ROZSUDEK SOUDNÍHO DVORA (velkého senátu)
16. července 2020(*)
„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Listina základních práv Evropské unie – Články 7, 8 a 47 – Nařízení (EU) 2016/679 – Článek 2 odst. 2 – Působnost – Předávání osobních údajů do třetích zemí pro obchodní účely – Článek 45 – Rozhodnutí Komise o odpovídající ochraně – Článek 46 – Předávání založené na vhodných zárukách – Článek 58 – Pravomoci dozorových úřadů – Zpracování předávaných údajů orgány veřejné moci třetí země pro účely národní bezpečnosti – Posouzení odpovídající úrovně ochrany ve třetí zemi – Rozhodnutí 2010/87/EU – Standardní doložky o ochraně pro předávání osobních údajů do třetích zemí – Vhodné záruky poskytnuté správcem – Platnost – Prováděcí rozhodnutí (EU) 2016/1250 – Odpovídající úroveň ochrany poskytovaná štítem Evropská unie‑USA na ochranu soukromí – Platnost – Stížnost fyzické osoby, jejíž osobní údaje byly předány z Evropské unie do Spojených států“
Ve věci C‑311/18,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce na základě článku 267 SFEU, podaná rozhodnutím High Court (Vrchní soud, Irsko) ze dne 4. května 2018, došlým Soudnímu dvoru dne 9. května 2018, v řízení
Data Protection Commissioner
proti
Facebook Ireland Ltd,
Maximillianu Schremsovi,
za účasti:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance Inc.,
Digitaleurope,
SOUDNÍ DVŮR (velký senát),
ve složení K. Lenaerts, předseda, R. Silva de Lapuerta, místopředsedkyně, A. Arabadžev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P. G. Xuereb, L. S. Rossi a I. Jarukaitis, předsedové senátů, M. Ilešič, T. von Danwitz (zpravodaj) a D. Šváby, soudci,
generální advokát: H. Saugmandsgaard Øe,
vedoucí soudní kanceláře: C. Strömholm, radová,
s přihlédnutím k písemné části řízení a po jednání konaném dne 9. července 2019,
s ohledem na vyjádření předložená:
– za Data Protection Commissioner D. Youngem, solicitor, B. Murrayem, SC, M. Collinsem, SC, a C. Donnelly, BL,
– za Facebook Ireland Ltd P. Gallagherem a N. Hyland, SC, A. Mulligan a F. Kieranem, BL, jakož i P. Nolanem, C. Monaghanem, C. O’Neillem a R. Woulfem, solicitors,
– za M. Schremse H. Hofmannem, Rechtsanwalt, E. McCulloughem, J. Dohertym a S. O’Sullivanem, SC, jakož i G. Ruddenem, solicitor,
– za The United States of America E. Barrington, SC, S. Kingston, BL, jakož i S. Bartonem a B. Walshem, solicitors,
– za Electronic Privacy Information Centre S. Lucey, solicitor, G. Gilmore a A. Butlerem, BL, jakož i C. O’Dwyerem, SC,
– za BSA Business Software Alliance Inc. B. Van Voorenem a K. Van Quathemem, advocaten,
– za Digitaleurope N. Cahill, barrister, J. Cahirem, solicitor, a M. Cushem, SC,
– za Irsko A. Joycem a M. Browne, jako zmocněnci, ve spolupráci s D. Fennellym, BL,
– za belgickou vládu J.-C. Halleuxem a P. Cottinem, jako zmocněnci,
– za českou vládu M. Smolkem, J. Vláčilem, O. Serdulou a A. Kasalickou, jako zmocněnci,
– za německou vládu J. Möllerem, D. Klebsem a T. Henzem, jako zmocněnci,
– za francouzskou vládu A.-L. Desjonquères, jako zmocněnkyní,
– za nizozemskou vládu C. S. Schillemans, M. K. Bulterman a M. Noort, jako zmocněnkyněmi,
– za rakouskou vládu J. Schmoll a G. Kunnertem, jako zmocněnci,
– za polskou vládu B. Majczynou, jako zmocněncem,
– za portugalskou vládu L. Inez Fernandesem, A. Pimenta a C. Vieira Guerra, jako zmocněnci,
– za vládu Spojeného království S. Brandonem, jako zmocněncem, ve spolupráci s J. Holmesem, QC, a C. Knightem, barrister,
– za Evropský parlament M. J. Martínez Iglesias a A. Caiolou, jako zmocněnci,
– za Evropskou komisi D. Nardim, H. Krämerem a H. Kranenborgem, jako zmocněnci,
– za Evropský sbor pro ochranu osobních údajů (EDPB) A. Jelinek a K. Behnem, jako zmocněnci,
po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 19. prosince 2019,
vydává tento
Rozsudek
1 Žádost o rozhodnutí o předběžné otázce se v podstatě týká:
– výkladu čl. 3 odst. 2 první odrážky, článků 25 a 26, jakož i čl. 28 odst. 3 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355) ve spojení s čl. 4 odst. 2 SEU a s články 7, 8 a 47 Listiny základních práv Evropské unie (dále jen „Listina“),
– výkladu a platnosti rozhodnutí Komise 2010/87/EU ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46 (Úř. věst. 2010, L 39, s. 5), ve znění prováděcího rozhodnutí Komise (EU) 2016/2297 ze dne 16. prosince 2016 (Úř. věst. 2016, L 344, s. 100) (dále jen „rozhodnutí o SSD“), a
– výkladu a platnosti prováděcího rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46 o odpovídající úrovni ochrany poskytované štítem EU‑USA na ochranu soukromí (Úř. věst. 2016, L 207, s. 1; dále jen „rozhodnutí o štítu na ochranu soukromí“).
2 Tato žádost byla předložena v rámci sporu mezi Data Protection Commissioner (komisař pro ochranu údajů, Irsko) (dále jen „komisař“ nebo „komisařka“) na straně jedné a společností Facebook Ireland Ltd a Maximillianem Schremsem na straně druhé týkajícího se stížnosti M. Schremse na předávání jeho osobních údajů společností Facebook Ireland společnosti Facebook Inc. do Spojených států.
Právní rámec
Směrnice 95/46
3 Článek 3 směrnice 95/46, nadepsaný „Oblast působnosti“, v odstavci 2 stanovil:
„Tato směrnice se nevztahuje na zpracování osobních údajů:
– prováděné pro výkon činností, které nespadají do oblasti působnosti práva Společenství a jsou uvedeny [které nespadají do oblasti působnosti práva Společenství, jako jsou činnosti uvedené] v hlavě V a VI Smlouvy o Evropské unii, a v každém případě na zpracování, které se týká veřejné bezpečnosti, obrany, bezpečnosti státu (včetně hospodářské stability státu, pokud jsou tato zpracování spojená s otázkami bezpečnosti státu) a činnosti státu v oblasti trestního práva,
[…]“
4 Článek 25 této směrnice stanovil:
„1. Členské státy stanoví, že k předávání osobních údajů […] do třetích zemí může dojít, aniž by tím bylo dotčeno dodržování vnitrostátních předpisů přijatých na základě ostatních ustanovení této směrnice, pouze pokud dotyčná třetí země zajistí odpovídající úroveň ochrany.
2. Odpovídající úroveň ochrany poskytovaná třetí zemí se posoudí s ohledem na všechny okolnosti související s předáním nebo předáváním údajů; […]
[…]
6. Postupem podle čl. 31 odst. 2 Komise může konstatovat, že třetí země zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků sjednaných zejména na závěr jednání uvedených v odstavci 5 s cílem zajistit ochranu soukromí a základních práv a svobod osob.
Členské státy přijmou opatření nezbytná pro dosažení souladu s rozhodnutím Komise.“
5 V článku 26 odst. 2 a 4 uvedené směrnice bylo stanoveno:
„2. Aniž je tím dotčen odstavec 1, může členský stát povolit předání nebo předávání osobních údajů do třetí země, která nezajišťuje odpovídající úroveň ochrany ve smyslu čl. 25 odst. 2, pokud správce poskytne dostatečná ochranná opatření [dostatečné záruky] pro ochranu soukromí a základních práv a svobod osob, jakož i pro výkon odpovídajících práv; tato ochranná opatření [tyto záruky] mohou zejména vyplývat z vhodných smluvních doložek.
[…]
4. Pokud Komise rozhodne postupem podle čl. 31 odst. 2, že některé standardní smluvní doložky představují dostatečná ochranná opatření uvedená [dostatečné záruky uvedené] v odstavci 2, přijmou členské státy opatření nezbytná pro dosažení souladu s rozhodnutím Komise.“
6 Podle čl. 28 odst. 3 téže směrnice platilo:
„Každý orgán dozoru má zejména:
– pravomoci provádět šetření, jako například pravomoc přístupu k údajům, které jsou předmětem zpracování, a shromažďovat veškeré informace nezbytné pro splnění svého úkolu dozoru;
– pravomoci účinně zasáhnout, jako například zaujmout stanovisko před zahájením zpracování v souladu s článkem 20 a zajistit vhodné zveřejnění těchto stanovisek nebo pravomoc nařídit blokování, výmaz nebo zničení údajů nebo dočasně nebo trvale zakázat zpracování nebo pravomoc zaslat správci upozornění či napomenutí nebo pravomoc obrátit se na parlament členského státu či na jiné politické orgány;
– pravomoc obrátit se na soud v případě porušení vnitrostátních předpisů přijatých k provedení této směrnice nebo pravomoc oznámit tato porušení soudním orgánům.
[…]“
GDPR
7 Směrnice 95/46 byla zrušena a nahrazena nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46 (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, oprava Úř. věst. 2018, L 127, s. 2; dále jen „GDPR“).
8 Body 6, 10, 101, 103, 104, 107 až 109, 114, 116 a 141 odůvodnění GDPR znějí:
„(6) Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Fyzické osoby stále častěji své osobní údaje zveřejňují, a to i v globálním měřítku. Technologie změnily ekonomiku i společenský život a měly by dále usnadňovat volný pohyb osobních údajů v rámci Unie a předávání do třetích zemí a mezinárodním organizacím a zároveň zajistit vysokou úroveň ochrany osobních údajů.
[…]
(10) S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci Unie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů. Pokud jde o zpracování osobních údajů z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, měly by mít členské státy možnost zachovat či zavést vnitrostátní předpisy za účelem dále konkretizovat uplatňování pravidel tohoto nařízení. Ve spojení s obecnými a horizontálními právními předpisy o ochraně údajů provádějícími směrnici 95/46/ES existuje v členských státech několik právních předpisů specifických pro určitá odvětví v oblastech, ve kterých je třeba přijmout konkrétnější ustanovení. Toto nařízení rovněž poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně pravidel pro zpracování zvláštních kategorií osobních údajů (‚citlivé osobní údaje‘). V tomto rozsahu nařízení nevylučuje, aby právo členského státu stanovilo okolnosti konkrétních situací, při nichž dochází ke zpracování, včetně přesnějšího určení podmínek, za nichž je zpracování osobních údajů zákonné.
[…]
(101) Pro rozvoj mezinárodního obchodu a mezinárodní spolupráce jsou nezbytné toky osobních údajů do zemí mimo Unii a do mezinárodních organizací a z těchto zemí a organizací. Nárůst těchto toků s sebou přinesl nové výzvy a obavy týkající se ochrany osobních údajů. Pokud jsou však osobní údaje předávány z Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, neměla by být úroveň ochrany fyzických osob zajištěná v Unii tímto nařízením oslabována, a to ani v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci. V každém případě lze předání do třetích zemí a mezinárodním organizacím provést pouze za plného dodržování tohoto nařízení. K předání by mělo docházet pouze tehdy, pokud s výhradou ostatních ustanovení tohoto nařízení správce nebo zpracovatel splňují podmínky stanovené v tomto nařízení vztahující se na předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.
[…]
(103) Komise by měla být schopna s účinkem pro celou Unii rozhodnout, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace poskytují odpovídající úroveň ochrany osobních údajů, a zajistit tak právní jistotu a jednotný přístup v celé Unii ve vztahu k dané třetí zemi nebo mezinárodní organizaci, u níž se má za to, že takovou úroveň ochrany poskytuje. V těchto případech by mělo být možné předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat další povolení. Komise by měla být schopna rovněž rozhodnout o zrušení takového rozhodnutí, pokud o tom dotčenou třetí zemi nebo mezinárodní organizaci vyrozumí s plným uvedením důvodů.
(104) V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla při svém hodnocení určité třetí země nebo určitého území nebo konkrétního odvětví v určité třetí zemi zohlednit skutečnost, jak tato třetí země dodržuje zásady právního státu a přístupu ke spravedlnosti, jakož i mezinárodní normy a standardy v oblasti lidských práv a příslušné obecné a odvětvové právní předpisy, včetně právních předpisů týkajících se veřejné bezpečnosti, obrany a národní bezpečnosti, jakož i veřejného pořádku a trestního práva. Přijetí rozhodnutí o odpovídající ochraně ve vztahu k určitému území nebo konkrétnímu odvětví v určité třetí zemi by mělo zohlednit jasná a objektivní kritéria, jako jsou určité činnosti zpracování a oblast působnosti použitelných právních standardů a právních předpisů platných v dané třetí zemi. Třetí země by měla nabídnout záruky zajišťující odpovídající úroveň ochrany v zásadě rovnocennou úrovni ochrany zajištěné v Unii, zejména pokud jsou osobní údaje zpracovávány v jednom nebo více konkrétních odvětvích. Daná třetí země by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů, přičemž subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana.
[…]
(107) Komise by měla být schopna konstatovat, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již odpovídající úroveň ochrany údajů nezajišťuje. Předání osobních údajů do této třetí země nebo této mezinárodní organizaci by tudíž mělo být povoleno, jen pokud jsou splněny požadavky článků tohoto nařízení týkající se předání na základě vhodných záruk, závazných podnikových pravidel a odchylek ve zvláštních situacích. V tomto případě by měly být stanoveny konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi. Komise by měla včas informovat danou třetí zemi nebo mezinárodní organizaci o důvodech a zahájit s ní konzultace za účelem nápravy situace.
(108) Nebude-li přijato rozhodnutí o odpovídající ochraně, měl by správce nebo zpracovatel v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky. Tyto vhodné záruky mohou spočívat ve využívání závazných podnikových pravidel, standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých dozorovým úřadem nebo smluvních doložek jím schválených. Tyto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany, včetně práva na účinnou správní nebo soudní ochranu a na požadování náhrady škody v Unii nebo ve třetí zemi. Měly by se týkat zejména souladu s obecnými zásadami pro zpracování osobních údajů a zásad záměrné a standardní ochrany osobních údajů. […]
(109) Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo dozorovým úřadem, by neměla správcům ani zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv, jako je smlouva mezi zpracovatelem a dalším zpracovatelem, nebo doplnili jiné doložky či další záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo dozorovým úřadem nebo pokud se nedotýkají základních práv či svobod subjektů údajů. Správci a zpracovatelé by měli být vybízeni k poskytování dalších záruk prostřednictvím smluvních závazků, které doplní standardní doložky o ochraně údajů.
[…]
(114) Pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, správce nebo zpracovatel by měl v každém případě využít řešení, která subjektům údajů poskytnou vymahatelná a účinná práva, pokud jde o zpracování jejich osobních údajů v Unii po jejich předání, tak aby i nadále požívali základních práv a záruk.
[…]
(116) Předání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo poskytnutím těchto údajů. Zároveň se může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci, rozdíly v právní úpravě a praktické překážky, například omezené zdroje. […]
[…]
(141) Každý subjekt údajů by měl mít právo podat stížnost u jediného dozorové[ho] úřadu, zejména v členském státě, kde má své obvyklé bydliště, a právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. […]“
9 Článek 2 odst. 1 a 2 tohoto nařízení stanoví:
„1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.
2. Toto nařízení se nevztahuje na zpracování osobních údajů prováděné:
a) při výkonu činností, které nespadají do oblasti působnosti práva Unie;
b) členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;
c) fyzickou osobou v průběhu výlučně osobních či domácích činností;
d) příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.“
10 Článek 4 uvedeného nařízení stanoví:
„Pro účely tohoto nařízení se rozumí:
[…]
2) ‚zpracováním‘ jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
[…]
7) ‚správcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
8) ‚zpracovatelem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
9) ‚příjemcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
[…]“
11 Článek 23 téhož nařízení stanoví:
„1. Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:
a) národní bezpečnost;
b) obranu;
c) veřejnou bezpečnost;
d) prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;
[…]
2. Každé legislativní opatření uvedené v odstavci 1 zejména obsahuje konkrétní ustanovení, alespoň, je-li to relevantní, pokud jde o:
a) účely zpracování nebo kategorie zpracování;
b) kategorie osobních údajů;
c) rozsah zavedených omezení;
d) záruky proti zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání;
e) specifikaci správců nebo kategorie správců;
f) doby uložení a platné záruky s ohledem na povahu, rozsah a účely zpracování nebo kategorie zpracování;
g) rizika z hlediska práv a svobod subjektů údajů; a
h) právo subjektů údajů být informováni o daném omezení, pokud toto informování nemůže být na újmu účelu omezení.“
12 Kapitola V GDPR, nadepsaná „Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím“, obsahuje články 44 až 50 tohoto nařízení. Jeho článek 44, nadepsaný „Obecná zásada pro předávání“, zní:
„K jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci. Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena.“
13 Článek 45 tohoto nařízení, nadepsaný „Předání založené na rozhodnutí o odpovídající ochraně“, v odstavcích 1 až 3 stanoví:
„1. Předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení.
2. Při posuzování odpovídající úrovně ochrany vezme Komise v úvahu zejména tyto prvky:
a) právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, obecné i odvětvové, včetně těch, které se týkají veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů, pravidla ochrany údajů, profesní pravidla a související bezpečnostní opatření, včetně pravidel dalšího předávání osobních údajů do další třetí země nebo mezinárodní organizaci, která jsou v dané třetí zemi nebo mezinárodní organizaci dodržována, judikaturu, jakož i existenci účinných a vymahatelných práv subjektu údajů a účinné správní a soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají;
b) existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat a vymáhat soulad s pravidly pro ochranu údajů, včetně přiměřených vymáhacích pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv a spolupracovat s dozorovými úřady členských států, a
c) mezinárodní závazky, které daná třetí země nebo mezinárodní organizace přijala, nebo jiné závazky vyplývající z právně závazných úmluv nebo nástrojů, jakož i z její účasti v mnohostranných či regionálních systémech, zejména pokud jde o ochranu osobních údajů.
3. Komise může po posouzení odpovídající úrovně ochrany prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku. Uvedený prováděcí akt stanoví mechanismus pro pravidelný přezkum prováděný nejméně každé čtyři roky, který zohlední veškerý relevantní vývoj v dotčené třetí zemi nebo mezinárodní organizaci. Stanoví také svou územní a odvětvovou působnost a případně určí dozorový úřad nebo úřady uvedené v odst. 2 písm. b) tohoto článku. Tento prováděcí akt se přijímá přezkumným postupem podle čl. 93 odst. 2.“
14 Článek 46 téhož nařízení, nadepsaný „Předávání založené na vhodných zárukách“, v odstavcích 1 až 3 stanoví:
„1. Jestliže neexistuje rozhodnutí podle čl. 45 odst. 3, správce nebo zpracovatel mohou předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.
2. Vhodné záruky uvedené v odstavci 1 mohou být stanoveny, aniž je zapotřebí jakékoli zvláštní povolení dozorového úřadu, pomocí:
a) právně závazného a vymahatelného nástroje mezi orgány veřejné moci nebo veřejnými subjekty;
b) závazných podnikových pravidel v souladu s článkem 47;
c) standardních doložek o ochraně osobních údajů přijatých Komisí přezkumným postupem podle čl. 93 odst. 2;
d) standardních doložek o ochraně údajů přijatých dozorovým úřadem a schválených Komisí přezkumným postupem podle čl. 93 odst. 2;
e) schváleného kodexu chování podle článku 40 spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů; nebo
f) schváleného mechanismu pro vydání osvědčení podle článku 42 spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů.
3. S výhradou povolení od příslušného dozorového úřadu mohou být vhodné záruky uvedené v odstavci 1 rovněž stanoveny zejména pomocí:
a) smluvních doložek mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo příjemcem osobních údajů ve třetí zemi nebo v mezinárodní organizaci; nebo
b) ustanovení určených k vložení do správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektu údajů.“
15 Článek 49 téhož nařízení, nadepsaný „Výjimky pro specifické situace“, zní:
„1. Jestliže neexistuje rozhodnutí o odpovídající ochraně podle čl. 45 odst. 3 ani vhodné záruky podle článku 46, včetně závazných podnikových pravidel, může se předání nebo soubor předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze při splnění jedné z následujících podmínek:
a) daný subjekt údajů byl informován o možných rizicích, která pro něj v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a následně k navrhovanému předání vydal svůj výslovný souhlas;
b) předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů;
c) předání je nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou;
d) předání je nezbytné z důležitých důvodů veřejného zájmu;
e) předání je nezbytné pro určení, výkon nebo obhajobu právních nároků;
f) předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiných osob v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas;
g) k předání dochází z rejstříku, který je na základě práva Unie nebo členského státu určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která může prokázat oprávněný zájem, avšak pouze pokud jsou v daném případě splněny podmínky pro nahlížení stanovené právem Unie nebo členského státu.
Jestliže by některé předání nemohlo být založeno na některém z ustanovení článku 45 nebo 46, včetně ustanovení o závazných podnikových pravidlech, a žádná z výjimek pro specifickou situaci uvedených v prvním pododstavci není použitelná, může k předání do třetí země nebo mezinárodní organizaci dojít pouze tehdy, pokud tento převod není opakovaný, týká se pouze omezeného počtu subjektů údajů, je nezbytný pro účely závažných oprávněných zájmů správce, které nejsou převáženy zájmy nebo právy a svobodami subjektu údajů, a pokud správce posoudil všechny okolnosti daného předání údajů a na základě tohoto posouzení poskytl vhodné záruky pro ochranu osobních údajů. Správce o takovém předání informuje dozorový úřad. Správce musí kromě poskytnutí informací uvedených v článcích 13 a 14 subjekt údajů informovat o předání a o závažných legitimních zájmech, které sledoval.
2. Předmětem předání podle odst. 1 prvního pododstavce písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud tyto osoby mají být příjemcem.
3. Ustanovení odst. 1 prvního pododstavce písm. a), b) a c) a druhého pododstavce se nevztahují na činnosti prováděné orgány veřejné moci při výkonu jejich úředních pravomocí.
4. Veřejný zájem uvedený v odst. 1 prvním pododstavci písm. d) musí být uznáván právem Unie nebo právem členského státu, které se na správce vztahuje.
5. V případě absence rozhodnutí o odpovídající ochraně může právo Unie nebo členského státu z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií osobních údajů do třetí země nebo mezinárodní organizaci. Členské státy ohlásí taková ustanovení Komisi.
6. Správce nebo zpracovatel zaznamená posouzení i vhodné záruky uvedené v odst. 1 druhém pododstavci tohoto článku v záznamech uvedených v článku 30.“
16 Článek 51 odst. 1 GDPR stanoví:
„Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen ‚dozorový úřad‘).“
17 Článek 55 odst. 1 tohoto nařízení stanoví, že „[k]aždý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením“.
18 Článek 57 odst. 1 uvedeného nařízení stanoví:
„Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:
a) monitoruje a vymáhá uplatňování tohoto nařízení;
[…]
f) zabývá se stížnostmi, které mu podá subjekt údajů […], a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem;
[…]“
19 Článek 58 odst. 2 a 4 téhož nařízení stanoví:
„2. Každý dozorový úřad má všechny tyto nápravné pravomoci:
[…]
f) uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu;
[…]
j) nařídit přerušení toků údajů příjemci ve třetí zemi nebo toků údajů mezinárodní organizaci.
[…]
4. Výkon pravomocí svěřených tímto článkem dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou.“
20 V článku 64 odst. 2 GDPR se uvádí:
„Kterýkoli dozorový úřad, předseda [Evropského sboru pro ochranu osobních údajů (dále jen ‚sbor‘)] nebo Komise mohou požádat, aby sbor posoudil jakoukoli záležitost s obecnou působností nebo s účinky ve více než jednom členském státě za účelem získání stanoviska, zejména v případě, kdy příslušný dozorový úřad nesplní povinnosti související se vzájemnou pomocí podle článku 61 nebo se společnými postupy podle článku 62.“
21 Podle čl. 65 odst. 1 tohoto nařízení platí:
„S cílem zajistit, aby toto nařízení bylo v jednotlivých případech správně a důsledně uplatňováno, přijme sbor závazné rozhodnutí v těchto případech:
[…]
c) pokud v případech uvedených v čl. 64 odst. 1 příslušný dozorový úřad nepožádá o stanovisko sboru nebo pokud se tento úřad neřídí stanoviskem sboru vydaným podle článku 64. V takovém případě může danou záležitost ohlásit sboru kterýkoliv dotčený dozorový úřad nebo Komise.“
22 Článek 77 uvedeného nařízení, nadepsaný „Právo podat stížnost u dozorového úřadu“, zní:
„1. Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.
2. Dozorový úřad, kterému byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 78.“
23 Článek 78 téhož nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči dozorovému úřadu“, v odstavcích 1 a 2 stanoví:
„1. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.
2. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku.“
24 Článek 94 GDPR zní:
„1. Směrnice [95/46] se zrušuje s účinkem ode dne 25. května 2018.
2. Odkazy na zrušenou směrnici se považují za odkazy na toto nařízení. Odkazy na pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízenou článkem 29 směrnice [95/46] se považují za odkazy na Evropský sbor pro ochranu osobních údajů zřízený tímto nařízením.“
25 Článek 99 tohoto nařízení stanoví:
„1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
2. Toto nařízení se použije ode dne 25. května 2018.“
Rozhodnutí o SSD
26 Bod 11 odůvodnění rozhodnutí o SSD zní:
„Orgány dozoru členských států hrají v tomto smluvním mechanismu klíčovou úlohu při zajišťování toho, aby osobní údaje byly po předání náležitě chráněny. Ve výjimečných případech, kdy vývozci údajů odmítnou řádně poučit dovozce údajů nebo kdy jej řádně poučit nemohou a kdy subjektům údajů hrozí bezprostřední riziko závažné újmy, by měly standardní smluvní doložky umožňovat orgánům dovozu prověřit dovozce údajů a dílčí zpracovatele a popřípadě přijmout rozhodnutí, která budou pro dovozce údajů a dílčí zpracovatele závazná. Orgány dozoru by měly mít pravomoc zakázat nebo pozastavit [pravomoc trvale nebo dočasně zakázat] předání nebo předávání údajů uskutečněné na základě standardních smluvních doložek ve výjimečných případech, kdy by předávání uskutečněné na smluvním základě mělo pravděpodobně závažný nepříznivý dopad na ochranná opatření [záruky] a povinnosti vztahující se k zajištění odpovídající ochrany subjektu údajů.“
27 Článek 1 tohoto rozhodnutí stanoví:
„Standardní smluvní doložky uvedené v příloze jsou považovány za dostatečná ochranná opatření [za dostatečné záruky] s ohledem na ochranu soukromí a základních práv a svobod jednotlivců, jakož i s ohledem na výkon odpovídajících práv v souladu s čl. 26 odst. 2 směrnice [95/46].“
28 Podle čl. 2 druhého pododstavce se toto rozhodnutí „vztahuje na předávání osobních údajů správci usazenými v Evropské unii příjemcům usazeným mimo území Evropské unie, kteří působí pouze jako zpracovatelé“.
29 Článek 3 téhož rozhodnutí stanoví:
„Pro účely tohoto rozhodnutí se:
[…]
c) ‚vývozcem údajů‘ rozumí správce, který předává osobní údaje;
d) ‚dovozcem údajů‘ rozumí zpracovatel usazený ve třetí zemi, který se zavazuje přijímat od vývozce údajů osobní údaje určené ke zpracování jménem vývozce údajů po předání v souladu s jeho pokyny a s podmínkami tohoto rozhodnutí a který nepodléhá systému třetí země zajišťující odpovídající ochranu ve smyslu čl. 25 odst. 1 směrnice [95/46];
[…]
f) ‚právem rozhodným pro ochranu údajů‘ rozumí právní předpisy ochraňující základní práva a svobody jednotlivců, a zejména jejich právo na soukromí ve vztahu ke zpracování osobních údajů, které se vztahují na správce údajů v členském státě, ve kterém je usazen vývozce údajů;
[…]“
30 Článek 4 rozhodnutí 2010/87 v původním znění, účinném před vstupem prováděcího rozhodnutí 2016/2297 v platnost, stanovil:
„1. Aniž jsou dotčeny jejich pravomoci přijmout opatření k zajištění dodržování vnitrostátních předpisů přijatých podle kapitol II, III, V a VI směrnice [95/46], mohou příslušné orgány členských států vykonávat své stávající pravomoci zakázat nebo pozastavit [pravomoci dočasně nebo trvale zakázat] toky údajů směřující do třetích zemí, aby tak chránily jednotlivce v souvislosti se zpracováním jejich osobních údajů v případech, kdy:
a) je zjištěno, že právní předpisy, kterým dovozce údajů nebo dílčí zpracovatel podléhá, po něm vyžadují, aby se odchýlil od práva rozhodného pro ochranu údajů v rozsahu překračujícím omezení nezbytná v demokratické společnosti, jak je stanoveno v článku 13 směrnice [95/46], pokud tyto požadavky mají pravděpodobně výrazně nepříznivý dopad na záruky poskytované právem rozhodným pro ochranu údajů a standardními smluvními doložkami;
b) příslušný orgán zjistil, že dovozce údajů nebo dílčí zpracovatel nedodržel standardní smluvní doložky uvedené v příloze[,] nebo
c) je vysoce pravděpodobné, že standardní smluvní doložky uvedené v příloze nejsou nebo nebudou dodržovány a pokračující předávání by pro subjekt údajů představovalo bezprostřední riziko vzniku značné újmy.
2. Zákaz či pozastavení podle odstavce 1 musí být odvolány [Trvalý či dočasný zákaz podle odstavce 1 musí být odvolán] ihned poté, co pominou důvody pro zákaz nebo pozastavení [trvalý či dočasný zákaz].
3. Jakmile členské státy přijmou opatření podle odstavců 1 a 2, informují neprodleně Komisi, která informace předá ostatním členským státům.“
31 Bod 5 odůvodnění prováděcího rozhodnutí 2016/2297, přijatého po vyhlášení rozsudku ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650), zní:
„Rozhodnutí Komise přijaté podle čl. 26 odst. 4 směrnice [95/46] je obdobně závazné pro všechny orgány členských států, kterým je určeno, a to i pro nezávislé orgány dozoru v rozsahu, v němž má za účinek uznání, že předávání osobních údajů, k nimž dochází na základě standardních smluvních doložek stanovených v daném rozhodnutí, představuje dostatečná ochranná opatření požadovaná [dostatečné záruky požadované] v čl. 26 odst. 2 uvedené směrnice. Tato skutečnost nebrání vnitrostátnímu orgánu dozoru, aby vykonával své pravomoci dohledu nad toky údajů, včetně pravomoci předávání osobních údajů dočasně nebo trvale zakázat, jestliže uvedený orgán stanoví, že předávání je prováděno v rozporu s právními předpisy EU na ochranu údajů nebo vnitrostátními právními předpisy na ochranu údajů, jako například, pokud dovozce údajů nedodržuje standardní smluvní doložky.“
32 V současném znění, změněném prováděcím rozhodnutí 2016/2297, článek 4 rozhodnutí o SSD stanoví:
„Pokud příslušné orgány v členských státech uplatní pravomoc podle čl. 28 odst. 3 směrnice [95/46] a to povede k dočasnému nebo trvalému zákazu toku údajů do třetích zemí za účelem ochrany fyzických osob s ohledem na zpracování jejich osobních údajů, oznámí dotčený členský stát tuto skutečnost bezodkladně Komisi, která tyto informace předá ostatním členským státům.“
33 Příloha rozhodnutí o SSD, nadepsaná „Standardní smluvní doložky (zpracovatelé)“, obsahuje dvanáct standardních doložek. Její doložka 3, nadepsaná „Doložka ve prospěch třetí strany“, stanoví:
„1. Subjekty údajů mohou vůči vývozci údajů uplatnit jako oprávněné třetí strany tuto doložku, doložku 4 písm. b) až i), doložku 5 písm. a) až e) a g) až j), doložku 6 odst. 1 a 2, doložku 7, doložku 8 odst. 2 a doložky 9 až 12.
2. Subjekty údajů mohou vůči dovozci údajů uplatnit tuto doložku, doložku 5 písm. a) až e) a g), doložku 6, doložku 7, doložku 8 odst. 2 a doložky 9 až 12 v případech, kdy vývozce údajů fakticky zmizel nebo kdy z právního hlediska zanikl, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů a v důsledku toho přijímá práva a povinnosti vývozce údajů, přičemž v tomto případě je subjekt údajů může uplatňovat vůči tomuto subjektu.
[…]“
34 Podle doložky 4 této přílohy, nadepsané „Povinnosti vývozce údajů“, platí:
„Vývozce údajů se zavazuje a zaručuje, že:
a) zpracování osobních údajů, včetně předávání samotného, bylo a bude i nadále prováděno v souladu se souvisejícími ustanoveními práva rozhodného pro ochranu údajů (a případně bylo oznámeno příslušným orgánům členského státu, ve kterém je vývozce údajů usazen) a že neporušuje související předpisy daného státu;
b) nařídil a po celou dobu poskytování služeb zpracování osobních údajů bude dovozci údajů nařizovat, aby předávané osobní údaje byly zpracovávány pouze jménem vývozce údajů a v souladu s právem rozhodným pro ochranu údajů a s doložkami;
[…]
f) budou-li součástí předávání i zvláštní kategorie údajů, subjekt údajů byl nebo bude informován před předáním nebo co nejdříve poté, že jeho údaje mohou být předávány do třetí země, která neposkytuje odpovídající ochranu ve smyslu směrnice [95/46];
g) předá oznámení obdržené od dovozce údajů nebo případného dílčího zpracovatele podle doložky 5 písm. b) a doložky 8 odst. 3 orgánu dozoru pro ochranu údajů, pokud se vývozce údajů rozhodne pokračovat v předávání nebo odvolat jeho pozastavení;
[…]“
35 Doložka 5 uvedené přílohy, nadepsaná „Povinnosti dovozce údajů […]“, stanoví:
„Dovozce údajů se zavazuje a zaručuje, že:
a) osobní údaje bude zpracovávat pouze jménem vývozce údajů a v souladu s jeho pokyny a s těmito doložkami; nebude-li moci dodržování pokynů a doložek z jakýchkoli důvodů zajistit, zavazuje se o tom neprodleně informovat vývozce údajů, který je v takovém případě oprávněn pozastavit předávání údajů a/nebo odstoupit od smlouvy;
b) nemá důvod se domnívat, že mu právní předpisy, kterým podléhá, brání plnit pokyny vývozce údajů a jeho povinnosti vyplývající ze smlouvy a že v případě změny těchto právních předpisů, která by mohla mít výrazně nepříznivý dopad na ochranná opatření [záruky] a závazky stanovené doložkami, oznámí neprodleně tuto změnu vývozci údajů, který je v takovém případě oprávněn pozastavit předávání údajů a/nebo odstoupit od smlouvy;
[…]
d) oznámí vývozci údajů neprodleně:
i) veškeré právně závazné požadavky na zveřejnění osobních údajů ze strany donucovacího orgánu, není-li to jinak zakázáno, například trestním právem, aby byla zajištěna důvěrnost vyšetřování v rámci výkonu práva,
ii) veškeré případy získání náhodného nebo neoprávněného přístupu a
iii) veškeré žádosti obdržené přímo od subjektů údajů, aniž by na tyto žádosti reagoval, ledaže k tomu byl jinak oprávněn;
[…]“
36 V poznámce pod čarou příslušné k nadpisu této doložky 5 se uvádí:
„Povinné požadavky vnitrostátních právních předpisů vztahujících se na dovozce údajů, které nepřekračují rámec toho, co je nezbytné v demokratické společnosti, na základě jednoho ze zájmů uvedených v čl. 13 odst. 1 směrnice [95/46], tzn. představují-li opatření nezbytná k zajištění bezpečnosti státu, obrany, veřejné bezpečnosti, předcházení trestným činům a jejich vyšetřování, odhalování a stíhání nebo nedodržování deontologických pravidel pro regulovaná povolání, významného hospodářského nebo finančního zájmu státu nebo ochrany subjektu údajů nebo práv a svobod druhých, nejsou v rozporu se standardními smluvními doložkami. […]“
37 Doložka 6 přílohy rozhodnutí o SSD, nadepsaná „Odpovědnost“, stanoví:
„1. Strany se dohodly, že subjekt údajů, který utrpěl v důsledku porušení povinností uvedených v doložce 3 nebo doložce 11 škodu způsobenou kteroukoli ze stran nebo dílčím zpracovatelem, je oprávněn obdržet od vývozce údajů za utrpěnou škodu náhradu.
2. Nemůže-li subjekt údajů uplatňovat v souladu s odstavcem 1 nárok na odškodnění vůči vývozci údajů pro porušení některé z povinností dovozce údajů nebo jeho dílčího zpracovatele uvedených v doložce 3 a 11, protože vývozce údajů fakticky zmizel, z právního hlediska zanikl nebo je v platební neschopnosti, dovozce údajů se zavazuje, že subjekt údajů smí uplatňovat nároky vůči dovozci údajů, jako by byl vývozcem údajů […]
[…]“
38 Doložka 8 této přílohy, nadepsaná „Spolupráce s orgány dozoru“, v odstavci 2 stanoví:
„Strany se dohodly, že orgán dozoru má právo provést přezkoumání u dovozce údajů a u případného dílčího zpracovatele, které bude mít stejný rozsah a bude podléhat stejným podmínkám jako přezkoumání u vývozce údajů uskutečněné v souladu s právem rozhodným pro ochranu údajů.“
39 Doložka 9 uvedené přílohy, nadepsaná „Rozhodné právo“, stanoví, že doložky se řídí právem členského státu, ve kterém je usazen vývozce údajů.
40 Podle doložky 11 téže přílohy, nadepsané „Dílčí zpracování“, platí:
„1. Dovozce údajů nezadá externě žádnou ze svých činností spojených se zpracováním údajů, které jsou vykonávány jménem vývozce údajů na základě těchto doložek, bez předchozího písemného souhlasu vývozce údajů. Pokud dovozce údajů se souhlasem vývozce údajů zajišťuje plnění svých povinností podle těchto doložek subdodavatelsky, učiní tak pouze formou písemné dohody s dílčím zpracovatelem, která dílčímu zpracovateli ukládá stejné povinnosti, jako jsou povinnosti dovozce údajů podle těchto doložek […]
2. Předchozí písemná smlouva mezi dovozcem údajů a dílčím zpracovatelem zahrnuje rovněž doložku ve prospěch třetí strany stanovenou v doložce 3 pro případy, kdy subjekt údajů nemůže uplatňovat nárok na odškodnění podle odstavce 1 doložky 6 vůči vývozci údajů nebo dovozci údajů, protože ti fakticky zmizeli nebo z právního hlediska zanikli nebo jsou v platební neschopnosti, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů nebo dovozce údajů. Tato odpovědnost dílčího zpracovatele vůči třetím stranám je omezena na jeho vlastní činnosti spojené se zpracováním údajů podle těchto doložek.
[…]“
41 Doložka 12 přílohy rozhodnutí o SSD, nadepsaná „Povinnosti po ukončení poskytování služeb spojených se zpracováním osobních údajů“, v odstavci 1 stanoví:
„Strany se dohodly, že po ukončení poskytování služeb spojených se zpracováním údajů dovozce údajů a dílčí zpracovatel podle rozhodnutí vývozce údajů vrátí veškeré předávané osobní údaje a jejich kopie vývozci údajů, nebo provede zničení veškerých osobních údajů a předloží vývozci údajů potvrzení o jejich zničení, pokud právní předpisy vztahující se na dovozce údajů nezakazují dovozci vrácení či zničení všech nebo části předávaných osobních údajů. […]“
Rozhodnutí o štítu na ochranu soukromí
42 Rozsudkem ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650), Soudní dvůr určil, že rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad bezpečného přístavu a s tím souvisejících často kladených otázek vydaných Ministerstvem obchodu Spojených států (Úř. věst. 2000, L 215, s. 7; Zvl. vyd. 16/01, s. 119), ve kterém Komise konstatovala, že tato třetí země zajišťuje odpovídající úroveň ochrany, je neplatné.
43 V návaznosti na vyhlášení řečeného rozsudku Komise přijala rozhodnutí o štítu na ochranu soukromí poté, co pro účely jeho přijetí posoudila právní úpravu Spojených států, jak zmiňuje v bodě 65 odůvodnění uvedeného rozhodnutí:
„Komise posoudila omezení a ochranná opatření [záruky], která jsou k dispozici v právu USA, pokud jde o přístup orgánů veřejné moci USA k osobním údajům předávaným v rámci štítu [Evropská unie]‑USA na ochranu soukromí a použití těchto údajů těmito orgány pro účely národní bezpečnosti, prosazování práva a jiné účely veřejného zájmu. Vláda USA kromě toho prostřednictvím Úřadu ředitele národních zpravodajských služeb (Office of the Director of National Intelligence, ODNI) […] poskytla Komisi podrobná prohlášení a závazky, které jsou uvedeny v příloze VI tohoto rozhodnutí. Dopisem ministra zahraničních věcí, který tvoří přílohu III tohoto rozhodnutí, se vláda USA zavázala rovněž vytvořit nový mechanismus pro dohled nad zásahy z důvodu národní bezpečnosti, úřad ombudsmana ve věcech štítu na ochranu soukromí, který je nezávislý na zpravodajské komunitě. A konečně prohlášení Ministerstva spravedlnosti USA, které tvoří přílohu VII tohoto rozhodnutí, popisuje omezení a ochranná opatření použitelná [omezení a záruky použitelné] na přístup orgánů veřejné správy k údajům a jejich použití těmito orgány pro účely prosazování práva a jiné účely veřejného zájmu. Pro vyšší transparentnost a aby byla podtrhnuta právní povaha těchto závazků, bude každý z výše uvedených dokumentů připojených k tomu rozhodnutí zveřejněn ve Federálním úředním věstníku USA (U. S. Federal Register).“
44 Analýza těchto omezení a záruk, kterou provedla Komise, je shrnuta v bodech 67 až 135 odůvodnění rozhodnutí o štítu na ochranu soukromí, a závěry, které z ní uvedený orgán vyvodil pro odpovídající úroveň ochrany v rámci štítu Evropská unie‑USA na ochranu soukromí, jsou obsaženy v bodech 136 až 141 odůvodnění téhož rozhodnutí.
45 Konkrétně se v bodech 68, 69, 76, 77, 109, 112 až 116, 120, 136 a 140 odůvodnění tohoto rozhodnutí uvádí:
„(68) Podle Ústavy USA spadá zajištění národní bezpečnosti do pravomoci prezidenta jakožto vrchního velitele ozbrojených sil a vrchního představitele výkonné moci, a pokud jde o zahraniční zpravodajství, do jeho pravomoci jednat v zahraničních věcech USA […]. Kongres USA sice má právo ukládat omezení, a v minulosti tak v mnoha ohledech učinil, v těchto mezích však prezident smí řídit činnost zpravodajské komunity USA, zejména prostřednictvím výkonných dekretů nebo prezidentských směrnic. […] Dvěma ústředními právními nástroji v tomto smyslu v současnosti jsou výkonný dekret 12333 (Executive Order 12333, dále také jen ‚EO 12333‘) […] a prezidentská politická směrnice 28.
(69) Prezidentská politická směrnice 28 (Presidential Political Directive, dále také jen ‚PPD-28‘) ze dne 17. ledna 2014 ukládá řadu omezení operací ‚signálového zpravodajství‘ […]. Tato prezidentská směrnice je závazná pro zpravodajské orgány USA […] a zůstává v platnosti i po změně administrativy USA […]. Směrnice PPD-28 je zvlášť důležitá pro osoby, které nejsou občany USA, včetně subjektů údajů z EU. […]
[…]
(76) Tyto zásady [PPD-28] vystihují podstatu zásady nezbytnosti a zásady proporcionality, ačkoli těmito právními termíny nejsou vyjádřeny. […]
(77) Tyto požadavky, které mají podobu směrnice vydané prezidentem jakožto vrchním představitelem výkonné moci, zavazují celou zpravodajskou komunitu a byly dále implementovány prostřednictvím provozních řádů jednotlivých zpravodajských agentur, které transponují obecné zásady do konkrétních pokynů pro každodenní operace. […]
[…]
(109) Naproti tomu podle § 702 [Foreign Intelligence Surveillance Act (zákon o zabezpečování informací o činnostech cizí moci), dále jen ‚zákon FISA‘] nepovoluje [United States Foreign Intelligence Surveillance Court (FISC), dále jen ‚Soud pro uplatňování zákona FISA‘] jednotlivá sledovací opatření, nýbrž povoluje celé sledovací programy (např. PRISM, UPSTREAM), a to na základě ročních osvědčení, která vypracovávají [United States Attorney General (ministr spravedlnosti)] a [Director of National Intelligence (DNI) (ředitel národních zpravodajských služeb)]. […] Jak bylo uvedeno výše, osvědčení, která Soud pro uplatňování zákona FISA schvaluje, neobsahují žádné informace o jednotlivých osobách, které jsou předmětem cíleného sledování, nýbrž jen identifikují kategorie zahraničních zpravodajských informací […]. Soud pro uplatňování zákona FISA sice nezjišťuje – podle principu důvodného podezření či jiného principu –, zda jsou za účelem získání zahraničních zpravodajských informací fyzické osoby cíleny správně […], kontroluje však podmínku, že ‚důležitým účelem získávání informací je získání zahraničních zpravodajských informací‘ […]
[…]
(112) Za prvé, zákon o zabezpečování informací o činnostech cizí moci obsahuje řadu opravných prostředků, jimiž lze napadnout nezákonné elektronické sledování a jež jsou dostupné i osobám, které nejsou osobami USA […]. Patří k nim možnost domáhat se občanskoprávními žalobami proti Spojeným státům peněžité náhrady škody v případě, kdy informace o nich byly použity nebo zveřejněny nezákonně a vědomě […]; žalovat úředníky vlády USA soukromě (za ‚zneužití pravomoci‘) o peněžitou náhradu škody […]; a napadnout zákonnost sledování (a domáhat se utajení informací) v případě, kdy vláda USA hodlá použít nebo zveřejnit informace získané nebo odvozené z elektronického sledování proti fyzické osobě v soudním nebo správním řízení ve Spojených státech […].
(113) Za druhé, vláda USA odkázala Komisi na několik dalších možností, jimiž by se subjekty údajů z EU mohly domáhat právního postihu vůči vládním úředníkům za nezákonný přístup vlády k jejich osobním údajům nebo jejich nezákonné použití, včetně k účelům národní bezpečnosti […].
(114) A konečně vláda USA upozornila to, že na základě [Freedom of information Act (FOIA) (zákon o svobodě informací)] se osoby, které nejsou osobami USA, mohou domáhat přístupu k existujícím záznamům federálních vládních agentur, včetně případů, kdy tyto záznamy obsahují osobní údaje této osoby […]. Vzhledem ke svému zaměření neposkytuje tento zákon fyzickým osobám žádnou možnost obrátit se na soud kvůli zásahu do osobních údajů, ačkoli by jim měl v zásadě umožnit přístup k relevantním informacím, které drží národní zpravodajské agentury. […]
(115) Zatímco fyzické osoby, včetně subjektů údajů z EU, tedy mají k dispozici několik možností nápravy, pokud se staly předmětem nezákonného (elektronického) sledování z důvodu národní bezpečnosti, je stejně tak jasné, že přinejmenším některých z právních základů, které zpravodajské orgány USA mohou využít (např. EO 12223), se to netýká. Navíc i tehdy, pokud pro osoby, které nejsou osobami USA, možnosti nápravy v zásadě existují, např. u sledování podle zákona FISA, jsou dostupné právní kroky omezené […] a nároky vznesené fyzickými osobami (včetně osob USA), které neprokáží ‚aktivní legitimaci‘, budou prohlášeny za nepřípustné […], což omezuje přístup k běžným soudům […]
(116) Ve snaze poskytnout dodatečnou možnost nápravy, k níž by měl[y] přístup všechny subjekty údajů z EU, rozhodla se vláda USA vytvořit mechanismus ombudsmana, který je popsán v dopise ministra zahranič[ních věc]í Komisi, jenž tvoří přílohu III tohoto rozhodnutí. Tento mechanismus vychází z toho, že podle směrnice PPD-28 je na Ministerstvu zahraničních věcí zřízen post senior koordinátora (na úrovni tajemníka ministra), který slouží jako kontaktní místo, u nějž mohou cizí vlády vyjádřit své obavy v souvislosti se signálovým zpravodajstvím USA, avšak tento základní koncept dále podstatně rozvádí.
[…]
(120) [V]láda USA [s]e zavazuje zajistit, že při výkonu svých funkcí se ombudsman ve věcech štítu na ochranu soukromí bude moci spoléhat na spolupráci jiných mechanismů dohledu a přezkumu dodržování předpisů, které existují v právu USA. […] Zjistí-li některý z těchto subjektů dohledu nedodržení, bude muset dotčený prvek zpravodajské komunity (např. zpravodajská služba) toto nedodržení napravit, neboť jen tak bude ombudsman moci dát fyzické osobě ‚kladnou‘ odpověď (tj. že nedodržení bylo napraveno), k čemuž se vláda USA zavázala. […]
[…]
(136) Ve světle těchto zjištění Komise konstatuje, že Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie autocertifikovaným organizacím ve Spojených státech v rámci štítu [Evropská unie]‑USA na ochranu soukromí.
[…]
(140) Konečně na základě dostupných informací o právním řádu USA, včetně prohlášení a závazků vlády USA, Komise konstatuje, že jakýkoli zásah orgány veřejné moci USA do základních práv osob, jejichž údaje jsou předávány z Unie do Spojených států v rámci štítu na ochranu soukromí[,] za účelem národní bezpečnosti, prosazování práva nebo jiného veřejného zájmu, a z toho plynoucí omezení kladená na autocertifikované společnosti s ohledem na jejich přijetí zásad bude omezen na rozsah striktně nezbytný k tomu, aby bylo dosaženo příslušného legitimního cíle, a že existuje účinná právní ochrana proti takový zásahům.“
46 Článek 1 rozhodnutí o štítu na ochranu soukromí stanoví:
„1. Pro účely čl. 25 odst. 2 směrnice [95/46] Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím ve Spojených státech v rámci štítu [Evropská unie]‑USA na ochranu soukromí.
2. Štít [Evropská unie]‑USA na ochranu soukromí sestává ze zásad vydaných Ministerstvem obchodu dne 7. července 2016, které jsou obsaženy v příloze II, a oficiálních prohlášení a závazků, které jsou obsaženy přílohách I a III až VII.
3. Pro účely odstavce 1 jsou osobní údaje předávány v rámci štítu [Evropská unie]‑USA na ochranu soukromí, jsou-li předávány z Unie organizacím ve Spojených státech uvedeným na ‚seznamu organizací štítu na ochranu soukromí‘, který vede a zpřístupňuje Ministerstvo obchodu USA v souladu s částí I a III zásad uvedených v příloze II.“
47 Příloha II rozhodnutí o štítu na ochranu soukromí, nadepsaná „Zásady rámce štítu na ochranu soukromí [Evropská unie]‑USA vydané Ministerstvem obchodu Spojených států“ v bodě I.5 stanoví, že dodržování zásad může být omezeno mimo jiné „v rozsahu nezbytném pro splnění požadavků národní bezpečnosti, veřejného zájmu nebo prosazování zákonů“.
48 Příloha III tohoto rozhodnutí obsahuje dopis Johna Kerryho, tehdejšího Secretary of State (ministr zahraničních věcí, Spojené státy), komisařce pro spravedlnost, spotřebitele a rovnost žen a mužů ze dne 7. července 2016, k němuž je v příloze A připojeno memorandum nadepsané „Mechanismus ombudsmana ve věcech štítu na ochranu soukromí v souvislosti se signálovým zpravodajstvím“, jež obsahuje následující pasáž:
„Uznávajíc význam rámce štítu [Evropská unie]‑USA na ochranu soukromí stanoví toto memorandum proces provádění nového mechanismu podle prezidentské směrnice 28 (PPD-28) v souvislosti se signálovým zpravodajstvím.
[…] Prezident Obama oznámil vydání nové prezidentské směrnice – PPD-28, která ‚zřetelně předepisuje, co děláme a neděláme, pokud jde o naše sledování v zahraničí‘.
Paragraf 4(d) PPD-28 nařizuje ministru zahranič[ních věc]í určit ‚vedoucího koordinátora pro mezinárodní informační diplomacii‘ (dále též ‚vedoucí koordinátor‘) ‚jako […] kontaktní osobu pro cizí vlády, které chtějí vznést dotazy v souvislosti se signálovými zpravodajskými činnostmi Spojených států‘.
[…]
1. […] Jako ombudsman ve věcech štítu na ochranu soukromí bude působit [vedoucí koordinátor, jenž] […] bude úzce spolupracovat s příslušnými úředníky z jiných ministerstev a agentur, kteří jsou odpovědní za vyřizování žádostí v souladu s platným právem a politikou Spojených států. Ombudsman je nezávislý na zpravodajské komunitě. Je přímo podřízen ministru zahranič[ních věc]í, který zajistí, aby ombudsman vykonával svou funkci objektivně a nepodléhal nepatřičnému vlivu, jenž může mít účinek na odpověď, kterou má poskytnout.
[…]“
49 Příloha VI rozhodnutí o štítu na ochranu soukromí obsahuje dopis Office of the Director of National Intelligence (úřad ředitele národních zpravodajských služeb) Ministerstvu obchodu Spojených států amerických a odboru pro mezinárodní obchod ze dne 21. června 2016, ve kterém je upřesněno, že PPD-28 umožňuje provádět „hromadné shromažďování […] poměrně velkého objemu signálových zpravodajských informací nebo údajů za okolností, kdy zpravodajská komunita nemůže k soustředěnému shromažďování použít identifikátor spojený s konkrétním cílem […]“.
Spor v původním řízení a předběžné otázky
50 Maximillian Schrems, rakouský státní příslušník s bydlištěm v Rakousku, je uživatelem sociální sítě Facebook (dále jen „Facebook“) od roku 2008.
51 Každá osoba s bydlištěm na území Unie, která má zájem používat sociální síť Facebook, musí při registraci uzavřít smlouvu se společností Facebook Ireland, jež je dceřinou společností společnosti Facebook Inc., která je usazena ve Spojených státech. Osobní údaje uživatelů sociální sítě Facebook, kteří mají bydliště na území Unie, jsou zcela nebo zčásti přenášeny na servery náležející společnosti Facebook Inc. umístěné na území Spojených států, kde jsou zpracovávány.
52 Dne 25. června 2013 podal M. Schrems ke komisaři stížnost, kterou se v podstatě domáhal toho, aby bylo společnosti Facebook Ireland zakázáno předávání jeho osobních údajů do Spojených států, přičemž tvrdil, že právní předpisy a praxe v uvedené zemi nezajišťují dostatečnou ochranu osobních údajů uložených na jejím území před sledováním prováděným v této zemi orgány veřejné moci. Tato stížnost byla zamítnuta zejména z důvodu, že Komise v rozhodnutí 2000/520 konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany.
53 High Court (Vrchní soud, Irsko), ke kterému podal M. Schrems žalobu proti zamítnutí své stížnosti, předložil Soudnímu dvoru žádost o rozhodnutí o předběžné otázce týkající se výkladu a platnosti rozhodnutí 2000/520. Rozsudkem ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650), Soudní dvůr určil, že toto rozhodnutí je neplatné.
54 V návaznosti na citovaný rozsudek zrušil předkládající soud rozhodnutí, jímž byla stížnost M. Schremse zamítnuta, a věc vrátil komisařce k novému projednání a rozhodnutí. V rámci šetření zahájeného komisařkou podala Facebook Ireland vysvětlení, podle kterého je velká část osobních údajů předávána společnosti Facebook Inc. na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD. S ohledem na tyto skutečnosti vyzvala komisařka M. Schremse, aby svou stížnost přeformuloval.
55 Maximillian Schrems v přeformulované stížnosti podané dne 1. prosince 2015 mimo jiné uvedl, že americké právo ukládá společnosti Facebook Inc. povinnost poskytovat osobní údaje, které jí byly předány, americkým orgánům, jako jsou National Security Agency (NSA) a Federal Bureau of Investigation (FBI). Tvrdil, že tyto údaje jsou používány v rámci různých sledovacích programů způsobem neslučitelným s články 7, 8 a 47 Listiny, takže rozhodnutí o SSD nemůže být základem pro předávání těchto údajů do Spojených států. Za těchto podmínek M. Schrems požádal komisařku, aby dočasně nebo trvale zakázala předávání jeho osobních údajů společnosti Facebook Inc.
56 Dne 24. května 2016 zveřejnila komisařka „návrh rozhodnutí“ shrnující předběžné závěry jejího šetření. V tomto návrhu dospěla předběžně k závěru, že existuje nebezpečí, že orgány USA budou nahlížet do osobních údajů občanů Unie předaných do Spojených států a zpracovávat je způsobem neslučitelným s články 7 a 8 Listiny, a že právo Spojených států neposkytuje těmto občanům účinné procesní prostředky slučitelné s článkem 47 Listiny. Uvedla, že standardní doložky o ochraně osobních údajů uvedené v příloze rozhodnutí o SSD nemohou tento nedostatek zhojit, protože subjektům údajů přiznávají jen smluvní nároky vůči vývozci a dovozci údajů, ale pro orgány USA závazné nejsou.
57 Komisařka dospěla k názoru, že za těchto okolností vyvstává v rámci přeformulované stížnosti M. Schremse otázka platnosti rozhodnutí o SSD, a tak dne 31. května 2016 – s odkazem na judikaturu vyplývající z rozsudku ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650, bod 65) – navrhla High Court (Vrchní soud), aby tuto otázku předložil Soudnímu dvoru. Rozhodnutím ze dne 4. května 2018 předložil High Court (Vrchní soud) Soudnímu dvoru tuto žádost o rozhodnutí o předběžné otázce.
58 High Court (Vrchní soud) k této žádosti o rozhodnutí o předběžné otázce přiložil rozsudek vyhlášený dne 3. října 2017, ve kterém zachytil výsledek zkoumání důkazů předložených mu ve vnitrostátním řízení, jehož se účastnila americká vláda.
59 V uvedeném rozsudku, na nějž žádost o rozhodnutí o předběžné otázce opakovaně odkazuje, předkládající soud uvedl, že má v zásadě nejen právo, ale i povinnost zkoumat všechny skutečnosti a argumenty, které před ním byly uplatněny, a na jejich základě rozhodnout, zda je či není nezbytné předložit žádost o rozhodnutí o předběžné otázce. V každém případě má povinnost zohlednit případné změny právní úpravy nastalé v době mezi podáním návrhu a jednáním nařízeným před tímto soudem. Předkládající soud upřesnil, že v původním řízení není při posuzování omezen důvody neplatnosti vznesených komisařkou, takže může i bez návrhu uvést rovněž jiné důvody neplatnosti a žádost o rozhodnutí o předběžné otázce podat na jejich základě.
60 Podle zjištění uvedených v citovaném rozsudku je základem zpravodajské činnosti orgánů USA v souvislosti s osobními údaji předanými do Spojených států především § 702 zákona FISA a EO 12333.
61 K ustanovení § 702 zákona FISA předkládající soud v témže rozsudku uvádí, že toto ustanovení opravňuje ministra spravedlnosti a ředitele národních zpravodajských služeb k tomu, aby za účelem získávání „zahraničních zpravodajských informací“ společně a po schválení Soudem pro uplatňování zákona FISA povolili sledování osob, které nejsou americkými občany a nacházejí se mimo území Spojených států, a slouží mimo jiné jako základ pro sledovací programy PRISM a UPSTREAM. V rámci programu PRISM mají poskytovatelé internetových služeb podle zjištění uvedeného soudu povinnost poskytnout NSA všechna sdělení odeslaná z určitého „selektoru“ a přijatá na určitý „selektor“, přičemž část z nich je rovněž předána FBI a Central Intelligence Agency (CIA) (ústřední zpravodajská služba).
62 V souvislosti s programem UPSTREAM uvedený soud shledává, že v rámci tohoto programu mají telekomunikační podniky provozující „páteřní“ síť internetu – tzn. síť kabelů, síťových přepínačů a směrovačů – povinnost umožnit NSA kopírovat a filtrovat internetové toky dat za účelem shromažďování sdělení odeslaných nebo přijatých osobou, která není osobou USA a na kterou cílí některý ze „selektorů“, nebo týkajících se takové osoby. V rámci uvedeného programu má NSA – podle zjištění téhož soudu – přístup k metadatům i k obsahu dotčených sdělení.
63 V souvislosti s EO 12333 předkládající soud konstatuje, že uvedený předpis umožňuje NSA získat údaje „na cestě“ do Spojených států připojením se k podmořským kabelům položeným na dně Atlantického oceánu, jakož i shromažďovat a ukládat tyto údaje dříve, než dorazí do Spojených států a než se na ně začnou vztahovat ustanovení zákona FISA. Podotýká, že činnosti prováděné na základě EO 12333 nejsou upraveny zákonem.
64 V souvislosti s omezeními zpravodajské činnosti upozorňuje předkládající soud na skutečnost, že na osoby, které nejsou osobami USA, se vztahuje jen PPD-28, ve které se uvádí jen tolik, že zpravodajská činnost musí být „v nejvyšší možné míře uzpůsobená na míru“ (as tailored as feasible). Na základě těchto zjištění dospěl předkládající soud k závěru, že Spojené státy provádějí hromadné zpracování údajů a nezajišťují ochranu, která je v zásadě rovnocenná ochraně zaručené články 7 a 8 Listiny.
65 K soudní ochraně týž soud uvádí, že občané Unie nemají proti zpracovávání osobních údajů orgány USA stejné prostředky nápravy před soudem jako státní příslušníci Spojených států, protože čtvrtý dodatek ke Constitution of the United States (Ústava Spojených států), který v americkém právu představuje nejvýznamnější ochranu před protiprávním sledováním, se na občany Unie nevztahuje. V této souvislosti předkládající soud upřesňuje, že prostředky nápravy, které mají k dispozici občané Unie, narážejí na značné překážky, zejména na povinnost – jejíž splnění je podle něj nepřiměřeně obtížné – prokázat svou aktivní legitimaci. Podle dalších zjištění uvedeného soudu nepodléhají činnosti NSA prováděné na základě EO 12333 soudnímu dohledu a nelze se proti nim bránit žalobou. Konečně má týž soud za to, že americké právo vzhledem k tomu, že ombudsman ve věcech štítu na ochranu soukromí nepředstavuje – podle jeho názoru – soud ve smyslu článku 47 Listiny, nezajišťuje občanům Unie úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené základním právem zakotveným v tomto článku.
66 V žádosti o rozhodnutí o předběžné otázce předkládající soud také upřesňuje, že se účastníci původního řízení neshodují mimo jiné v otázce použitelnosti unijního práva na předávání takových osobních údajů do třetí země, které mohou být zpracovávány orgány této země zejména pro účely národní bezpečnosti, ani v tom, které prvky je třeba vzít v úvahu při posuzování odpovídající úrovně ochrany zajišťované uvedenou zemí. Konkrétně poukazuje uvedený soud na to, že podle společnosti Facebook Ireland jsou taková zjištění Komise o odpovídající úrovni ochrany ve třetí zemi, jako jsou zjištění uvedená v rozhodnutí o štítu na ochranu soukromí, závazná pro dozorové úřady i v kontextu předávání osobních údajů na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD.
67 V souvislosti se zmíněnými standardními doložkami o ochraně osobních údajů stojí předkládající soud před otázkou, zda lze rozhodnutí o SSD považovat za platné, i když tyto doložky nejsou podle jeho názoru závazné pro státní orgány dotyčné třetí země, a tudíž nemohou zhojit případný nedostatek odpovídající úrovně ochrany v uvedené zemi. V tomto ohledu má za to, že možnost příslušných orgánů členských států – přiznaná jim článkem 4 odst. 1 písm. a) rozhodnutí 2010/87 ve znění účinném před vstupem prováděcího rozhodnutí 2016/2297 v platnost – zakázat předání osobních údajů do třetí země, která dovozci ukládá povinnosti neslučitelné se zárukami obsaženými v těchto doložkách, je důkazem toho, že stav právních předpisů třetí země může být důvodem pro zákaz předání údajů, i kdyby k němu mělo dojít na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD, což dokládá, že tyto doložky mohou být nedostatečné pro zajištění odpovídající ochrany. Předkládající soud má nicméně pochybnosti o rozsahu pravomoci komisařky zakázat předávání údajů, ke kterému dochází na základě těchto doložek, přičemž diskreční pravomoc nemůže podle jeho názoru stačit k zajištění odpovídající ochrany.
68 Za těchto okolností se High Court (Vrchní soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
„1) Za okolností, kdy jsou osobní údaje předávány soukromou společností z členského státu [Unie] soukromé společnosti ve třetí zemi k obchodním účelům podle rozhodnutí [o SSD] a mohou být dále zpracovávány ve třetí zemi orgány této země pro účely národní bezpečnosti, ale také za účelem vymáhání práva a provádění zahraniční politiky třetí země, uplatní se na předávání těchto údajů unijní právo včetně [Listiny] bez ohledu na ustanovení čl. 4 odst. 2 SEU o národní bezpečnosti a ustanovení čl. 3 odst. 2 první odrážky směrnice 95/46[…] o veřejné bezpečnosti, obraně a bezpečnosti státu?
2) a) Je při určování, zda předáním údajů podle rozhodnutí o SSD z [Unie] do třetí země, kde mohou být dále zpracovány pro účely národní bezpečnosti, došlo k porušení práv jednotlivce, relevantním srovnávacím kritériem pro účely směrnice [95/46]:
i) Listina, SEU, SFEU, směrnice [95/46], [evropská Úmluva o ochraně lidských práv a základních svobod, podepsaná dne 4. listopadu 1950 v Římě] (nebo jiné ustanovení unijního práva), nebo
ii) vnitrostátní právní předpisy jednoho nebo více členských států?
b) Je-li relevantním srovnávacím kritériem bod ii), mají do něj být zahrnuty i postupy v oblasti národní bezpečnosti v jednom nebo více členských státech?
3) Měla by být při posuzování, zda třetí země zajišťuje osobním údajům předaným do uvedené země úroveň ochrany vyžadovanou unijním právem pro účely článku 26 směrnice [95/46], úroveň ochrany ve třetí zemi posuzována s odvoláním na:
a) použitelné předpisy ve třetí zemi vyplývající z jejího vnitrostátního práva nebo mezinárodních závazků a postupy, které mají zajišťovat dodržování uvedených předpisů, včetně profesních pravidel a bezpečnostních opatření dodržovaných ve třetí zemi,
nebo
b) právní předpisy uvedené v písmenu a) spolu s těmi správními a regulatorními postupy a postupy v oblasti dodržování právních předpisů a zárukami, postupy, protokoly, mechanismy dohledu a mimosoudními prostředky nápravy, které existují ve třetí zemi?
4) Vzhledem ke skutkovým zjištěním, která učinil High Court [(Vrchní soud)] ve vztahu k právním předpisům USA, je porušením práv jednotlivců podle článků 7 nebo 8 Listiny, jsou-li osobní údaje předávány z [Unie] do USA podle rozhodnutí o SSD?
5) Vzhledem ke skutkovým zjištěním, která učinil High Court [(Vrchní soud)] ve vztahu k právním předpisům USA, jsou-li osobní údaje předány z [Unie] do USA podle rozhodnutí o SSD,
a) zachovává úroveň ochrany poskytovaná USA podstatu práva jednotlivce na prostředky nápravy před soudem při porušení jeho práv na ochranu osobních údajů, zaručeného článkem 47 Listiny?
Je-li odpověď na otázku pod písmenem a) kladná,
b) jsou omezení práva jednotlivce na prostředky nápravy před soudem obsažená v právních předpisech USA v souvislosti s národní bezpečností USA přiměřená ve smyslu článku 52 Listiny a nepřekračují rámec toho, co je nezbytné v demokratické společnosti pro účely národní bezpečnosti?
6) a) Jaká úroveň ochrany musí být poskytnuta osobním údajům předávaným do třetí země na základě standardních smluvních doložek přijatých v souladu s rozhodnutím Komise podle čl. 26 odst. 4 směrnice [95/46] s přihlédnutím k jejím ustanovením a zejména článkům 25 a 26 vykládaným ve světle Listiny?
b) Jaké skutečnosti musí být vzaty v úvahu při posuzování, zda úroveň ochrany poskytovaná údajům předávaným do třetí země podle rozhodnutí o SSD splňuje požadavky směrnice [95/46] a Listiny?
7) Vylučuje skutečnost, že standardní smluvní doložky platí mezi vývozcem údajů a dovozcem údajů a nejsou závazné pro vnitrostátní orgány třetí země, které mohou po dovozci údajů požadovat, aby jejich zpravodajským službám zpřístupnil k dalšímu zpracování osobní údaje předané podle ustanovení obsažených v rozhodnutí o SSD, závěr, že doložky poskytují dostatečné záruky, jak předpokládá čl. 26 odst. 2 směrnice [95/46]?
8) Pokud dovozce údajů z třetí země podléhá právním předpisům o sledování, které jsou podle názoru orgánu pro ochranu osobních údajů v rozporu s[e standardními doložkami o ochraně], s články 25 a 26 směrnice [95/46] nebo s Listinou, je orgán pro ochranu osobních údajů povinen použít své donucovací pravomoci podle čl. 28 odst. 3 směrnice [95/46] a pozastavit toky údajů, nebo je výkon těchto pravomocí s ohledem na bod 11 odůvodnění rozhodnutí o SSD omezen pouze na výjimečné případy, nebo může orgán pro ochranu osobních údajů využít své diskreční pravomoci a toky údajů nepozastavit?
9) a) Je pro účely čl. 25 odst. 6 směrnice [95/46] rozhodnutí o štítu na ochranu soukromí obecně závazné pro orgán pro ochranu osobních údajů a soudy členských států v tom smyslu, že USA zajišťují odpovídající úroveň ochrany ve smyslu čl. 25 odst. 2 směrnice [95/46] na základě svého vnitrostátního práva nebo mezinárodních závazků?
b) Pokud tomu tak není, jaký význam, pokud vůbec nějaký, má rozhodnutí o štítu na ochranu soukromí při posuzování odpovídající úrovně záruk poskytovaných v souvislosti s údaji předávanými do USA podle rozhodnutí o SSD?
10) Vzhledem ke zjištěním, která učinil High Court [(Vrchní soud)] ve vztahu k právním předpisům USA, zaručuje zřízení úřadu ombudsmana ve věcech štítu na ochranu soukromí podle přílohy A k příloze III rozhodnutí o štítu na ochranu soukromí ve spojení se stávajícím režimem v USA, že USA poskytují takové prostředky nápravy subjektům údajů, jejichž osobní údaje jsou předávány do USA podle rozhodnutí o SSD, které jsou slučitelné s článkem 47 Listiny?
11) Je rozhodnutí o SSD v rozporu s články 7, 8 nebo 47 Listiny?“
K přípustnosti žádosti o rozhodnutí o předběžné otázce
69 Facebook Ireland, německá vláda a vláda Spojeného království tvrdí, že žádost o rozhodnutí o předběžné otázce je nepřípustná.
70 Facebook Ireland ve své námitce poznamenává, že ustanovení směrnice 95/46, ze kterých vycházejí předběžné otázky, zrušilo GDPR.
71 K tomu je třeba uvést, že směrnice 95/46 byla sice podle čl. 94 odst. 1 GDPR zrušena s účinky od 25. května 2018, avšak dne 4. května 2018, kdy byla podána tato žádost o rozhodnutí o předběžné otázce, jež Soudnímu dvoru došla dne 9. května 2018, byla tato směrnice stále ještě v platnosti. Kromě toho byl čl. 3 odst. 2 první odrážka, články 25 a 26, jakož i čl. 28 odst. 3 směrnice 95/46, na které odkazují předběžné otázky, v podstatě převzaty do čl. 2 odst. 2 a do článků 45, 46 a 58 GDPR. Dále je třeba připomenout, že úkolem Soudního dvora je vyložit všechna ustanovení unijního práva, která vnitrostátní soudy potřebují pro rozhodnutí o sporech, které projednávají, i pokud nejsou tato ustanovení výslovně zmíněna v otázkách položených těmito soudy Soudnímu dvoru (rozsudek ze dne 2. dubna 2020, Ruska Federacija, C‑897/19 PPU, EU:C:2020:262, bod 43 a citovaná judikatura). Z těchto jednotlivých důvodů nemůže okolnost, že předkládající soud při formulování předběžných otázek odkázal jen na ustanovení směrnice 95/46, vést k nepřípustnosti této žádosti o rozhodnutí o předběžné otázce.
72 Německá vláda vychází ve své námitce nepřípustnosti jednak z okolnosti, že komisařka vyjádřila k otázce platnosti rozhodnutí o SSD jen pochybnosti, a nikoli konečné stanovisko, a jednak z toho, že předkládající soud neověřil, zda M. Schrems nepochybně udělil souhlas s předáváním údajů dotčeným ve věci v původním řízení, což by v případě, že by tomu tak bylo, znamenalo, že odpověď na tuto otázku by byla zbytečná. Konečně podle vlády Spojeného království jsou předběžné otázky hypotetické, protože předkládající soud nekonstatoval, že by tyto údaje vskutku byly předány na základě uvedeného rozhodnutí.
73 Z ustálené judikatury Soudního dvora vyplývá, že je pouze na vnitrostátním soudu, který rozhoduje spor a musí nést odpovědnost za soudní rozhodnutí, které bude vydáno, aby posoudil s ohledem na konkrétní okolnosti věci jak nezbytnost rozhodnutí o předběžné otázce pro vydání jeho rozsudku, tak relevanci otázek, které klade Soudnímu dvoru. Jestliže se tedy položené otázky týkají výkladu nebo platnosti normy unijního práva, je Soudní dvůr v zásadě povinen rozhodnout. Z toho vyplývá, že se na otázky položené vnitrostátními soudy vztahuje domněnka relevance. Soudní dvůr smí rozhodnutí o předběžné otázce položené vnitrostátním soudem odmítnout pouze tehdy, pokud je zjevné, že žádaný výklad nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, pokud se jedná o hypotetický problém nebo také pokud Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na dané otázky (rozsudky ze dne 16. června 2015, Gauweiler a další, C‑62/14, EU:C:2015:400, body 24 a 25; ze dne 2. října 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, bod 45, jakož i ze dne 19. prosince 2019, Dobersberger, C‑16/18, EU:C:2019:1110, body 18 a 19).
74 V projednávané věci žádost o rozhodnutí o předběžné otázce obsahuje skutkové a právní okolnosti, které postačují k pochopení významu předběžných otázek. Dále je především třeba konstatovat, že spis předložený Soudnímu dvoru neobsahuje žádnou informaci, na jejímž základě by bylo možné mít za to, že požadovaný výklad unijního práva nemá žádný vztah k realitě nebo předmětu sporu v původním řízení nebo že se jedná o hypotetický problém zejména proto, že by k předávání osobních údajů dotčenému ve věci v původním řízení docházelo na základě výslovného souhlasu subjektu údajů s tímto předáváním, a nikoli na základě rozhodnutí o SSD. Facebook Ireland totiž podle informací uvedených v uvedené žádosti potvrdila, že osobní údaje svých uživatelů s bydlištěm v Unii předává společnosti Facebook Inc. a že k tomuto předávání, jehož zákonnost M. Schrems zpochybňuje, dochází z velké části na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD.
75 Skutečnost, že komisařka nevyjádřila své konečné stanovisko k platnosti tohoto rozhodnutí, nemá na přípustnost projednávané žádosti o rozhodnutí žádný dopad, protože předkládající soud považuje odpověď na předběžné otázky týkající se výkladu a platnosti norem unijního práva za nezbytnou pro rozhodnutí sporu v původním řízení.
76 Z toho vyplývá, že žádost o rozhodnutí o předběžné otázce je přípustná.
K předběžným otázkám
77 Úvodem je třeba připomenout, že projednávaná žádost o rozhodnutí o předběžné otázce navazuje na stížnost M. Schremse směřující k tomu, aby komisařka do budoucna dočasně nebo trvale zakázala společnosti Facebook Ireland předávání jeho osobních údajů společnosti Facebook Inc. Předběžné otázky přitom sice odkazují na ustanovení směrnice 95/46, avšak je nesporné, že komisařka před zrušením této směrnice a jejím nahrazením GDPR s účinností od 25. května 2018 nepřijala konečné rozhodnutí o této stížnosti.
78 Skutečnost, že vnitrostátní rozhodnutí nebylo dosud vydáno, odlišuje situaci dotčenou ve věci v původním řízení od situace ve věcech, ve kterých byly vyhlášeny rozsudky ze dne 24. září 2019, Google (Územní dosah odstranění odkazu z výsledků vyhledávání) (C‑507/17, EU:C:2019:772), a ze dne 1. října 2019, Planet49 (C‑673/17, EU:C:2019:801), v nichž dotčená rozhodnutí byla přijata před zrušením uvedené směrnice.
79 Na předběžné otázky je proto třeba odpovědět vzhledem k ustanovením GDPR, a nikoli k ustanovením směrnice 95/46.
K první otázce
80 Podstatou první předběžné otázky předkládajícího soudu je, zda musí být čl. 2 odst. 1 a čl. 2 odst. 2 písm. a), b) a d) GDPR ve spojení s čl. 4 odst. 2 SEU vykládány v tom smyslu, že předávání osobních údajů prováděné hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi v případech, kdy tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány této třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu, spadá do působnosti uvedeného nařízení.
81 V této souvislosti je předně třeba poukázat na to, že ustanovení obsažené v čl. 4 odst. 2 SEU, podle kterého národní bezpečnost zůstává v Unii výhradní odpovědností každého členského státu, se týká výlučně členských států Unie. Toto ustanovení proto není pro výklad čl. 2 odst. 1 a čl. 2 odst. 2 písm. a), b) a d) GDPR v projednávané věci relevantní.
82 Podle čl. 2 odst. 1 GDPR se toto nařízení vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Článek 4 bod 2 tohoto nařízení definuje pojem „zpracování“ jako „jak[ou]koliv operac[i] nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů“, a jako jeho příklady uvádí „zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění“ bez ohledu na to, zda se tyto operace uskutečňují uvnitř Unie nebo zda mají vazbu na třetí zemi. Uvedené nařízení dále stanoví pro předávání osobních údajů do třetích zemí zvláštní pravidla obsažená v jeho kapitole V, nadepsané „Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím“, a dozorovým úřadům dále přiznává pro tyto účely zvláštní pravomoci upravené v čl. 58 odst. 2 písm. j) téhož nařízení.
83 Z toho vyplývá, že operace spočívající v zajištění předání osobních údajů z členského státu do třetí země jako taková představuje zpracování osobních údajů ve smyslu čl. 4 bodu 2 GDPR prováděné na území členského státu, tj. zpracování, na které se toto nařízení použije na základě jeho čl. 2 odst. 1 [obdobně ve vztahu k čl. 2 písm. b) a čl. 3 odst. 1 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 45 a citovaná judikatura].
84 K otázce, zda takovou operaci lze považovat za vyloučenou z působnosti GDPR podle jeho čl. 2 odst. 2, je třeba připomenout, že toto ustanovení stanoví výjimky z působnosti tohoto nařízení upravené v jeho čl. 2 odst. 1 a že tyto výjimky musí být vykládány striktně (obdobně ve vztahu k čl. 3 odst. 2 směrnice 95/46 viz rozsudek ze dne 10. července 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 37 a citovaná judikatura).
85 V projednávaném případě předávání osobních údajů dotčené ve věci v původním řízení nespadá vzhledem k tomu, že tyto údaje předává společnost Facebook Ireland společnosti Facebook Inc., tedy jedna právnická osoba jiné právnické osobě, pod čl. 2 odst. 2 písm. c) GDPR, který upravuje zpracování údajů prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností. Toto předávání nespadá ani pod výjimky upravené v čl. 2 odst. 2 písm. a), b) a d) tohoto nařízení, protože v nich uvedené činnosti jsou v každém případě příkladem činností státu či státních orgánů, které se liší od činnosti jednotlivců (obdobně ve vztahu k čl. 3 odst. 2 směrnice 95/46 viz rozsudek ze dne 10. července 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, bod 38 a citovaná judikatura).
86 Možnost, že osobní údaje předávané jedním hospodářským subjektem jinému hospodářskému subjektu pro obchodní účely budou při předávání nebo po něm zpracovány pro účely veřejné bezpečnosti, obrany a bezpečnosti státu orgány dotyčné třetí země, nemůže toto předávání vyloučit z působnosti GDPR.
87 Samotné znění čl. 45 odst. 2 písm. a) tohoto nařízení ostatně tím, že je Komisi výslovně uložena povinnost vzít při posuzování odpovídající úrovně ochrany poskytované třetí zemí v úvahu mimo jiné „příslušné právní předpisy, obecné i odvětvové, včetně těch, které se týkají veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů“, dokládá, že použitelnost uvedeného nařízení na dané předávání není případným zpracováním dotčených údajů třetí zemí pro účely veřejné bezpečnosti, obrany a bezpečnosti státu zpochybněna.
88 Z toho vyplývá, že takové předávání nemůže být z důvodu, že dotčené údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu, vyloučeno z působnosti GDPR.
89 Na první otázku je proto třeba odpovědět, že čl. 2 odst. 1 a 2 GDPR musí být vykládán v tom smyslu, že předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi spadá do působnosti tohoto nařízení i tehdy, když tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu.
Ke druhé, třetí a šesté otázce
90 Podstatou druhé, třetí a šesté otázky předkládajícího soudu Soudnímu dvoru je úroveň ochrany, která je v čl. 46 odst. 1 a v čl. 46 odst. 2 písm. c) GDPR vyžadována při předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů. Konkrétně uvedený soud žádá Soudní dvůr o upřesnění prvků, které je třeba vzít v úvahu pro účely určení, zda je tato úroveň ochrany v kontextu takového předávání zajištěna.
91 V souvislosti s vyžadovanou úrovní ochrany z citovaných ustanovení v jejich vzájemné souvislosti plyne, že jestliže neexistuje rozhodnutí o odpovídající ochraně přijaté na základě čl. 45 odst. 3 tohoto nařízení, mohou správce nebo zpracovatel předat osobní údaje do třetí země jen tehdy, pokud poskytl „vhodné záruky“, a za podmínky, že jsou k dispozici „vymahatelná práva […] a účinná právní ochrana“ subjektů údajů, přičemž tyto vhodné záruky mohou být stanoveny mimo jiné pomocí standardních doložek o ochraně osobních údajů přijatých Komisí.
92 I když článek 46 GDPR neupřesňuje povahu požadavků, které vyplývají z tohoto odkazu na „vhodné záruky“, „vymahatelná práva“ a „účinnou právní ochranu“, je třeba poukázat na to, že tento článek je obsažen v kapitole V tohoto nařízení, a tudíž musí být vykládán ve spojení s článkem 44 uvedeného nařízení, nadepsaným „Obecná zásada pro předávání“, jenž stanoví, že „[v]eškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena“. Tato úroveň ochrany musí proto být zaručena bez ohledu na to, které z ustanovení řečené kapitoly je základem pro předání osobních údajů do třetí země.
93 Jak totiž podotkl generální advokát v bodě 117 svého stanoviska, cílem ustanovení kapitoly V GDPR je – v souladu s cílem upřesněným v bodě 6 odůvodnění tohoto nařízení – zajistit kontinuitu vysoké úrovně této ochrany, jsou-li osobní údaje předávány do třetí země.
94 Článek 45 odst. 1 věta první GDPR stanoví, že předání osobních údajů do třetí země může být povoleno rozhodnutím Komise, podle kterého tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi zajišťují odpovídající úroveň ochrany. V tomto ohledu výraz „odpovídající úroveň ochrany“ nevyžaduje, aby dotyčná třetí země zajišťovala stejnou úroveň ochrany, jako je úroveň zajištěná v unijním právním řádu, a musí být chápán – jak dokládá bod 104 odůvodnění tohoto nařízení – v tom smyslu, že vyžaduje, aby tato třetí země skutečně zajišťovala na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků takovou úroveň ochrany základních práv a svobod, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii na základě uvedeného nařízení ve spojení s Listinou. Pokud by totiž takový požadavek chyběl, byl by popřen cíl zmíněný v předchozím bodě (obdobně ve vztahu k čl. 25 odst. 6 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 73).
95 V tomto kontextu se v bodě 107 odůvodnění GDPR uvádí, že když „určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi […] již odpovídající úroveň ochrany údajů nezajišťuje“, mělo by „[p]ředání osobních údajů do této třetí země […] být povoleno, jen pokud jsou splněny požadavky […] tohoto nařízení týkající se předání na základě vhodných záruk“. K tomu je v bodě 108 odůvodnění uvedeného nařízení upřesněno, že nebude-li přijato rozhodnutí o odpovídající ochraně, musí vhodné záruky, které mají podle čl. 46 odst. 1 téhož nařízení poskytnout správce nebo zpracovatel, „v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi […] zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii“.
96 Z uvedeného plyne, jak podotkl generální advokát v bodě 115 svého stanoviska, že tyto vhodné záruky musí být způsobilé zajistit, aby se na osoby, jejichž údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, vztahovala, tak jako v rámci předávání založeného na rozhodnutí o odpovídající úrovni ochrany, úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii.
97 Předkládající soud si dále klade otázku, zda musí být tato úroveň ochrany, která má být v zásadě rovnocenná úrovni ochrany zaručené v Unii, určena vzhledem k unijnímu právu, zejména k právům zaručeným Listinou, nebo vzhledem k základním právům zakotveným evropskou Úmluvou o ochraně lidských práv a základních svobod (dále jen „EÚLP“), anebo vzhledem k vnitrostátnímu právu členských států.
98 V tomto ohledu je třeba připomenout, že i když jsou základní práva, která jsou zakotvena v EÚLP – jak potvrzuje čl. 6 odst. 3 SEU – součástí unijního práva jakožto obecné zásady, a i když čl. 52 odst. 3 Listiny stanoví, že v ní obsažená práva odpovídající právům zaručeným EÚLP mají stejný smysl a stejný rozsah, jaký jim přikládá uvedená úmluva, nepředstavuje tato úmluva právní nástroj formálně začleněný do unijního právního řádu, dokud k ní Unie nepřistoupí (rozsudky ze dne 26. února 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, bod 44 a citovaná judikatura, jakož i ze dne 20. března 2018, Menci, C‑524/15, EU:C:2018:197, bod 22).
99 Za těchto podmínek Soudní dvůr rozhodl, že unijní právo musí být vykládáno a platnost unijních aktů zkoumána vzhledem k základním právům zaručeným Listinou (obdobně viz rozsudek ze dne 20. března 2018, Menci, C‑524/15, EU:C:2018:197, bod 24).
100 Z ustálené judikatury také vyplývá, že platnost ustanovení unijního práva a v případě, že tato ustanovení výslovně neodkazují na vnitrostátní právo členských států, jejich výklad nelze posuzovat vzhledem k tomuto vnitrostátnímu právu, třebaže konkrétně taková základní práva, jaká jsou upravena v jejich vnitrostátních ústavách, mají sílu ústavní normy (v tomto smyslu viz rozsudky ze dne 17. prosince 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, bod 3; ze dne 13. prosince 1979, Hauer, 44/79, EU:C:1979:290, bod 14, jakož i ze dne 18. října 2016, Nikiforidis, C‑135/15, EU:C:2016:774, bod 28 a citovaná judikatura).
101 Z toho vyplývá, že když takové předávání osobních údajů, jako je předávání dotčené ve věci v původním řízení, prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi, spadá – jak plyne z odpovědi na první otázku – do působnosti GDPR a když cílem tohoto nařízení je – jak plyne z bodu 10 jeho odůvodnění – zajistit soudržnou a vysokou úroveň ochrany fyzických osob v Unii a za tím účelem zajistit v celé Unii jednotné a soudržné uplatňování pravidel ochrany základních práv a svobod těchto osob v souvislosti se zpracováváním osobních údajů, musí být úroveň ochrany základních práv vyžadovaná v čl. 46 odst. 1 uvedeného nařízení určena na základě ustanovení téhož nařízení ve spojení se základními právy zaručenými Listinou.
102 Předkládající soud se dále táže, jaké prvky je třeba vzít v úvahu pro účely určení odpovídající úrovně ochrany v kontextu předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých na základě čl. 46 odst. 2 písm. c) GDPR.
103 K tomu je nutno uvést, že i když toto ustanovení nepodává výčet jednotlivých prvků, které je třeba vzít v úvahu pro účely posouzení odpovídající úrovně ochrany, jež musí být při takovém předávání dodržena, čl. 46 odst. 1 tohoto nařízení upřesňuje, že na subjekty údajů se musí vztahovat vhodné záruky a těmto subjektům musí být k dispozici vymahatelná práva a účinná právní ochrana.
104 Při posuzování vyžadovaném pro tyto účely v kontextu takového předávání je zejména třeba vzít v úvahu jednak smluvní ujednání mezi správcem nebo zpracovatelem usazenými v Unii a příjemcem předávaných údajů usazeným v dotyčné třetí zemi a jednak – v souvislosti s případným přístupem orgánů veřejné moci této třetí země k předávaným osobním údajům – relevantní prvky právního řádu této země. V posledně uvedeném ohledu odpovídají prvky, které je třeba vzít v úvahu v kontextu článku 46 uvedeného nařízení, prvkům příkladmo vyjmenovaným v jeho čl. 45 odst. 2.
105 Na druhou, třetí a šestou otázku je proto třeba odpovědět, že čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR musí být vykládány v tom smyslu, že vhodné záruky, vymahatelná práva a účinná právní ochrana vyžadované uvedenými ustanoveními musí zajistit, aby se na práva osob, jejichž osobní údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, vztahovala úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii tímto nařízením ve spojení s Listinou. Pro tyto účely je při posuzování úrovně ochrany zajištěné v kontextu takového předávání zejména třeba vzít v úvahu jednak smluvní ujednání mezi správcem nebo zpracovatelem usazenými v Unii a příjemcem předávaných údajů usazeným v dotyčné třetí zemi a jednak – v souvislosti s případným přístupem orgánů veřejné moci této třetí země k takto předávaným osobním údajům – relevantní prvky právního řádu této země, zejména prvky uvedené v čl. 45 odst. 2 uvedeného nařízení.
K osmé otázce
106 Podstatou osmé otázky předkládajícího soudu je, zda musí být čl. 58 odst. 2 písm. f) a j) GDPR vykládán v tom smyslu, že příslušný dozorový úřad je povinen dočasně nebo trvale zakázat předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých Komisí, když tento dozorový úřad dospěje k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem, zejména články 45 a 46 GDPR a Listinou, nemůže být zajištěna, nebo v tom smyslu, že výkon těchto pravomocí je omezen na výjimečné případy.
107 Podle čl. 8 odst. 3 Listiny a podle čl. 51 odst. 1 a čl. 57 odst. 1 písm. a) GDPR jsou vnitrostátní dozorové úřady pověřeny dohlížením na dodržování unijních pravidel týkajících se ochrany fyzických osob v souvislosti se zpracováním osobních údajů. Každý z nich je tedy nadán pravomocí ověřit, zda je předání osobních údajů z jeho členského státu do třetí země v souladu s požadavky stanovenými tímto nařízením (obdobně ve vztahu k článku 28 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 47).
108 Ze zmíněných ustanovení plyne, že prvořadým úkolem dozorových úřadů je monitorovat a vymáhat uplatňování GDPR. Plnění tohoto úkolu má zvláštní význam v kontextu předávání osobních údajů do třetí země, protože – jak plyne ze samotného znění bodu 116 odůvodnění tohoto nařízení – „[p]ředání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo poskytnutím těchto údajů“. V takovém případě, jak je dále upřesněno v témže bodě odůvodnění, se „[z]ároveň […] může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu“.
109 Kromě toho má podle čl. 57 odst. 1 písm. f) GDPR každý dozorový úřad povinnost na svém území se zabývat stížnostmi, které mu má podle čl. 77 odst. 1 tohoto nařízení právo podat každý subjekt údajů, jenž se domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení, a také povinnost ve vhodné míře prošetřit předmět takové stížnosti. Dozorový úřad se musí takovou stížností zabývat s veškerou náležitou péčí (obdobně ve vztahu k čl. 25 odst. 6 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 63).
110 Článek 78 odst. 1 a 2 GDPR přiznává každému právo na účinnou soudní ochranu mimo jiné tehdy, když se dozorový úřad nezabývá jeho stížností. I v bodě 141 odůvodnění tohoto nařízení je odkázáno na „právo na účinnou soudní ochranu v souladu s článkem 47 Listiny“ v případě, kdy tento dozorový úřad „nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů“.
111 Za účelem vyřizování podaných stížností přiznává čl. 58 odst. 1 GDPR každému dozorovému úřadu významné vyšetřovací pravomoci. Když takový orgán na základě šetření dospěje k závěru, že na subjekt údajů, jehož osobní údaje byly předány do třetí země, se v dané zemi nevztahuje odpovídající úroveň ochrany, má podle unijního práva povinnost přiměřeně reagovat, aby zjednal nápravu shledaného nedostatku, a to bez ohledu na to, z čeho tento nedostatek pramení a jakou má povahu. Pro tyto účely jsou v čl. 58 odst. 2 tohoto nařízení vyjmenovány různé nápravné pravomoci, které dozorový úřad má.
112 I když volba vhodného a nezbytného prostředku přísluší dozorovému úřadu, který ji musí provést s přihlédnutím ke všem okolnostem dotčeného předání dotčených osobních údajů, musí tento úřad zároveň s veškerou náležitou péčí splnit svůj úkol vymáhat uplatňování GDPR.
113 V této souvislosti má uvedený úřad, jak podotkl i generální advokát v bodě 148 svého stanoviska, povinnost podle čl. 58 odst. 2 písm. f) a j) tohoto nařízení povinnost dočasně nebo trvale zakázat předávání osobních údajů do třetí země, když na základě všech okolností daného předávání dospěje k názoru, že standardní doložky o ochraně osobních údajů nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem nemůže být zajištěna jinými prostředky, jestliže předávání nepozastavil nebo neukončil sám správce nebo zpracovatel usazení v Unii.
114 Výklad uvedený v předchozím bodě nemůže zpochybnit argumentace komisařky, podle které článek 4 rozhodnutí 2010/87 ve znění účinném před vstupem prováděcího rozhodnutí 2016/2297 v platnost ve spojení s bodem 11 odůvodnění tohoto rozhodnutí omezoval pravomoc dozorových úřadů dočasně nebo trvale zakázat předávání osobních údajů do třetí země na určité výjimečné případy. V článku 4 rozhodnutí o SSD ve znění změněném prováděcím rozhodnutím 2016/2297 je totiž pravomoc dočasně nebo trvale zakázat takové předávání, kterou tyto orgány disponují nyní na základě čl. 58 odst. 2 písm. f) a j) GDPR, zmíněna bez sebemenšího omezení výkonu této pravomoci na výjimečné okolnosti.
115 V každém případě prováděcí pravomoc, kterou Komisi přiznává čl. 46 odst. 2 písm. c) GDPR pro účely přijetí standardních doložek o ochraně osobních údajů, tomuto orgánu nesvěřuje pravomoc omezit pravomoci dozorových úřadů přiznané jim článkem 58 odst. 2 tohoto nařízení (obdobně ve vztahu k čl. 25 odst. 6 a článku 28 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, body 102 a 103). Kromě toho bod 5 odůvodnění prováděcího rozhodnutí 2016/2297 dokládá, že rozhodnutí o SSD „nebrání [dozorovému úřadu], aby vykonával své pravomoci dohledu nad toky údajů, včetně pravomoci předávání osobních údajů dočasně nebo trvale zakázat, jestliže uvedený orgán stanoví, že předávání je prováděno v rozporu s právními předpisy [Unie] na ochranu údajů nebo vnitrostátními právními předpisy na ochranu údajů“.
116 Je nicméně třeba upřesnit, že pravomoci příslušného dozorového úřadu jsou podmíněny důsledným dodržením rozhodnutí, jímž Komise na základě čl. 45 odst. 1 věty první GDPR případně rozhodne, že určitá třetí země zajišťuje odpovídající úroveň ochrany. V takovém případě totiž z čl. 45 odst. 1 věty druhé tohoto nařízení ve spojení s bodem 103 jeho odůvodnění plyne, že se předávání osobních údajů do dotyčné třetí země může uskutečnit, aniž je třeba získat zvláštní povolení.
117 Podle čl. 288 čtvrtého pododstavce SFEU je rozhodnutí Komise o odpovídající ochraně závazné v celém rozsahu pro všechny členské státy, jimž je určeno, a v rozsahu, v němž konstatuje, že dotyčná třetí země zajišťuje odpovídající úroveň ochrany, a v němž má za účinek povolení takového předávání osobních údajů, platí tedy pro všechny jejich orgány (obdobně ve vztahu k čl. 25 odst. 6 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 51 a citovaná judikatura).
118 Je sice pravda, že dokud není rozhodnutí o odpovídající ochraně prohlášeno Soudním dvorem za neplatné, nemohou členské státy a jejich orgány, včetně jejich nezávislých dozorových úřadů, přijmout opatření odporující tomuto rozhodnutí, jako např. akty směřující ke zjištění se závazným účinkem, že třetí země, na kterou se vztahuje uvedené rozhodnutí, nezajišťuje odpovídající úroveň ochrany (rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 52 a citovaná judikatura), a v důsledku toho dočasně nebo trvale zakázat předávání osobních údajů do této třetí země.
119 Takové rozhodnutí Komise o odpovídající ochraně přijaté na základě čl. 45 odst. 3 GDPR nicméně nemůže bránit osobám, jejichž osobní údaje byly nebo by mohly být předány do třetí země, aby na základě čl. 77 odst. 1 GDPR podaly u vnitrostátního dozorového úřadu stížnost týkající se ochrany jejich práv a svobod v souvislosti se zpracováním těchto údajů. Stejně tak rozhodnutí této povahy nemůže popřít ani omezit pravomoci výslovně přiznané vnitrostátním dozorovým úřadům článkem 8 odst. 3 Listiny, jakož i článkem 51 odst. 1 a článkem 57 odst. 1 písm. a) uvedeného nařízení (obdobně ve vztahu k čl. 25 odst. 6 a článku 28 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 53).
120 Příslušný vnitrostátní dozorový úřad, k němuž subjekt údajů podal stížnost týkající se ochrany svých práv a svobod v souvislosti se zpracováním svých osobních údajů, proto musí i tehdy, když existuje rozhodnutí Komise o odpovídající ochraně, mít možnost zcela nezávisle posoudit, zda je předání těchto údajů v souladu s požadavky stanovenými v GDPR, a případně podat k vnitrostátním soudům návrh na to, aby za předpokladu, že se ztotožní s pochybnostmi dotyčného úřadu o platnosti rozhodnutí o odpovídající ochraně, podaly za účelem přezkumu této platnosti žádost o rozhodnutí o předběžné otázce (obdobně ve vztahu k čl. 25 odst. 6 a článku 28 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, body 57 a 65).
121 S ohledem na výše rozvedené úvahy je třeba na osmou otázku odpovědět, že čl. 58 odst. 2 písm. f) a j) GDPR musí být vykládán v tom smyslu, že neexistuje-li rozhodnutí o odpovídající ochraně platně přijaté Komisí, je příslušný dozorový úřad povinen dočasně nebo trvale zakázat předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých Komisí, když tento dozorový úřad dospěje na základě všech okolností daného předávání k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem, zejména články 45 a 46 GDPR a Listinou, nemůže být v případě, že předávání nepozastavili nebo neukončili sám správce nebo zpracovatel usazení v Unii, zajištěna jinými prostředky.
K sedmé a jedenácté otázce
122 Podstatou sedmé a jedenácté otázky předkládajícího soudu Soudnímu dvoru, jimiž je třeba se zabývat společně, je platnost rozhodnutí o SSD vzhledem k článkům 7, 8 a 47 Listiny.
123 Konkrétně se předkládající soud táže, jak plyne z formulace sedmé otázky a z vysvětlení k této otázce uvedených v žádosti o rozhodnutí o předběžné otázce, zda je rozhodnutí o SSD způsobilé zajistit odpovídající úroveň ochrany osobních údajů předávaných do třetích zemí, když standardní doložky o ochraně osobních údajů nejsou pro orgány těchto třetích zemí závazné.
124 Článek 1 rozhodnutí o SSD stanoví, že standardní doložky o ochraně osobních údajů uvedené v jeho příloze jsou považovány za vhodné záruky s ohledem na ochranu soukromí a základních práv a svobod jednotlivců v souladu s čl. 26 odst. 2 směrnice 95/46. Posledně zmíněné ustanovení bylo v podstatě převzato do čl. 46 odst. 1 a do čl. 46 odst. 2 písm. c) GDPR.
125 Tyto doložky jsou sice závazné pro správce usazeného v Unii a pro příjemce předávaných osobních údajů usazeného ve třetí zemi tehdy, když jimi uzavřená smlouva odkazuje na řečené doložky, avšak není sporu o tom, že nemohou zavazovat orgány této třetí země, neboť ty stranami dané smlouvy nejsou.
126 Ačkoli tedy existují situace, ve kterých – v závislosti na stavu právních předpisů a praxe v dotyčné třetí zemi – je příjemce takto předávaných údajů s to zajistit jejich nezbytnou ochranu jen na základě standardních doložek o ochraně osobních údajů, existují i situace jiné, ve kterých by ustanovení obsažená v těchto doložkách nemusela v praxi představovat dostatečný prostředek k zajištění skutečné ochrany předaných osobních údajů v dotyčné třetí zemi. Tak je tomu zejména v případech, kdy právní předpisy této třetí země umožňují orgánům veřejné moci této země zasahovat do práv subjektů údajů týkajících se těchto údajů.
127 Vyvstává tedy otázka, zda je rozhodnutí Komise o standardních doložkách o ochraně osobních údajů, přijaté na základě čl. 46 odst. 2 písm. c) GDPR, neplatné, když v tomto rozhodnutí nejsou stanoveny záruky vymahatelné vůči orgánům veřejné moci třetích zemí, do kterých jsou nebo mohou být na základě těchto doložek předány osobní údaje.
128 Článek 46 odst. 1 GDPR stanoví, že jestliže neexistuje rozhodnutí o odpovídající ochraně, správce nebo zpracovatel mohou předat osobní údaje do třetí země pouze tehdy, pokud správce nebo zpracovatel poskytl vhodné záruky, a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů. Podle čl. 46 odst. 2 písm. c) tohoto nařízení mohou být tyto záruky stanoveny pomocí standardních doložek o ochraně osobních údajů přijatých Komisí. V těchto ustanoveních přitom není uvedeno, že by všechny tyto záruky musely být nutně stanoveny takovým rozhodnutím Komise, jako je rozhodnutí o SSD.
129 K tomu je nutno podotknout, že takové rozhodnutí se liší od rozhodnutí o odpovídající ochraně přijatého na základě čl. 45 odst. 3 GDPR, jehož cílem je – po posouzení právní úpravy dotyčné třetí země s přihlédnutím zejména k příslušným právním předpisům v oblasti národní bezpečnosti a přístupu orgánů veřejné moci k osobním údajům – závazně konstatovat, že určitá třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi zajišťují odpovídající úroveň ochrany, a že tudíž přístup orgánů veřejné moci uvedené třetí země k takovým údajům nebrání jejich předávání do dané třetí země. Takové rozhodnutí o odpovídající ochraně může tedy Komise přijmout jen za podmínky, že konstatovala, že příslušné právní předpisy třetí země v dané oblasti skutečně skýtají všechny vyžadované záruky umožňující mít za to, že zajišťují odpovídající úroveň ochrany.
130 Naproti tomu u takového rozhodnutí Komise, kterým se přijímají standardní doložky o ochraně osobních údajů, jako je rozhodnutí o SSD, nelze vzhledem k tomu, že se takové rozhodnutí netýká určité třetí země, určitého území nebo jednoho či více konkrétních odvětví v této třetí zemi, dovozovat z čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR, že by Komise měla před přijetím takového rozhodnutí posuzovat odpovídající úroveň ochrany zajišťovanou třetí zemí, do které by osobní údaje mohly být na základě takových doložek předány.
131 V této souvislosti je třeba připomenout, že čl. 46 odst. 1 tohoto nařízení stanoví, že jestliže neexistuje rozhodnutí Komise o odpovídající ochraně, přísluší správci nebo zpracovateli usazenému v Unii poskytnout zejména vhodné záruky. Body 108 a 114 odůvodnění uvedeného nařízení potvrzují, že pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, měl by správce či případně zpracovatel „v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky“, a že „[t]yto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany […] v Unii nebo ve třetí zemi“.
132 Vzhledem k tomu, jak plyne z bodu 125 tohoto rozsudku, že standardní doložky o ochraně osobních údajů nemohou v důsledku své smluvní povahy zavazovat orgány veřejné moci třetích zemí, ale že článek 44, čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR vykládané s ohledem na články 7, 8 a 47 Listiny vyžadují, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena, může vzniknout potřeba doplnění záruk obsažených v těchto standardních doložkách o ochraně osobních údajů. V této souvislosti se v bodě 109 odůvodnění citovaného nařízení uvádí, že „[s]kutečnost, že správci […] mohou používat standardní doložky o ochraně údajů přijaté Komisí […] by neměla správcům […] bránit v tom, aby […] doplnili jiné doložky či další záruky“, a upřesňuje zejména, že tito správci „by měli být vybízeni k poskytování dalších záruk […], které doplní standardní doložky o ochraně údajů“.
133 Je tedy zřejmé, že cílem standardních doložek o ochraně osobních údajů přijatých Komisí na základě čl. 46 odst. 2 písm. c) téhož nařízení není nic jiného než poskytnout správcům a zpracovatelům usazeným v Unii smluvní záruky uplatňované jednotně ve všech třetích zemích, a tedy bez ohledu na úroveň ochrany zajištěnou v jednotlivých třetích zemích. Vzhledem k tomu, že tyto standardní doložky o ochraně osobních údajů nemohou s ohledem na svou povahu poskytovat záruky nad rámec smluvní povinnosti dbát na dodržování úrovně ochrany vyžadované unijním právem, může být v závislosti na situaci panující v dané třetí zemi potřebné, aby správce za účelem zajištění dodržení této úrovně ochrany přijal další opatření.
134 V tomto ohledu, jak podotkl generální advokát v bodě 126 svého stanoviska, je smluvní mechanismus stanovený v čl. 46 odst. 2 písm. c) GDPR založen na odpovědnosti správce nebo zpracovatele usazených v Unii a podpůrně příslušného dozorového úřadu. Je tedy především na správci či zpracovateli aby případ od případu – a eventuálně ve spolupráci s příjemcem předávaných údajů – ověřili, zda právo třetí země, do které jsou údaje předávány, zajišťuje ochranu osobních údajů předávaných na základě standardních doložek o ochraně osobních údajů, která je z hlediska unijního práva odpovídající, a v případě potřeby poskytl k zárukám poskytovaným těmito doložkami další záruky.
135 Nemohou-li správce nebo zpracovatel usazení v Unii přijmout další opatření dostatečná pro zajištění takové ochrany, mají tento správce nebo zpracovatel, či případně příslušný dozorový úřad, povinnost pozastavit nebo ukončit předávání osobních údajů do dotyčné třetí země. Tak je tomu zejména v případě, že právo této třetí země ukládá příjemci osobních údajů předávaných z Unie povinnosti, které jsou v rozporu s uvedenými doložkami a mohou tedy ohrozit smluvní záruku odpovídající úrovně ochrany před přístupem orgánů veřejné moci uvedené třetí země k těmto údajům.
136 Pouhou skutečností, že takové standardní doložky o ochraně osobních údajů uvedené v rozhodnutí Komise přijatém na základě čl. 46 odst. 2 písm. c) GDPR, jako jsou standardní doložky uvedené v příloze rozhodnutí o SSD, nezavazují orgány třetích zemí, do kterých mohou být osobní údaje předány, proto nemůže být dotčena platnost tohoto rozhodnutí.
137 Tato platnost naproti tomu závisí na tom, zda takové rozhodnutí – v souladu s požadavkem vyplývajícím z čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR vykládaných s ohledem na články 7, 8 a 47 Listiny – obsahuje účinné mechanismy, které v praxi umožní zajistit dodržování úrovně ochrany vyžadované unijním právem a v případě, že by došlo k porušení takových doložek nebo k nemožnosti je dodržet, dočasně nebo trvale zakázat předávání osobních údajů na jejich základě.
138 K zárukám obsaženým ve standardních doložkách o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD je třeba uvést, že z jeho doložky 4 písm. a) a b), z doložky 5 písm. a), z doložky 9 a z doložky 11 odst. 1 plyne, že se správce usazený v Unii, příjemce předávaných osobních údajů a jeho případný zpracovatel těchto údajů vzájemně zavazují k tomu, že zpracování těchto údajů včetně jejich předávání bylo a bude prováděno v souladu s „právem rozhodným pro ochranu údajů“, to znamená, jak stanoví definice uvedená v čl. 3 písm. f) uvedeného rozhodnutí, s „právní[mi] předpisy ochraňující[mi] základní práva a svobody jednotlivců, a zejména jejich právo na soukromí ve vztahu ke zpracování osobních údajů, které se vztahují na správce údajů v členském státě, ve kterém je usazen vývozce údajů“. Mezi tyto předpisy přitom patří ustanovení GDPR ve spojení s Listinou.
139 Příjemce předávaných osobních údajů usazený ve třetí zemi se dále podle doložky 5 písm. a) zavazuje neprodleně informovat správce usazeného v Unii o tom, že případně nebude moci zajistit dodržování povinností, které pro něj vyplývají z uzavřené smlouvy. Konkrétně podle doložky 5 písm. b) tento příjemce osvědčuje, že nemá důvod se domnívat, že mu právní předpisy, kterým podléhá, brání plnit povinnosti vyplývající z uzavřené smlouvy, a zavazuje se, že v případě jakékoli změny těchto vnitrostátních právních předpisů, kterým podléhá, která by mohla mít výrazně nepříznivý dopad na záruky a závazky stanovené standardními doložkami o ochraně osobních údajů uvedenými v příloze rozhodnutí o SSD, oznámí neprodleně tuto změnu správci. Tatáž doložka 5 sice v písm. d) bodě i) umožňuje příjemci předávaných osobních údajů v případě, že mu to zakazují právní předpisy, jako například v případě, kdy je tak zakázáno trestním právem, aby byla zajištěna důvěrnost vyšetřování v rámci výkonu práva, neoznámit správci usazenému v Unii právně závazný požadavek na zveřejnění osobních údajů ze strany donucovacího orgánu, tento příjemce je nicméně podle doložky 5 písm. a) přílohy rozhodnutí o SSD povinen správce informovat o tom, že již nemůže zajistit dodržování standardních doložek o ochraně osobních údajů.
140 Tato doložka 5 písm. a) a b) v obou tam upravených případech dává správci usazenému v Unii oprávnění pozastavit předávání údajů a/nebo odstoupit od smlouvy. S ohledem na požadavky vyplývající z čl. 46 odst. 1 a odst. 2 písm. c) GDPR ve spojení s články 7 a 8 Listiny je pozastavení předávání údajů a/nebo odstoupení od smlouvy pro správce povinné, jestliže příjemce předávaných údajů nemůže nebo již nemůže zajistit dodržování standardních doložek o ochraně osobních údajů. V opačném případě by správce nedostál požadavkům na něj kladeným doložkou 4 písm. a) přílohy rozhodnutí o SSD vykládanou ve spojení s ustanoveními GDPR a Listiny.
141 Je tedy zřejmé, že doložka 4 písm. a) a doložka 5 písm. a) a b) této přílohy stanoví správci usazenému v Unii a příjemci předávaných osobních údajů povinnost ujistit se, že právní předpisy třetí země, do které jsou údaje předávány, umožňují tomuto příjemci dodržovat standardní doložky o ochraně osobních údajů uvedené v příloze rozhodnutí o SSD, a to ještě před samotným předáním osobních údajů do této třetí země. K tomuto ověření je v poznámce k uvedené doložce 5 upřesněno, že povinné požadavky těchto právních předpisů, které nepřekračují rámec toho, co je nezbytné v demokratické společnosti k zajištění zejména bezpečnosti státu, obrany a veřejné bezpečnosti, nejsou v rozporu se standardními doložkami o ochraně osobních údajů. Naopak za porušení těchto doložek musí být považováno, jak zdůraznil generální advokát v bodě 131 svého stanoviska, dodržení povinnosti uložené právem třetí země, do které jsou údaje předávány, jež překračuje rámec toho, co je nezbytné pro uvedené účely. Uvedené subjekty musí při posuzování nezbytnosti takové povinnosti případně zohlednit zjištění Komise, vyjádřené v rozhodnutí o odpovídající ochraně přijatém na základě čl. 45 odst. 3 GDPR, že dotyčná třetí země zajišťuje odpovídající úrovně ochrany.
142 Z toho plyne, že správce usazený v Unii a příjemce předávaných osobních údajů mají povinnost předem ověřit, že v dotyčné třetí zemi bude dodržena úroveň ochrany vyžadovaná unijním právem. Příjemce předávaných údajů má případně na základě téže doložky 5 písm. b) povinnost informovat správce, pokud nebude moci zajistit dodržování těchto doložek, přičemž správce musí v takovém případě pozastavit předávání údajů a/nebo odstoupit od smlouvy.
143 Oznámí-li příjemce osobních údajů předávaných do třetí země správci na základě doložky 5 písm. b) přílohy rozhodnutí o SSD, že mu právní předpisy dotyčné třetí země již nedovolují zajistit dodržování standardních doložek o ochraně osobních údajů uvedených v této příloze, musí podle doložky 12 uvedené přílohy být veškeré údaje, které již byly předány do této třetí země, a jejich kopie vráceny nebo zničeny. Doložka 6 téže přílohy v každém případě postihuje nedodržení těchto standardních doložek tím, že subjektu údajů přiznává nárok na náhradu utrpěné škody.
144 Je nutno dodat, že podle doložky 4 písm. f) přílohy rozhodnutí o SSD se správce usazený v Unii zavazuje v případě, kdy by do třetí země, která neposkytuje odpovídající úroveň ochrany, mohly být předány zvláštní kategorie údajů, informovat o této skutečnosti subjekt údajů před předáním nebo co nejdříve po něm. Na základě tohoto informování by mohl uvedený subjekt získat možnost domáhat se na základě oprávnění, které mu přiznává doložka 3 odst. 1 této přílohy, na správci, aby pozastavil navrhované předání, odstoupil od smlouvy uzavřené s příjemcem předávaných osobních údajů nebo aby případně vyžadoval po tomto příjemci vrácení nebo zničení předaných údajů.
145 Konečně podle doložky 4 písm. g) uvedené přílohy má správce usazený v Unii povinnost v případě, kdy mu příjemce předávaných osobních údajů oznámí na základě doložky 5 písm. b) této přílohy, že právní předpisy, kterým podléhá, se změnily způsobem, jenž by mohl mít výrazně nepříznivý dopad na záruky a závazky stanovené standardními doložkami o ochraně osobních údajů, předat toto oznámení příslušnému dozorovému úřadu, pokud se navzdory tomuto oznámení rozhodne pokračovat v předávání nebo odvolat jeho pozastavení. Na základě předání takového oznámení tomuto dozorovému úřadu a oprávnění tohoto úřadu provést u příjemce předávaných osobních údajů ověření podle doložky 8 odst. 2 téže přílohy může tento dozorový úřad ověřit, zda je za účelem zajištění odpovídající úrovně ochrany třeba dočasně nebo trvale zakázat navrhované předání.
146 V tomto kontextu článek 4 rozhodnutí o SSD ve spojení s bodem 5 odůvodnění prováděcího rozhodnutí 2016/2297 potvrzuje, že rozhodnutí o SSD příslušnému dozorovému úřadu nebrání, aby v případě potřeby dočasně nebo trvale zakázal předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze tohoto rozhodnutí. V této souvislosti má příslušný dozorový úřad, jak vyplývá z odpovědi na osmou otázku a pokud neexistuje rozhodnutí o odpovídající ochraně platně přijaté Komisí, povinnost podle čl. 58 odst. 2 písm. f) a j) GDPR dočasně nebo trvale zakázat takové předávání, když na základě všech okolností daného předávání dospěje k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem nemůže být zajištěna jinými prostředky, jestliže předávání nepozastavil nebo neukončil sám správce nebo zpracovatel usazení v Unii.
147 K okolnosti, na kterou poukazuje komisařka a podle které by se na předávání osobních údajů do takové třetí země mohla případně vztahovat rozdílná rozhodnutí dozorových úřadů v jednotlivých členských státech, je nutno dodat, že – jak vyplývá z čl. 55 odst. 1 a čl. 57 odst. 1 písm. a) GDPR – úkol vymáhat uplatňování tohoto nařízení je v zásadě svěřen každému dozorovému úřadu na území jeho členského státu. K zabránění rozdílných rozhodnutí stanoví čl. 64 odst. 2 uvedeného nařízení možnost dozorového úřadu, který dospěje k názoru, že předávání údajů do třetí země by mělo být obecně zakázáno, požádat o stanovisko evropský sbor pro ochranu osobních údajů (EDPB), který na základě čl. 65 odst. 1 písm. c) téhož nařízení může přijmout závazné rozhodnutí mimo jiné tehdy, pokud se určitý dozorový úřad neřídí vydaným stanoviskem.
148 Z toho vyplývá, že rozhodnutí o SSD stanoví účinné mechanismy umožňující v praxi zajistit, aby předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze tohoto rozhodnutí bylo dočasně nebo trvale zakázáno, když příjemce předávaných údajů tyto doložky nedodržuje nebo když je mu jejich dodržování znemožněno.
149 S ohledem na všechny výše rozvedené úvahy je třeba na sedmou a jedenáctou otázku odpovědět, že přezkum rozhodnutí o SSD vzhledem k článkům 7, 8 a 47 Listiny neodhalil žádnou skutečnost, která by mohla mít dopad na platnost tohoto rozhodnutí.
Ke čtvrté, páté, deváté a desáté otázce
150 Podstatou deváté otázky předkládajícího soudu je, zda a do jaké míry je dozorový úřad členského státu vázán zjištěními uvedenými v rozhodnutí o štítu na ochranu soukromí, podle kterých Spojené státy zajišťují odpovídající úroveň ochrany. Podstatou čtvrté, páté a desáté otázky téhož soudu je, zda s ohledem na jeho vlastní zjištění týkající se práva Spojených států je předávání osobních údajů do této třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD porušením práv zaručených články 7, 8 a 47 Listiny, a konkrétně zda je zřízení úřadu ombudsmana zmíněného v příloze III rozhodnutí o štítu na ochranu soukromí slučitelné s článkem 47 Listiny.
151 Předně je nutno poukázat na to, že komisařka sice v návrhu, jímž bylo zahájeno původní řízení, zpochybňuje platnost jen rozhodnutí o SSD, avšak tento návrh byl k předkládajícímu soudu podán před přijetím rozhodnutí o štítu na ochranu soukromí. Vzhledem k tomu, že prostřednictvím čtvrté a páté otázky se předkládající soud táže Soudního dvora obecně na ochranu, která musí podle článků 7, 8 a 47 Listiny být zajištěna v kontextu takového předávání, musí Soudní dvůr při přezkumu zohlednit důsledky plynoucí ze skutečnosti, že v mezidobí bylo přijato rozhodnutí o štítu na ochranu soukromí. Je tomu tak tím spíše, že uvedený soud se prostřednictvím desáté otázky výslovně táže, zda ochranu vyžadovanou tímto článkem 47 Listiny zajišťuje úřad ombudsmana zmíněný v posledně zmíněném rozhodnutí.
152 Z informací uvedených v žádosti o rozhodnutí o předběžné otázce dále plyne, že Facebook Ireland v původním řízení tvrdila, že rozhodnutí o štítu na ochranu soukromí je v rozsahu zjištění odpovídající úrovně ochrany zajišťované Spojenými státy, potažmo v rozsahu legality předávání osobních údajů do této třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD, pro komisařku závazné.
153 Jak přitom vyplývá z bodu 59 tohoto rozsudku, předkládající soud ve svém rozsudku ze dne 3. října 2017, přiloženém k žádosti o rozhodnutí o předběžné otázce, zdůraznil, že má povinnost zohlednit případné změny právní úpravy nastalé v době mezi podáním návrhu a jednáním nařízeným před tímto soudem. Tento soud je tedy podle všeho povinen zohlednit při rozhodování sporu v původním řízení změnu okolností vyplývající z přijetí rozhodnutí o štítu na ochranu soukromí i jeho případné závazné účinky.
154 Konkrétně je existence závazných účinků spojených se zjištěním odpovídající úrovně ochrany ve Spojených státech v rozhodnutí o štítu na ochranu soukromí relevantní pro účely posuzování povinností, připomenutých výše v bodech 141 a 142 tohoto rozsudku, které mají správce a příjemce osobních údajů předávaných do třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD, a také povinností příslušejících případně dozorovému úřadu a spočívajících v dočasném nebo trvalém zakázání takového předávání.
155 K závazným účinkům rozhodnutí o štítu na ochranu soukromí totiž toto rozhodnutí v čl. 1 odst. 1 stanoví, že pro účely čl. 45 odst. 1 GDPR „Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím ve Spojených státech v rámci štítu [Evropská unie]‑USA na ochranu soukromí“. Podle čl. 1 odst. 3 uvedeného rozhodnutí se osobní údaje považují za předávané v rámci tohoto štítu tehdy, jsou-li předávány z Unie organizacím ve Spojených státech uvedeným na seznamu organizací tohoto štítu, který vede a zpřístupňuje Ministerstvo obchodu USA v souladu s částí I a III zásad uvedených v příloze II téhož rozhodnutí.
156 Jak vyplývá z judikatury připomenuté výše v bodech 117 a 118 tohoto rozsudku, rozhodnutí o štítu na ochranu soukromí je pro dozorové úřady závazné v rozsahu, ve kterém je v něm konstatováno, že Spojené státy zajišťují odpovídající úroveň ochrany, takže v jeho důsledku je předávání osobních údajů v rámci štítu Evropská unie‑USA na ochranu soukromí povoleno. Dokud tedy toto rozhodnutí není prohlášeno za neplatné Soudním dvorem, nemůže příslušný dozorový úřad dočasně nebo trvale zakázat předávání osobních údajů organizaci uvedené na seznamu organizací tohoto štítu z důvodu, že podle jeho názoru – na rozdíl od závěru Komise vyjádřeného v uvedeném rozhodnutí – právní předpisy Spojených států upravující přístup k osobním údajům předaným v rámci uvedeného štítu a použití těchto údajů orgány veřejné moci této třetí země pro účely národní bezpečnosti, prosazování práva a jiné účely veřejného zájmu, nezajišťují odpovídající úroveň ochrany.
157 To nic nemění na tom, že podle judikatury připomenuté výše v bodech 119 a 120 tohoto rozsudku musí příslušný dozorový úřad, k němuž subjekt údajů podal stížnost, zcela nezávisle posoudit, zda je předání těchto údajů v souladu s požadavky stanovenými v GDPR, a v případě uznání důvodnosti výtek vznesených tímto subjektem a zpochybňujících platnost rozhodnutí o odpovídající ochraně podat k vnitrostátním soudům návrh na to, aby za účelem posouzení platnosti tohoto rozhodnutí podaly Soudnímu dvoru žádost o rozhodnutí o předběžné otázce.
158 Stížnost podaná podle čl. 77 odst. 1 GDPR, v níž osoba, jejíž osobní údaje byly nebo by mohly být předány do třetí země, tvrdí, že právní předpisy a praxe platné v této zemi nezajišťují – navzdory zjištění učiněnému Komisí v rozhodnutí přijatém na základě čl. 45 odst. 3 tohoto nařízení – odpovídající úroveň ochrany, musí totiž být chápána v tom smyslu, že se v podstatě týká slučitelnosti tohoto rozhodnutí s ochranou soukromí a základních práv a svobod osob (obdobně ve vztahu k čl. 25 odst. 6 a čl. 28 odst. 4 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 59).
159 Podstatou žádosti M. Schremse v projednávané věci bylo, aby komisařka dočasně nebo trvale zakázala předávání jeho osobních údajů společností Facebook Ireland společnosti Facebook Inc. usazené ve Spojených státech, protože tato třetí země nezajišťuje odpovídající úroveň ochrany. Komisařka se po prošetření tvrzení M. Schremse obrátila na předkládající soud, který si podle všeho klade s ohledem na předložené důkazy a kontradiktorní projednání věci před ním otázku, zda pochybnosti M. Schremse o odpovídající úrovni ochrany zajišťované v této třetí zemi nejsou navzdory zjištěním, které Komise v mezidobí učinila v rozhodnutí o štítu na ochranu soukromí, opodstatněné, a tak se rozhodl položit Soudnímu dvoru čtvrtou, pátou a desátou předběžnou otázku.
160 Jak podotkl generální advokát v bodě 175 svého stanoviska, tyto předběžné otázky je třeba chápat tak, že v podstatě zpochybňují zjištění, které Komise uvedla v rozhodnutí o štítu na ochranu soukromí a podle kterého Spojené státy zajišťují odpovídající úroveň ochrany osobních předávaných údajů z Unie do této třetí země, potažmo platnost tohoto rozhodnutí.
161 S ohledem na závěry a úvahy uvedené výše v bodech 121 a 157 až 160 tohoto rozsudku a za účelem podání úplné odpovědi předkládajícímu soudu je proto třeba posoudit, zda je rozhodnutí o štítu na ochranu soukromí v souladu s požadavky vyplývajícími z GDPR ve spojení s Listinou (obdobně viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 67).
162 Přijetí rozhodnutí o odpovídající ochraně Komisí na základě čl. 45 odst. 3 GDPR vyžaduje, aby tento orgán s náležitým odůvodněním konstatoval, že dotyčná třetí země skutečně zajišťuje na základě svých vnitrostátních předpisů nebo mezinárodních závazků takovou úroveň ochrany základních práv, která je v zásadě rovnocenná úrovni ochrany zaručené v unijním právním řádu (obdobně ve vztahu k čl. 25 odst. 6 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 96).
K obsahu rozhodnutí o štítu na ochranu soukromí
163 Komise v čl. 1 odst. 1 rozhodnutí o štítu na ochranu soukromí konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím ve Spojených státech v rámci štítu Evropská unie‑USA na ochranu soukromí, který podle čl. 1 odst. 2 tohoto rozhodnutí sestává zejména ze zásad vydaných Ministerstvem obchodu Spojených států dne 7. července 2016, které jsou obsaženy v příloze II uvedeného rozhodnutí, a oficiálních prohlášení a závazků, které jsou obsaženy přílohách I a III až VII téhož rozhodnutí.
164 Rozhodnutí o štítu na ochranu soukromí ovšem v bodě I.5 své přílohy II, nadepsané „Zásady rámce štítu na ochranu soukromí“, také upřesňuje, že dodržování těchto zásad může být omezeno mimo jiné „v rozsahu nezbytném pro splnění požadavků národní bezpečnosti, veřejného zájmu nebo prosazování zákonů“. Toto rozhodnutí tedy, stejně jako rozhodnutí 2000/520, zakotvuje přednost těchto požadavků před zmíněnými zásadami, podle níž jsou autocertifikované organizace USA, které získávají osobní údaje z Unie, povinny bez jakéhokoli omezení neuplatnit tyto zásady, pokud jsou v rozporu s těmito požadavky, a tudíž se ukážou jako s nimi neslučitelné (obdobně ve vztahu k rozhodnutí 2000/520 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 86).
165 Vzhledem ke své obecnosti umožňuje odchylka obsažená v bodě I.5 přílohy II rozhodnutí o štítu na ochranu soukromí zásahy do základních práv osob, jejichž osobní údaje jsou nebo by mohly být předávány z Unie do Spojených států, jež se opírají o požadavky související s bezpečností státu a veřejným zájmem nebo o vnitrostátní předpisy Spojených států (obdobně ve vztahu k rozhodnutí 2000/520 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 87). Konkrétně, jak je konstatováno v rozhodnutí o štítu na ochranu soukromí, mohou být takové zásahy důsledkem přístupu k osobním údajům předaným z Unie do Spojených států a použití těchto údajů orgány veřejné moci USA v rámci sledovacích programů PRISM a UPSTREAM, jejichž základem je § 702 zákona FISA, jakož i na základě EO 12333.
166 V tomto kontextu Komise v bodech 67 až 135 odůvodnění rozhodnutí o štítu na ochranu soukromí posoudila omezení a záruky, které jsou k dispozici v právní úpravě Spojených států, zejména v § 702 zákona FISA, v EO 12333 a v PPD-28, v souvislosti s přístupem orgánů veřejné moci USA k osobním údajům předávaným v rámci štítu Evropská unie‑USA na ochranu soukromí a použitím těchto údajů těmito orgány pro účely národní bezpečnosti, prosazování práva, jakož i pro jiné účely obecného zájmu.
167 Na základě tohoto posouzení Komise v bodě 136 odůvodnění uvedeného rozhodnutí konstatovala, že „Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie autocertifikovaným organizacím ve Spojených státech“, a v bodě 140 odůvodnění téhož rozhodnutí shledala „na základě dostupných informací o právním řádu USA […], že jakýkoli zásah orgány veřejné moci USA do základních práv osob, jejichž údaje jsou předávány z Unie do Spojených států v rámci štítu na ochranu soukromí[,] za účelem národní bezpečnosti, prosazování práva nebo jiného veřejného zájmu, a z toho plynoucí omezení kladená na autocertifikované společnosti s ohledem na jejich přijetí zásad bude omezen na rozsah striktně nezbytný k tomu, aby bylo dosaženo příslušného legitimního cíle, a že existuje účinná právní ochrana proti takový zásahům“.
Ke konstatování týkajícímu se odpovídající úrovně ochrany
168 S ohledem na informace uvedené Komisí v rozhodnutí o štítu na ochranu soukromí a na skutečnosti zjištěné předkládajícím soudem v rámci původního řízení má uvedený soud pochybnosti o tom, zda právo Spojených států skutečně zajišťuje odpovídající úroveň ochrany vyžadovanou v článku 45 GDPR ve spojení se základními právy zaručenými v článcích 7, 8 a 47 Listiny. Konkrétně má uvedený soud za to, že právo této třetí země nestanoví omezení a záruky nezbytné vzhledem k zásahům dovoleným jeho vnitrostátní právní úpravou a nezajišťuje ani účinnou soudní ochranu proti takovým zásahům. K posledně zmíněnému aspektu předkládající soud dodává, že tyto nedostatky nemůže podle jeho názoru zhojit zřízení úřadu ombudsmana ve věcech štítu na ochranu soukromí, protože tohoto ombudsmana nelze považovat za soud ve smyslu článku 47 Listiny.
169 Zaprvé k článkům 7 a 8 Listiny, které spolutvoří úroveň ochrany vyžadovanou v Unii a jejichž dodržení musí Komise konstatovat ještě před přijetím rozhodnutí o odpovídající ochraně na základě čl. 45 odst. 1 GDPR, je třeba připomenout, že článek 7 Listiny zaručuje každému právo na respektování jeho soukromého a rodinného života, obydlí a komunikace. Článek 8 odst. 1 Listiny dále výslovně přiznává každému právo na ochranu osobních údajů, které se ho týkají.
170 Přístup k osobním údajům fyzické osoby za účelem jejich uložení nebo jejich použití se tedy dotýká základního práva této osoby na respektování soukromého života zaručeného v článku 7 Listiny, přičemž toto právo se vztahuje na veškeré informace o identifikované či identifikovatelné fyzické osobě. Tyto způsoby zpracování údajů spadají i pod článek 8 Listiny, protože představují zpracování osobních údajů ve smyslu tohoto článku, a musí tedy nutně splňovat požadavky na ochranu údajů stanovené v tomto článku [v tomto smyslu viz rozsudky ze dne 9. listopadu 2010, Volker und Markus Schecke a Eifert, C‑92/09 a C‑93/09, EU:C:2010:662, body 49 a 52; ze dne 8. dubna 2014, Digital Rights Ireland a další, C‑293/12 a C‑594/12, EU:C:2014:238, bod 29, jakož i posudek 1/15 (Dohoda PNR mezi EU a Kanadou), ze dne 26. července 2017, EU:C:2017:592, body 122 a 123].
171 Soudní dvůr již rozhodl, že sdělování osobních údajů třetí straně, například veřejnému orgánu, je zásahem do základních práv zakotvených v článcích 7 a 8 Listiny, bez ohledu na způsob následného použití sdělených informací. Totéž platí pro uložení osobních údajů a pro jejich zpřístupňování za účelem jejich použití orgány veřejné moci, a to bez ohledu na to, zda dotyčné informace o soukromém životě představují citlivé údaje nebo zda dotyčné osoby utrpěly z důvodu tohoto zásahu případné nepříznivé následky [v tomto smyslu viz rozsudky ze dne 20. května 2003, Österreichischer Rundfunk a další, C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, body 74 a 75; ze dne 8. dubna 2014, Digital Rights Ireland a další, C‑293/12 a C‑594/12, EU:C:2014:238, body 33 až 36, jakož i posudek 1/15 (Dohoda PNR mezi EU a Kanadou), ze dne 26. července 2017, EU:C:2017:592, body 124 a 126].
172 Práva zakotvená v článcích 7 a 8 Listiny se však neprojevují jako absolutní výsady, ale musí být nahlížena ve vztahu k jejich společenské funkci [v tomto smyslu viz rozsudky ze dne 9. listopadu 2010, Volker und Markus Schecke a Eifert, C‑92/09 a C‑93/09, EU:C:2010:662, bod 48 a citovaná judikatura; ze dne 17. října 2013, Schwarz, C‑291/12, EU:C:2013:670, bod 33 a citovaná judikatura, jakož i posudek 1/15 (Dohoda PNR mezi EU a Kanadou), ze dne 26. července 2017, EU:C:2017:592, bod 136].
173 V tomto ohledu je třeba rovněž poukázat na to, že podle čl. 8 odst. 2 Listiny musí být osobní údaje zpracovány zejména „k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem“.
174 Podle čl. 52 odst. 1 věty první Listiny musí dále být každé omezení výkonu práv a svobod uznaných touto Listinou stanoveno zákonem a respektovat podstatu těchto práv a svobod. Článek 52 odst. 1 věta druhá Listiny stanoví, že při dodržení zásady proporcionality mohou být omezení těchto práv a svobod zavedena pouze tehdy, pokud jsou nezbytná a pokud skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého.
175 K posledně zmíněnému aspektu je třeba doplnit, že požadavek, aby každé omezení výkonu základních práv bylo stanoveno zákonem, implikuje, že právní základ dovolující zásah do těchto práv musí sám definovat rozsah omezení výkonu dotyčného práva [posudek 1/15 (Dohoda PNR mezi EU a Kanadou), ze dne 26. července 2017, EU:C:2017:592, bod 139 a citovaná judikatura].
176 Konečně za účelem splnění požadavku proporcionality, podle kterého musí být výjimky z ochrany osobních údajů a její omezení činěny v mezích toho, co je nezbytně nutné, musí předmětná právní úprava, která s sebou přináší zásah, stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a stanovit minimální požadavky, tak aby osoby, jejichž údaje byly předány, měly dostatečné záruky umožňující účinně chránit jejich osobní údaje proti riziku zneužití. Taková právní úprava musí zejména vymezit okolnosti a podmínky, za nichž může být přijato opatření týkající se zpracovávání takových údajů, čímž zaručí, že se zásah omezí na to, co je nezbytně nutné. Potřeba takových záruk je o to významnější v případě, kdy jsou osobní údaje zpracovávány automaticky [v tomto smyslu viz posudek 1/15 (Dohoda PNR mezi EU a Kanadou), ze dne 26. července 2017, EU:C:2017:592, body 140 a 141 a citovaná judikatura].
177 Pro tyto účely čl. 45 odst. 2 písm. a) GDPR upřesňuje, že Komise při posuzování odpovídající úrovně ochrany ve třetí zemi vezme v úvahu mimo jiné existenci „účinných a vymahatelných práv subjekt[ů] údajů“, jejichž osobní údaje se předávají.
178 V projednávané věci bylo zjištění, které Komise uvedla v rozhodnutí o štítu na ochranu soukromí a podle kterého Spojené státy zajišťují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii GDPR ve spojení s články 7 a 8 Listiny, zpochybněno zejména proto, že se na zásahy, které vyplývají z provádění sledovacích programů, jejichž základem jsou § 702 zákona FISA a EO 12333, nevztahují požadavky zajišťující v souladu se zásadou proporcionality takovou úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené článkem 52 odst. 1 větou druhou Listiny. Je proto třeba posoudit, zda jsou tyto sledovací programy prováděny v souladu s takovými požadavky, aniž je nutné předem ověřovat, zda tato třetí země dodržuje podmínky, které jsou v zásadě rovnocenné podmínkám stanoveným v čl. 52 odst. 1 větě první Listiny.
179 V tomto ohledu Komise ke sledovacím programům, jejichž základem je § 702 zákona FISA, shledala v bodě 109 odůvodnění rozhodnutí o štítu na ochranu soukromí, že „Soud pro uplatňování zákona FISA [nepovoluje] jednotlivá sledovací opatření, nýbrž povoluje celé sledovací programy (např. PRISM, UPSTREAM), a to na základě ročních osvědčení, která vypracovávají ministr spravedlnosti a ředitel národních zpravodajských služeb“. Jak vyplývá z tohoto bodu odůvodnění, cílem přezkumu prováděného Soudem pro uplatňování zákona FISA je ověřit, zda tyto sledovací programy odpovídají cíli získat zahraniční zpravodajské informace, ale nikoli „zda jsou za účelem získání zahraničních zpravodajských informací fyzické osoby cíleny správně“.
180 Vše tedy nasvědčuje tomu, že z § 702 zákona FISA nijak nevyplývá, že by existovala sebemenší omezení pro jím stanovené zmocnění k provádění sledovacích programů za účelem získání zahraničních zpravodajských informací nebo že by existovaly záruky pro osoby, které nejsou osobami USA a na které se tyto programy mohou vztahovat. Za těchto podmínek, jak v podstatě podotkl generální advokát v bodech 291, 292 a 297 svého stanoviska, nemůže tento článek zajistit takovou úroveň ochrany, která by byla v zásadě rovnocenná úrovni ochrany zaručené Listinou, tak jak je vyložena v judikatuře připomenuté výše v bodech 175 a 176 tohoto rozsudku a podle které právní základ dovolující zásahy do základních práv musí k tomu, aby byl v souladu se zásadou proporcionality, sám definovat rozsah omezení výkonu dotyčného práva a také stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a stanovit minimální požadavky.
181 Je pravda, že podle zjištění uvedených v rozhodnutí o štítu na ochranu soukromí musí být sledovací programy, jejichž základem je § 702 zákona FISA, prováděny v souladu s požadavky vyplývajícími z PPD-28. Nicméně – třebaže Komise v bodech 69 a 77 odůvodnění rozhodnutí o štítu na ochranu soukromí zdůraznila, že takové požadavky jsou pro zpravodajské orgány USA závazné – vláda USA v odpověď na otázku Soudního dvora připustila, že PPD-28 nepřiznává subjektům údajů práva vymahatelná vůči orgánům USA před soudy. Nemůže tedy zajistit úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany vyplývající z Listiny, i když je taková úroveň vyžadována v čl. 45 odst. 2 písm. a) GDPR, podle něhož je konstatování této úrovně závislé mimo jiné na existenci účinných a vymahatelných práv subjektů údajů, jejichž osobní údaje se předávají do dotyčné třetí země.
182 V souvislosti se sledovacími programy, jejichž základem je EO 12333, vyplývá ze spisu předloženého Soudnímu dvoru, že ani tento dekret nepřiznává práva vymahatelná vůči orgánům USA před soudy.
183 Je nutno dodat, že PPD-28, která musí být při uplatňování programů zmíněných v předchozích bodech dodržována, umožňuje provádět „hromadné shromažďování […] poměrně velkého objemu signálových zpravodajských informací nebo údajů za okolností, kdy zpravodajská komunita nemůže k soustředěnému shromažďování použít identifikátor spojený s konkrétním cílem […]“, jak upřesňuje dopis úřadu ředitele národních zpravodajských služeb (Office of the Director of National Intelligence) Ministerstvu obchodu Spojených států amerických a odboru pro mezinárodní obchod ze dne 21. června 2016, uvedený v příloze VI rozhodnutí o štítu na ochranu soukromí. Tato možnost, v důsledku které lze v rámci sledovacích programů, jejichž základem je EO 12333, přistupovat k údajům na cestě do Spojených států, přičemž takový přístup nepodléhá vůbec žádnému soudnímu dohledu, přitom rozhodně neohraničuje dostatečně jasně a přesně rozsah takového hromadného shromažďování osobních údajů.
184 Ukazuje se tedy, že ani § 702 zákona FISA, ani EO 12333 ve spojení s PPD-28 neodpovídají minimálním požadavkům, které jsou v unijním právu svázané se zásadou proporcionality, takže nelze mít za to, že by se sledovací programy prováděné na základě těchto předpisů omezovaly na to, co je nezbytně nutné.
185 Za těchto podmínek je třeba konstatovat, že omezení ochrany osobních údajů, která plynou z vnitrostátních právních předpisů Spojených států upravujících přístup k takovým údajům předávaným z Unie do Spojených států a jejich použití orgány veřejné moci USA a která Komise posuzovala v rozhodnutí o štítu na ochranu soukromí, nejsou upravena takovým způsobem, aby odpovídala požadavkům, které jsou v zásadě rovnocenné požadavkům vyžadovaným v unijním právu článkem 52 odst. 1 větou druhou Listiny.
186 Zadruhé k článku 47 Listiny, který také spolutvoří úroveň ochrany vyžadovanou v Unii a jehož dodržení musí Komise konstatovat ještě před přijetím rozhodnutí o odpovídající ochraně na základě čl. 45 odst. 1 GDPR, je třeba připomenout, že první pododstavec tohoto článku 47 vyžaduje, aby každý, jehož práva a svobody zaručené právem Unie byly porušeny, měl za podmínek stanovených tímto článkem právo na účinné prostředky nápravy před soudem. Podle druhého pododstavce téhož článku má každý právo, aby jeho věc byla projednána nezávislým a nestranným soudem.
187 Podle ustálené judikatury je samotná existence účinného soudního přezkumu určeného k zajištění dodržování ustanovení unijního práva inherentní existenci právního státu. Právní úprava, která nestanoví procesním subjektům žádnou možnost využít právních prostředků s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů, proto nerespektuje podstatu základního práva na účinnou právní ochranu zakotveného v článku 47 Listiny (rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 95 a citovaná judikatura).
188 Pro tyto účely čl. 45 odst. 2 písm. a) GDPR vyžaduje, aby Komise vzala při posuzování odpovídající úrovně ochrany ve třetí zemi v úvahu mimo jiné existenci „účinné správní a soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají“. V bodě 104 odůvodnění GDPR je v této souvislosti zdůrazněno, že daná třetí země „by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů“ s upřesněním, že „subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana“.
189 Skutečnost, že v dotyčné třetí zemi existují takové možnosti účinné ochrany, je v kontextu předávání osobních údajů do této třetí země zvlášť důležitá, protože subjektům údajů se – jak plyne z bodu 116 odůvodnění GDPR – může stát, že správní orgány a soudy členských států nebudou mít dostatečné pravomoci a prostředky pro vyhovění jejich stížnostem založeným na údajně nezákonném zpracování jejich takto předaných údajů v této třetí zemi, což může vést k tomu, že se budou muset obrátit na vnitrostátní orgány a soudy této třetí země.
190 V projednávané věci bylo zjištění, které Komise uvedla v rozhodnutí o štítu na ochranu soukromí a podle kterého Spojené státy zajišťují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v článku 47 Listiny, zpochybněno zejména proto, že zřízení úřadu ombudsmana ve věcech štítu na ochranu soukromí nemůže zhojit nedostatky zjištěné samotnou Komisí v soudní ochraně osob, jejichž osobní údaje jsou předávány do této třetí země.
191 V tomto ohledu Komise v bodě 115 odůvodnění rozhodnutí o štítu na ochranu soukromí uvedla, že zatímco „fyzické osoby, včetně subjektů údajů z [Unie], […] mají k dispozici několik možností nápravy, pokud se staly předmětem nezákonného (elektronického) sledování z důvodu národní bezpečnosti, je stejně tak jasné, že přinejmenším některých z právních základů, které zpravodajské orgány USA mohou využít (např. EO 12223), se to netýká“. V souvislosti s EO 12333 poukázala v témže bodě 115 odůvodnění na neexistenci jakékoli možnosti nápravy. Podle judikatury připomenuté výše v bodě 187 tohoto rozsudku přitom takový nedostatek v soudní ochraně proti zásahům spojeným se zpravodajskými programy, jejichž základem je zmíněný prezidentský dekret, brání závěru, který učinila Komise v rozhodnutí o štítu na ochranu soukromí a podle kterého právo Spojených států zajišťuje úroveň ochrany, jež je v zásadě rovnocenná úrovni ochrany zaručené v článku 47 Listiny.
192 Kromě toho ke sledovacím programům, jejichž základem je § 702 zákona FISA, jakož i ke sledovacím programům, jejichž základem je EO 12333, bylo již výše v bodech 181 a 182 tohoto rozsudku uvedeno, že PPD-28 ani EO 12333 nepřiznávají subjektům údajů práva vymahatelná vůči orgánům USA před soudy, takže tyto osoby nemají právo na účinný prostředek nápravy.
193 Komise nicméně v bodech 115 a 116 odůvodnění rozhodnutí o štítu na ochranu soukromí konstatovala, že vzhledem k tomu, že orgány USA vytvořily mechanismus ombudsmana, který je popsán v dopise ministra zahranič[ních věc]í USA evropské komisařce pro spravedlnost, spotřebitele a rovnost žen a mužů ze dne 7. července 2016, jenž tvoří přílohu III tohoto rozhodnutí, a k povaze funkce svěřené ombudsmanovi, konkrétně funkce „vedoucího koordinátora pro mezinárodní informační diplomacii“, lze mít za to, že Spojené státy zajišťují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v článku 47 Listiny.
194 Při zkoumání otázky, zda mechanismus ombudsmana zmíněný v rozhodnutí o štítu na ochranu soukromí skutečně může překlenout Komisí zjištěná omezení práva na soudní ochranu, je nutné v souladu s požadavky plynoucími z článku 47 Listiny a z judikatury připomenuté výše v bodě 187 tohoto rozsudku vycházet ze zásady, že procesním subjektům musí být dána možnost využít právních prostředků před nezávislým a nestranným soudem s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů.
195 V dopise zmíněném výše v bodě 193 tohoto rozsudku byl přitom ombudsman ve věcech štítu na ochranu soukromí popsán jako sice „nezávislý na zpravodajské komunitě“, avšak zároveň jako „přímo podřízen[ý] ministru zahranič[ních věc]í, který zajistí, aby ombudsman vykonával svou funkci objektivně a nepodléhal nepatřičnému vlivu, jenž může mít účinek na odpověď, kterou má poskytnout“. Dále kromě skutečnosti, jak shledala Komise v bodě 116 odůvodnění tohoto rozhodnutí, že ombudsman je ustanoven ministrem zahranič[ních věc]í a je nedílnou součástí Ministerstva zahraničních věcí Spojených států, neobsahuje toto rozhodnutí, jak podotkl generální advokát v bodě 337 svého stanoviska, žádnou informaci o tom, že by odvolání ombudsmana nebo zrušení jeho jmenování bylo spojeno se zvláštními zárukami, což může vyvolat pochybnosti o nezávislosti ombudsmana na výkonné moci (v tomto smyslu viz rozsudek ze dne 21. ledna 2020, Banco de Santander, C‑274/14, EU:C:2020:17, body 60 a 63 a citovaná judikatura).
196 Rozhodnutí o štítu na ochranu soukromí navíc, jak zdůraznil generální advokát v bodě 338 svého stanoviska, sice v bodě 120 odůvodnění rozhodnutí o štítu na ochranu soukromí zmiňuje závazek vlády USA zajistit, že dotčený prvek zpravodajské komunity bude muset napravit každé nedodržení příslušných předpisů zjištěné ombudsmanem ve věcech štítu na ochranu soukromí, avšak řečené rozhodnutí neobsahuje žádnou zmínku o tom, že by tento ombudsman měl pravomoc přijímat závazná rozhodnutí ve vztahu k této komunitě, ani o zákonných zárukách spojených s tímto závazkem, jichž by se mohly dovolávat subjekty údajů.
197 Mechanismus ombudsmana zmíněný v rozhodnutí o štítu na ochranu soukromí tudíž neposkytuje prostředek nápravy u orgánu, který by osobám, jejichž údaje jsou předávány do Spojených států, nabízel záruky, které jsou v zásadě rovnocenné zárukám vyžadovaným v článku 47 Listiny.
198 Komise proto tím, že v čl. 1 odst. 1 rozhodnutí o štítu na ochranu soukromí konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím usazeným v této třetí zemi v rámci štítu Evropská unie‑USA na ochranu soukromí, nedodržela požadavky vyplývající z čl. 45 odst. 1 GDPR ve spojení s články 7, 8 a 47 Listiny.
199 Z toho plyne, že článek 1 rozhodnutí o štítu na ochranu soukromí je neslučitelný s čl. 45 odst. 1 GDPR ve spojení s články 7, 8 a 47 Listiny, a z toho důvodu je neplatný.
200 Vzhledem k tomu, že článek 1 rozhodnutí o štítu na ochranu soukromí je neoddělitelně spjat s články 2 až 6, jakož i s přílohami tohoto rozhodnutí, má jeho neplatnost dopad na platnost tohoto rozhodnutí jako celku.
201 Vzhledem ke všem výše uvedeným úvahám je třeba dospět k závěru, že rozhodnutí o štítu na ochranu soukromí je neplatné.
202 K otázce, zda je třeba zachovat účinky tohoto rozhodnutí, aby nedošlo ke vzniku právního vakua (v tomto smyslu viz rozsudek ze dne 28. dubna 2016, Borealis Polyolefine a další, C‑191/14, C‑192/14, C‑295/14, C‑389/14 a C‑391/14 až C‑393/14, EU:C:2016:311, bod 106), je nutno poznamenat, že zrušení takového rozhodnutí o odpovídající ochraně, jako je rozhodnutí o štítu na ochranu soukromí, v každém případě nemůže – s ohledem na článek 49 GDPR – vést ke vzniku právního vakua. Tento článek totiž přesně stanoví podmínky, za nichž mohou být osobní údaje předávány do třetích zemí, jestliže neexistuje rozhodnutí o odpovídající ochraně podle čl. 45 odst. 3 uvedeného nařízení ani vhodné záruky podle článku 46 téhož nařízení.
K nákladům řízení
203 Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.
Z těchto důvodů Soudní dvůr (velký senát) rozhodl takto:
1) Článek 2 odst. 1 a 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) musí být vykládán v tom smyslu, že předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi spadá do působnosti tohoto nařízení i tehdy, když tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu.
2) Článek 46 odst. 1 a čl. 46 odst. 2 písm. c) nařízení 2016/679 musí být vykládány v tom smyslu, že vhodné záruky, vymahatelná práva a účinná právní ochrana vyžadované uvedenými ustanoveními musí zajistit, aby se na práva osob, jejichž osobní údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, vztahovala úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii tímto nařízením ve spojení s Listinou základních práv Evropské unie. Pro tyto účely je při posuzování úrovně ochrany zajištěné v kontextu takového předávání zejména třeba vzít v úvahu jednak smluvní ujednání mezi správcem nebo zpracovatelem usazenými v Evropské unii a příjemcem předávaných údajů usazeným v dotyčné třetí zemi a jednak – v souvislosti s případným přístupem orgánů veřejné moci této třetí země k takto předávaným osobním údajům – relevantní prvky právního řádu této země, zejména prvky uvedené v čl. 45 odst. 2 uvedeného nařízení.
3) Článek 58 odst. 2 písm. f) a j) nařízení 2016/679 musí být vykládán v tom smyslu, že neexistuje-li rozhodnutí o odpovídající ochraně platně přijaté Evropskou komisí, je příslušný dozorový úřad povinen dočasně nebo trvale zakázat předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých Komisí, když tento dozorový úřad dospěje na základě všech okolností daného předávání k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem, zejména články 45 a 46 uvedeného nařízení a Listinou, nemůže být v případě, že předávání nepozastavili nebo neukončili sám správce nebo zpracovatel usazení v Unii, zajištěna jinými prostředky.
4) Přezkum rozhodnutí Komise 2010/87/EU ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES, ve znění prováděcího rozhodnutí Komise (EU) 2016/2297 ze dne 16. prosince 2016, vzhledem k článkům 7, 8 a 47 Listiny základních práv Evropské unie neodhalil žádnou skutečnost, která by mohla mít dopad na platnost tohoto rozhodnutí.
5) Prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU‑USA na ochranu soukromí je neplatné.
Podpisy