Lieta C‑362/14
Maximillian Schrems
pret
Data Protection Commissioner
(High Court (Īrija) lūgums sniegt prejudiciālu nolēmumu)
Lūgums sniegt prejudiciālu nolēmumu – Personas dati – Fizisko personu aizsardzība attiecībā uz šo datu apstrādi – Eiropas Savienības Pamattiesību harta – 7., 8. un 47. pants – Direktīva 95/46/EK – 25. un 28. pants – Personas datu pārsūtīšana uz trešajām valstīm – Lēmums 2000/520/EK – Personas datu pārsūtīšana uz Amerikas Savienotajām Valstīm – Nepienācīgs aizsardzības līmenis – Spēkā esamība – Fiziskas personas sūdzība, kuras dati ir tikuši pārsūtīti no Eiropas Savienības uz ASV – Valsts uzraudzības iestāžu kontroles pilnvaras
Kopsavilkums – Tiesas (virspalāta) 2015. gada 6. oktobra spriedums
1. Tiesību aktu tuvināšana – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Direktīva 95/46 – Interpretācija pamattiesību gaismā
(Eiropas Savienības Pamattiesību harta; Eiropas Parlamenta un Padomes Direktīva 95/46)
2. Tiesību aktu tuvināšana – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Direktīva 95/46 – Valsts uzraudzības iestādes – Neatkarības prasība
(LESD 16. panta 2. punkts; Eiropas Savienības Pamattiesību hartas 8. panta 3. punkts; Eiropas Parlamenta un Padomes Direktīvas 95/46 preambulas 62. apsvērums un 28. panta 1. punkts)
3. Tiesību aktu tuvināšana – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Direktīva 95/46 – Valsts uzraudzības iestādes – Pilnvaras – Personas datu pārsūtīšanas uz trešajām valstīm kontrole – Iekļaušana
(Eiropas Savienības Pamattiesību hartas 8. panta 3. punkts; Eiropas Parlamenta un Padomes Direktīvas 95/46 28. pants)
4. Tiesību aktu tuvināšana – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Direktīva 95/46 – Personas datu pārsūtīšana uz trešajām valstīm – Komisijas pieņemts lēmums, ar kuru konstatēts pienācīgs aizsardzības līmenis trešajās valstīs – Lēmums, kas ir saistošs visām dalībvalstīm adresātēm – Šāda lēmuma spēkā esamības pārbaude – Valsts uzraudzības iestāžu un valsts tiesu attiecīgie uzdevumi
(LESD 288. panta 4. punkts; Eiropas Savienības Pamattiesību hartas 8. panta 3. punkts un 47. pants; Eiropas Parlamenta un Padomes Direktīvas 95/46 25. panta 6. punkts un 28. panta 3. un 4. punkts)
5. Tiesību aktu tuvināšana – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Direktīva 95/46 – Personas datu pārsūtīšana uz trešajām valstīm – Komisijas pieņemts lēmums, kurā konstatēts pienācīgs aizsardzības līmenis trešajās valstīs – Valsts uzraudzības iestāde, kas izskata prasību par tiesību un brīvību aizsardzību saistībā ar pārsūtīto datu, kas attiecas uz prasītāju, apstrādi – Prasītājs, kurš apstrīd pienācīgu aizsardzības līmeni šajās trešajās valstīs – Minētās iestādes pienākums izskatīt prasību – Pārbaudes apjoms
(Eiropas Savienības Pamattiesību hartas 7., 8. un 47. pants; Eiropas Parlamenta un Padomes Direktīvas 95/46 25. panta 6. punkts un 28. pants)
6. Tiesību aktu tuvināšana – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Direktīva 95/46 – Personas datu pārsūtīšana uz trešajām valstīm – Komisijas pieņemts lēmums, kurā konstatēts pienācīgs aizsardzības līmenis trešajās valstīs – Pienācīga aizsardzības līmeņa jēdziens – Vērtējuma kritēriji – Komisijas rīcības brīvība
(Eiropas Parlamenta un Padomes Direktīvas 95/46 25. panta 2. un 6. punkts)
7. Tiesību aktu tuvināšana – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Direktīva 95/46 – Personas datu pārsūtīšana uz trešajām valstīm – Komisijas pieņemts lēmums, kurā konstatēts pienācīgs aizsardzības līmenis trešajās valstīs – Lēmums 2000/520, ar kuru konstatēts pienācīgs aizsardzības līmenis Amerikas Savienotajās Valstīs – Spēkā neesamība
Eiropas Savienības Pamattiesību harta; Eiropas Parlamenta un Padomes Direktīvas 95/46 25. panta 6. punkts un 28. pants; Komisijas Lēmuma 2000/520 1.– 4. pants)
8. Pamattiesības – Privātās dzīves neaizskaramība – Personas datu aizsardzība – Savienības tiesiskais regulējums, kurā ietverta iejaukšanās šajās pamattiesībās – Nosacījumi – Pietiekamas garantijas pret ļaunprātīgas izmantošanas risku – Samērīguma principa ievērošana
(Eiropas Savienības Pamattiesību hartas 7. un 8. pants)
1. Skat. nolēmuma tekstu.
(sal. ar 38. punktu)
2. Skat. nolēmuma tekstu.
(sal. ar 40. un 41. punktu)
3. Valsts uzraudzības iestādes ir apveltītas ar virkni pilnvaru, un tām, esot uzskaitītām Direktīvas 95/46 par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 28. panta 3. punktā esošajā sarakstā, kas nav uzskatāms par galīgu, – kā uzsvērts šīs direktīvas preambulas 63. apsvērumā – ir vajadzīgi līdzekļi to uzdevumu izpildē. Tādējādi minētajām iestādēm ir tostarp izmeklēšanas pilnvaras, piemēram, pilnvaras ievākt visu tās uzraudzības pienākumu izpildei vajadzīgo informāciju, efektīvas iejaukšanās pilnvaras, piemēram, noteikt pagaidu vai galīgu aizliegumu datu apstrādei, vai arī pilnvaras iesaistīties tiesvedībā.
Attiecībā uz pilnvarām uzraudzīt personas datu pārsūtīšanu uz trešajām valstīm no Direktīvas 95/46 28. panta 1. un 6. punkta, protams, izriet, ka valsts uzraudzības iestāžu pilnvaras attiecas uz personas datu apstrādi dalībvalsts teritorijā, kurā šīs iestādes atrodas, un, pamatojoties uz šo 28. pantu, to pilnvaras nesniedzas līdz šādu datu apstrādei, kas veikta trešās valsts teritorijā. Tomēr darbība, kurā ietilpst personas datu pārsūtīšana no dalībvalsts uz trešo valsti, kā tāda ir personas datu apstrāde Direktīvas 95/46 2. panta b) punkta izpratnē, kas veikta dalībvalsts teritorijā. Tādējādi valsts uzraudzības iestāžu ziņā saskaņā ar Eiropas Savienības Pamattiesību hartas 8. panta 3. punktu un Direktīvas 95/46 28. pantu ir kontrolēt, vai tiek ievērotas Savienības tiesību normas par fizisku personu aizsardzību saistībā ar personas datu apstrādi, ikviena no tām tātad ir apveltīta ar pilnvarām pārbaudīt, vai šo datu pārsūtīšanā no dalībvalsts, kurā tā darbojas, uz trešo valsti ir ievērotas ar šo direktīvu izvirzītās prasības.
(sal. ar 43.–45. un 47. punktu)
4. Komisija, pamatojoties uz Direktīvas 95/46 par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 25. panta 6. punktu, var pieņemt lēmumu, kurā konstatēts, ka trešā valsts nodrošina pienācīgu aizsardzības līmeni. Šāda lēmuma adresātes saskaņā ar šīs tiesību normas otro daļu ir dalībvalstis, kurām ir jāveic vajadzīgie pasākumi, lai atbilstu šī lēmuma prasībām. Saskaņā ar LESD 288. panta ceturto daļu tas ir saistošs visām dalībvalstīm adresātēm, kā arī visām to organizācijām, jo tā rezultātā tiek atļauta personas datu pārsūtīšana no dalībvalstīm uz šajā pašā lēmumā minētajām trešajām valstīm.
Tādējādi tikmēr, kamēr Komisijas lēmumu Tiesa, kas ir vienīgā kompetentā iestāde, kas var konstatēt Savienības tiesību akta spēkā neesamību, nav atzinusi par spēkā neesošu, dalībvalstis un to organizācijas, pie kurām ir pieskaitāmas neatkarīgas to uzraudzības iestādes, protams, nedrīkst veikt ar šādu lēmumu nesaderīgus pasākumus – piemēram, pieņemt tiesību aktus, kuros ar saistošām sekām būtu noteikts, ka minētajā lēmumā norādītajās trešajās valstīs netiek nodrošināts pienācīgs aizsardzības līmenis. Savienības iestāžu aktiem principā ir likumības prezumpcija, un tie tādējādi rada tiesiskas sekas tik ilgi, kamēr tie nav atsaukti, atcelti prasības atcelt tiesību aktu ietvaros vai pasludināti par spēkā neesošiem pēc prejudiciāla nolēmuma pieņemšanas vai iebildes par prettiesiskumu apmierināšanas.
Lai arī valsts tiesām, protams, ir likumīgas tiesības pārbaudīt Savienības tiesību aktu spēkā esamību, tās tomēr nav apveltītas ar pilnvarām, saskaņā ar kurām tās pašas konstatē šāda tiesību akta spēkā neesamību. Izskatot a fortiori prasību šīs direktīvas 28. panta 4. punkta izpratnē par šāda Komisijas lēmuma saderīgumu ar personu privātās dzīves neaizskaramības un pamatbrīvību un pamattiesību aizsardzību, valsts uzraudzības iestādes pašas nav tiesīgas konstatēt šāda lēmuma spēkā neesamību.
Pieņemot, ka minētā iestāde nonāk pie secinājuma, ka minētais šādas prasības atbalstam nav pamatots, un šī iemesla dēļ prasību noraida, personai, kas iesniegusi minēto prasību, – kā tas izriet no Direktīvas 95/46 28. panta 3. punkta otrās daļas, to lasot kopā ar Eiropas Savienības Pamattiesību hartas 47. pantu, – būtu jāvar piekļūt tiesību aizsardzības līdzekļiem tiesā, radot iespēju šo viņai nelabvēlīgo lēmumu apstrīdēt valstu tiesās. Šajos apstākļos, ja valsts tiesas uzskata, ka viens vai vairāki lietas dalībnieku norādītie Savienības tiesību akta spēkā neesamības pamati vai, ja tāds būtu gadījums, pamati, kas konstatēti pēc tiesas ierosmes, ir pamatoti, tām ir pienākums apturēt tiesvedību un vērsties Tiesā ar lūgumu sniegt prejudiciālu nolēmumu akta spēkā esamības izvērtēšanai.
Pretējā gadījumā, ja minētā iestāde par pamatotām atzīst iebildes, ko izvirzījusi persona, kas vērsusies prasību par tās tiesību un brīvību aizsardzību saistībā ar šo personas datu apstrādi, šai pašai iestādei atbilstoši Direktīvas 95/46 28. panta 3. punkta pirmās daļas trešajam ievilkumam, to lasot kopā ar Eiropas Savienības Pamattiesību hartas 8. panta 3. punktu, ir jāvar iesaistīties tiesvedībā. Šajā ziņā valsts likumdevēja ziņā ir paredzēt tiesiskās aizsardzības līdzekļus, kas valsts uzraudzības iestādei ļauj valstu tiesās izvirzīt iebildes, ko tā uzskata par pamatotām, lai šīs tiesas – ja arī tās piekrīt šīs iestādes šaubām par Komisijas lēmuma spēkā esamību – iesniegtu lūgumu sniegt prejudiciālu nolēmumu šī lēmuma spēkā esamības izvērtēšanas nolūkos.
(sal. ar 51., 52., 61., 62., 64. un 65. punktu)
5. Direktīvas 95/46 par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 25. panta 6. punkts, to lasot kopā ar Eiropas Savienības Pamattiesību hartas 7., 8. un 47. pantu, ir jāinterpretē tādējādi, ka saskaņā ar šo tiesību normu pieņemts lēmums, kurā Komisija konstatē, ka trešā valsts nodrošina pienācīgu aizsardzības līmeni, nerada šķēršļus tam, lai dalībvalsts uzraudzības iestāde šīs direktīvas 28. panta izpratnē izskatītu personas prasību par tās tiesību un brīvību aizsardzību saistībā ar to personas datu apstrādi, kas attiecas uz šo personu un kuri ir tikuši vai var tikt pārsūtīti no dalībvalsts uz šo trešo valsti, ja šī persona norāda, ka tajā spēkā esošās tiesības un prakse nenodrošina pienācīgu aizsardzības līmeni.
Pretējā gadījumā personām, kuru personas dati ir tikuši vai varētu tikt pārsūtīti uz attiecīgo trešo valsti, tiktu liegtas Eiropas Savienības Pamattiesību hartas 8. panta 1. un 3. punktā garantētās tiesības vērsties valsts uzraudzības iestādēs ar prasību aizsargāt viņu pamattiesības.
Turklāt prasība Direktīvas 95/46 28. panta 4. punkta izpratnē, kurā šāda persona norāda, ka šīs trešās valsts tiesības un prakse, neraugoties uz to, ko Komisija ir konstatējusi šīs direktīvas 25. panta 6. punktā, nenodrošina pienācīgu aizsardzības līmeni, ir jāsaprot kā tāda, kas būtībā attiecas uz šī lēmuma saderīgumu ar personu privātās dzīves neaizskaramību un pamattiesību un pamatbrīvību aizsardzību. Šajos apstākļos, ja persona, kuras personas dati ir tikuši vai var tikt pārsūtīti uz trešo valsti, par kuru Komisija saskaņā ar Direktīvas 95/46 25. panta 6. punktu ir pieņēmusi lēmumu, vēršas valsts uzraudzības iestādē ar šādu prasību, šai iestādei minētā prasība ir jāizskata ar vislielāko rūpību.
(sal. ar 58., 59., 63. un 66. punktu un rezolutīvās daļas 1) punktu)
6. Direktīvas 95/46 par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 25. panta 6. punktā atrodamā frāze “pienācīgs aizsardzības līmenis” būtu jāsaprot kā tāds, kur šī trešā valsts tik tiešām, pamatojoties uz savu iekšējo tiesisko kārtību vai starptautiskajām saistībām, ko tā uzņēmusies, nodrošina būtībā ekvivalentu pamatbrīvību un pamattiesību aizsardzības līmeni, kāds saskaņā ar šo direktīvu, to lasot Eiropas Savienības Pamattiesību hartas gaismā, ir garantēts Savienībā.
Šajos apstākļos vērtējumā par trešās valsts piedāvāto aizsardzības līmeni Komisijai ir jāizvērtē to šajā valstī piemērojamo tiesību normu saturs, kas izriet no iekšējiem tiesību aktiem vai starptautiskām saistībām, ko tā uzņēmusies, kā arī prakse, kuras mērķis ir nodrošināt šo normu ievērošanu, un šai iestādei atbilstoši Direktīvas 95/46 25. panta 2. punktam ir jāņem vērā visi ar personas datu pārsūtīšanu uz trešo valsti saistītie apstākļi. Tāpat, ņemot vērā, ka trešās valsts nodrošinātais aizsardzības līmenis, iespējams, var mainīties, Komisijai pēc lēmuma pieņemšanas atbilstīgi Direktīvas 95/46 25. panta 6. punktam periodiski ir jāpārbauda, vai konstatētais saistībā ar aplūkotās trešās valsts nodrošināto pienācīgo aizsardzības līmeni vēl joprojām ir faktiski un juridiski pamatots. Vajadzība pēc šāda vērtējuma katrā ziņā rodas, ja norādes rada šaubas šai sakarā.
Ņemot vērā, pirmkārt, nozīmīgo lomu, kāda personas datu aizsardzībai ir attiecībā uz pamattiesībām uz privātās dzīves neaizskaramību, un, otrkārt, lielo skaitu personu, kuru pamattiesības, iespējams, var tikt pārkāptas, personas datus pārsūtot uz trešajām valstīm, kurā nav nodrošināts pienācīgs aizsardzības līmenis, Komisijas pārbaudes pilnvaras saistībā ar šādu līmeni ir ierobežotas, tādēļ ir jāveic stingra no Direktīvas 95/46 25. panta, to lasot Eiropas Savienības Pamattiesību hartas gaismā, izrietošo prasību pārbaude.
(sal. ar 73., 75., 76. un 78. punktu)
7. Saskaņā ar Direktīvas 95/46 par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 25. panta 6. punktu pieņemts Komisijas lēmums – kā Lēmums 2000/520 par pienācīgu aizsardzību, kas noteikta ar privātuma “drošības zonas” principiem un attiecīgajiem visbiežāk uzdotajiem jautājumiem, kurus izdevusi Amerikas Savienoto Valstu Tirdzniecības ministrija, prasa pienācīgi pamatotu šīs iestādes secinājumu par to, ka attiecīgā trešā valsts tik tiešām, pamatojoties uz savu iekšējo tiesisko kārtību vai starptautiskajām saistībām, ko tā uzņēmusies, nodrošina būtībā ekvivalentu pamatbrīvību un pamattiesību aizsardzības līmeni, kāds ir garantēts Savienībā.
Taču tā, kā Komisija savā Lēmumā 2000/520 to nav darījusi, šī lēmuma 1. pants neatbilst Direktīvas 95/46 25. panta 6. punktā, to lasot kopā ar Eiropas Savienības Pamattiesību hartu, noteiktajām prasībām un šī iemesla dēļ nav spēkā. Faktiski šos privātuma “drošības zonas” principus piemēro tikai pašsertificētām ASV organizācijām, kas personas datus saņem no Savienības, neizvirzot prasību, lai ASV iestādes minētos principus ievērotu. Turklāt ar Lēmumu 2000/520 ir radīta iespēja, pamatojoties uz prasībām, kas saistītas ar valsts drošību un sabiedrības interesēm vai ASV iekšējo tiesisko regulējumu, iejaukties to personu pamattiesībās, kuru personas dati ir vai var tikt pārsūtīti no Savienības uz ASV, un tajā nav secinājuma par to, ka ASV ir spēkā valsts tiesību akti, kuru mērķis ir ierobežot iespējamo iejaukšanos to personu pamattiesībās, un nav runas par efektīvas tiesiskās aizsardzības pret šāda veida iejaukšanos esamību.
Pieņemdama Lēmuma 2000/520 3. pantu, Komisija ir arī pārsniegusi savas Direktīvas 95/46 25. panta 6. punktā, to lasot Eiropas Savienības Pamattiesību hartas gaismā, piešķirtās kompetences robežas; no tā izriet, ka pants nav spēkā. Faktiski šis pants ir jāsaprot kā tāds, ar kuru valsts uzraudzības iestādēm tiek atņemtas kontroles pilnvaras, ar kurām tās atbilstoši Direktīvas 95/46 28. pantam ir apveltītas gadījumā, kad persona saskaņā ar šo tiesību normu iesniegtā prasībā izvirza apsvērumus, ar kuriem tiek apšaubīts tāda Komisijas lēmuma saderīgums ar privātās dzīves neaizskaramības un personu pamatbrīvību un pamattiesību aizsardzību, kurā, pamatojoties uz šīs direktīvas 25. panta 6. punktu, ir konstatēts, ka trešā valsts nodrošina pienācīgu aizsardzības līmeni. Izpildes pilnvaras, ko Savienības likumdevējs Direktīvas 95/46 25. panta 6. punktā ir piešķīris Komisijai, šai iestādei nepiešķir kompetenci ierobežot minētās valsts uzraudzības iestāžu pilnvaras.
Tā kā Lēmuma 2000/520 1. un 3. pants nav nodalāmi no šī lēmuma 2. un 4. panta, kā arī tā pielikumiem, to spēkā neesamības rezultātā spēku zaudē arī lēmums kopumā.
(sal. ar 82., 87.–89., 96.–98. un 102.–105. punktu un rezolutīvās daļas 2) punktu)
8. Savienības tiesiskajā regulējumā, kurā ir ietverta iejaukšanās Eiropas Savienības Pamattiesību hartas 7. un 8. pantā garantētajās pamattiesībās, saskaņā ar Tiesas pastāvīgo judikatūru ir jāparedz skaidri un precīzi noteikumi, kas reglamentētu attiecīgā pasākuma apjomu un piemērošanu un noteiktu minimālās prasības tādējādi, lai personām, kuru personas dati ir tikuši skarti, būtu pietiekamas garantijas, kas ļautu to personas datus efektīvi aizsargāt pret ļaunprātīgas izmantošanas risku, kā arī pret jebkādu nelikumīgu piekļuvi šiem datiem un to nelikumīgu izmantošanu. Šādu garantiju nepieciešamība ir vēl jo svarīgāka tādēļ, ka personas dati tiek apstrādāti automātiski un pastāv ievērojams nelikumīgas piekļuves šiem datiem risks. Turklāt un vispirmām kārtām, pamattiesību uz privātās dzīves neaizskaramību aizsardzības Savienības līmenī pamatā ir prasība, lai atkāpes no personas datu aizsardzības un tās ierobežojumi tiktu īstenoti absolūti nepieciešamā ietvaros.
Tā līdz absolūti nepieciešamajam nav ierobežots tiesiskais regulējums, saskaņā ar kuru vispārīgi tiek pieļauta visu to personu personas datu saglabāšana, kuru dati no Savienības ir pārsūtīti – nešķirojot, bez ierobežojumiem vai izņēmumiem saistībā ar mērķi, kam tie kalpo, vai neparedzot objektīvus kritērijus, kas valsts iestāžu piekļuvi datiem un to vēlāku izmantošanu ļauj ierobežot precīziem, strikti ierobežotiem un tādiem mērķiem, kas pamato gan piekļuvi šiem datiem, gan arī to izmantošanu.
It īpaši tiesiskais regulējums, saskaņā ar kuru valsts iestādēm vispārīgi tiek ļauts piekļūt elektronisko komunikāciju saturam, ir jāuzskata par tādu, kas apdraud pašu Eiropas Savienības Pamattiesību hartas 7. pantā garantēto pamattiesību uz privātās dzīves neaizskaramību būtību.
Tāpat tiesiskajā regulējumā, kurā indivīdiem nav paredzētas nekādas iespējas likt lietā tiesību aizsardzības līdzekļus, lai piekļūtu personas datiem, kas uz tiem attiecas, vai panākt šādu datu labošanu vai dzēšanu, nav ņemta vērā Eiropas Savienības Pamattiesību hartas 47. pantā iedibināto pamattiesību uz efektīvu aizsardzību tiesā būtība. Faktiski šī panta pirmajā daļā ir noteikts, ka ikvienai personai, kuras tiesības un brīvības, kas garantētas Savienības tiesībās, tikušas pārkāptas, ir tiesības uz efektīvu tiesību aizsardzību tiesā, ievērojot nosacījumus, kuri paredzēti šajā pantā. Šai sakarā pārbaude tiesā, kuras mērķis ir nodrošināt Savienības tiesību normu ievērošanu, ir raksturīga tiesiskai valstij.
(sal. ar 91.–95. punktu)