CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:46

Υπόθεση C‑33/22

Österreichische Datenschutzbehörde

κατά

[αίτηση του Verwaltungsgerichtshof (Αυστρία) για την έκδοση προδικαστικής αποφάσεως]

Απόφαση του Δικαστηρίου (τμήμα μείζονος συνθέσεως) της 16ης Ιανουαρίου 2024

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Άρθρο 16 ΣΛΕΕ – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 2, παράγραφος 2, στοιχείο αʹ – Πεδίο εφαρμογής – Εξαιρέσεις – Δραστηριότητες οι οποίες δεν εμπίπτουν στο πεδίο του δικαίου της Ένωσης – Άρθρο 4, παράγραφος 2, ΣΕΕ – Δραστηριότητες οι οποίες αφορούν την εθνική ασφάλεια – Εξεταστική επιτροπή συσταθείσα από το κοινοβούλιο κράτους μέλους – Άρθρο 23, παράγραφος 1, στοιχεία αʹ και ηʹ, άρθρα 51 και 55 του κανονισμού (ΕΕ) 2016/679 – Αρμοδιότητα της εποπτικής αρχής προστασίας δεδομένων – Άρθρο 77 – Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή – Άμεσο αποτέλεσμα»

1. Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2016/679 – Πεδίο εφαρμογής – Παρεκκλίσεις – Επεξεργασία δεδομένων στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο του δικαίου της Ένωσης – Δραστηριότητα ασκούμενη από εξεταστική επιτροπή συσταθείσα από το κοινοβούλιο κράτους μέλους στο πλαίσιο της άσκησης της εξουσίας ελέγχου της εκτελεστικής εξουσίας – Δεν εμπίπτει – Εφαρμογή του κανονισμού

(Άρθρο 16 § 2, 1η περίοδος, ΣΛΕΕ· κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, αιτιολογική σκέψη 16 και άρθρο 2 § 2, στοιχείο αʹ)

(βλ. σκέψεις 37-43, διατακτ. 1)

2. Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2016/679 – Πεδίο εφαρμογής – Παρεκκλίσεις – Επεξεργασία δεδομένων στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο του δικαίου της Ένωσης – Δραστηριότητα η οποία αποσκοπεί στη διαφύλαξη της εθνικής ασφάλειας ή δραστηριότητα δυνάμενη να υπαχθεί στην ίδια κατηγορία – Έννοια – Δραστηριότητα ασκούμενη από εξεταστική επιτροπή συσταθείσα από το κοινοβούλιο κράτους μέλους στο πλαίσιο της άσκησης της εξουσίας ελέγχου της εκτελεστικής εξουσίας – Έρευνα σχετικά με την ενδεχόμενη ύπαρξη πολιτικών παρεμβάσεων σε αστυνομική αρχή προστασίας του κράτους – Δεν εμπίπτει

(Άρθρο 4 § 2, ΣΕΕ· κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, αιτιολογική σκέψη 16 και άρθρα 2 §§ 1 και 2, στοιχείο aʹ, και 23)

(βλ. σκέψεις 46, 50-57, διατακτ. 2)

3. Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2016/679 – Εθνικές εποπτικές αρχές – Ευχέρεια του κράτους μέλους να συστήσει μία και μόνη εποπτική αρχή – Αρμοδιότητα της εποπτικής αρχής ανατιθέμενη από τον κανονισμό – Περιορισμός της αρμοδιότητας ο οποίος απορρέει από εθνικές διατάξεις συνταγματικής ισχύος – Δεν επιτρέπεται – Υπεροχή και άμεσο αποτέλεσμα του δικαίου της Ένωσης

(Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, αιτιολογική σκέψη 117 και άρθρα 51 § 1, 55 §§ 1 και 3, και 77 § 1)

(βλ. σκέψεις 62-72, διατακτ. 3)

Σύνοψη

Επιληφθέν αιτήσεως προδικαστικής αποφάσεως από το Verwaltungsgerichtshof (διοικητικό δικαστήριο, Αυστρία), το τμήμα μείζονος συνθέσεως του Δικαστηρίου αποφαίνεται ότι η δραστηριότητα κοινοβουλευτικής εξεταστικής επιτροπής δεν εξαιρείται από το πεδίο εφαρμογής του ΓΚΠΔ (1).

Προκειμένου να διερευνήσει την ενδεχόμενη ύπαρξη πολιτικών παρεμβάσεων στην Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (ομοσπονδιακή υπηρεσία για την προστασία του Συντάγματος και την καταπολέμηση της τρομοκρατίας, Αυστρία) (2), το Nationalrat (Εθνικό Κοινοβούλιο, Αυστρία) συνέστησε εξεταστική επιτροπή (στο εξής: εξεταστική επιτροπή BVT). Η επιτροπή αυτή εξέτασε τον WK ως μάρτυρα. Παρά το αίτημα ανωνυμοποίησης που υπέβαλε ο WK, τα πρακτικά της ακρόασης, στα οποία αναγραφόταν το πλήρες ονοματεπώνυμό του, αναρτήθηκαν στον ιστότοπο του Parlament Österreich (Αυστριακού Κοινοβουλίου). Υποστηρίζοντας ότι η δημοσιοποίηση της ταυτότητάς του ήταν αντίθετη προς τις διατάξεις του ΓΚΠΔ και της αυστριακής νομοθεσίας (3), ο WK υπέβαλε καταγγελία ενώπιον της Österreichische Datenschutzbehörde (αρχής προστασίας δεδομένων, Αυστρία) (στο εξής: Datenschutzbehörde). Με απόφαση της 18ης Σεπτεμβρίου 2019, η Datenschutzbehörde έκρινε εαυτή αναρμόδια να αποφανθεί επί της καταγγελίας, διευκρινίζοντας ότι η αρχή της διάκρισης των εξουσιών δεν της επέτρεπε, υπό την ιδιότητα του οργάνου της εκτελεστικής εξουσίας, να ελέγξει την εξεταστική επιτροπή BVT, η οποία υπάγεται στη νομοθετική εξουσία.

Κατόπιν της αποφάσεως του Bundesverwaltungsgericht (ομοσπονδιακού διοικητικού δικαστηρίου, Αυστρία), με την οποία έγινε δεκτή η προσφυγή του WK και ακυρώθηκε η απόφαση της Datenschutzbehörde, η αρχή αυτή άσκησε αίτηση αναιρέσεως (Revision) ενώπιον του διοικητικού δικαστηρίου κατά της απόφασης του ομοσπονδιακού διοικητικού δικαστηρίου.

Στο πλαίσιο αυτό, το αιτούν δικαστήριο ζήτησε από το Δικαστήριο να αποσαφηνίσει αν οι δραστηριότητες εξεταστικής επιτροπής συσταθείσας από το κοινοβούλιο κράτους μέλους εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ και αν ο κανονισμός αυτός έχει εφαρμογή όταν οι συγκεκριμένες δραστηριότητες αφορούν την προστασία της εθνικής ασφάλειας. Επιπλέον, ζήτησε από το Δικαστήριο να αποφανθεί επί του ζητήματος αν ο ΓΚΠΔ απονέμει σε εθνική εποπτική αρχή όπως η Datenschutzbehörde την αρμοδιότητα να αποφαίνεται επί καταγγελιών σχετικών με την επεξεργασία δεδομένων προσωπικού χαρακτήρα την οποία διενεργεί εξεταστική επιτροπή στο πλαίσιο των δραστηριοτήτων της.

Εκτίμηση του Δικαστηρίου

Πρώτον, το Δικαστήριο υπενθυμίζει ότι το άρθρο 2, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ, το οποίο προβλέπει ότι ο κανονισμός αυτός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο δραστηριότητας μη εμπίπτουσας στο πεδίο εφαρμογής του δικαίου της Ένωσης, έχει ως μοναδικό σκοπό να αποκλείσει από το πεδίο εφαρμογής του ΓΚΠΔ την επεξεργασία που πραγματοποιείται από τις κρατικές αρχές στο πλαίσιο δραστηριότητας η οποία αποσκοπεί στη διαφύλαξη της εθνικής ασφάλειας ή εμπίπτει στην κατηγορία αυτή. Πάντως, το γεγονός και μόνον ότι μια δραστηριότητα ασκείται από το κράτος ή από δημόσια αρχή δεν αρκεί ώστε η δραστηριότητα αυτή να εξαιρείται αυτομάτως από το πεδίο εφαρμογής του ΓΚΠΔ (4).

Η ερμηνεία αυτή, η οποία απορρέει από την απουσία διαφοροποίησης αναλόγως της ταυτότητας του προσώπου που διενεργεί την οικεία επεξεργασία, επιβεβαιώνεται από το άρθρο 4, σημείο 7, του ΓΚΠΔ (5).

Το Δικαστήριο διευκρινίζει ότι ο κοινοβουλευτικός χαρακτήρας της εξεταστικής επιτροπής BVT δεν συνεπάγεται ότι οι δραστηριότητές της εξαιρούνται από το πεδίο εφαρμογής του ΓΚΠΔ. Πράγματι, η εξαίρεση του άρθρου 2, παράγραφος 2, στοιχείο αʹ, του κανονισμού αυτού δεν αναφέρεται σε κατηγορίες προσώπων αλλά μόνον σε κατηγορίες δραστηριοτήτων οι οποίες, ως εκ της φύσεώς τους, δεν εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης. Ως εκ τούτου, το γεγονός ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα διενεργείται από εξεταστική επιτροπή συσταθείσα από το κοινοβούλιο κράτους μέλους στο πλαίσιο της άσκησης της εξουσίας ελέγχου της εκτελεστικής εξουσίας δεν αρκεί για να γίνει δεκτό ότι η συγκεκριμένη επεξεργασία διενεργείται στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης.

Δεύτερον, το Δικαστήριο επισημαίνει ότι, μολονότι εναπόκειται στα κράτη μέλη να καθορίζουν τα ουσιώδη συμφέροντα ασφαλείας τους και να λαμβάνουν τα κατάλληλα μέτρα για την προάσπισή της (6), η λήψη και μόνον εθνικού μέτρου για την προστασία της εθνικής ασφάλειας δεν μπορεί να συνεπάγεται τη μη εφαρμογή του δικαίου της Ένωσης και την απαλλαγή των κρατών μελών από την υποχρέωση σεβασμού του δικαίου αυτού. Ωστόσο, η εξαίρεση του άρθρου 2, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ αναφέρεται μόνον σε κατηγορίες δραστηριοτήτων οι οποίες, ως εκ της φύσεώς τους, δεν εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης. Συναφώς, το γεγονός ότι ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή της οποίας η κύρια δραστηριότητα συνίσταται στην προάσπιση της εθνικής ασφάλειας δεν αρκεί, αυτό καθεαυτό, για να αποκλεισθεί από το πεδίο εφαρμογής του ΓΚΠΔ η επεξεργασία δεδομένων προσωπικού χαρακτήρα την οποία διενεργεί η αρχή αυτή στο πλαίσιο άλλων δραστηριοτήτων της.

Εν προκειμένω, ο πολιτικός έλεγχος που διενεργεί η εξεταστική επιτροπή BVT δεν φαίνεται να συνιστά, αυτός καθεαυτόν, δραστηριότητα αποσκοπούσα στη διαφύλαξη της εθνικής ασφάλειας ή δραστηριότητα δυνάμενη να υπαχθεί στην ίδια κατηγορία. Επομένως, υπό την επιφύλαξη εξακρίβωσης από το αιτούν δικαστήριο, η δραστηριότητα αυτή δεν εκφεύγει του πεδίου εφαρμογής του ΓΚΠΔ.

Τούτου δοθέντος, κοινοβουλευτική εξεταστική επιτροπή μπορεί να έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα οποία, για λόγους εθνικής ασφάλειας, πρέπει να τυγχάνουν ειδικής προστασίας. Συναφώς, μπορούν να επιβληθούν περιορισμοί, μέσω νομοθετικών μέτρων, στις υποχρεώσεις και τα δικαιώματα που απορρέουν από τον ΓΚΠΔ για τη διασφάλιση, μεταξύ άλλων, της εθνικής ασφάλειας (7). Επομένως, θα μπορούσαν να δικαιολογηθούν, επί τη βάσει αυτή, περιορισμοί όσον αφορά τη συλλογή των δεδομένων προσωπικού χαρακτήρα, την ενημέρωση των υποκειμένων των δεδομένων και την πρόσβασή τους σε αυτά ή ακόμη τη γνωστοποίηση των δεδομένων, χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων, σε άλλα πρόσωπα πλην του υπευθύνου επεξεργασίας, εφόσον οι περιορισμοί αυτοί σέβονται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων και συνιστούν αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία.

Το Δικαστήριο επισημαίνει, ωστόσο, ότι από τη δικογραφία που έχει στη διάθεσή του δεν προκύπτει ότι η εξεταστική επιτροπή BVT υποστήριξε ότι η δημοσιοποίηση των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων ήταν αναγκαία για τη διαφύλαξη της εθνικής ασφάλειας και στηριζόταν σε προβλεπόμενο προς τούτο εθνικό νομοθετικό μέτρο, πράγμα το οποίο οφείλει εν πάση περιπτώσει να εξακριβώσει το αιτούν δικαστήριο.

Τέλος, τρίτον, το Δικαστήριο επισημαίνει ότι οι διατάξεις του ΓΚΠΔ σχετικά με την αρμοδιότητα των εθνικών εποπτικών αρχών και το δικαίωμα καταγγελίας (8) δεν απαιτούν τη λήψη εθνικών μέτρων εφαρμογής και είναι αρκούντως σαφείς, ακριβείς και ανεπιφύλακτες ώστε να έχουν άμεση εφαρμογή. Επομένως, ο ΓΚΠΔ αναγνωρίζει μεν περιθώριο εκτιμήσεως στα κράτη μέλη όσον αφορά τον αριθμό των προς σύσταση εποπτικών αρχών (9), πλην όμως καθορίζει την έκταση της αρμοδιότητας που πρέπει να διαθέτουν οι αρχές αυτές προκειμένου να εποπτεύουν την εφαρμογή του ΓΚΠΔ. Επομένως, σε περίπτωση που κράτος μέλος επιλέξει να συστήσει μία και μόνη εθνική εποπτική αρχή, η αρχή αυτή διαθέτει κατ’ ανάγκην το σύνολο των αρμοδιοτήτων που προβλέπει ο κανονισμός. Οποιαδήποτε άλλη ερμηνεία θα έθετε σε κίνδυνο την πρακτική αποτελεσματικότητα των εν λόγω διατάξεων και θα ενείχε τον κίνδυνο να αποδυναμωθεί η πρακτική αποτελεσματικότητα όλων των λοιπών διατάξεων του ΓΚΠΔ τις οποίες ενδέχεται να αφορά μια καταγγελία.

Όσον αφορά το γεγονός ότι οι εθνικές διατάξεις συνταγματικής ισχύος αποκλείουν τη δυνατότητα εποπτικής αρχής, η οποία υπάγεται στην εκτελεστική εξουσία, να εποπτεύει την εφαρμογή του ΓΚΠΔ από όργανο υπαγόμενο στη νομοθετική εξουσία, το Δικαστήριο υπογραμμίζει ότι, προκειμένου ακριβώς να γίνει σεβαστή η συνταγματική δομή των κρατών μελών, ο ΓΚΠΔ απαιτεί από τα κράτη μέλη μόνο να συστήσουν μία τουλάχιστον εποπτική αρχή, παρέχοντάς τους συγχρόνως την ευχέρεια να συστήσουν περισσότερες από μία εποπτικές αρχές. Επομένως, ο κανονισμός αυτός αναγνωρίζει σε κάθε κράτος μέλος περιθώριο εκτιμήσεως, παρέχοντάς του την ευχέρεια να συστήσει όσες εποπτικές αρχές επιβάλλουν ιδίως οι απαιτήσεις που απορρέουν από τη συνταγματική δομή του.

Επιπλέον, η επίκληση διατάξεων του εθνικού δικαίου από κράτος μέλος δεν μπορούν να υπονομεύουν την ενότητα και την αποτελεσματικότητα του δικαίου της Ένωσης. Πράγματι, τα αποτελέσματα της αρχής της υπεροχής του δικαίου της Ένωσης δεσμεύουν όλα τα όργανα ενός κράτους μέλους, οι διατάξεις δε του εσωτερικού δικαίου, περιλαμβανομένων των διατάξεων συνταγματικής ισχύος, δεν μπορούν να αποτελέσουν εμπόδιο συναφώς (10).

Επομένως, δεδομένου ότι ένα κράτος μέλος έχει επιλέξει να συστήσει μία και μόνη εποπτική αρχή, δεν μπορεί να επικαλεστεί διατάξεις του εθνικού δικαίου, έστω και συνταγματικής ισχύος, προκειμένου να εξαιρέσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ από την εποπτική αρμοδιότητα της αρχής αυτής.

1 Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ).

2 Την 1η Δεκεμβρίου 2021 η οντότητα αυτή μετονομάστηκε σε «Direktion Staatsschutz und Nachrichtendienst» (διεύθυνση κρατικής ασφάλειας και πληροφοριών, Αυστρία).

3 Ήτοι, άρθρο 1 του Datenschutzgesetz (νόμου περί προστασίας των δεδομένων), της 17ης Αυγούστου 1999 (BGBl. I, 165/1999).

4 Αποφάσεις της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής) (C‑439/19, EU:C:2021:504, σκέψη 66), και της 20ής Οκτωβρίου 2022, Koalitsia «Demokratichna Bulgaria – Obedinenie» (C‑306/21, EU:C:2022:813, σκέψη 39).

5 Η διάταξη αυτή ορίζει ότι ως «υπεύθυνος επεξεργασίας» νοείται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας».

6 Σύμφωνα με το άρθρο 4, παράγραφος 2, ΣΕΕ.

7 Σύμφωνα με το άρθρο 23 του ΓΚΠΔ.

8 Αντιστοίχως, το άρθρο 55, παράγραφος 1, και το άρθρο 77, παράγραφος 1, του ΓΚΠΔ.

9 Σύμφωνα με το άρθρο 51, παράγραφος 1, του ΓΚΠΔ.

10 Απόφαση της 22ας Φεβρουαρίου 2022, RS (Αποτέλεσμα των αποφάσεων συνταγματικού δικαστηρίου) (C‑430/21, EU:C:2022:99, σκέψη 51 και εκεί μνημονευόμενη νομολογία).