Věc C‑311/18
Data Protection Commissioner
v.
Facebook Ireland Ltd
a
Maximillian Schrems
[žádost o rozhodnutí o předběžné otázce podaná High Court (Vrchní soud, Irsko)]
Rozsudek Soudního dvora (velkého senátu) ze dne 16. července 2020
„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Listina základních práv Evropské unie – Články 7, 8 a 47 – Nařízení (EU) 2016/679 – Článek 2 odst. 2 – Působnost – Předávání osobních údajů do třetích zemí pro obchodní účely – Článek 45 – Rozhodnutí Komise o odpovídající ochraně – Článek 46 – Předávání založené na vhodných zárukách – Článek 58 – Pravomoci dozorových úřadů – Zpracování předávaných údajů orgány veřejné moci třetí země pro účely národní bezpečnosti – Posouzení odpovídající úrovně ochrany ve třetí zemi – Rozhodnutí 2010/87/EU – Standardní doložky o ochraně pro předávání osobních údajů do třetích zemí – Vhodné záruky poskytnuté správcem – Platnost – Prováděcí rozhodnutí (EU) 2016/1250 – Odpovídající úroveň ochrany poskytovaná štítem Evropská unie-USA na ochranu soukromí – Platnost – Stížnost fyzické osoby, jejíž osobní údaje byly předány z Evropské unie do Spojených států“
1. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Působnost – Pojem „zpracování osobních údajů“ – Předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi – Zahrnutí – Údaje, které mohou být zpracovány orgány dotyčné třetí země pro účely národní bezpečnosti – Neexistence vlivu
[Nařízení Evropského parlamentu a Rady 2016/679, čl. 2 odst. 1 a odst. 2 písm. a), b) a d) a čl. 4 bod 2)]
(viz body 82, 83, 85–89, výrok 1)
2. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Předávání osobních údajů do třetích zemí – Předávání založené na vhodných zárukách, na základě standardních smluvních doložek o ochraně osobních údajů – Pojem „odpovídající úroveň ochrany, kterou musí dotyčná třetí země zajistit při takovém předávání“ – Výklad vzhledem k unijnímu právu – Kritéria pro posouzení
[Listina základních práv Evropské unie, čl. 52 odst. 3; nařízení Evropského parlamentu a Rady 2016/679, čl. 46 odst. 1 a odst. 2 písm. c)]
(viz body 92–96, 98–101, 103–105, výrok 2)
3. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Předávání osobních údajů do třetích zemí – Předávání založené na vhodných zárukách, na základě standardních smluvních doložek o ochraně osobních údajů – Vnitrostátní dozorové úřady – Pravomoci – Dozor nad předáváním osobních údajů do třetích zemí – Povinnost dočasně nebo trvale zakázat takové předávání v případě nedodržení odpovídající úrovně ochrany v dotyčné třetí zemi – Podmínky
[Listina základních práv Evropské unie, čl. 8 odst. 3; nařízení Evropského parlamentu a Rady 2016/679, články 45 a 46, čl. 51 odst. 1, čl. 57 odst. 1 písm. a) a f) a čl. 58 odst. 1 a odst. 2 písm. f) a j)]
(viz body 107, 108, 112–121, výrok 3)
4. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Předávání osobních údajů do třetích zemí – Předávání založené na vhodných zárukách, na základě standardních smluvních doložek o ochraně osobních údajů – Rozhodnutí 2010/87, kterým se stanoví standardní smluvní doložky pro předávání osobních údajů do třetích zemí – Vhodné záruky poskytnuté správci takových údajů usazenými v Unii a dozorovými úřady – Povinnost těchto úřadů dočasně nebo trvale zakázat takové předávání v případě nedodržení těchto doložek – Právo na respektování soukromého života, právo na ochranu osobních údajů a právo na účinnou právní ochranu – Absence porušení – Platnost rozhodnutí
[Listina základních práv Evropské unie, články 7, 8 a 47; nařízení Evropského parlamentu a Rady 2016/679, čl. 46 odst. 1 a odst. 2 písm. c); rozhodnutí Komise 2010/87, příloha]
(viz body 128–130, 133–145, 148, 149, výrok 4)
5. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Předávání osobních údajů do třetích zemí – Přijetí rozhodnutí Komise, v němž tento orgán konstatuje, že třetí země zajišťuje odpovídající úroveň ochrany – Rozhodnutí 2016/1250 konstatující odpovídající úroveň ochrany poskytované štítem Evropská unie-USA na ochranu soukromí – Vnitrostátní dozorový úřad projednávající žádost zpochybňující odpovídající úroveň ochrany ve třetí zemi – Povinnost tohoto úřadu posoudit žádost – Přezkum platnosti rozhodnutí 2016/1250
(Článek 288 čtvrtý pododstavec SFEU; nařízení Evropského parlamentu a Rady 2016/679, čl. 45 odst. 3 a čl. 77 odst. 1; rozhodnutí Komise 2016/1250, příloha II)
(viz body 151–161)
6. Základní práva – Listina základních práv Evropské unie – Respektování soukromého života – Ochrana osobních údajů – Ukládání osobních údajů a jejich zpřístupňování za účelem jejich použití orgány veřejné moci – Zásah do těchto základních práv – Omezení výkonu těchto práv – Dodržení zásady proporcionality
(Listina základních práv Evropské unie, články 7 a 8 a čl. 52 odst. 1 věta druhá; nařízení Evropského parlamentu a Rady 2016/679)
(viz body 170–176)
7. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Předávání osobních údajů do třetích zemí – Přijetí rozhodnutí Komise, v němž tento orgán konstatuje, že třetí země zajišťuje odpovídající úroveň ochrany – Rozhodnutí 2016/1250 konstatující odpovídající úroveň ochrany poskytované štítem Evropská unie-USA na ochranu soukromí – Neexistence úrovně ochrany, která je v zásadě rovnocenná úrovni ochrany zajištěné v unijním právu – Porušení práva osob dotčených takovým předáváním na respektování soukromého života, na ochranu osobních údajů a na účinnou právní ochranu – Vytvoření mechanismu ombudsmana v rámci štítu na ochranu soukromí – Neexistence dopadu na porušení práva na účinnou právní ochranu – Neplatnost rozhodnutí
[Listina základních práv Evropské unie, články 7, 8 a 47 a čl. 52 odst. 1 věta druhá; nařízení Evropského parlamentu a Rady 2016/679, čl. 45 odst. 2 písm. a) a odst. 3; rozhodnutí Komise 2016/1250, příloha II]
(viz body 180–185, 187–192, 195–201, výrok 5)
8. Předběžné otázky – Posouzení platnosti – Prohlášení neplatnosti unijního aktu – Rozhodnutí 2016/1250 konstatující odpovídající úroveň ochrany poskytované štítem Evropská unie-USA na ochranu soukromí – Účinky – Omezení v čase – Absence
(Článek 267 SFEU; nařízení Evropského parlamentu a Rady 2016/679, článek 49; rozhodnutí Komise 2016/1250)
(viz bod 202)
Shrnutí
Soudní dvůr prohlašuje rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU‑USA na ochranu soukromí za neplatné
Naproti tomu rozhodnutí Komise 2010/87 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích je platné
Obecné nařízení o ochraně osobních údajů(1) (GDPR) stanoví, že k předávání takových údajů do třetí země může dojít v zásadě jen tehdy, pokud dotyčná třetí země zajistí odpovídající úroveň ochrany těchto údajů. Podle uvedeného nařízení může Komise konstatovat, že určitá třetí země zajišťuje na základě svých vnitrostátních předpisů nebo mezinárodních závazků odpovídající úroveň ochrany(2). Jestliže takové rozhodnutí o odpovídající ochraně neexistuje, mohou být osobní údaje předávány jen tehdy, pokud jejich vývozce usazený v Unii poskytl vhodné záruky, které mohou vyplývat zejména ze standardních doložek o ochraně osobních údajů přijatých Komisí, a za podmínky, že subjekty údajů mají k dispozici vymahatelná práva a účinnou právní ochranu(3). GDPR dále přesně stanoví podmínky, za kterých mohou být údaje předávány v situaci, kdy neexistuje ani rozhodnutí o odpovídající ochraně, ani vhodné záruky(4).
Maximillian Schrems, rakouský státní příslušník s bydlištěm v Rakousku, je od roku 2008 uživatelem sociální sítě Facebook. Osobní údaje M. Schremse jsou – stejně jako osobní údaje ostatních uživatelů, kteří mají bydliště na území Unie – zcela nebo zčásti přenášeny společností Facebook Ireland na servery ve vlastnictví společnosti Facebook Inc. umístěné na území Spojených států, kde jsou zpracovávány. Maximillian Schrems podal u irského dozorového úřadu stížnost, kterou se v zásadě domáhal zákazu těchto přenosů. Tvrdil, že právní předpisy a praxe ve Spojených státech neposkytují dostatečnou ochranu před přístupem orgánů veřejné moci k osobním údajům předávaným do této země. Tato stížnost byla zamítnuta, a to zejména proto, že Komise ve svém rozhodnutí 2000/520(5) (tzv. rozhodnutí o bezpečném přístavu) konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany. Rozsudkem ze dne 6. října 2015 Soudní dvůr na základě žádosti o rozhodnutí o předběžné otázce podané High Court (vrchní soud, Irsko) rozhodl, že toto rozhodnutí je neplatné (dále jen „rozsudek Schrems I“)(6).
Po vydání rozsudku Schrems I a poté, co irský soud zrušil rozhodnutí o zamítnutí stížnosti M. Schremse, irský dozorový úřad M. Schremse vyzval, aby s ohledem na to, že Soudní dvůr prohlásil rozhodnutí 2000/520 za neplatné, svou stížnost přeformuloval. Maximillian Schrems v přeformulované stížnosti setrval na tom, že Spojené státy neposkytují dostatečnou ochranu osobních údajů předávaných do této země. Žádal, aby irský dozorový úřad do budoucna dočasně nebo trvale zakázal předávání jeho osobních údajů z Unie do Spojených států, které společnost Facebook Ireland nově uskutečňovala na základě standardních doložek o ochraně uvedených v příloze rozhodnutí 2010/87(7). Irský dozorový úřad dospěl k názoru, že vyřízení stížnosti M. Schremse závisí mimo jiné na platnosti rozhodnutí 2010/87, a tak podal k High Court (vrchní soud) návrh na to, aby Soudnímu dvoru předložil žádost o rozhodnutí o předběžné otázce. V době, kdy uvedené řízení již probíhalo, přijala Komise rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU‑USA na ochranu soukromí(8) (tzv. rozhodnutí o štítu na ochranu soukromí).
Předkládající soud se prostřednictvím své žádosti o rozhodnutí o předběžné otázce Soudního dvora táže, zda se na předávání osobních údajů prováděné na základě standardních doložek o ochraně uvedených v rozhodnutí 2010/87 použije GDPR, jaká je úroveň ochrany vyžadovaná tímto nařízením při takovém předávání a jaké povinnosti mají v tomto kontextu dozorové úřady. High Court také vznáší otázku platnosti rozhodnutí 2010/87 a rozhodnutí 2016/1250.
Dnešním rozsudkem Soudní dvůr konstatuje, že přezkum rozhodnutí 2010/87 vzhledem k Listině základních práv neodhalil žádnou skutečnost, která by mohla mít dopad na jeho platnost. Rozhodnutí 2016/1250 naopak prohlašuje za neplatné.
Soudní dvůr má předně za to, že unijní právo, a zejména GDPR, se uplatní na předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi i tehdy, když tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu. Upřesňuje, že takové zpracování údajů orgány třetí země nemůže toto předávání vyloučit z působnosti GDPR.
K úrovni ochrany vyžadované při takovém předávání Soudní dvůr rozhodl, že požadavky, které pro tyto účely stanoví GDPR a které souvisejí s vhodnými zárukami, vymahatelnými právy a účinnou právní ochranou, musí být vykládány v tom smyslu, že na osoby, jejichž osobní údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, se musí vztahovat úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii tímto nařízením ve spojení s Listinou. V tomto kontextu upřesňuje, že při posuzování této úrovně ochrany je třeba vzít v úvahu jednak smluvní ujednání mezi vývozcem osobních údajů usazeným v Unii a příjemcem předávaných údajů usazeným v dotyčné třetí zemi a jednak – v souvislosti s případným přístupem orgánů veřejné moci této třetí země k takto předávaným osobním údajům – relevantní prvky právního řádu této země.
Co se týče povinností, které při takovém předávání mají dozorové úřady, Soudní dvůr rozhodl, že pokud neexistuje rozhodnutí o odpovídající ochraně platně přijaté Komisí, jsou tyto dozorové úřady zejména povinny dočasně nebo trvale zakázat předávání osobních údajů do třetí země, jestliže na základě všech okolností daného předávání dospějí k názoru, že standardní doložky o ochraně osobních údajů nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem nemůže být v případě, že předávání nepozastavil nebo neukončil sám vývozce osobních údajů usazený v Unii, zajištěna jinými prostředky.
Soudní dvůr se dále zabývá platností rozhodnutí 2010/87. Podle Soudního dvora nelze platnost tohoto rozhodnutí zpochybnit jen na základě skutečnosti, že v něm obsažené standardní doložky o ochraně osobních údajů nemohou v důsledku své smluvní povahy zavazovat orgány třetí země, do které mohou být osobní údaje předány. Tato platnost naproti tomu závisí podle Soudního dvora na tom, zda uvedené rozhodnutí obsahuje účinné mechanismy, které v praxi umožní zajistit dodržování úrovně ochrany vyžadované unijním právem a v případě, že by došlo k porušení takových doložek nebo k nemožnosti je dodržet, dočasně nebo trvale zakázat předávání osobních údajů na jejich základě. Soudní dvůr konstatuje, že rozhodnutí 2010/87 takové mechanismy zavádí. V této souvislosti vyzdvihuje především skutečnost, že toto rozhodnutí stanoví povinnost vývozce osobních údajů a příjemce předávaných údajů předem ověřit, že v dotyčné třetí zemi je tato úroveň ochrany dodržena, a dále povinnost příjemce případně informovat vývozce osobních údajů, pokud nebude moci zajistit dodržování standardních doložek o ochraně, přičemž vývozce musí v takovém případě pozastavit předávání údajů nebo odstoupit od smlouvy s příjemcem.
Soudní dvůr konečně přezkoumává platnost rozhodnutí 2016/1250 vzhledem k požadavkům vyplývajícím z GDPR ve spojení s ustanoveními Listiny, která zaručují respektování soukromého a rodinného života, ochranu osobních údajů a právo na účinnou soudní ochranu. V tomto ohledu poukazuje Soudní dvůr na to, že toto rozhodnutí – stejně jako rozhodnutí 2000/520 – zakotvuje přednost požadavků národní bezpečnosti, veřejného zájmu nebo prosazování zákonů Spojených států, čímž umožňuje zásahy do základních práv osob, jejichž osobní údaje jsou předávány do této třetí země. Soudní dvůr má za to, že omezení ochrany osobních údajů, která plynou z vnitrostátních právních předpisů Spojených států upravujících přístup k takovým údajům předávaným z Unie do této třetí země a jejich použití orgány veřejné moci USA a která Komise posuzovala v rozhodnutí 2016/1250, nejsou upravena takovým způsobem, aby odpovídala požadavkům, které jsou v zásadě rovnocenné požadavkům vyžadovaným v unijním právu zásadou proporcionality, protože sledovací programy prováděné na základě těchto předpisů se neomezují na to, co je nezbytně nutné. Soudní dvůr na základě zjištění uvedených v tomto rozhodnutí poukazuje na to, že v souvislosti s některými sledovacími programy nevyplývá ze zmíněných právních předpisů, že by existovala sebemenší omezení pro jimi stanovené zmocnění k provádění těchto programů nebo že by existovaly záruky pro osoby, které nejsou osobami USA a na které se tyto programy mohou vztahovat. Soudní dvůr dodává, že tyto předpisy sice stanoví požadavky, které při provádění dotčených sledovacích programů musí americké orgány respektovat, avšak subjektům údajů nepřiznávají práva vymahatelná vůči orgánům USA před soudy.
K požadavku soudní ochrany Soudní dvůr uvedl, že mechanismus ombudsmana zmíněný v rozhodnutí 2016/1250 těmto osobám neposkytuje – ačkoli Komise dospěla v uvedeném rozhodnutí k opačnému závěru – prostředek nápravy u orgánu, jenž by skýtal záruky, které jsou v zásadě rovnocenné zárukám vyžadovaným v unijním právu, tak aby byla zajištěna nezávislost úřadu ombudsmana zřízeného tímto mechanismem i existence norem přiznávajících ombudsmanovi pravomoc přijímat rozhodnutí, která budou pro americké zpravodajské služby závazná. Ze všech těchto důvodů Soudní dvůr rozhodl, že rozhodnutí 2016/1250 je neplatné.