņēmumiem, kas ir šīs apvienības biedri un kas šajā sakarā ir atbildējuši uz aptauju, paziņoja, ka tie izmanto līguma standartklauzulas kā galveno juridisko pamatu personas datu pārsūtīšanai uz trešajām valstīm. Arī Digitaleurope uzskata, ka līguma standartklauzulas ir galvenais juridiskais instruments, kas tiek izmantots, lai pamatotu šo pārsūtīšanu.

26 Lai arī iesniedzējtiesa norāda, ka tās lūgums sniegt prejudiciālu nolēmumu attiecas uz trīs LSK lēmumu spēkā esamību, tā kā tie ir izskatīti DPC lēmuma projektā un 2017. gada 3. oktobra spriedumā, prejudiciālie jautājumi attiecas vienīgi uz Lēmumu 2010/87. Tas tā ir tādēļ, ka šajā tiesā Facebook Ireland identificēja šo lēmumu kā juridisko pamatu sociālā tīkla Facebook Eiropas lietotāju datu pārsūtīšanai uz ASV. Līdz ar to mans vērtējums attieksies tikai uz minēto lēmumu.

27 Skat. šo secinājumu 167.–186. punktu.

28 Skat. it īpaši spriedumus, 2018. gada 10. decembris, Wightman u.c. (C‑621/18, EU:C:2018:999, 27. punkts), un 2019. gada 19. novembris, A. K. u.c. (Augstākās tiesas disciplinārlietu palātas neatkarība) (C‑585/18, C‑624/18 un C‑625/18, EU:C:2019:982, 98. punkts).

29 Skat. VDAR 94. panta 1. punktu un 99. panta 1. punktu.

30 Uzsveru, ka saskaņā ar VDAR 46. panta 5. punktu lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46 26. panta 4. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ.

31 Skat. it īpaši spriedumus, 1979. gada 7. februāris, Francija/Komisija (15/76 un 16/76, EU:C:1979:29, 7. punkts); 2001. gada 17. maijs, IECC/Komisija (C‑449/98 P, EU:C:2001:275, 87. punkts), un 2013. gada 17. oktobris, Schaible (C‑101/12, EU:C:2013:661, 50. punkts).

32 Skat. it īpaši spriedumus, 2015. gada 16. aprīlis, Parlaments/Padome (C‑540/13, EU:C:2015:224, 35. punkts); 2015. gada 16. aprīlis, Parlaments/Padome (C‑317/13 un C‑679/13, EU:C:2015:223, 45. punkts), un 2016. gada 22. septembris, Parlaments/Padome (C‑14/15 un C‑116/15, EU:C:2016:715, 48. punkts).

33 It īpaši, spriedumā Schrems Tiesa izvērtēja “drošības zonas” lēmuma spēkā esamību, ņemot vērā Hartas tiesību normas, kuras tika pieņemtas pēc šī lēmuma pieņemšanas. Skat. arī spriedumus, 2011. gada 17. marts, AJD Tuna (C‑221/09, EU:C:2011:153, 48. punkts), un 2015. gada 11. jūnijs, Pfeifer & Langen (C‑51/14, EU:C:2015:380, 42. punkts).

34 Skat. it īpaši spriedumus, 2010. gada 15. jūlijs, Pannon Gép Centrum (C‑368/09, EU:C:2010:441, 30.–35. punkts); 2011. gada 10. februāris, Andersson (C‑30/10, EU:C:2011:66, 20. un 21. punkts), kā arī 2018. gada 25. oktobris, Roche Lietuva (C‑413/17, EU:C:2018:865, 17.–20. punkts).

35 Šajā sakarā skat. ģenerāladvokāta M. Bobeka [M. Bobek] secinājumus lietā Fashion ID (C‑40/17, EU:C:2018:1039, 87. punkts).

36 Skat. šo secinājumu 87. punktu.

37 Šajā nozīmē skat. spriedumus, 1982. gada 1. aprīlis, Holdijk u.c. (no 141/81 līdz 143/81, EU:C:1982:122, 5. punkts), un 2003. gada 9. decembris, Gasser (C‑116/02, EU:C:2003:657, 27. punkts).

38 Šajā nozīmē skat. spriedumu, 2006. gada 30. maijs, Parlaments/Padome un Komisija (C‑317/04 un C‑318/04, EU:C:2006:346, turpmāk tekstā – “PNR spriedums”, 56. punkts), kā arī spriedumu Schrems (45. punkts). VDAR 4. panta 2. punktā būtībā ir pārņemta Direktīvas 95/46 2. panta b) punktā minētā jēdziena “apstrāde” definīcija.

39 Saskaņā ar VDAR 3. panta 1. punktu šī regula ir piemērojama jebkurai apstrādei saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbības vietā Savienībā, neatkarīgi no tā, vai apstrāde notiek vai nenotiek Savienībā. Jautājums par Savienības tiesību piemērojamību apstrādei, kuru veic trešās valsts izlūkdienesti ārpus Savienības, ir jānošķir no jautājuma par to, cik atbilstīgi ir noteikumi un prakse, kas aptver šo apstrādi attiecīgajā trešajā valstī, lai noteiktu, vai tur ir nodrošināts pietiekams aizsardzības līmenis. Šī pēdējā minētā tēma ir otrā prejudiciālā jautājuma priekšmets un tiks aplūkota šo secinājumu 201.–229. punktā.

40 Secinājumos lietā Ministerio Fiscal (C‑207/16, EU:C:2018:300, 47. punkts) es uzsvēru atšķirību starp, no vienas puses, personas datu tiešu apstrādi ar valsts varu saistītas darbības ietvaros, un, no otras puses, komerciālu apstrādi, pēc kuras datus izmanto valsts iestādes.

41 Tādā pašā veidā 2017. gada 26. jūlija Atzinumā 1/15 (ES un Kanādas PNR nolīgums) (EU:C:2017:592, turpmāk tekstā – “Atzinums 1/15”) Tiesa izvērtēja, vai ar Hartas 7., 8. un 47. pantu ir saderīgs starptautiska nolīguma starp Kanādu un Savienību projekts par datiem, attiecībā uz kuriem pēc to pārsūtīšanas uz Kanādu bija paredzēts, ka valsts iestādes tos apstrādās valsts drošības aizsardzības nolūkos.

42 Spriedums Schrems (73. punkts). Tiesa šo secinājumu ir apstiprinājusi Atzinumā 1/15 (134. punkts).

43 Direktīvas 95/46 26. panta 2. punktā bija paredzēts, ka dalībvalsts var atļaut šādu pārsūtīšanu, “ja personas datu apstrādātājs sniedz atbilstošas garantijas attiecībā uz personu privātās dzīves un pamattiesību un brīvību aizsardzību un attiecībā uz atbilstošo tiesību izmantošanu” (mans izcēlums). Jēdzieniem “pietiekamas garantijas” un “atbilstošas garantijas”, kas ir minēti attiecīgi šajā tiesību normā un VDAR 46. panta 1. punktā, manuprāt, ir viens un tas pats saturs.

44 Šajā ziņā VDAR 6. apsvērumā ir norādīts, ka datiem ir jānodrošina “augsta līmeņa” aizsardzība gan Savienībā, gan gadījumā, ja tie tiek pārsūtīti ārpus tās. Skat. arī VDAR 101. apsvērumu.

45 Skat. spriedumu Schrems (73. punkts) un Atzinumu 1/15 (214. punkts).

46 Tas tā ir, neskarot iespēju pārsūtīt personas datus, pat ja nav atbilstošu garantiju, pamatojoties uz VDAR 49. panta 1. punktā paredzētajiem atkāpju iemesliem.

47 Skat. šo secinājumu 128. punktu.

48 Iedomāsimies, piemēram, ka trešajā valstī telekomunikāciju pakalpojumu sniedzējiem ir paredzēts pienākums sniegt valsts iestādēm piekļuvi pārsūtītajiem datiem bez jebkādiem ierobežojumiem un garantijām. Ja šādiem pakalpojumu sniedzējiem tādējādi būtu neiespējami ievērot līguma standartklauzulas, uzņēmumiem, uz kuriem šis pienākums neattiecas, nebūtu šāds traucēklis.

49 Turklāt jānorāda, ka 5. klauzulas d) punkta i) apakšpunktā datu saņēmējs tiek atbrīvots no pienākuma informēt datu nosūtītāju par tiesībaizsardzības iestāžu jebkuru juridiski saistošu pieprasījumu atklāt [personas datus], ja šīs trešās valsts tiesībās ir noteikts šādas informēšanas aizliegums. Šādos gadījumos datu nosūtītājam nav iespējas apturēt pārsūtīšanu, ja šī [personas datu] atklāšana, par kuru viņš nezina, ir pretrunā standartklauzulām. Tomēr saskaņā ar 5. klauzulas a) punktu datu saņēmējam attiecīgajā gadījumā ir jāinformē datu nosūtītājs par to, ka viņš uzskata, ka šīs trešās valsts tiesību akti viņam liedz izpildīt pienākumus atbilstoši līguma standartklauzulām, par kurām ir panākta vienošanās.

50 No judikatūras izriet, ka īstenošanas akta tiesību normas ir jāinterpretē saskaņā ar pamatakta, ar kuru likumdevējs ir atļāvis pirmā minētā pieņemšanu, tiesību normām (šajā nozīmē skat. it īpaši spriedumus, 2017. gada 26. jūlijs, Čehijas Republika/Komisija (C‑696/15 P, EU:C:2017:595, 51. punkts); 2018. gada 17. maijs, Evonik Degussa (C‑229/17, EU:C:2018:323, 29. punkts), un 2019. gada 20. jūnijs, ExxonMobil Production Deutschland (C‑682/17, EU:C:2019:518, 112. punkts)). Turklāt Savienības akts ir jāinterpretē iespēju robežās tā, lai netiktu apšaubīta tā spēkā esamība, un saskaņā ar primāro tiesību aktiem kopumā, it īpaši saskaņā ar Hartas tiesību normām (skat. it īpaši spriedumu, 2019. gada 14. maijs, M u.c. (Bēgļa statusa atcelšana) (C‑391/16, C‑77/17 un C‑78/17, EU:C:2019:403, 77. punkts)).

51 Šajā ziņā VDAR 109. apsvērumā datu nosūtītājs un datu saņēmējs tiek mudināti papildināt standarta aizsardzības klauzulas ar papildu garantijām, konkrēti, līgumiskā ceļā.

52 Lai gan Lēmuma 2010/87 4. panta 1. punktā ir atsauce uz Direktīvas 95/46 28. panta 3. punktu, atgādinu, ka saskaņā ar VDAR 94. panta 2. punktu atsauces uz šo direktīvu ir jāuzskata par atsaucēm uz atbilstošajām VDAR tiesību normām.

53 Skat. Lēmuma 2016/2297 6. un 7. apsvērumu. Sprieduma Schrems 101.–104. punktā Tiesa atzina par spēkā neesošu “drošības zonas” lēmuma tiesību normu, ar kuru uzraudzības iestādēm ar Direktīvas 95/46 28. pantu piešķirto pilnvaru īstenošana aprobežojās ar “izņēmuma gadījumiem”, pamatojot, ka Komisijai neesot kompetences ierobežot šīs pilnvaras.

54 Skat. spriedumu Schrems (103. punkts).

55 Katrā ziņā Savienības tiesību akta preambula nav juridiski saistoša un uz to nevar atsaukties, lai atkāptos no šī paša akta noteikumiem. Skat. spriedumus, 1998. gada 19. novembris, Nilsson u.c. (C‑162/97, EU:C:1998:554, 54. punkts); 2005. gada 12. maijs, Meta Fackler (C‑444/03, EU:C:2005:288, 25. punkts), un 2006. gada 10. janvāris, IATA un ELFAA (C‑344/04, EU:C:2006:10, 76. punkts).

56 Pēc analoģijas skat. spriedumu Schrems (63. punkts).

57 Piebildīšu, ka saskaņā ar Lēmuma 2010/87 pielikumā ietvertās 8. klauzulas 2. punktu līgumslēdzējas puses vienojas piešķirt uzraudzības iestādei pilnvaras veikt datu saņēmēja revīziju, uz kuru attiecas tādi paši nosacījumi, kādi ir piemērojami datu nosūtītāja revīzijai saskaņā ar piemērojamiem tiesību aktiem.

58 Šajā nozīmē skat. spriedumu Schrems (43. punkts).

59 Saskaņā ar VDAR 141. apsvērumu ikvienai personai ir jābūt tiesībām uz efektīvu tiesību aizsardzību tiesā saskaņā ar Hartas 47. pantu, ja uzraudzības iestāde “nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu [šīs personas] tiesības”. Skat. arī VDAR 129. un 143. apsvērumu.

60 Skat. it īpaši spriedumus, 2011. gada 28. jūlijs, Samba Diouf (C‑69/10, EU:C:2011:524, 57. punkts), un 2011. gada 17. novembris, Gaydarov (C‑430/10, EU:C:2011:749, 41. punkts).

61 Šajā nolūkā skat. spriedumu, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, 69.–73. punkts).

62 Skat. VDAR 56. panta 1. punktu. Saskaņā ar šīs regulas 61. pantu uzraudzības iestādēm ir jāsniedz savstarpēja palīdzība. Ar minētās regulas 62. pantu tām ir atļauts veikt kopīgas operācijas.

63 Skat. VDAR 65. pantu.

64 Skat. VDAR 64. panta 2. punktu.

65 VDAR 83. panta 5. punkta c) apakšpunktā ir paredzēti arī naudas sodi pārzinim šīs regulas 44.–49. panta pārkāpuma gadījumā.

66 Skat. šo secinājumu 175. punktu.

67 High Court (Augstā tiesa) 2017. gada 3. oktobra spriedums (337. punkts).

68 Atbilstoši Supreme Court (Augstākā tiesa) 2019. gada 31. maija spriedumam (2.7. punkts) “the sole relief claimed by the DPC is, in substance, a reference to the CJEU under Article 267 [TFUE]”). Minētā sprieduma 2.9. punktā ir turpināts: “Here, the only issue of substance which arises before either the Irish courts or the CJEU is the question of the validity or otherwise of Union measures. Whatever the view taken by the CJEU on that issue, the Irish courts will have no further role, for the measures under question will either be found to be valid or invalid and in either event, that will be the end of the matter” (mans izcēlums).

69 Skat. šo secinājumu 124. punktu.

70 Šī paša iemesla dēļ Supreme Court (Augstākā tiesa) savā 2019. gada 31. maija spriedumā (8.1.–8.5. punkts), atzīdama, ka tās kompetencē nav apšaubīt iesniedzējtiesas lēmumu uzdot Tiesai prejudiciālus jautājumus un grozīt to formulējumu, pauda šaubas par dažu jautājumu nepieciešamību. It īpaši, šī sprieduma 8.5. punktā ir noteikts: “The sole purpose of the proceedings before the courts in Ireland was to enable the High Court to refer that question of validity to the CJEU and obtain a definitive answer from the only court which has competence to make the decision in question. It is difficult, therefore, to see how the High Court needs answers to many of the questions which have been referred, for the answers to those questions are only relevant to the question of the validity of the challenged measures [..].”

71 Skat. “Privātuma vairoga” lēmuma 64.–141. apsvērumu. Atgādinu, kā tas izriet no šī lēmuma 1. panta 2. punkta, ka privātuma vairogu veido ne tikai principi, kuri ir jāievēro uzņēmumiem, kas vēlas pārsūtīt datus, pamatojoties uz minēto lēmumu, bet arī ASV valdības oficiālie apgalvojumi un saistības, kas minētas tā pielikumos iekļautajos dokumentos.

72 DPC lēmuma projekts tika izstrādāts pirms “Privātuma vairoga” lēmuma pieņemšanas. Kā DPC precizēja šajā projektā, lai arī viņš tajā provizoriski secināja, ka ar ASV tiesībām paredzētās garantijas neļauj nodrošināt vismaz uz šo trešo valsti veikto pārsūtīšanu atbilstību Hartas 47. pantam, viņš šajā stadijā nebija pārbaudījis vai ņēmis vērā jaunās vienošanās, kas paredzētas ar “vairogu” saistītā nolīguma projektā, jo tas vēl nebija pieņemts. Ņemot vērā minēto, High Court (Augstā tiesa) sava 2017. gada 3. oktobra sprieduma 307. punktā uzskata: “It is fair to conclude [..] that the decision of the Commission in regard to the adequacy of the protections afforded to EU citizens against interference by the intelligence authorities in the [U.S.] with the fundamental rights of EU citizens whose data are transferred from the [EU] to the [U.S.], conflicts with the case made by the DPC to this court.”

73 Skat. “Privātuma vairoga” lēmuma 1. panta 1. un 3. punktu, kā arī 14.–16. apsvērumu.

74 Izskatīšanā esošā lieta T‑738/16, La Quadrature du Net u.c./Komisija (OV 2017, C 6, 39. lpp.).

75 Jānorāda, ka rakstveida apsvērumos DPC nav paudis savu nostāju par “Privātuma vairoga” lēmuma ietekmi uz tam iesniegtās sūdzības izskatīšanu.

76 Šajā nozīmē skat. spriedumu Schrems (78. punkts).

77 M. Schrems šī apgalvojuma pamatošanai norāda, ka Facebook Inc. ir jāuzskata ne tikai par apstrādātāju, bet arī par “pārzini” VDAR 4. panta 7. punkta izpratnē attiecībā uz sociālā tīkla Facebook lietotāju personas datu apstrādi. Šajā sakarā skat. spriedumu, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, 30. punkts).

78 Skat. High Court (Augstā tiesa) 2017. gada 3. oktobra spriedumu (66. punkts).

79 Skat. “privātuma vairoga” tīmekļa vietni (https://www.privacyshield.gov/participant_search).

80 Šajā nozīmē skat. spriedumu Schrems (59. punkts).

81 Skat. “Privātuma vairoga” lēmuma 65. apsvērumu.

82 Skat. “Privātuma vairoga” lēmuma III līdz VII pielikumu.

83 Parlamenta 2017. gada 6. aprīļa rezolūcija par ES un ASV privātuma vairoga nodrošinātās aizsardzības pietiekamību, P8_TA(2017)0131, un 2018. gada 5. jūlija rezolūcija par ES un ASV privātuma vairoga nodrošināto pienācīgo aizsardzību, P8_TA(2018)0315.

84 Skat. “29. panta” darba grupa par datu aizsardzību (turpmāk tekstā – “29. panta darba grupa”), Opinion 1/2016 on the EU‑U.S. Privacy Shield draft adequacy decision, 2016. gada 13. aprīlis, WP 238; 29. panta darba grupa, EU‑US Privacy Shield – First Annual Joint Review, 2017. gada 28. novembris, WP 255, un EDPB, EU‑US Privacy Shield – Second Annual Joint Review, 2019. gada 22. janvāris. 29. panta darba grupa tika izveidota saskaņā ar Direktīvas 95/46 29. panta 1. punktu, ar kuru bija paredzēts, ka tai ir padomdevējas statuss un tās darbība ir neatkarīga. Atbilstoši šī panta 2. punktam šo grupu veidoja katras dalībvalsts uzraudzības iestādes pārstāvis un Kopienas iestādēm un struktūrām izveidotās iestādes pārstāvis, kā arī Komisijas pārstāvis. Kopš VDAR stāšanās spēkā 29. panta darba grupa tika aizstāta ar EDPB (skat. šīs regulas 94. panta 2. punktu).

85 Skat. EDAU, Atzinums 4/2016 par “ES un ASV privātuma vairogu” (Privacy Shield) – Lēmuma par aizsardzības līmeņa pietiekamību projekts, 2016. gada 30. maijs. EDAU tika izveidots ar Eiropas Parlamenta un Padomes Regulas (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV 2001, L 8, 1. lpp.) 1. panta 2. punktu. Tas uzrauga šīs regulas tiesību normu piemērošanu.

86 Skat. šo secinājumu 112. punktu.

87 Jāatgādina, ka trešajā valstī garantētā aizsardzības līmeņa līdzvērtība pēc būtības tam līmenim, kas prasīts Savienībā, ir jāizvērtē arī tad, ja tādas pārsūtīšanas ietvaros, kas ir pamatota ar Lēmumā 2010/87 paredzētajām līguma standartklauzulām, pārzinis vai, ja tāda nav, kompetentā uzraudzības iestāde pārbauda, vai galamērķa trešās valsts iestādes pakļauj datu saņēmēju prasībām, kas pārsniedz tās, kuras ir vajadzīgas demokrātiskā sabiedrībā (skat. Lēmuma 2010/87 pielikumā minēto 5. klauzulu un attiecīgo zemsvītras piezīmi). Skat. šo secinājumu 115., 134. un 135. punktu.

88 Skat. šo secinājumu 117. punktu.

89 Skat. šo secinājumu 197. punktu.

90 Skat. it īpaši spriedumu, 2003. gada 6. novembris, Lindqvist (C‑101/01, EU:C:2003:596, 43. un 44. punkts); PNR spriedumu (58. punkts); spriedumus, 2008. gada 16. decembris, SatakunnanMarkkinapörssi un Satamedia (C‑73/07, EU:C:2008:727, 41. punkts); 2016. gada 21. decembris, Tele2 Sverige un Watson u.c. (C‑203/15 un C‑698/15, EU:C:2016:970, turpmāk tekstā – “spriedums Tele2 Sverige”, 69. punkts), kā arī 2018. gada 2. oktobris, Ministerio Fiscal (C‑207/16, EU:C:2018:788, turpmāk tekstā – spriedums Ministerio Fiscal”, 32. punkts).

91 Lai izvairītos no jebkādas neskaidrības šajā sakarā, es uzsveru, ka “Privātuma vairoga” lēmumā Komisija nevarēja noteikt, vai ASV faktiski pārtver komunikācijas, kas tiek pārsūtītas pa transatlantiskajiem kabeļiem, jo ASV iestādes šo priekšlikumu (skat. šī lēmuma 75. apsvērumu, kā arī VI pielikumā iekļautās Roberta Lita [Robert Litt] 2016. gada 22. februāra vēstules I punkta a) apakšpunktu) nav ne apstiprinājušas, ne noliegušas. Tomēr, tā kā ASV valdība nav noliegusi, ka tā, pamatojoties uz EO 12333, vāc tranzītā esošos datus, Komisijai, manuprāt, pirms tā konstatē aizsardzības līmeņa pietiekamību, bija jāiegūst no ASV valdības garantijas, ka šādu datu vākšanu – gadījumā, ja tā notiktu, – papildinātu pietiekamas garantijas pret ļaunprātīgas izmantošanas risku. Tieši no šī viedokļa raugoties, Komisija minētā lēmuma 68.–77. apsvērumā pārbaudīja ierobežojumus un garantijas, kas šādā gadījumā būtu jāpiemēro saskaņā ar PPD 28.

92 Runa bija par Komisijas Lēmumu 2004/535/EK (2004. gada 14. maijs) par pietiekamu aizsardzību Passenger Name Record iekļautajiem lidmašīnu pasažieru personas datiem, kas nosūtīti Amerikas Savienoto Valstu Muitas un robežapsardzes birojam (OV 2004, L 235, 11. lpp.).

93 PNR spriedums (56.–58. punkts). Turklāt 2009. gada 10. februāra spriedumā Īrija/Parlaments un Padome (C‑301/06, EU:C:2009:68, 90. un 91. punkts) Tiesa nosprieda, ka PNR spriedumā izklāstītie apsvērumi nav attiecināmi uz apstrādi, uz kuru attiecas Eiropas Parlamenta un Padomes Direktīva 2006/24/EK (2006. gada 15. marts) par tādu datu saglabāšanu, kurus iegūst vai apstrādā saistībā ar publiski pieejamu elektronisko komunikāciju pakalpojumu sniegšanu vai publiski pieejamu komunikāciju tīklu nodrošināšanu, un par grozījumiem Direktīvā 2002/58/EK (OV 2006, L 105, 54. lpp.). Tiesa šo secinājumu pamatoja ar to, ka ar Direktīvu 2006/24, atšķirībā no PNR spriedumā aplūkotā lēmuma, tika reglamentētas tikai pakalpojumu sniedzēju darbības iekšējā tirgū, nereglamentējot valsts iestāžu darbības represīvos nolūkos. Ar šo argumentāciju Tiesa, šķiet, ir a contrario apstiprinājusi, ka PNR spriedumā izdarītais secinājums būtu bijis attiecināms uz tiesību normām par piekļuvi saglabātajiem datiem vai to izmantošanu no šo iestāžu puses.

94 Spriedums Tele2 Sverige (67.–81. punkts).

95 Eiropas Parlamenta un Padomes Direktīva (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV 2002, L 201, 37. lpp.).

96 Tā kā Direktīvā 2002/58 ir konkretizētas Direktīvas 95/46 prasības, kas turpmāk ir atcelta ar VDAR, kurā lielā mērā ir pārņemts tās saturs, judikatūra par Direktīvas 2002/58 1. panta 3. punkta interpretāciju, manuprāt, ir piemērojama pēc analoģijas VDAR 2. panta 2. punkta interpretācijai. Šajā nozīmē skat. spriedumus Tele2 Sverige (69. punkts) un Ministerio Fiscal (32. punkts).

97 Spriedums Ministerio Fiscal (34., 35. un 37. punkts).

98 Šis pats jautājums tika uzdots trīs citu lūgumu sniegt prejudiciālu nolēmumu ietvaros, ko Tiesa pašlaik izskata. Skat. lietu C‑623/17, Privacy International (OV 2018, C 22, 29. lpp.), kā arī apvienotās lietas C‑511/18 un C‑512/18, La Quadrature du Net u.c. un French Data Network u.c. (OV 2018, C 392, 7. lpp.).

99 Spriedumā Tele2 Sverige, lai arī Tiesa koncentrējās uz iejaukšanās, kas izriet no attiecīgajiem saglabāšanas un piekļuves pasākumiem, pamatojuma pārbaudi, ņemot vērā mērķi apkarot noziedzīgus nodarījumus, secinājumu, pie kura tā nonāca, var attiecināt mutatis mutandis uz pasākumiem, kuru mērķis ir aizsargāt valsts drošību. Direktīvas 2002/58 15. panta 1. punktā to mērķu skaitā, kas var pamatot šādus pasākumus, ir minēta gan cīņa pret noziedzīgiem nodarījumiem, gan valsts drošības aizsardzība. Turklāt Direktīvas 2002/58 1. panta 3. punktā un VDAR 2. panta 2. punktā no šo instrumentu piemērošanas jomas ir izslēgtas valsts darbības gan valsts drošības, gan krimināltiesību jomā. Attiecīgajiem pasākumiem lietā, kurā taisīts spriedums Tele2 Sverige, arī bija ar valsts drošību saistīts mērķis. Šī sprieduma 119. punktā Tiesa skaidri aplūkoja jautājumu, vai pasākumi attiecībā uz informācijas par datu plūsmu un atrašanās vietu saglabāšanu ir pamatoti, ņemot vērā valsts drošības aizsardzības mērķi, ciktāl tas ietver sevī cīņu pret terorismu.

100 Spriedums Tele2 Sverige (78. punkts, mans izcēlums). Kā liecina vārda “turklāt” lietojums, Tiesa – tikai lai apstiprinātu savu secinājumu par Direktīvas 2002/58 piemērojamību – minētā sprieduma 79. punktā uzsvēra nesaraujamo saikni starp pienākumu saglabāt attiecīgos datus lietā, kurā taisīts minētais spriedums, un tiesību normām par valsts iestāžu piekļuvi saglabātajiem datiem.

101 Spriedums Ministerio Fiscal (37. punkts, mans izcēlums).

102 Šajā nozīmē skat. spriedumu Ministerio Fiscal (38. punkts).

103 Šajā nozīmē skat. spriedumu, 2014. gada 13. maijs, Google Spain un Google (C‑131/12, EU:C:2014:317, 28. punkts).

104 Spriedums Schrems (91.–96. punkts). “Privātuma vairoga” lēmuma 90., 124. un 141. apsvērumā Komisija turklāt atsaucas uz Hartas tiesību normām, tādējādi apstiprinot principu, saskaņā ar kuru pamattiesību ierobežojumiem, kas atbilst valsts drošības aizsardzības mērķim, ir jābūt saderīgiem ar Hartu.

105 Šajā nozīmē skat. spriedumu Schrems (74. un 75. punkts)

106 Šajā nozīmē skat. EDPB, EU‑US Privacy Shield – Second Annual Joint Review, 2019. gada 22. janvāris (17. lpp., 86. punkts).

107 Skat. VDAR 45. panta 5. punktu. Skat. arī spriedumu Schrems (76. punkts).

108 Tādējādi “drošības zonas” lēmums tika atzīts par spēkā neesošu, pamatojoties uz to, ka Komisija šajā lēmumā nebija norādījusi, ka ASV reāli nodrošina pienācīgu aizsardzības līmeni, pamatojoties uz savu iekšējo tiesisko kārtību vai starptautiskajām saistībām, ko tās uzņēmušās (spriedums Schrems, 97. punkts). Konkrēti, Komisija nebija nedz konstatējusi, ka pastāv valsts tiesību akti, kuru mērķis ir ierobežot iespējamo iejaukšanos datu subjektu pamattiesībās (spriedums Schrems, 88. punkts), nedz, ka pastāv efektīva tiesiskā aizsardzība pret šāda veida iejaukšanos (spriedums Schrems, 89. punkts).

109 Šie konstatējumi ir rezumēti šo secinājumu 54.–73. punktā.

110 Skat. it īpaši spriedumus, 1999. gada 4. maijs, Sürül (C‑262/96, EU:C:2018:228, 95. punkts); 2008. gada 11. septembris, Eckelkamp u.c. (C‑11/07, EU:C:2008:489, 32. punkts), un 2016. gada 26. oktobris, Senior Home (C‑195/15, EU:C:2014:804, 20. punkts).

111 Šajā sakarā skat. Supreme Court (Augstākā tiesa) 2019. gada 31. maija spriedumu (6.18. punkts).

112 Skat. spriedumu, 1981. gada 13. maijs, International Chemical Corporation (66/80, EU:C:1981:102, 12. un 13. punkts).

113 Šajā sakarā skat. spriedumu, 2012. gada 22. marts, GLS (C‑338/10, EU:C:2012:158, 15., 33. un 34. punkts), kurā Tiesa, lai novērtētu vai ir spēkā regula, ar kuru tika ieviests antidempinga maksājums, ņēma vērā “Eurostat” statistiku, ko Komisija iesniedza pēc Tiesas lūguma. Skat. arī spriedumu, 1991. gada 22. oktobris, Nölle (C‑16/90, EU:C:1991:402, 17., 23. un 24. punkts). Tāpat arī spriedumā Schrems (90. punkts) Tiesa, izvērtējot “drošības zonas” lēmuma spēkā esamību, ņēma vērā dažus Komisijas paziņojumus.

114 Spriedums Schrems (73. un 74. punkts).

115 Šajā nozīmē skat. 29. panta darba grupa, “Adequacy Referential (updated)”, 2017. gada 28. novembris, WP 254 (3., 4. un 9. lpp.).

116 Tomēr ECPAK 8. panta 2. punktā nav atsauces uz tiesību uz privātās dzīves neaizskaramību “būtību”. Šajā sakarā skat. šo secinājumu 161. zemsvītras piezīmi.

117 ECT, 2018. gada 19. jūnijs (CE:ECHR:2018:0619JUD003525208, turpmāk tekstā – “spriedums Centrüm för Rättvisa”).

118 ECT, 2018. gada 13. septembris (CE:ECHR:2018:0913JUD005817013, turpmāk tekstā – “spriedums Big Brother Watch”).

119 Skat. šo secinājumu 98. zemsvītras piezīmē minētās lietas, kā arī lietu C‑520/18, Ordre des barreaux francophones et germanophones u.c. (OV 2018, C 408, 39. lpp.).

120 Lai arī [datu] apstrāde var būt pretrunā vienlaicīgi Hartas 7. un 8. pantam, atbilstošā vērtējuma ietvars, lai piemērotu 8. pantu, strukturāli atšķiras no ar 7. pantu saistītā ietvara. Saskaņā ar Hartas 8. panta 2. punktu tiesības uz personas datu aizsardzību nozīmē, ka “šādi dati ir jāapstrādā godprātīgi, noteiktiem mērķiem un ar attiecīgās personas piekrišanu vai ar citu likumīgu pamatojumu, kas paredzēts tiesību aktos”, un “ikvienam ir pieejas tiesības datiem, kas par viņu savākti, un tiesības ieviest labojumus šajos datos”. Šo tiesību pārkāpums nozīmē, ka personas dati tiek apstrādāti, neievērojot šīs prasības. Tas tā ir it īpaši tad, ja apstrāde nav pamatota ar datu subjekta piekrišanu, ne ar citu likumīgu pamatojumu, kas paredzēts tiesību aktos. Šādā situācijā, lai arī jautājums par iejaukšanās pastāvēšanu un jautājums par tā pamatojumu ir konceptuāli nošķirti 7. panta kontekstā, tie pārklājas attiecībā uz Hartas 8. pantu.

121 Direktīvas 2002/58 2. panta otrās daļas b) punktā jēdziens “informācija par datu plūsmu” ir definēts kā “jebkuri dati, kas apstrādāti ar nolūku pārsūtīt komunikāciju elektronisko komunikāciju tīklā vai ar nolūku sagatavot rēķinu”.

122 Skat. spriedumu, 2014. gada 8. aprīlis, Digital Rights Ireland u.c. (C‑293/12 un C‑594/12, EU:C:2014:238, turpmāk tekstā – “spriedums Digital Rights Ireland”, 27. punkts), un spriedumu Tele2 Sverige (99. punkts). Skat. arī ECT, 1984. gada 2. augusts, Malone pret Apvienoto Karalisti (CE:ECHR:1984:0802JUD000869179, 84. punkts), un 2018. gada 8. februāris, Ben Faiza pret Franciju (CE:ECHR:2018:0208JUD003144612, 66. punkts).

123 Skat. spriedumu Digital Rights Ireland (33. punkts); Atzinumu 1/15 (124. punkts), kā arī spriedumu Ministerio Fiscal (51. punkts).

124 Skat. “Privātuma vairoga” lēmuma 78.–81. apsvērumu, kā arī VI pielikuma II punktu.

125 Šajā sakarā skat. spriedumu Digital Rights Ireland (32. punkts).

126 Šajā nozīmē skat. Atzinumu 1/15 (124. un 125. punkts), no kura izriet, ka datu paziņošana trešajai personai ir iejaukšanās datu subjektu pamattiesību īstenošanā, neraugoties uz mērķi, kādam tie tiek izmantoti vēlāk.

127 Šajā nozīmē skat. spriedumu Digital Rights Ireland (35. punkts); spriedumu Schrems (87. punkts) un Atzinumu 1/15 (123.–126. punkts).

128 Skat. šo secinājumu 60. punktu.

129 PCLOB, Report on the Surveance Program opered biesuant to Section 702 of the [FISA], 2014. gada 2. jūlijs, (turpmāk tekstā – “PCLOB ziņojums”, 84. un 111. lpp.). Skat. arī 29. panta darba grupa, EU‑U.S. Privacy Shield – First Annual Joint Review, 2017. gada 28. novembris, WP 255 (B.1.1. apakšpunkts, 15. lpp.).

130 Skat. šo secinājumu 126. zemsvītras piezīmi.

131 Šajā ziņā skat. šo secinājumu 222. punktu.

132 Skat. Atzinumu 1/15 (123. punkts un tajā minētā judikatūra).

133 Skat. it īpaši Atzinumu 1/15 (146. punkts).

134 Skat. it īpaši ECT spriedumu, 1984. gada 2. augusts, Malone pret Apvienoto Karalisti (CE:ECHR:1984:0802JUD000869179, 66. punkts); nolēmumu, 2006. gada 29. jūnijs, Weber un Saravia pret Vāciju (CE:ECHR:2006:0629DEC005493400, turpmāk tekstā – “nolēmums Weber un Saravia”, 84. punkts un tajā minētā judikatūra), kā arī spriedumu, 2015. gada 4. decembris, Zakharov pret Krieviju (CE:ECHR:2015:1204JUD004714306, turpmāk tekstā – “spriedums Zakharov”, 228. punkts).

135 Skat. it īpaši spriedumus Digital Rights Ireland (54. un 65. punkts), Schrems (91. punkts), Tele2 Sverige (109. punkts) un Atzinumu 1/15 (141. punkts).

136 Skat. it īpaši nolēmumu Weber un Saravia (94. un 95. punkts); spriedumu Zakharov (236. punkts), un ECT, 2016. gada 12. janvāris, Szabó un Vissy pret Ungāriju (CE:ECHR:2016:0112JUD003713814, turpmāk tekstā – “spriedums Szabó un Vissy”, 59. punkts).

137 Skat. spriedumu Tele2 Sverige (117. punkts) un Atzinumu 1/15 (190. punkts). Skat. arī ECT spriedumus, 1984. gada 2. augusts, Malone pret Apvienoto Karalisti (CE:ECHR:1984:0802JUD000869179, 67. punkts); Zakharov (229. punkts) un Szabó un Vissy (62. punkts). ECT tajos precizē, ka paredzamības prasībai komunikāciju pārtveršanas jomā nav tāds pats tvērums kā citās jomās. Slepenas uzraudzības pasākumu kontekstā “paredzamības prasība nevar nozīmēt, ka ir jāļauj personai paredzēt, vai un kad valsts iestādes var pārtvert šīs personas komunikācijas, lai [konkrētā] persona varētu pielāgot savu rīcību apstākļiem”.

138 Atzinums 1/15 (139. punkts). Šajā nozīmē skat. arī ECT, 1983. gada 25. marts, Silver u.c. pret Apvienoto Karalisti (CE:ECHR:1983:0325JUD000594772, 88. un 89. punkts).

139 PPD 28 ir izklāstīts “Privātuma vairoga” lēmuma 69.–77. apsvērumā, kā arī VI pielikuma I punktā. Tur ir precizēts, ka šī prezidenta politikas direktīva ir piemērojama gan uz FISA 702. pantu balstītajām izlūkošanas darbībām, gan izlūkošanas darbībām, kas tiek īstenotas ārpus ASV teritorijas.

140 EO 12333 3.7. punkta c) apakšpunktā ir noteikts: “[t]his order is intended only to improve the internal management of the executive branch and is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity, by any party against the United States, its departments, agencies or entities, its officers, employees, or agents, or any other person.” PPD 28 6. panta d) punktā arī ir noteikts: “This directive is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.”

141 Šajā nozīmē skat. EDPB, EU‑U.S. Privacy Shield – Second Annual Joint Review, 2019. gada 22. janvāris (99. punkts).

142 Skat. “Privātuma vairoga” lēmuma 69. un 77. apsvērumu.

143 “Privātuma vairoga” lēmuma 76. apsvērums.

144 Skat. ECT, 1983. gada 25. marts, Silver u.c. pret Apvienoto Karalisti (CE:ECHR:1983:0325JUD000594772, 26. un 86. punkts).

145 Skat. šo secinājumu 295.–301. punktu. Spriedumā Tele2 Sverige (116. un 117. punkts) un Atzinumā 1/15 (140. un 141. punkts) nosacījums par tiesību akta paredzamību ir pasniegts kā nesaraujami saistīts ar iejaukšanās nepieciešamības un samērīguma nosacījumu. Tāpat saskaņā ar ECT judikatūru efektīvu garantiju pret ļaunprātīgas izmantošanas risku pastāvēšana ir daļa gan no nosacījuma par iejaukšanās “paredzamību”, gan no nosacījuma par tās “nepieciešamību demokrātiskā sabiedrībā”, un abu šo nosacījumu ievērošana tiek vērtēta kopā. Skat. it īpaši ECT spriedumus, 2010. gada 18. maijs, Kennedy pret Apvienoto Karalisti (CE:ECHR:2010:0518JUD002683905, 155. punkts); Zakharov (236. punkts), Centrüm för Rättvisa (107. punkts) un Big Brother Watch (322. punkts).

146 Skat. arī VDAR 104. apsvērumu.

147 Skat. spriedumu Schrems (94. punkts). Skat. arī spriedumus Digital Rights Ireland (39. punkts) un Tele2 Sverige (101. punkts). Ņemot vērā ciešo saikni, kas vieno tiesības uz privātās dzīves neaizskaramību un tiesības uz personas datu aizsardzību, valsts pasākums, ar kuru valsts iestādēm piešķir vispārinātu piekļuvi komunikāciju saturam, manuprāt, būtu pretrunā Hartas 8. pantā noteikto tiesību būtībai.

148 Skat. šo secinājumu 257. punktu. Spriedumā Tele2 Sverige (99. punkts) Tiesa uzsvēra, ka metadati it īpaši sniedz iespējas noteikt attiecīgo personu profilu. Savā 2014. gada 10. aprīļa Atzinumā 04/2014 par elektronisko komunikāciju novērošanu tiesībaizsardzības un nacionālās drošības nolūkā, WP 215 (5. lpp.), 29. panta darba grupa norādīja, ka metadati, ņemot vērā to strukturālo raksturu, ir vieglāk salīdzināmi un analizējami nekā satura dati.

149 Skat. spriedumu Tele2 Sverige (99. punkts). Daži komentētāji ir apsvēruši jautājumu par to, vai ir pamatoti nošķirt vispārinātu piekļuvi komunikāciju saturam un vispārinātu piekļuvi metadatiem, ņemot vērā tehnoloģiju un saziņas veidu attīstību. Skat. Falot, N., un Hijmans, H., “Tele2: de afweging tussen privacy en veiligheid nader omlijnd”, Nederlands Tijdschrift voor Europees Recht, Nr. 3, 2017 (48. lpp.), kā arī Ojanen, T., “Making essence of the rights real: the Court of Justice of the European Union clarifies the structure of fundamental rights under the Charter” (komentārs par spriedumu Schrems), European Constitutional Law Review, 2016 (5. lpp.).

150 Skat. “Privātuma vairoga” lēmuma 87. zemsvītras piezīmi. Tomēr saskaņā ar EPIC apsvērumiem un ASV valdības rakstveida atbildi uz Tiesas uzdotajiem jautājumiem FISC 2017. gadā esot pieprasījis apturēt meklēšanas darbības “par” atlasītāju dēļ nelikumībām, kas tika pieļautas šāda veida meklēšanas darbībās. Tomēr 2018. gadā pieņemtajā FISA atkārtotas atļaujas aktā Kongress esot paredzējis iespēju atjaunot šāda veida meklēšanu ar FISC un Kongresa piekrišanu. Skat. arī EDPB, EU‑U.S. Privacy Shield – Second Annual Joint Review, 2019. gada 22. janvāris (27. lpp., 55. punkts).

151 No šī viedokļa raugoties, iesniedzējtiesa sava 2017. gada 3. oktobra sprieduma 188. un 189. punktā nošķir “lielapjoma” meklēšanu no “lielapjoma” iegūšanas, vākšanas vai turēšanas. Šī tiesa būtībā uzskata, ka programma “Upstream” nozīmē “lielapjoma” meklēšanu, kura tiek veikta visās to datu plūsmās, kas ir tranzītā pa telekomunikāciju “mugurkaulu”, savukārt iegūšana, vākšana un turēšana ir mērķtiecīgas, jo to priekšmets ir tikai dati, kas satur attiecīgos atlasītājus.

152 Šajā nozīmē skat. Supreme Court (Augstākā tiesa) 2019. gada 31. maija spriedumu (11.2. un 11.3. punkts). Šī tiesa tajā norāda: “[I]t is inevitable that any screening process designed to identify data of interest will necessarily involve all of the data available, for the whole point of the screening process is to identify within that entire universe of available data the relevant material which may be of interest and thus require closer scrutiny. Perhaps part of the problem lies in the fact that the term “processing” covers a wide range of activity, apparently, in the view of the DPC, including screening. On the assumption that that is a correct view of the law, then it is technically correct to describe bulk screening as involving indiscriminate processing. But the use of that terminology might be taken to imply that other forms of processing, which are significantly more invasive, are carried out on an indiscriminate basis.”

153 Skat. Atzinumu 1/15 (122. punkts). Skat. arī Eiropas Komisijas par demokrātiju caur tiesībām (Venēcijas komisija) ziņojumu par sakaru izlūkošanas datu vākšanas iestāžu demokrātisku uzraudzību, 2015. gada 15. decembris, pētījums nr. 719/2013 (CDL‑AD(2015)011, 11. lpp.). “Praksē jautājums par to, vai šis process pienācīgi ierobežo nevajadzīgu iejaukšanos nenozīmīgā personu saziņā, nozīmē, ka ir jānosaka, vai atlasītājs ir pietiekami atbilstošs un specifisks un vai tās programmatūras, kas tiek izmantota atbilstošo datu identificēšanai izvēlētu parametru ietvaros, algoritma kvalitāte ir pietiekama [..]”.

154 Skat. šo secinājumu 297.–301. punktu.

155 Atzinums 1/15 (150. punkts).

156 Skat. “Privātuma vairoga” lēmuma 70., 103. un 109. apsvērumu.

157 Skat. “Privātuma vairoga” lēmuma 83.–87. apsvērumu, kā arī VI pielikuma I punkta c) apakšpunktu. Ir jānorāda, ka saskaņā ar PCLOB ziņojumu (51. – 66. lpp.) NSA “minimizācijas” procedūras atbilstoši FISA 702. pantam lielākajā daļā to aspektu ir mērķētas tikai uz ASV personām. PPD 28 mērķis bija izvērst piemērojamās garantijas, tās attiecinot uz citu valstu personām. Skat. PCLOB, Report to the President on the Implementation of [PPD 28]: Signals Intelligence Activities, pieejams interneta adresē https://www.pclob.gov/reports/report‑PPD28/ (2. lpp.). Tādējādi datu glabāšana un izmantošana valsts drošības nolūkā pēc tam, kad valsts iestādes ir tos ieguvušas, manuprāt, neietilpst Savienības tiesību piemērošanas jomā (skat. šo secinājumu 226. punktu). Tātad šo darbību ietvaros nodrošinātā aizsardzības līmeņa pietiekamība ir jāizvērtē, ņemot vērā tikai ECPAK 8. pantu.

158 Skat. šo secinājumu 283.–289. punktu.

159 It īpaši, “Privātuma vairoga” lēmuma 127. apsvērumā Komisija konstatēja, ka ASV konstitūcijas ceturtais labojums neattiecas uz citu valstu personām.

160 Skat. “Privātuma vairoga” lēmuma 73. un 74. apsvērumu, kā arī VI pielikuma I punkta b) apakšpunktu. Šie mērķi ietver cīņu pret spiegošanu un citiem draudiem un darbībām, ko īsteno ārvalstu vara pret ASV un tās interesēm; cīņu pret terorisma draudiem; cīņu pret draudiem, kas izriet no masu iznīcināšanas ieroču attīstības, turēšanas īpašumā, izplatīšanas vai lietošanas; cīņu pret draudiem, kas saistīti ar kiberdrošību; cīņu pret draudiem, kas gulstas uz ASV bruņotajiem spēkiem vai to sabiedrotajiem, un cīņu pret starptautisko noziedzību. Atbilstoši PPD 28 5. zemsvītras piezīmei mērķu ierobežojums, kas attaisno savākto “lielapjoma” datu izmantošanu, nav piemērojams, ja šāda vākšana ir tikai pagaidu rakstura un tā ir paredzēta mērķatlases veicināšanai.

161 Lai gan ECPAK tiesību normās nav minēts pamattiesību “būtiskais saturs”, tam līdzvērtīgais jēdziens – pamattiesību “būtība” – ir atrodams ECT judikatūrā, kas attiecas uz dažām no šīm tiesību normām. Attiecībā uz ECPAK 6. pantā garantēto tiesību uz lietas taisnīgu izskatīšanu būtību skat. it īpaši ECT spriedumus, 1985. gada 25. maijs, Ashingdane pret Apvienoto Karalisti (CE:ECHR:1985:0528JUD000822578, 57. un 59. punkts); 2000. gada 21. decembris, Heaneyand McGuinness pret Īriju (CE:ECHR:2000:1221JUD003472097, 55. un 58. punkts), un 2016. gada 23. jūnijs, Baka pret Ungāriju (CE:ECHR:2016:0623JUD002026112, 121. punkts). Attiecībā uz ECPAK 12. pantā paredzēto tiesību stāties laulībā būtību skat. ECT, 2002. gada 11. jūlijs, Christine Goodwin pret Apvienoto Karalisti (CE:ECHR:2002:0711JUD002895795, 99. un 101. punkts). Attiecībā uz ECPAK pirmā protokola 2. pantā garantēto tiesību uz izglītību būtību skat. ECT, 1968. gada 23. jūlijs, lieta “par noteiktiem tiesību aspektiem jautājumā par valodu izmantošanu izglītībā Beļģijā” (CE:ECHR:1968:0723JUD000147462, 5. punkts).

162 Skat. it īpaši spriedumus Centrüm för Rättvisa (112.–114. punkts, kā arī tajos minētā judikatūra) un Big Brother Watch (337. punkts).

163 Skat. šo secinājumu 197. punktu.

164 Skat. VDAR 23. panta 1. punkta a) apakšpunktu.

165 Skat. spriedumu Schrems (88. punkts). Līdzīgo jēdzienu “sabiedriskā drošība” Tiesa to LESD tiesību normu izpratnē, ar kurām tiek atļautas atkāpes no tajā garantētajām pamatbrīvībām, uzskatīja kā autonomu Savienības tiesību jēdzienu, kas aptver gan dalībvalstu iekšējo, gan ārējo drošību (skat. it īpaši spriedumus, 1999. gada 26. oktobris, Sirdar (C‑273/97, EU:C:1999:523, 17. punkts), kā arī 2016. gada 13. septembris, CS (C‑304/14, EU:C:2016:674, 39. punkts un tajā minētā judikatūra)). Lai gan iekšējo drošību tostarp var ietekmēt tieši draudi attiecīgās dalībvalsts iedzīvotāju mieram un fiziskajai drošībai, ārējo drošību var apdraudēt tostarp [šīs dalībvalsts] ārējo attiecību vai tautu mierīgas līdzāspastāvēšanas būtiska traucējuma risks. Tā kā šo jēdzienu saturu nevar noteikt vienpusēji, katrai dalībvalstij ir zināma rīcības brīvība, lai noteiktu savas būtiskās intereses drošības jomā. Skat. it īpaši spriedumu, 2018. gada 2. maijs, K. un H. F. (uzturēšanās tiesības un apgalvojumi par kara noziegumiem) (C‑331/16 un C‑366/16, EU:C:2018:296, 40.–42. punkts, kā arī tajos minētā judikatūra). Manuprāt, šie apsvērumi ir attiecināmi arī uz jēdziena “valsts drošība” interpretāciju, to interpretējot kā intereses, kuru aizsardzība var attaisnot VDAR tiesību normu un Hartas 7. un 8. pantā garantēto tiesību ierobežojumus.

166 Šajā sakarā skat. “Privātuma vairoga” lēmuma 89. apsvērumu un 97. zemsvītras piezīmi.

167 Skat. šo secinājumu 55. punktu.

168 Skat. šo secinājumu 61. punktu.

169 Spriedumā Centrüm för Rättvisa (111. punkts) ECT nosprieda, ka uzraudzības darbības, kas vērstas uz to, lai atbalstītu Zviedrijas ārpolitiku, aizsardzības politiku un drošības politiku, kā arī lai atklātu no ārpuses nākošus draudus, kas organizēti Zviedrijā, kalpo ar valsts drošību saistītiem leģitīmiem mērķiem.

170 Šajā sakarā skat. spriedumus Tele2 Sverige (115. punkts) un Ministerio Fiscal (55. punkts). Tiesa tajos uzsvēra saikni starp iejaukšanās svarīguma pakāpi un to interešu svarīguma pakāpi, uz kurām atsaucas, lai attaisnotu šādu iejaukšanos.

171 29. panta darba grupa savā 2014. gada 5. decembra darba dokumentā par elektronisko komunikāciju uzraudzību izlūkošanas un valsts drošības nolūkā, WP 228 (27. lpp.) uzsver, cik svarīgi ir kritiski novērtēt, vai uzraudzība patiešām tiek veikta valsts drošības nolūkos.

172 Skat. Atzinumu 1/15 (181. punkts), kurā Tiesa nosprieda, ka tiesību normu, ar ko ir paredzēta iejaukšanās, formulējums neatbilda skaidrības un precizitātes prasībām, līdz ar to šīs iejaukšanās neaprobežojās ar absolūti nepieciešamo. No šī paša skatupunkta raugoties, ģenerāladvokāts Ī. Bots [Y. Bot] savos secinājumos Schrems (C‑362/14, EU:C:2015:627, 181.–184. punkts) uzskatīja, ka uzraudzības pasākumu mērķi bija formulēti pārāk vispārīgi, lai tos varētu uzskatīt par vispārējo interešu mērķiem, izņemot attiecībā uz valsts drošību.

173 EDAU ir paudis līdzīgas šaubas savā Atzinumā 4/2016 par “ES un ASV privātuma vairogu” (Privacy Shield) – Lēmuma par aizsardzības līmeņa pietiekamību projekts, 2016. gada 30. maijs (8. lpp.).

174 Skat. spriedumu, 2010. gada 9. novembris, Volker und Markus Schecke un Eifert (C‑92/09 un C‑93/09, EU:C:2010:662, 48. punkts), Atzinumu 1/15 (136. punkts) un spriedumu, 2019. gada 24. septembris, Google (Atsauču atsaistīšanas teritoriālā piemērojamība) (C‑507/17, EU:C:2019:772, 60. punkts).

175 Skat. it īpaši spriedumus 2008. gada 16. decembris, Satakunnan Markkinapörssi un Satamedia (C‑73/07, EU:C:2008:727, 56. punkts); Digital Rights Ireland (48. un 52. punkts); Schrems (78. un 92. punkts), kā arī Atzinumu 1/15 (139. un 140. punkts). Skat. arī “Privātuma vairoga” lēmuma 140. apsvērumu.

176 Spriedums Schrems (93. punkts). Šajā nozīmē skat. arī spriedumu Digital Rights Ireland (60. punkts).

177 Skat. spriedumu Tele2 Sverige (120. punkts) un Atzinumu 1/15 (202. punkts).

178 PCLOB ziņojumā (45. lpp.) ir precizēts: “With respect to the foreign intelligence purpose, the NSA targeting procedures require the analyst only to “identify” the foreign power or foreign territory regarding which the foreign intelligence information is to be acquired. By policy, but not as a requirement of the targeting procedures, the NSA also requires that all taskings be accompanied by a very brief statement (typically no more than one sentence long) that further explains the analyst’s rationale for assessing that tasking the selector in question will result in the acquisition of the types of foreign intelligence information authorized by the Section 702 certification.”

179 Šajā nozīmē skat. 29. panta darba grupa, Opinion 1/2016 on the EU‑U.S. Privacy Shield draft draft adequacy decision, 2016. gada 13. aprīlis, WP 238 (3.3.1. apakšpunkts, 38. lpp.); Parlamenta 2017. gada 6. aprīļa rezolūcija par ES un ASV privātuma vairoga nodrošinātās aizsardzības pietiekamību, P8_TA(2017)0131 (17. punkts), kā arī Parlamenta 2017. gada 20. februāra ziņojums par lielo datu ietekmi uz pamattiesībām – privātums, datu aizsardzība, nediskriminācija, drošība un tiesībaizsardzība, A8‑0044/2017 (17. punkts).

180 Šajā nozīmē skat. 29. panta darba grupa, EU‑U.S. Privacy Shield – First Annual Joint Review, 2017. gada 28. novembris, WP 255 (3. lpp.); Eiropas Parlamenta 2018. gada 5. jūlija rezolūcija par ES un ASV privātuma vairoga nodrošināto pienācīgo aizsardzību, P8_TA(2018)0315 (22. punkts), un EDPB, EU‑U.S. Privacy Shield – Second Annual Joint Review, 2019. gada 22. janvāris (81.–83. un 87. punkts).

181 Skat. it īpaši spriedumus Zakharov (232. punkts) un Szabó un Vissy (57. punkts).

182 Skat. it īpaši spriedumus Zakharov (237. punkts), Centrüm för Rättvisa (111. punkts) un Big Brother Watch (322. punkts).

183 Skat. it īpaši nolēmumu Weber un Saravia (95. punkts); ECT spriedumus, 2007. gada 28. jūnijs, Association pour l’intégration européenne et les droits de l’homme un Ekimdjiev (CE:ECHR:2007:0628JUD006254000, 76. punkts), kā arī Zakharov (231. punkts).

184 Skat. it īpaši nolēmumu Weber un Saravia (106. punkts), spriedumus Zakharov (232. punkts) un Centrüm för Rättvisa (104. punkts).

185 Skat. it īpaši ECT spriedumus, 1978. gada 6. septembris, Klass u.c. pret Vāciju (CE:ECHR:1978:0906JUD000502971, 55. punkts), Zakharov (233. punkts), kā arī Centrüm för Rättvisa (105. punkts).

186 Skat. it īpaši spriedumu Klass (56. punkts); ECT spriedumus, 2010. gada 18. maijs, Kennedy pret Apvienoto Karalisti (CE:ECHR:2010:0518JUD002683905, 167. punkts), kā arī Zakharov (233. un 258. punkts).

187 Skat. spriedumus Szabó un Vissy (77. punkts) un Centrüm för Rättvisa (133. punkts).

188 Tas tā ir vēl jo vairāk a fortiori, ņemot vērā šo secinājumu 281. punktā izklāstītos apsvērumus.

189 Skat. šo secinājumu 330. un 331. punktu.

190 Šajā ziņā Paskaidrojumos attiecībā uz Hartu ir noteikts, ka “Savienības tiesību aktos aizsardzība [kas paredzēta tās 47. pantā] ir plašāka [nekā tā, ko sniedz ECPAK 13. pants], jo tā garantē tiesības uz efektīvu lietas izskatīšanu tiesā”. Skat. arī ģenerāladvokāta M. Vatelē [M. Wathelet] secinājumus lietā Berlioz Investment Fund (C‑682/15, EU:C:2017:2, 37. punkts).

191 Lai novērtētu iestādes “tiesas” statusu Hartas 47. panta piemērošanas ietvaros, ir jāņem vērā, vai iestāde ir izveidota ar likumu, vai tā ir pastāvīga, vai tās pieņemtie nolēmumi ir saistoši, vai procedūra tajā notiek atbilstoši sacīkstes principam, vai tā piemēro tiesību normas, kā arī vai tā ir neatkarīga. Skat. spriedumu, 2018. gada 27. februāris, Associação Sindical dos Juízes Portugueses (C‑64/16, EU:C:2018:117, 38. punkts un tajā minētā judikatūra).

192 Skat. it īpaši spriedumus, 2018. gada 25. jūlijs, Minister for Justice and Equality (Tiesu sistēmas nepilnības) (C‑216/18 PPU, EU:C:2018:586, 59. un 63. punkts); 2019. gada 5. novembris, Komisija/Polija (Vispārējās jurisdikcijas tiesu neatkarība) (C‑192/18, EU:C:2019:924, 106. punkts), un 2019. gada 19. novembris, A. K. u.c. (Augstākās tiesas disciplinārlietu palātas neatkarība) (C‑585/18, C‑624/18 un C‑625/18, EU:C:2019:982, 120. punkts).

193 Skat. šo secinājumu 293. punktu. VDAR 45. panta 3. punkta a) apakšpunktā ir paredzēts, ka, izvērtējot trešās valsts nodrošinātā aizsardzības līmeņa pietiekamību, tiek ņemta vērā “efektīva aizsardzība administratīvā kārtā vai [un] tiesā”, kuru var izmantot datu subjekti (mans izcēlums). Tāpat arī saskaņā ar VDAR 104. apsvērumu lēmuma par aizsardzības līmeņa pietiekamību pieņemšanai būtu jābūt pakļautai nosacījumam, ka datu subjektiem attiecīgajā trešajā valstī tiek piešķirta “efektīva aizsardzība administratīvā kārtā vai [un] tiesā” (mans izcēlums). Skat. arī 29. panta darba grupa, EU‑U.S. Privacy Shield – First Annual Joint Review, 2017. gada 28. novembris, WP 255 (B.3. punkts); Parlamenta 2018. gada 5. jūlija rezolūcija par ES un ASV privātuma vairoga nodrošināto pienācīgo aizsardzību, P8_TA(2018)0315 (25. un 30. punkts), un EDPB, EU‑U.S. Privacy Shield – Second Annual Joint Review, 2019. gada 22. janvāris (94.–97. punkts).

194 Šajā nozīmē skat. spriedumu, 2013. gada 28. februāris, Arango Jaramillo u.c./EIB, pārskatīšana (C‑334/12 RX‑II, EU:C:2013:134, 43. punkts).

195 Spriedums Schrems (95. punkts).

196 VDAR 15. panta “Datu subjekta piekļuves tiesības” 1. punktā ir noteikts, ka šai personai “ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem”. “Privātuma vairoga” lēmuma II pielikuma II daļas 8. punkta a) apakšpunktā paredzētajam “piekļuves principam” ir tāda pati nozīme.

197 Spriedums Tele2 Sverige (121. punkts), kā arī Atzinums 1/15 (220. punkts). Kā norādīja Facebook Ireland, paziņojumus par valsts iestāžu piekļuvi datiem nevar pieprasīt sistemātiski. Šajā ziņā ECT uzskata, ka “praksē var būt neiespējams pieprasīt paziņošanu a posteriori”, jo apdraudējums, uz kuru attiecas uzraudzības pasākumi, “var pastāvēt vairākus gadus vai pat desmitgadēm ilgi” pēc šo pasākumu atcelšanas, tādējādi paziņošana var “apdraudēt ilgtermiņa mērķi, kas bija uzraudzības pamatā”, kā arī “atklāt izlūkdienestu darba metodes, to darbības jomas un [..] to aģentu identitāti” (spriedums Zakharov (287. punkts un tajā minētā judikatūra)). Nepaziņošanas gadījumā, lai arī individuālos tiesību aizsardzības līdzekļus nevar īstenot, ja tiesību aktos noteiktās prasības tiek pārkāptas, var pietikt ar citām garantijām, lai aizsargātu tiesības uz privātās dzīves neaizskaramību (skat. arī spriedumu Centrüm för Rättvisa, 164.–167. punkts un 171.–178. punkts). Skat. šo secinājumu 330. punktu.

198 Šajā sakarā skat. šo secinājumu 210. punktu.

199 Skat. šo secinājumu 67. punktu.

200 Skat. EDPB, EU‑U.S. Privacy Shield – Second Annual Joint Review, 2019. gada 22. janvāris (18. lpp., 97. punkts).

201 Skat. it īpaši spriedumus, 1991. gada 11. jūlijs, Verholen u.c. (no C‑87/90 līdz C‑89/90, EU:C:1991:314, 24. punkts un tajā minētā judikatūra), kā arī 2013. gada 28. februāris, Arango Jaramillo u.c./EIB, pārskatīšana (C‑334/12 RX‑II, EU:C:2013:134, 43. punkts).

202 ASV valdība, tāpat kā iesniedzējtiesa ir precizējusi, ka saskaņā ar FISA 702. pantu īstenots uzraudzības pasākums ir jāpaziņo attiecīgajai personai, ja savāktie dati tiek izmantoti pret šo personu tiesvedības tiesā ietvaros.

203 Spriedums, 2003. gada 20. maijs, Österreichischer Rundfunk u.c. (C‑465/00, C‑138/01 un C‑139/01, EU:C:2003:294, 75. punkts); spriedums Digital Rights Ireland (33. punkts), spriedums Schrems (87. punkts) un Atzinums 1/15 (124. punkts).

204 Šie mehānismi ir aprakstīti “Privātuma vairoga” lēmuma 95.–110. apsvērumā. Tajos to noteikumu kategorijā, kas attiecas uz “efektīvu tiesību aizsardzību tiesā”, Komisija nošķir pārraudzības mehānismus (skat. 92.–110. apsvērumu) no individuālas tiesiskās aizsardzības (skat. 111.–124. apsvērumus).

205 Skat. šo secinājumu 298. punktu.

206 Saskaņā ar “Privātuma vairoga” lēmuma 109. apsvērumu “ģenerālprokurors un [NSA] direktors pārbauda atbilstību, un aģentūru pienākums ir par jebkādiem neatbilstības gadījumiem ziņot FISC [..], kas, pamatojoties uz to, var grozīt atļauju”.

207 Skat. šo secinājumu 333.–340. punktu.

208 Skat. šo secinājumu 305. punktu.

209 Savā judikatūrā attiecībā uz telekomunikāciju uzraudzības pasākumiem ECT izskatīja jautājumu par tiesību aizsardzības līdzekļiem, vērtējot “likuma statusu” un nepieciešamību iejaukties ECPAK 8. pantā garantēto tiesību īstenošanā (skat. it īpaši spriedumus Zakharov (236. punkts) un Centrüm för Rättvisa (107. punkts)). 2008. gada 1. jūlija spriedumā Liberty u.c. pret Apvienoto Karalisti (CE:ECHR:2008:0701JUD005824300, 73. punkts) un spriedumā Zakharov (307. punkts) ECT, konstatējusi ECPAK 8. panta pārkāpumu, neuzskatīja par nepieciešamu atsevišķi izvērtēt šīs konvencijas 13. panta pārkāpumu.

210 ECT uzskata, ka, lai arī tas, ka paziņošana nav notikusi jebkurā stadijā, obligāti neizslēdz to, ka uzraudzības pasākums atbilst “nepieciešamības demokrātiskā sabiedrībā” nosacījumam, tas apdraud piekļuvi tiesai un tādējādi arī prasības celšanas efektivitāti (skat. it īpaši spriedumu, 1978. gada 6. septembris, Klass u.c. pret Vāciju (CE:ECHR:1978:0906JUD000502971, 57. un 58. punkts), nolēmumu Weber un Saravia (135. punkts) un spriedumu Zakharov (302. punkts)).

211 Šajā nozīmē skat. spriedumu Centrum för Rättvisa (105. punkts).

212 Spriedumā Big Brother Watch (317. punkts) ECT atteicās papildināt minimālās garantijas, kas piemērojamas tādam uzraudzības režīmam, kuru raksturo elektronisko komunikāciju masveida pārtveršana, ar prasību paziņot par uzraudzību attiecīgajām personām. Skat. arī spriedumu Centrüm för Rättvisa (164. punkts). Šo spriedumu nodošana ECT virspalātai tostarp ir vērsta uz šī secinājuma pārbaudi.

213 Jēdziena “neatkarība” pirmais, ārējais, aspekts nozīmē, ka tiesai jābūt aizsargātai no ārējas iejaukšanās vai spiediena, kas varētu apdraudēt tās locekļu pieņemtā nolēmuma neatkarību, izskatot tiem uzticētos strīdus. Otrais, iekšējais, aspekts ir saistīts ar “objektivitātes” jēdzienu un attiecas uz to, ka tiek saglabāta vienāda distance attiecībā pret strīda dalībniekiem un to attiecīgajām interesēm saistībā ar strīda priekšmetu. Skat. it īpaši spriedumus, 2006. gada 19. septembris, Wilson (C‑506/04, EU:C:2006:587, 50.–52. punkts); 2018. gada 25. jūlijs, Minister for Justice and Equality (Tiesu sistēmas nepilnības) (C‑216/18 PPU, EU:C:2018:586, 63. un 65. punkts), un 2019. gada 19. novembris, A. K. u.c. (Augstākās tiesas disciplinārlietu palātas neatkarība) (C‑585/18, C‑624/18 un C‑625/18, EU:C:2019:982, 121. un 122. punkts). Atbilstoši varas dalīšanas principam ir jānodrošina tiesu neatkarība it īpaši no izpildvaras. Skat. spriedumu, 2019. gada 19. novembris, A. K. u.c. (Augstākās tiesas disciplinārlietu palātas neatkarība) (C‑585/18, C‑624/18 un C‑625/18, EU:C:2019:982, 127. punkts un tajā minētā judikatūra).

214 Šajā ziņā “Privātuma vairoga” lēmuma III A pielikumā ir atsauce uz PPD 28 4. nodaļas d) punktu.

215 Skat. “Privātuma vairoga” lēmuma 116. apsvērumu.

216 2005. gada 31. maija spriedumā lietā Syfait u.c. (C‑53/03, EU:C:2005:333, 31. punkts) Tiesa ir uzsvērusi šādu garantiju nozīmi, lai izpildītu neatkarības nosacījumu. Šajā nozīmē skat. arī spriedumus, 2019. gada 24. jūnijs, Komisija/Polija (Augstākās tiesas neatkarība) (C‑619/18, EU:C:2019:531, 76. punkts), un 2019. gada 5. novembris, Komisija/Polija (Vispārējās jurisdikcijas tiesu neatkarība) (C‑192/18, EU:C:2019:924, 113. punkts).

217 Skat. “Privātuma vairoga” lēmuma 65. un 121. apsvērumu, kā arī III A pielikuma 1. punktu.

218 Turklāt “Privātuma vairoga” lēmuma 121. apsvērumā ir norādīts, ka “ombudam būs “jāapstiprina”, ka: i) sūdzība ir pienācīgi izmeklēta un ka ii) ir ievēroti attiecīgie ASV tiesību akti – tostarp jo īpaši ierobežojumi un aizsardzības pasākumi, kas izklāstīti VI pielikumā – vai ir novērsts pārkāpums neatbilstības gadījumā”.

219 Privātuma vairoga trešās ikgadējās pārskatīšanas ietvaros Komisija konstatēja, ka saskaņā ar ASV valdības paziņojumiem gadījumā, ja ombuda izmeklēšanas ietvaros tiktu atklāts FISC apstiprināto mērķatlases un minimizācijas procedūru pārkāpums, par šo pārkāpumu būtu jāinformē šī tiesa. Tādā gadījumā FISC īstenotu neatkarīgu izmeklēšanu un, ja nepieciešams, izdotu rīkojumu attiecīgajai izlūkošanas aģentūrai novērst minēto pārkāpumu. Skat. Commission staff working document accompanying the report from the Commission to the European Parliament and the Council on the third annual review of the functioning of the EU‑U.S. Privacy Shield, 2019. gada 23. oktobris, SWD(2019) 390 final, 28. lpp. Tajā Komisija atsaucas uz dokumentu “Privacy Shield Ombudsperson Mechanism Unclassified Implementation Procedure”, kas pieejams tīmekļvietnē https://www.state.gov/wp‑content/uploads/2018/12/Ombudsperson‑Mechanism‑Implementation‑Procedures‑UNCLASSIFIED.pdf (4. un 5. lpp.).

220 Skat. spriedumus, 2017. gada 16. maijs, Berlioz Investment Fund (C‑682/15, EU:C:2017:373, 55. punkts), un 2017. gada 13. decembris, El Hassani (C‑403/16, EU:C:2017:960, 39. punkts).