Cauza C‑33/22
Österreichische Datenschutzbehörde
împotriva
WK
[cerere de decizie preliminară formulată de Verwaltungsgerichtshof (Austria)]
Hotărârea Curții (Marea Cameră) din 16 ianuarie 2024
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Articolul 16 TFUE – Regulamentul (UE) 2016/679 – Articolul 2 alineatul (2) litera (a) – Domeniu de aplicare – Excluderi – Activități care nu intră sub incidența dreptului Uniunii – Articolul 4 alineatul (2) TUE – Activități legate de securitatea națională – Comisie de anchetă instituită de parlamentul unui stat membru – Articolul 23 alineatul (1) literele (a) și (h) și articolele 51 și 55 din Regulamentul (UE) 2016/679 – Competența autorității de supraveghere responsabile cu protecția datelor – Articolul 77 – Dreptul de a depune o plângere la o autoritate de supraveghere – Efect direct”
1. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Domeniu de aplicare – Derogări – Prelucrare de date în cadrul unei activități care nu intră sub incidența dreptului Uniunii – Activitate exercitată de o comisie de anchetă instituită de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive – Excludere – Aplicarea regulamentului
[art. 16 alin. (2) prima teză TFUE; Regulamentul 2016/679 al Parlamentului European și al Consiliului, considerentul (16) și art. 2 alin. (2) lit. (a)]
(a se vedea punctele 37-43 și dispozitiv 1)
2. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Domeniu de aplicare – Derogări – Prelucrare de date în cadrul unei activități care nu intră sub incidența dreptului Uniunii – Activitate care urmărește să apere securitatea națională sau care se încadrează în această categorie – Noțiune – Activitate exercitată de o comisie de anchetă instituită de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive – Anchetă privind existența unei eventuale influențe politice asupra unei autorități polițienești de protecție a statului – Excludere
[art. 4 alin. (2) TUE; Regulamentul 2016/679 al Parlamentului European și al Consiliului, considerentul (16), art. 2 alin. (1) și alin. (2) lit. (a) și art. 23]
(a se vedea punctele 46 și 50-57 și dispozitiv 2)
3. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Autorități naționale de supraveghere – Dreptul unui stat membru de a institui o singură autoritate de supraveghere – Competența autorității de supraveghere conferită prin acest regulament – Limitarea competenței care decurge din dispozițiile naționale de ordin constituțional – Inadmisibilitate – Supremația și efectul direct ale dreptului Uniunii
[Regulamentul 2016/679 al Parlamentului European și al Consiliului, considerentul 117, art. 51 alin. (1), art. 55 alin. (1) și (3) și art. 77 alin. (1)]
(a se vedea punctele 62-72 și dispozitiv 3)
Rezumat
Sesizată cu titlu preliminar de către Verwaltungsgerichtshof (Curtea Administrativă, Austria), Curtea, reunită în Marea Cameră, statuează că o activitate a unei comisii de anchetă parlamentară nu este exclusă de la aplicarea RGPD(1).
Pentru a examina o eventuală influență politică asupra Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Oficiul Federal pentru Protecția Constituției și pentru Combaterea Terorismului, Austria)(2), Nationalrat (Adunarea Națională, Austria) a constituit o comisie de anchetă (denumită în continuare „comisia de anchetă BVT”). Această comisie l‑a audiat pe WK în calitate de martor. În pofida cererii sale de anonimizare, procesul‑verbal al audierii acestuia, în care se menționau numele și prenumele sale complete, a fost publicat pe site‑ul internet al Parlament Österreich (parlamentul austriac). Susținând că o astfel de divulgare a identității sale era contrară RGPD și legislației austriece(3), WK a introdus o plângere la Österreichische Datenschutzbehörde (Autoritatea pentru Protecția Datelor, Austria) (denumită în continuare „Datenschutzbehörde”). Prin decizia din 18 septembrie 2019, Datenschutzbehörde s‑a declarat necompetentă să se pronunțe cu privire la plângere, explicând că principiul separării puterilor excludea ca, în calitate de organ al puterii executive, ea să poată controla comisia de anchetă BVT, care face parte din puterea legislativă.
În urma deciziei Bundesverwaltungsgericht (Tribunalul Administrativ Federal, Austria), care a admis acțiunea formulată de WK și a anulat decizia Datenschutzbehörde, aceasta din urmă a sesizat Curtea Administrativă cu recurs împotriva deciziei Tribunalului Administrativ Federal.
În acest context, instanța de trimitere a solicitat Curții să stabilească dacă activitățile unei comisii de anchetă instituite de parlamentul unui stat membru intră în domeniul de aplicare al RGPD și dacă regulamentul menționat se aplică atunci când aceste activități privesc protecția securității naționale. În plus, ea a solicitat Curții să se pronunțe cu privire la aspectul dacă RGPD conferă unei autorități naționale de supraveghere precum Datenschutzbehörde competența de a soluționa plângeri referitoare la prelucrări de date cu caracter personal efectuate de o comisie de anchetă în cadrul activităților sale.
Aprecierea Curții
În primul rând, Curtea amintește că articolul 2 alineatul (2) litera (a) din RGPD, care prevede că acest regulament nu se aplică prelucrării datelor cu caracter personal efectuate în cadrul unei activități care nu intră sub incidența dreptului Uniunii, are ca unic obiectiv excluderea din domeniul său de aplicare a prelucrărilor de date cu caracter personal efectuate de autoritățile de stat în cadrul unei activități care urmărește să apere securitatea națională sau care se încadrează în aceeași categorie. Astfel, simplul fapt că o activitate este proprie statului sau unei autorități publice nu este suficient pentru a exclude în mod automat aplicarea RGPD în privința unei asemenea activități(4).
Această interpretare, care decurge din lipsa unei distincții în funcție de identitatea autorului prelucrării în cauză, este confirmată de articolul 4 punctul 7 din RGPD(5).
Curtea precizează că natura parlamentară a comisiei de anchetă BVT nu implică excluderea activităților sale din domeniul de aplicare al RGPD. Astfel, excepția prevăzută la articolul 2 alineatul (2) litera (a) din acest regulament se referă numai la categorii de activități care, prin natura lor, nu intră în domeniul de aplicare al dreptului Uniunii, iar nu la categorii de persoane. Prin urmare, împrejurarea că prelucrarea datelor cu caracter personal este efectuată de o comisie de anchetă instituită de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive nu permite, ca atare, să se stabilească faptul că această prelucrare este efectuată în cadrul unei activități care nu intră sub incidența dreptului Uniunii.
În al doilea rând, Curtea arată că, deși este de competența statelor membre să își definească interesele esențiale de securitate și să adopte măsurile apte să o asigure(6), simplul fapt că o măsură națională a fost adoptată în vederea protejării securității naționale nu poate să determine inaplicabilitatea dreptului Uniunii și nici să absolve statele membre de necesitatea de a respecta acest drept. Or, excepția prevăzută la articolul 2 alineatul (2) litera (a) din RGPD se referă numai la categorii de activități care, prin natura lor, nu intră în domeniul de aplicare al dreptului Uniunii. În această privință, împrejurarea că operatorul este o autoritate publică a cărei activitate principală este de a asigura securitatea națională nu poate fi suficientă, ca atare, pentru a exclude din domeniul de aplicare al RGPD prelucrările de date cu caracter personal pe care le efectuează în cadrul celorlalte activități desfășurate de ea.
În speță, controlul politic efectuat de comisia de anchetă BVT nu pare să constituie, ca atare, o activitate care urmărește să apere securitatea națională sau care se încadrează în aceeași categorie. Prin urmare, sub rezerva verificării de către instanța de trimitere, această activitate nu este exclusă din domeniul de aplicare al RGPD.
În aceste condiții, o comisie parlamentară de anchetă poate avea acces la date cu caracter personal care, din motive de securitate națională, trebuie să beneficieze de o protecție specială. În această privință, pot fi stabilite restricții, prin intermediul unor măsuri legislative, privind drepturile și obligațiile care decurg din RGPD pentru a garanta printre altele securitatea națională(7). Ar putea fi astfel justificate, în acest temei, restricții privind colectarea datelor cu caracter personal, informarea persoanelor vizate și accesul lor la respectivele date sau divulgarea acestora, fără consimțământul persoanelor vizate, altor persoane decât operatorul, cu condiția ca astfel de restricții să respecte esența drepturilor și libertăților fundamentale ale persoanelor vizate și să constituie o măsură necesară și proporțională într‑o societate democratică.
Curtea observă însă că din informațiile puse la dispoziția sa nu reiese că comisia de anchetă BVT ar fi susținut că divulgarea datelor cu caracter personal ale persoanei în cauză era necesară pentru protejarea securității naționale și întemeiată pe o măsură legislativă națională prevăzută în acest scop, aspect a cărui verificare rămâne, dacă este cazul, în sarcina instanței de trimitere.
În al treilea și ultimul rând, Curtea arată că dispozițiile RGPD referitoare la competența autorităților naționale de supraveghere și la dreptul de plângere(8) nu necesită adoptarea unor măsuri naționale de aplicare și sunt suficient de clare, de precise și de necondiționate pentru a produce un efect direct. Rezultă că, deși RGPD lasă o marjă de apreciere statelor membre în ceea ce privește numărul de autorități de supraveghere care urmează să fie instituite(9), acesta stabilește în schimb întinderea competenței lor pentru a monitoriza aplicarea regulamentului menționat. Astfel, în cazul în care un stat membru decide să instituie o singură autoritate națională de supraveghere, aceasta este în mod necesar dotată cu totalitatea competențelor prevăzute de acest regulament. Orice altă interpretare ar repune în discuție efectul util al acestor dispoziții și ar risca să slăbească efectul util al tuturor celorlalte dispoziții din RGDP care pot fi afectate de o plângere.
În ceea ce privește împrejurarea că dispozițiile naționale de ordin constituțional exclud posibilitatea unei autorități de supraveghere care depinde de puterea executivă de a monitoriza aplicarea RGPD de către un organ care face parte din puterea legislativă, Curtea subliniază că tocmai cu respectarea structurii constituționale a statelor membre RGPD se limitează să impună acestora din urmă să stabilească cel puțin o autoritate de supraveghere, oferindu‑le în același timp posibilitatea de a institui mai multe autorități. Regulamentul menționat recunoaște astfel fiecărui stat membru o marjă de apreciere care să îi permită să instituie atâtea autorități de supraveghere câte impun, printre altele, cerințele legate de structura sa constituțională.
În plus, invocarea unor dispoziții de drept național de către un stat membru nu poate să aducă atingere unității și eficacității dreptului Uniunii. Astfel, efectele asociate principiului supremației dreptului Uniunii se impun tuturor organelor unui stat membru, fără, în special, ca dispozițiile interne, inclusiv de ordin constituțional, să poată împiedica acest lucru(10).
Prin urmare, din moment ce un stat membru a ales să instituie o singură autoritate de supraveghere, acesta nu poate invoca dispoziții de drept național, nici chiar de ordin constituțional, pentru a sustrage prelucrările de date cu caracter personal care intră în domeniul de aplicare al RGPD de la supravegherea din partea acestei autorități.