РЕШЕНИЕ НА СЪДА (голям състав)

6 октомври 2015 година(*)

„Преюдициално запитване — Лични данни — Защита на физическите лица при обработването на тези лични данни — Харта на основните права на Европейския съюз — Членове 7, 8 и 47 — Директива 95/46/ЕО — Членове 25 и 28 — Прехвърляне на лични данни към трети страни — Решение 2000/520/ЕО — Прехвърляне на лични данни към Съединените щати — Недостатъчна степен на защита — Валидност — Жалба от физическо лице, чиито данни са били прехвърлени от Европейския съюз към Съединените щати — Правомощия на националните надзорни органи“

По дело C‑362/14

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от High Court (Върховен съд, Ирландия) с акт от 17 юли 2014 г., постъпил в Съда на 25 юли 2014 г., в рамките на производство по дело

Maximillian Schrems

срещу

Data Protection Commissioner,

в присъствието на:

Digital Rights Ireland Ltd,

СЪДЪТ (голям състав),

състоящ се от: V. Skouris, председател, K. Lenaerts, заместник-председател, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (докладчик), S. Rodin, K. Jürimäe, председатели на състави, A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen и C. Lycourgos, съдии,

генерален адвокат: Y. Bot,

секретар: L. Hewlett, главен администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 24 март 2015 г.,

като има предвид становищата, представени:

–        за г‑н Schrems, от N. Travers, SC, P. O’Shea, BL, G. Rudden, solicitor, и H. Hofmann, Rechtsanwalt,

–        за Data Protection Commissioner, par P. McDermott, BL, S. More O’Ferrall и D. Young, solicitors,

–        за Digital Rights Ireland Ltd, от F. Crehan, BL, S. McGarr и E. McGarr, solicitors,

–        за Ирландия, от A. Joyce, B. Counihan и E. Creedon, в качеството на представители, подпомагани от D. Fennelly, BL,

–        за белгийското правителство, от J.‑C. Halleux и C. Pochet, в качеството на представители,

–        за чешкото правителство, от M. Smolek и J. Vláčil, в качеството на представители,

–        за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от P. Gentili, avvocato dello Stato,

–        за австрийското правителство, от G. Hesse и G. Kunnert, в качеството на представители,

–        за полското правителство, от M. Kamejsza, M. Pawlicka и B. Majczyna, в качеството на представители,

–        за словенското правителство, от A. Grum и V. Klemenc, в качеството на представители,

–        за правителството на Обединеното кралство, от L. Christie и J. Beeko, в качеството на представители, подпомагани от J. Holmes, barrister,

–        за Европейския парламент, от D. Moore, A. Caiola и М. Пенчева, в качеството на представители,

–        за Европейската комисия, от B. Schima, B. Martenczuk, B. Smulders и J. Vondung, в качеството на представители,

–        за Европейския надзорен орган по защита на данните (ЕНОЗД), от C. Docksey, A. Buchta и V. Pérez Asinari, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 23 септември 2015 г.,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването на член 25, параграф 6 и член 28 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10), изменена с Регламент (ЕО) № 1882/2003 на Европейския парламент и на Съвета от 29 септември 2003 г. (ОВ L 284, стр. 1; Специално издание на български език, 2007 г., глава 1, том 4, стр. 213; наричана по-нататък „Директива 95/46“), във връзка с членове 7, 8 и 47 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“), а по същество и до валидността на Решение 2000/520/ЕО на Комисията от 26 юли 2000 година съгласно Директива 95/46 относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот“ и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ (ОВ L 215, стр. 7; Специално издание на български език, 2007 г., глава 16, том 1, стр. 64).

2        Запитването е отправено в рамките на спор между г‑н Schrems и Data Protection Commissioner (Комисар за защита на личните данни, наричан по-нататък „Комисарят“) относно отказа на последния да проведе разследване по жалба, подадена от г‑н Schrems, поради това че Facebook Ireland Ltd. (наричано по-нататък „Facebook Ireland“) прехвърля в Съединените щати личните данни на своите потребители и ги съхранява на разположени в тази страна сървъри.

 Правна уредба

 Директива 95/46

3        Съображения 2, 10, 56, 57, 60, 62 и 63 от Директива 95/46 гласят следното:

„(2)      […] системите за обработка на данни са създадени с цел да служат на хората; […] независимо от националността или местожителството на физическите лица, те трябва да зачитат техните основни права и свободи и по-конкретно правото на личен живот, и да допринасят за […] благосъстоянието на хората;

[…]

(10)      […] предмет на националните законодателства, отнасящи се до обработването на данни, е осигуряване спазването на основните права и свободи и по-конкретно правото на личен живот, което се признава както в член 8 на Европейската конвенция за защита на правата на човека и основните свободи[, подписана в Рим на 4 ноември 1950 г.,] така и от общите принципи на правото на Общността; […] поради тази причина сближаването на тези законодателства не трябва да доведе до намаляване степента на защита, която те осигуряват, а обратно — да има за цел гарантиране на висока степен на защита в Общността;

[…]

(56)      […] трансграничните потоци от лични данни са необходими за разширяването на международната търговия; […] защитата на лицата, гарантирана в Общността от настоящата директива, не възпрепятства предаването на лични данни на трети страни, които гарантират подходяща степен на защита; […] трябва да се прецени адекватността на степента на защита, предоставяна от трета страна, в светлината на всички обстоятелства, свързани с операцията по предаването или с набора операции по предаването;

(57)      […] от друга страна, […] предаването на лични данни в трета страна, която не гарантира достатъчно висока степен на защита, трябва да бъде забранено;

[…]

(60)      […] във всички случаи предаването за трети страни може да се извършва единствено при пълно спазване на разпоредбите, приети от държавите членки съгласно настоящата директива, и по-конкретно на член 8 от директивата;

[…]

(62)      […] създаването в държавите членки на надзорни органи, които изпълняват функциите при пълна независимост, е съществен елемент от защитата на лицата по отношение на обработването на личните им данни;

(63)      […] тези органи трябва да разполагат с необходимите средства, за да изпълняват своите задължения, включително правомощия за разследване и намеса, особено в случаи на жалби от лица, както и правомощия за участие в съдебни производства; […]“.

4        Членове 1, 2, 25, 26, 28 и 31 от Директива 95/46 гласят:

„Член 1

Предмет на директивата

1.      В съответствие с настоящата директива държавите членки защищават основните права и свободи на физическите лица и в частност правото им на личен живот при обработването на лични данни.

[…]

Член 2

Определения

По смисъла на настоящата директива:

а)      „лични данни“ означава всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“); за подлежащо на идентифициране лице се смята това лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификационен номер или един или повече специфични признаци, отнасящи се до неговата физическа, физиологическа, психологическа, умствена, икономическа, културна или социална самоличност;

б)      „обработване на лични данни“ („обработване“) означава всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване;

[…]

г)      „администратор“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни; когато целите и средствата на обработката се определят от национални или общностни законови или подзаконови разпоредби, администраторът или специфичните критерии за неговото назначаване могат да бъдат определени в националното право или в правото на Общността;

[…]

Член 25

Принципи

1.      Държавите членки предвиждат, че предаването на лични данни, които са подложени на обработка или са предназначени за обработка след предаването им на трета страна, може да се извършва, само ако без да се засяга спазването на националните разпоредби, приети в съответствие с другите разпоредби на настоящата директива, въпросната трета страна гарантира достатъчна степен на защита.

2.      Достатъчният характер на степента на защита, предоставяна от трета страна, се преценява в светлината на всички обстоятелства, свързани с операцията по предаването на данни или набор от операции по предаване на данни; специално внимание се обръща на характера на данните, целта и продължителността на предлаганата операция или операции по обработката им, на страната по произхода и страната по крайното местоназначение, на законовите правила, както общи, така и секторни, които са в сила във въпросната трета страна, както и на професионалните правила и мерките за сигурност, които се спазват в тази страна.

3.      Държавите членки и Комисията се информират взаимно за случаите, в които считат, че трета страна не гарантира достатъчна степен на защита по смисъла на параграф 2.

4.      Ако Комисията констатира, съгласно процедурата, предвидена в член 31, параграф 2, че дадена трета страна не осигурява достатъчна степен на защита по смисъла на параграф 2 на настоящия член, държавите членки взимат необходимите мерки за предотвратяване на всякакво предаване на данни от същия вид на въпросната трета страна.

5.      В подходящия момент Комисията започва преговори с цел да поправи състоянието на нещата, произтичащо от заключенията, направени съгласно параграф 4.

6.      Комисията може да констатира, в съответствие с процедурата, посочена в член 31, параграф 2, че трета страна гарантира достатъчна степен на защита по смисъла на параграф 2 на настоящия член, по силата на вътрешното си законодателство или на международните споразумения, сключени от нея, и по-конкретно след приключване на преговорите, упоменати в параграф 5, за защитата на личния живот и на основните свободи и права на лицата.

Държавите членки предприемат необходимите мерки за спазване на решението на Комисията.

Член 26

Дерогации

1.      По пътя на дерогация от член 25 и ако друго не е постановено от националното законодателство, уреждащо особени случаи, държавите членки постановяват, че предаването или набора от предавания на лични данни на трета страна, която не осигурява достатъчна степен на защита по смисъла на член 25, параграф 2, може да бъде извършено, при условие че:

а)      съответното физическо лице е дало изричното си съгласие за предлаганото предаване на данни; или

б)      предаването е необходимо за изпълнението на договор между съответното физическо лице и администратора или за изпълнението на мерки по предварителен договор, предприети по искане на съответното физическо лице; или

в)      предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на съответното физическо лице между администратора и трета страна; или

г)      предаването е необходимо или изисквано от закона по съображения от важен обществен интерес или за установяването, упражняването или защитата на правото на иск; или

д)      предаването е необходимо за защита на жизнените интереси на съответното физическо лице; или

е)      предаването се извършва от регистър, който съгласно законови или подзаконови разпоредби, е предназначен да предоставя информация на обществеността и е достъпен за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, доколкото условията за справка, посочени в закона, са изпълнени в конкретния случай.

2.      Без да се засягат разпоредбите на параграф 1, дадена държава членка може да разреши предаването или набора от предавания за трета страна, която не осигурява достатъчна степен на защита по смисъла на член 25, параграф 2, ако администраторът предостави достатъчни гаранции по отношение на защитата на личния живот и основните права и свободи на лицата и по отношение на упражняването на съответните права; такива гаранции могат, в частност, да произтичат от съответни договорни клаузи.

3.      Държавата членка информира Комисията и другите държави членки за разрешителните, които предоставя в съответствие с разпоредбите на параграф 2.

Ако някоя държава членка или Комисията направи обосновано възражение във връзка със защитата на личния живот и на основните права и свободи на лицата, Комисията взима подходящи мерки в съответствие с процедурата, постановена в член 31, параграф 2.

Държавите членки предприемат необходимите мерки, за да спазят решението на Комисията.

[…]

Член 28

Надзорен орган

1.      Всяка държава членка предвижда, че на нейната територия един или повече държавни органи отговарят за контрола на прилагането на разпоредбите, приети от държавите членки, съгласно настоящата директива.

Тези органи се ползват с пълна независимост при упражняване на функциите, които са им възложени.

2.      Всяка държава членка предвижда, че надзорните органи се консултират при разработването на административни мерки или разпоредби, отнасящи се до защитата на правата и свободите на лицата, по отношение на обработването на лични данни.

3.      В частност, на всеки орган са предоставени:

–        правомощия по разследване, като право на достъп до данните, съставляващи предмет на операциите по обработка, както и право на събиране на цялата информация, необходима за изпълнението на функциите по надзора,

–        ефективни правомощия на намеса, като например право на предоставяне на становища, преди извършването на операции по обработка на данни съгласно член 20, и гарантиране на подходяща публичност на подобни становища; право на разпореждане на блокиране, изтриване или унищожаване на данни, на въвеждане на временна или окончателна забрана върху обработването, на отправяне на предупреждение или строга забележка към администратора, както и право да сезира националния парламент или други политически институции,

–        правомощие да води съдебни дела, когато са нарушени националните разпоредби, приети в съответствие с настоящата директива, или свеждане на тези нарушения до знанието на съдебните власти.

Решенията на надзорния орган, предмет на жалби, могат да бъдат обжалвани по съдебен ред.

4.      Всеки надзорен орган разглежда искове, подадени от което и да е лице, от дружество, представляващо това лице, отнасящи се до защита на неговите права и свободи при обработването на лични данни. Лицето се уведомява за хода на иска.

Всеки надзорен орган, в частност, разглежда искове за проверка на законосъобразността на обработването на данни, подадени от което и да е лице, когато се прилагат националните разпоредби, приети съгласно член 13 на настоящата директива. Във всички случаи лицето се уведомява за извършената проверка.

[…]

6.      Независимо от националното право, приложимо към въпросната обработка, всеки надзорен орган може да упражнява на територията на своята държава членка правомощията, предоставени в съответствие с параграф 3. От всеки орган може да бъде поискано да упражни своите правомощия от страна на орган от друга държава членка.

[…]

Член 31

[…]

2.      При позоваване на настоящия член се прилагат разпоредбите на членове 4 и 7 от Решение 1999/468/ЕО [на Съвета от 28 юни 1999 година за установяване на условията и реда за упражняване на изпълнителните правомощия, предоставени на Комисията (ОВ L 184, стр. 23; Специално издание на български език, 2007 г., глава 1, том 2, стр. 159)] като се вземат предвид разпоредбите на член 8 от същото решение.

[…]“.

 Решение 2000/520

5        Решение 2000/520 е прието от Комисията въз основа на член 25, параграф 6 от Директива 95/46.

6        Съображения 2, 5 и 8 от това решение гласят следното:

„(2)      Комисията може да установи, че трета страна гарантира адекватно ниво на защита. В този случай личните данни могат да бъдат предавани от държавите членки, без да са необходими допълнителни гаранции.

[…]

(5)      Нивото на адекватна защита за предаването на данни от Общността към Съединените американски щати, определено съгласно настоящото решение, би трябвало да се постигне, ако организациите спазват принципите „сфера на неприкосновеност на личния живот“ (по-долу наричани „принципи“) и „често задаваните въпроси“ (ЧЗВ), които определят насоките за прилагането на принципите, публикувани от правителството на Съединените щати на 21 юли 2000 г. Освен това организациите следва да оповестят публично своите политики на поверителност и те да бъдат от компетенцията на Федералната търговска комисия [Federal Trade Commission] (FTC) съгласно раздел 5 от Закона за Федералната търговска комисия, който забранява некоректните или измамни действия или практики в областта на търговията, или на друга институция, предвидена от законодателството, гарантираща действително съблюдаването на принципите съгласно ЧЗВ.

[…]

(8)      С цел да се гарантира прозрачността и да се запази възможността на компетентните органи в държавите членки да осигурят защитата на физическите лица по отношение на обработването на личните данни, в настоящото решение трябва да се указва при какви изключителни обстоятелства спирането на някои конкретни потоци с данни може да бъде оправдано, дори ако е било установено достатъчно ниво на защита“.

7        Съгласно членове 1—4 от Решение 2000/520:

„Член 1

1.      По смисъла на член 25, параграф 2 от Директива 95/46/ЕО за всички дейности, попадащи в обхвата на посочената директива, се смята че принципите „сфера на неприкосновеност на личния живот“ (по-долу наричани „принципи“), посочени в приложение I към настоящото решение, прилагани съгласно насоките, предоставени от „често задаваните въпроси“ (наричани по-долу ЧЗВ), публикувани на 21 юли 2000 г. от Департамента по търговия на Съединените американски щати, посочени в приложение II към настоящото решение, гарантират адекватно ниво на защита на личните данни, предавани от Общността към организации, установени в Съединените щати, имайки предвид следните документи, издадени от Департамента по търговия на Съединените американски щати:

а)      обзор на прилагането на сфера на неприкосновеност, посочен в приложение III;

б)      резюме относно вреди, понесени вследствие на нарушения на личната неприкосновеност и относно изричните разрешителни, предвидени по силата на законодателството на Съединените щати, посочени в приложение IV;

в)      писмо на Федералната търговска комисия, посочено в приложение V;

г)      писмо от Департамента по транспорта на Съединените американски щати, посочено в приложение VI.

2.      Що се отнася до всяко предаване на данни, трябва да се спазват следните условия:

а)      организацията получател на данните е поела категорично и публично задължението да спазва принципите, приети въз основа на ЧЗВ; и

б)      конкретен правителствен орган на САЩ, посочен в приложение VII към настоящото решение, е законово оправомощен по отношение на тази организация да разглежда оплаквания и да взима мерки срещу некоректните или измамни практики, както и обезщетение за претърпените вреди от пострадалите лица, независимо от страната по пребиваване или националност, в случаите, когато не се спазват принципите, приети по силата на ЧЗВ.

3.      Смята се, че условията, посочени в параграф 2, са изпълнени от всяка организация, когато тя обяви придържането си към принципите, приложени по силата на ЧЗВ, считано от датата, на която [е] уведомил[а] американския Департамент по търговия (или негов представител) за оповестяването на задължението, предвидено в параграф 2, буква а), и на идентичността на държавния орган, предвиден в параграф 2, буква б).

Член 2

Настоящото решение се отнася само до адекватността на защитата, осигурена в Съединените щати чрез принципите, приети по силата на ЧЗВ с цел изпълнение на изискванията на член 25, параграф 1 от Директива 95/46/ЕО, и не засяга прилагането на други разпоредби от посочената директива, които се отнасят до обработването на личните данни в държавите членки, и по-специално на член 4 от него.

Член 3

1.      Без това да засяга техните правомощия за вземане на мерки с цел гарантиране спазването на националните разпоредби, приети съгласно разпоредби, различни от тези по член 25 от Директива 95/46/ЕО, компетентните органи на държавите членки могат да упражняват правомощията, с които разполагат, за да спрат потока данни към дадена организация, заявила себе си като придържаща се към принципите, приети по силата на ЧЗВ, за да закриля лицата, що се отнася до обработването на техните лични данни, в случаите, когато:

а)      държавният орган на Съединените щати съгласно приложение VII към настоящото решение или някоя независима инстанция за подаване на жалби по смисъла на буква а) от принципа за прилагане, съгласно приложение I към настоящото решение, е констатирал, че съответната организация е нарушила принципите, приети по силата на ЧЗВ; или

б)      когато е много вероятно принципите да са нарушени; когато всичко сочи, че съответната инстанция за прилагане не взима или няма да вземе в необходимите срокове мерките, които се налагат с цел решаване на въпросното дело; когато продължаването на предаване на данни представлява неминуем риск от сериозни вреди за съответните лица; и когато компетентните органи на държавите членки са направили достатъчно последователни усилия, в зависимост от обстоятелствата, за да предупредят организацията и да ѝ дадат възможност да отговори.

Спирането се преустановява от момента, когато спазването на принципите, приложени по силата на ЧЗВ, е гарантирано и когато съответните компетентни органи на Общността са нотифицирани за това.

2.      Държавите членки информират незабавно Комисията за приемането на мерките съгласно параграф 1.

3.      Държавите членки и Комисията се информират взаимно за случаите, когато институциите, натоварени с контрола по спазването на принципите, приети по силата на ЧЗВ в Съединените щати, не успяват да се справят със задачата си.

4.      Ако информациите, събрани съгласно параграфи 1, 2 и 3, представят доказателства, че някоя институция, натоварена със задачата да контролира спазването на принципите, приети по силата на ЧЗВ в Съединените щати, не изпълнява ефикасно задачата си, Комисията информира Департамента по търговия на САЩ и ако е необходимо, предлага проектомерки за приемане съгласно процедурата, посочена в член 31 от Директива 95/46/ЕО с цел заличаването или преустановяването на действието на настоящото решение или за да се ограничи обхватът му.

Член 4

1.      Настоящото решение може да бъде адаптирано във всеки един момент в светлината на натрупания опит по време на неговото прилагане и/или ако нивото на защита, осигурено от принципите и ЧЗВ, се окаже недостатъчно спрямо изискванията на законодателството на САЩ. Независимо от всичко това Комисията преценява прилагането на настоящото решение въз основа на информацията, с която разполага, три години след нотификацията му до държавите членки и съобщава на комитета, създаден по силата на член 31 от Директива 95/46/ЕО, всички документи, които биха повлияли върху оценката, според която разпоредбите на член 1 от настоящото решение гарантират достатъчно ниво на защита по смисъла на член 25 от Директива 95/46/ЕО, и всяко доказателство, свидетелстващо, че настоящото решение се прилага по дискриминационен начин.

2.      Комисията представя, ако е необходимо, проектомерки в съответствие с процедурата, предвидена в член 31 от Директива 95/46/ЕО“.

8        В приложение I към Решение 2000/520 се посочва следното:

„Принципи за „сферата на неприкосновеност на личния живот“

публикувани от Департамента по търговия на САЩ на 21 юли 2000 г.

[…]

[…] американският Департамент по търговия публикува настоящия документ („принципите“), както и „често задаваните въпроси“ (ЧЗВ) по силата на своята законна власт, за да насърчи, окуражи и развие международната търговия. Принципите са изготвени след съгласуване с предприятията и широката общественост с цел насърчаване на търговията между Съединените щати и Европейския съюз. Те са предназначени единствено за американските организации, които получават лични данни, произхождащи от Европейския съюз, с цел тези организации да изпълнят условията за сфера на неприкосновеност[, за да се ползват от] презумпцията за „ниво на адекватна защита“, произтичаща от нея. Тъй като принципите са формулирани единствено за да обслужват конкретната цел, тяхното прилагане за други цели може да се окаже неподходящо. […]

Всяка организация е напълно свободна да реши дали да изпълнява или не условията за сфера на неприкосновеност и може да изпълни тези условия по различни начини. […]

Придържането към принципите може да бъде ограничено: а) до необходимата степен, с оглед спазване изискванията за националната сигурност, обществения интерес или изискванията на правоприлагането [в Съединените щати]; б) със закон, правителствено регулиране или съдебна практика, които пораждат взаимнопротиворечиви задължения или предвиждат изрични разрешителни, при положение че дадена организация, която е поискала подобно разрешително, може да докаже, че неспазването на принципите е ограничено до необходимата степен за гарантиране на първостепенните законово предвидени интереси, за които е поискано разрешителното; или в) изключенията или дерогациите, допуснати в директивата според законодателството на държавата членка, при условие че тези изключения или дерогации се прилагат в сравними контексти. Съгласно целта за по-голяма защита на личния живот, организациите трябва да се стремят да прилагат тези принципи изцяло и прозрачно, като посочват включително в техните политики за защита на личния живот — в кои области изключенията по отношение на принципите, предвидени в буква б) по-горе, ще се прилагат редовно. По същата причина, когато принципите и/или законодателството на САЩ позволяват на организациите да направят избор, от тези организации се изисква да изберат, в рамките на възможното, ниво с по-висока защита.

[…]“.

9        Приложение II от Решение 2000/520 гласи следното:

„Често задавани въпроси (ЧЗВ)

[…]

ЧЗВ 6 — Самосертифициране

В:      Как организацията сертифицира, че признава за задължителни за нея принципите на личната неприкосновеност?

О:      Предимствата, свързани с личната неприкосновеност, могат да се ползват от датата, на която организацията съобщава на Департамента по търговия (или на лицето, посочено от него), че признава за задължителни за нея принципите съгласно изложените по-долу насоки.

За да заявят придържането си към принципите „сфера на неприкосновеност на личния живот“, организациите могат да предоставят на Департамента по търговия (или на лицето, посочено от него) писмо, подписано от корпоративен служител от името на организацията, която се присъединява в областта на личната неприкосновеност, което съдържа поне следната информация:

1)      името на организацията, пощенския адрес, електронния адрес, телефонните номера и факс номера;

2)      описание на дейностите на организацията по отношение на личната информация, получавана от ЕС; и

3)      описание на политиката за защита на личния живот, включително: а) к[ъде може] да бъде консултиран[а] от обществеността; б) датата, от която тези разпоредби ще се прилагат ефективно; в) службата, която разглежда жалби, молби за достъп и други въпроси, произтичащи съгласно принципа „сфера на неприкосновеност на личния живот“; г) специфичния законово предвиден орган, който има юрисдикция да разглежда жалби срещу организацията за некоректни или измамни практики и за нарушения на законовите или подзаконовите разпоредби, регламентиращи защитата на личния живот (и което е посочено в приложението за принципите); д) наименованието на всяка програма относно защитата на личния живот, в която членува организацията; е) метода на проверка (например вътрешна или извършена от трето лице) […], и ж) независимият механизъм за подаване на жалби, който е наличен, за разглеждане на нерешените жалби.

Когато организация иска предимствата на сферата на неприкосновеност да обхванат информацията за човешки ресурси, които са предавани от ЕС, за да бъдат използвани в рамките на трудови правоотношения, тя може да направи това, когато съществува законово предвиден орган, компетентен да разглежда жалби срещу организацията, произтичащи от информацията за човешки ресурси, съдържаща се в приложението към принципите. […]

Департаментът (или лицето, посочено от него) ще поддържа списък с всички организации, които подават такива писма, гарантирайки по този начин предимствата на сферата на неприкосновеност, и ще актуализира този списък въз основа на писмата и нотификациите, получавани всяка година съгласно ЧЗВ 11. […]

[…]

ЧЗВ 11 — Решаване на спорове и изпълнение на решенията

В:      Как следва да се изпълняват изискванията по отношение на решаване на споровете, съдържащи се в принципа за прилагане, и как трябва да се третира трайното неспазване на принципите от страна на дадена организация?

О:      Принципът за прилагане определя изискванията относно личната неприкосновеност. ЧЗВ за проверката (ЧЗВ 7) изяснява начина да се удовлетворят изискванията, формулирани в буква б) от принципа. Настоящият ЧЗВ 11 разглежда букви а) и в), които изискват независими механизми за подаване на жалби. Тези механизми могат да имат различна форма, но те трябва да отговарят на изискванията на принципа за прилагане. Организациите могат да отговарят на изискванията чрез следното: 1) като се съобразяват с програми на частния сектор в областта на защитата на личния живот, включващи в техните правила принципите на личната неприкосновеност и предвиждащи ефикасни механизми за прилагане от същото естество като тези, които са описани в принципа за прилагане; 2) като се съобразяват с инструкциите на законовите или уставните органи за надзор, които осигуряват разглеждането на жалбите на физическите лица и решаването на споровете; 3) като се задължават да сътрудничат с органите, натоварени със защитата на данните в рамките на Европейския съюз или с техните упълномощени представители. Настоящият списък е илюстративен и не е ограничаващ. Частният сектор може да предвиди други механизми за прилагане, при условие че отговарят на изискванията на принципа на прилагане и на ЧЗВ. Трябва да се отбележи, че изискванията на принципа на прилагане са допълнителни към формулираното изискване в параграф 3 от въведението към принципите, според който усилията за вътрешно регламентиране трябва да се осъществяват съгласно член 5 от Закона за Федерална търговска комисия или сходен акт.

Механизъм за обжалване

Потребителите следва да бъдат насърчавани да подават жалби, които евентуално биха повдигнали, до съответната организация преди да се обърнат към независими инстанции за обжалване. […]

[…]

Действие на Федералната търговска комисия

Федералната търговска комисия пое задължението да разглежда приоритетно предявени случаи от саморегулиращите се организации по защита на личния живот като BBBOnline и TRUSTe, както и от държавите членки на Европейската общност при които се твърди неспазването на принципите „сфера на неприкосновеност на личния живот“, за да преценят дали е имало нарушение на раздел 5 от Закона за Федералната търговска комисия, който забранява некоректните и измамни дейности и практики в търговията. […]

[…]“.

10      Съгласно приложение IV към Решение 2000/520:

„Обезщетения за вреди при нарушения на правото на личен живот, законни разрешителни и сливания и вливания съгласно законодателството на Съединените щати

Настоящият документ отговаря на запитването на Европейската комисия за изясняване на законодателството на Съединените щати що се отнася до: а) исканията за обезщетения за нарушения на правото на личен живот, б) „изричните разрешения“ предвидени от законодателството на Съединените щати за използване на личната информация по начин, който е несъвместим с принципите на личната неприкосновеност и в) последиците от сливания и вливания върху задълженията, поети съгласно принципите на личната неприкосновеност.

[…]

Б.      Изрични законови разрешения

Принципите „сфера на неприкосновеност на личния живот“ съдържат едно изключение, когато въз основа на законите, правните разпоредби или съдебната практика пораждат „конфликтни задължения или изрични разрешения, при условие че при използването на тези разрешения, дадена организация докаже, че неспазването на принципите се ограничава в рамките на необходимото, само на удовлетворяването на основните законни интереси посредством това разрешение“. Ясно е, че когато американското законодателство предвижда конфликтно задължение, американските организации, били те спазващи принципите „сфера на неприкосновеност на личния живот“ или не, са длъжни да спазват това законодателство. Що се отнася до изричните разрешения, ако принципите „сфера на неприкосновеност на личния живот“ трябва да запълнят пропастта между американския и европейския режими за защита на личния живот, ние трябва да спазваме законодателните прерогативи на избраните от нас законодатели. Изключението, ограничено от стриктното спазване на принципите „сфера на неприкосновеност на личния живот“ се опитва да намери баланса, за да вземе предвид законните интереси на всяка страна.

Изключението е ограничено до случаите, когато съществува изрично разрешение. Следователно, като краен вариант, съответният закон, правна разпоредба или конкретното съдебно решение трябва да дадат положително становище относно конкретното поведение на организациите, присъединили се към принципите „сфера на неприкосновеност на личния живот“. Или казано другояче, изключението не се прилага, когато законът мълчи. Нещо повече, изключението би се прилагало, само ако изричното разрешение влиза в противоречие със спазването на принципите „сфера на неприкосновеност на личния живот“. Дори и при тези условия, изключението „се ограничава в рамките на необходимото, само на удовлетворяването на основните законни интереси по силата на това разрешение“. Например, когато законът разрешава само на дадена организация да предава лични информации на държавни организации, изключението няма да се прилага. Обратно, когато законът разрешава изрично на дружеството да дава лична информация на държавни органи без съгласието на лицето, това е „изричното разрешение“ да се действа по начин, който противоречи на принципите „сфера на неприкосновеност на личния живот“. От друга страна, специфичните изключения за изискванията за нотификация и за получаване на съгласието биха попаднали в рамката на изключението (това би означавало специфично разрешение да се разкрият информации без уведомяване и съгласие). Например, закон, който разрешава на лекарите да дават медицинските досиета на своите пациенти на здравните служители без предварителното съгласие на тези пациенти, може да позволи [изключ]ение [от] принципите на уведомяването и избора. Това разрешение обаче не позволява на лекаря да даде същите тези медицински досиета на здравните каси или на лабораториите за фармацевтични изследвания, защото това би надхвърлило рамките на разрешеното предназначение от закона и следователно, излиза извън обхвата на изключението. Въпросното правно разрешение може да бъде „автономно“ разрешение за извършването на определени неща с личната информация, но както го показват примерите по-долу, в повечето случаи, вероятно става въпрос за изключение по отношение на по-общ закон, който забранява събирането, използването или разгласяването на личната информация.

[…]“.

 Съобщение на Комисията COM(2013) 846 окончателен

11      На 27 ноември 2013 г. Комисията приема съобщение до Европейския парламент и Съвета, озаглавено „Възстановяване на доверието в обмена на данни между ЕС и САЩ“ (COM(2013) 846 окончателен, наричано по-нататък „Съобщение COM(2013) 846 окончателен“). Съобщението е придружено от доклад, също от 27 ноември 2013 г., съдържащ „констатациите на съпредседателите от ЕС на Работна група ad hoc ЕС—САЩ по защита на данните“ („Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection“). Както се посочва в точка 1 от доклада, той е изготвен в сътрудничество със Съединените американски щати след разкритията за съществуването в тази страна на редица програми за наблюдение, включващи широкомащабно събиране и обработване на лични данни. Посоченият доклад по-специално съдържа подробен анализ на правната уредба на САЩ, що се отнася по-специално до правните основания, разрешаващи съществуването на програми за наблюдение, както и събирането и обработването на лични данни от американските власти.

12      В точка 1 от Съобщение COM(2013) 846 окончателен Комисията уточнява, че „[т]ърговският обмен е предмет на уредба в Решение [2000/520]“ и добавя, че „[т]ова решение предоставя правното основание за предаване на лични данни от ЕС към дружества, установени в САЩ, които се придържат към принципите за сфера на неприкосновеност на личния живот“. Освен това в същата точка 1 Комисията подчертава все по-голямото значение на потоците от лични данни, свързано по-специално с развитието на цифровата икономика, което „дове[ло] до експоненциален растеж в количеството, качеството, разнообразието и характера на дейностите по обработка на данните“.

13      В точка 2 от същото съобщение Комисията отбелязва, че „загрижеността относно нивото на защита на личните данни на гражданите на [Съюза], предавани на САЩ в рамките на схемата, [е] нараснала“ и че „[д]оброволният и декларативен характер на схемата [е] изостри[л] вниманието върху нейната прозрачност и прилагане“.

14      Освен това в същата точка 2 Комисията посочва, че „[д]о личните данни на гражданите на [Съюза], изпращани до САЩ в рамките на схемата, може да се предостави достъп и те да бъдат допълнително обработени от американските власти по начин, който е несъвместим с основанията, на които данните са събрани първоначално в [Съюза], и целите, за които те са били предадени на САЩ“ и че „[м]нозинството от американските интернет компании, които изглеждат пряко засегнати от […] програми[те за наблюдение], са сертифицирани по схемата за сфера на неприкосновеност“.

15      В точка 3.2 от Съобщение COM(2013) 846 окончателен Комисията отбелязва наличието на редица слабости при прилагането на Решение 2000/520. В същата точка Комисията посочва, от една страна, че някои сертифицирани американски предприятия не спазват принципите, посочени в член 1, параграф 1 от Решение 2000/520 (наричани по-нататък „принципите за сфера на неприкосновеност“), и че в решението трябва да се направят подобрения относно „както структурните недостатъци, свързани с прозрачността и прилагането, така и съдържанието на принципите за сфера на неприкосновеност и действието на изключението по съображения за национална сигурност“. От друга страна, Комисията отбелязва, че „[с]хемата за сфера за неприкосновеност също така действа като канал за предаването на лични данни на европейски граждани от [Съюза] към САЩ от дружества, от които се иска да предават данни на американските разузнавателни агенции в рамките на американските програми за събиране на разузнавателни данни“.

16      В същата точка 3.2 Комисията стига до извода, че „[к]ато се имат предвид установените пропуски, сегашният начин на приложение на схемата не може да бъде запазен[…] [въпреки че] отмяната на Решението ще се отрази неблагоприятно на интересите на участващите в схемата дружества[…] в [Съюза] и САЩ“. Накрая, в същата точка 3.2 Комисията добавя, че незабавно ще „започне разговори с органите на САЩ, за да обсъди установените недостатъци“.

 Съобщение на Комисията COM(2013) 847 окончателен

17      В същия ден, а именно 27 ноември 2013 г., Комисията приема Съобщение до Европейския парламент и Съвета относно функционирането на „сферата на неприкосновеност на личния живот“ („Safe Harbour“) от гледна точка на гражданите на ЕС и дружествата, установени в ЕС (COM(2013) 847 окончателен) (наричано по-нататък „Съобщение COM(2013) 847 окончателен“). От точка 1 от това съобщение е видно, че то се основава на информация, получена в Работната група ad hoc Европейски съюз—САЩ, и е последица от два аналитични доклада на Комисията, публикувани съответно през 2002 г. и 2004 г.

18      В точка 1 от посоченото съобщение се уточнява, че прилагането на Решение 2000/520 „се основава на самосертифицирането и поемането на ангажимент за изпълнение от дружествата, решили да се присъединят към тези договорености“, и се добавя, че „[п]одписването на тези договорености е доброволно, но правилата, които се съдържат в тях, са задължителни за тези, които са ги подписали“.

19      Освен това от точка 2.2 от Съобщение COM(2013) 847 окончателен е видно, че към 26 септември 2013 г. са сертифицирани 3 246 предприятия от множество сектори на промишлеността и услугите. Тези предприятия основно предоставят услуги на вътрешния пазар на Съюза, по-специално в интернет сектора, като една част от тях са предприятия от Съюза, притежаващи дъщерни дружества в Съединените щати. Някои от тези предприятия обработват данните на своите служители, наети в Европа, които данни се прехвърлят към Съединените щати за цели, свързани с управлението на човешките ресурси.

20      В същата точка 2.2 Комисията подчертава, че „[в]сяка липса на прозрачност или недобро прилагане от страна на САЩ води до изместване на отговорността към европейските органи за защита на данните и към дружествата, които използват схемата“.

21      От точки 3—5 и 8 от Съобщение COM(2013) 847 окончателен е видно, че на практика значителен брой сертифицирани предприятия не спазват или не спазват напълно принципите за сфера на неприкосновеност.

22      Освен това в точка 7 от същото съобщение Комисията отбелязва, че „всички дружества, участващи в програмата PRISM [програма за широкомащабно събиране на информация], които предоставят достъп на органите на САЩ до данни, съхранявани и обработвани в САЩ, изглеждат сертифицирани по схемата за сфера на неприкосновеност“ и че „[т]ова [е] превърна[ло] схемата в един от каналите, посредством които се предоставя достъп на американските разузнавателни служби за събиране на лични данни, първоначално обработени в [Съюза]“. В това отношение в точка 7.1. от посоченото съобщение Комисията констатира, „че определен брой правни основания по американското право позволяват широкомащабно събиране и обработка на лични данни, които са съхранявани или по друг начин обработвани от дружества със седалище в САЩ“ и че „[ш]ирокомащабният характер на тези програми може да доведе до достъп и допълнителна обработка на данни, предадени по схемата за сфера на неприкосновеност, от страна на американските власти извън пределите на строго необходимото и пропорционалното за защита на националната сигурност, както е предвидено в изключението в Решение[2000/520]“.

23      В точка 7.2 от Съобщение COM(2013) 847 окончателен, озаглавена „Ограничения и възможности за правна защита“, Комисията подчертава, че „гаранциите, предоставени по американското право са предимно на разположение на гражданите на САЩ или на законно пребиваващите лица там“ и че „[о]свен това не са предвидени възможности за субектите на данни от [Съюза] или САЩ да получат достъп, поправка или заличаване на данни, или административна или съдебна защита по отношение на събирането и по-нататъшното обработване на личните им данни, които се провеждат в рамките на американските програми за наблюдение“.

24      Съгласно точка 8 от Съобщение COM(2013) 847 окончателен между сертифицираните предприятия са „[и]нтернет компании като Google, Facebook, Microsoft, Apple [и] Yahoo“ които „имат стотици милиони клиенти в Европа“ и предават лични данни за обработка в Съединените щати.

25      В същата точка 8 Комисията стига до извода, че „широкомащабният достъп на разузнавателните служби до данни, предавани на САЩ от дружества, сертифицирани по схемата за сфера на неприкосновеност, повдига допълнителни сериозни въпроси относно това доколко правото на защита на личните данни на европейците продължава да бъде гарантирано, когато данните им се предават на САЩ“.

 Спорът по главното производство и преюдициалните въпроси

26      Г‑н Schrems е пребиваващ в Австрия гражданин на тази държава и е потребител на социалната мрежа Facebook (наричана по-нататък „Facebook“) от 2008 г.

27      Всяко пребиваващо на територията на Съюза лице, което иска да използва Facebook, при регистрацията си е длъжно да сключи договор с Facebook Ireland, дъщерно дружество на Facebook Inc., чието седалище е в Съединените щати. Личните данни на пребиваващите на територията на Съюза потребители на Facebook Ireland изцяло или частично се прехвърлят към разположени на територията на Съединените щати сървъри на Facebook Inc., където се обработват.

28      На 25 юни 2013 г. г‑н Schrems подава жалба до комисаря, с която по същество иска от него да упражни законоустановените си правомощия и да забрани на Facebook Ireland да прехвърля личните му данни към Съединените щати. В жалбата г‑н Schrems твърди, че действащите в момента право и практики в тази страна не гарантират достатъчна защита на съхраняваните на територията ѝ лични данни срещу извършваните в страната дейности по наблюдение от публичните органи. В това отношение г‑н Schrems се позовава на направените от г‑н Едуард Сноудън разкрития относно дейността на разузнавателните служби на Съединените щати, и по-специално дейността на National Security Agency (наричана по-нататък „NSA“).

29      Комисарят счита, че не е длъжен да провежда разследване по обстоятелствата, изложени от г‑н Schrems в жалбата му, и я отхвърля като неоснователна. Комисарят всъщност приема, че няма доказателства от които да е видно, че NSA е имала достъп до личните данни на жалбоподателя. Комисарят добавя, че изложените от г‑н Schrems твърдения за нарушения в жалбата му са неотносими, тъй като всеки въпрос относно достатъчния характер на защитата на личните данни в Съединените щати следва да се решава в съответствие с Решение 2000/520, а в това решение Комисията е констатирала, че Съединените американски щати гарантират достатъчна степен на защита.

30      Г‑н Schrems подава последваща жалба до High Court (Върховен съд) срещу разглежданото в главното производство решение. След като анализира доказателствата, представени от страните в главното производство, тази юрисдикция констатира, че електронното наблюдение и прихващането на лични данни, прехвърляни от Съюза към Съединените щати, обслужват необходими и наложителни цели в обществен интерес. Същата юрисдикция обаче добавя, че направените от г‑н Сноудън разкрития са показали „значителна степен на прекомерност“ в действията на NSA и други федерални органи.

31      Впрочем според посочената юрисдикция гражданите на Съюза не разполагат с никакво ефективно право на изслушване. Надзорът върху действията на разузнавателните служби се извършвал в рамките на поверително производство без състезателен характер. След прехвърлянето на личните данни към Съединените щати, NSA и други федерални органи, като например Federal Bureau of Investigation (FBI), можели да имат достъп до тях в рамките на наблюдението и на несистематизираните прихващания, извършвани от тях широкомащабно.

32      High Court (Върховен съд) констатира, че ирландското право забранява прехвърлянето на лични данни извън националната територия, освен ако съответната трета страна не гарантира достатъчна степен на защита на личния живот и на основните права и свободи. Голямото значение на правото на зачитане на личния живот и на правото на неприкосновеност на жилището, гарантирани с ирландската конституция, изисквало всяка намеса, засягаща тези права, да бъде пропорционална и в съответствие с предвидените законови изисквания.

33      Същевременно масовият и несистематизиран достъп до лични данни очевидно бил в противоречие с принципа на пропорционалност и с основните ценности, защитавани с ирландската конституция. За да бъдат прихващанията на електронни съобщения в съответствие с конституцията, трябва да се представят доказателства, че прихващанията са целенасочени, че наблюдението на определени лица или определени групи от лица е обективно обосновано в интерес на национална сигурност или борбата с престъпността, както и че са налице подходящи и проверими гаранции. Така според High Court (Върховен съд), ако делото в главното производство трябва да се разреши единствено по ирландското право, предвид съществуващите сериозни съмнения относно гарантираната от Съединените американски щати достатъчна степен на защита на личните данни, следва да се констатира, че Комисарят е трябвало да проведе разследване по посочените от г‑н Schrems обстоятелства в жалбата му и неправилно я е отхвърлил.

34      Същевременно High Court (Върховен съд) счита, че случаят засяга прилагането на правото на Съюза по смисъла на член 51 от Хартата, така че законосъобразността на разглежданото в главното производство решение трябва да се прецени с оглед на правото на Съюза. Впрочем според същата юрисдикция Решение 2000/520 не отговаря на изискванията, произтичащи както от членове 7 и 8 от Хартата, така и от принципите, посочени от Съда в решение Digital Rights Ireland и др. (C‑293/12 и C‑594/12, EU:C:2014:238). Правото на зачитане на личния живот, гарантирано с член 7 от Хартата и с общите за традициите на държавите членки основни ценности, щяло да бъде лишено от всякакъв смисъл, ако на публичните власти бъде позволено да разполагат с произволен и всеобхватен достъп до електронните съобщения, без да излагат каквито и да било обективни основания, произтичащи от съображения, свързани с националната сигурност или с превенцията на престъпността, във връзка конкретно със съответните лица, и без тези практики да са съпроводени с подходящи и проверими гаранции.

35      Освен това High Court (Върховен съд) отбелязва, че с жалбата си г‑н Schrems на практика оспорва законосъобразността на въведената с Решение 2000/520 схема за „сфера на неприкосновеност“, стояща в основата на разглежданото в главното производство решение. Така, макар г‑н Schrems формално да не оспорва валидността нито на Директива 95/46, нито на Решение 2000/520, според тази юрисдикция въпросът е дали предвид член 25, параграф 6 от посочената директива комисарят е бил обвързан от извършената от Комисията в Решение 2000/520 констатация, че Съединените американски щати гарантират достатъчна степен на защита, или член 8 от Хартата позволява на Комисаря при необходимост да се отклонява от такива констатации.

36      При това положение High Court (Върховен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Когато независимо длъжностно лице, което по закон следи за прилагането на законодателството за защита на данните, разглежда жалба относно прехвърлянето на лични данни към трета страна (в случая Съединените щати), за законодателството и практиката на която се твърди, че не предоставят достатъчна защита на съответното физическо лице, абсолютно обвързано ли е това длъжностно лице от констатацията на Съюза в противоположен смисъл, съдържаща се в Решение 2000/520, като се имат предвид членове 7, 8 и 47 от Хартата, и независимо от разпоредбите на член 25, параграф 6 от Директива 95/46?

2)      В противен случай длъжностното лице може и/или трябва ли да проведе самостоятелно разследване по въпроса с оглед на фактическите промени, настъпили след първоначалното публикуване на решението на Комисията?“.

 По преюдициалните въпроси

37      Преюдициалните въпроси следва да бъдат разгледани заедно и с тях запитващата юрисдикция по същество иска да се установи дали и в каква степен член 25, параграф 6 от Директива 95/46, разглеждан във връзка с членове 7, 8 и 47 от Хартата, трябва да се тълкува в смисъл, че прието въз основа на тази разпоредба решение като Решение 2000/520, с което Комисията констатира, че трета страна гарантира достатъчна степен на защита, е пречка надзорен орган на държава членка по смисъла на член 28 от посочената директива да разгледа жалбата на лице — отнасяща се до защита на неговите права и свободи при обработването на засягащи го лични данни, които са били прехвърлени от държава членка към тази трета страна — ако то твърди, че действащите в момента право и практики в третата страна не гарантират достатъчна степен на защита.

 По правомощията на националните надзорни органи по смисъла на член 28 от Директива 95/46 при наличие на решение на Комисията, прието въз основа на член 25, параграф 6 от същата директива

38      Най-напред, следва да се припомни, че разпоредбите на Директива 95/46, доколкото уреждат обработката на личните данни, която може да засегне основните свободи, и по-специално правото на личен живот, по необходимост трябва да се тълкуват с оглед на основните права, гарантирани с Хартата (вж. решения Österreichischer Rundfunk и др., C‑465/00, C‑138/01 и C‑139/01, EU:C:2003:294, т. 68; Google Spain и Google, C‑131/12, EU:C:2014:317, т. 68 и Ryneš, C‑212/13, EU:C:2014:2428, т. 29).

39      От член 1 и от съображения 2 и 10 от Директива 95/46 е видно, че целта ѝ е не само да осигури ефективна и пълна защита на основните права и свободи на физическите лица, по-специално на основното право на зачитане на личния живот при обработването на лични данни, но и висока степен на защита на тези основни права и свободи. Освен това Съдът подчертава в практиката си важността на основното право на зачитане на личния живот, гарантирано с член 7 от Хартата, както и на основното право на защита на личните данни, гарантирано с член 8 от нея (вж. решения Rijkeboer, C‑553/07, EU:C:2009:293, т. 47, Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 53 и Google Spain и Google, C‑131/12, EU:C:2014:317, т. 53, 66 и 74 и цитираната съдебна практика).

40      Що се отнася до правомощията, с които разполагат националните надзорни органи по отношение на прехвърлянето на лични данни към трети страни, трябва да се отбележи, че член 28, параграф 1 от Директива 95/46 изисква от държавите членки да учредят един или повече публични органи, които напълно независимо да осъществяват контрол по спазването на правилата на Съюза относно защитата на физическите лица при обработването на такива данни. Това изискване произтича и от първичното право на Съюза, по-специално от член 8, параграф 3 от Хартата и от член 16, параграф 2 ДФЕС (в този смисъл вж. решения Комисия/Австрия, C‑614/10, EU:C:2012:631, т. 36 и Комисия/Унгария, C‑288/12, EU:C:2014:237, т. 47).

41      Гаранцията за независимост на националните надзорни органи цели да осигури ефективността и надеждността на надзора за спазване на разпоредбите в областта на защитата на физическите лица при обработване на лични данни и трябва да се тълкува в светлината на тази цел. Тя е установена с цел да засили защитата на засегнатите от техните решения лица и организации. В този смисъл, както се посочва в съображение 62 от Директива 95/46, учредяването на независими надзорни органи в държавите членки е съществен елемент от осигуряването на защита на лицата при обработването на лични данни (вж. решения Комисия/Германия, C‑518/07, EU:C:2010:125, т. 25 и Комисия/Унгария, C‑288/12, EU:C:2014:237, т. 48 и цитираната съдебна практика).

42      За да гарантират тази защита, националните надзорни органи трябва да постигнат баланс между, от една страна, зачитането на основното право на личен живот, и от друга страна, интересите, от които се води свободното движение на личните данни (вж. в този смисъл решения Комисия/Германия, C‑518/07, EU:C:2010:125, т. 24 и Комисия/Унгария, C‑288/12, EU:C:2014:237, т. 51).

43      За тази цел посочените органи разполагат с широк набор от правомощия, които са изброени неизчерпателно в член 28, параграф 3 от Директива 95/46 и които представляват необходимите средства, за да изпълняват органите своите задължения, както се подчертава в съображение 63 от същата директива. Така органите разполагат по-специално с правомощия по разследване, като например правомощия за събиране на цялата информация, необходима за изпълнението на функциите по надзора; с ефективни правомощия за намеса, като например правомощия за въвеждане на временна или окончателна забрана върху обработването на данни, и с правомощия да водят съдебни дела.

44      Безспорно, от член 28, параграфи 1 и 6 от Директива 95/46 следва, че правомощията на националните надзорни органи се отнасят до обработването на лични данни, извършвано на територията на държавата членка, към която принадлежат тези органи, и съответно член 28 не им предоставя правомощия по отношение на обработването на тези данни, извършвано на територията на трета страна.

45      Същевременно операцията по прехвърляне на лични данни от държава членка към трета страна сама по себе си представлява обработване на лични данни по смисъла на член 2, буква б) от Директива 95/46 (вж. в този смисъл решение Парламент/Съвет и Комисия, C‑317/04 и C‑318/04, EU:C:2006:346, т. 56), извършвано на територията на държава членка. Всъщност в тази разпоредба „обработване на лични данни“ се определя като „всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни“ и като пример се посочва „разкриване чрез предаване, разпространяване или друга форма на предоставяне“.

46      В съображение 60 от Директива 95/46 се прави уточнението, че прехвърлянето на лични данни към трети страни може да се извършва единствено при пълно спазване на разпоредбите, приети от държавите членки съгласно тази директива. В това отношение с глава IV от Директива 95/46, в която са включени членове 25 и 26 от последната, се въвежда режим, с който се цели осигуряването на контрол от страна на държавите членки върху прехвърлянето на лични данни към трети страни. Този режим е допълнителен спрямо общия режим, въведен с глава II от същата директива, където са предвидени общите условия за законосъобразност на обработването на лични данни (вж. в този смисъл решение Lindqvist, C‑101/01, EU:C:2003:596, т. 63).

47      В съответствие с член 8, параграф 3 от Хартата и член 28 от Директива 95/46 националните надзорни органи са натоварени с осъществяването на контрола по спазването на правилата на Съюза относно защитата на физическите лица при обработването на лични данни, поради което всеки от тях разполага с правомощия да проверява дали дадено прехвърляне на лични данни от държавата членка, към която спада съответният орган, към трета страна отговаря на въведените с Директива 95/46 изисквания.

48      В съображение 56 се признава, че прехвърлянето на лични данни от държавите членки към трети страни е необходимо за развитието на международната търговия, като същевременно в член 25, параграф 1 от Директива 95/46 се въвежда принципното изискване, че такова прехвърляне може да се извършва само ако третите страни гарантират достатъчна степен на защита.

49      Освен това в съображение 57 от посочената директива се уточнява, че прехвърлянето на лични данни към трети страни, които не гарантират достатъчна степен на защита, трябва да се забрани.

50      За да контролират прехвърлянето на лични данни към трети страни в зависимост от степента на защита, която е предоставена на данните във всяка от тези страни, в член 25 от Директива 95/46 се въвежда поредица от задължения за държавите членки и за Комисията. Както отбелязва генералният адвокат в точка 86 от заключението си, от този член по-специално е видно, че констатацията относно това дали дадена трета страна гарантира или не гарантира достатъчна степен на защита, може да се извърши или от държавите членки, или от Комисията.

51      Въз основа на член 25, параграф 6, от Директива 95/46 Комисията можа де приеме решение, с което констатира, че трета страна гарантира достатъчна степен на защита. Съгласно втората алинея от тази разпоредба адресати на решението са държавите членки и те трябва да вземат необходимите мерки за спазване на решението. По силата на член 288, четвърта алинея ДФЕС решението е обвързващо за всички държави членки адресати и съответно е задължително за всичките им органи (вж. в този смисъл решения Albako Margarinefabrik, 249/85, EU:C:1987:245, т. 17 и Mediaset, C‑69/13, EU:C:2014:71, т. 23), доколкото с него се разрешава прехвърлянето на лични данни от държавите членки към третата страна, за която се отнася.

52      Следователно, докато решението на Комисията не бъде обявено за невалидно от Съда, държавите членки и техните органи, включително независимите им надзорни органи, безспорно не могат да вземат мерки, противоречащи на въпросното решение, като например да приемат актове със задължителна сила, с които се цели да се констатира, че посочената в решението трета страна не гарантира достатъчна степен на защита. Всъщност, актовете на институциите на Съюза по принцип се ползват с презумпция за законосъобразност и съответно произвеждат правно действие, докато не бъдат оттеглени, отменени в производство по жалба за отмяна или обявени за невалидни вследствие на преюдициално запитване или възражение за незаконосъобразност (решение Комисия/Гърция, C‑475/01, EU:C:2004:585, т. 18 и цитираната съдебна практика).

53      Същевременно решение на Комисията, прието въз основа на член 25, параграф 6 от Директива 95/46, каквото е Решение 2000/520, не може да възпрепятства лицата, чиито лични данни са били или биха могли да бъдат прехвърлени към трета страна, да сезират националните надзорни органи с искане по смисъла на член 28, параграф 4 от посочената директива, отнасящо се до защитата на техните права и свободи при обработването на тези данни. Освен това, както посочва генералният адвокат по-специално в точки 61, 93 и 116 от заключението си, решение от такова естество не може нито да отнеме, нито дори да намали правомощията, които изрично са признати на националните надзорни органи с член 8, параграф 3 от Хартата и с член 28 от Директива 95/46.

54      Нито член 8, параграф 3 от Хартата, нито член 28 от Директива 95/46 изключват от областта на компетентност на националните надзорни органи контрола върху прехвърлянето на лични данни към трети страни, по отношение на които има решение на Комисията по член 25, параграф 6 от същата директива.

55      По-специално, в член 28, параграф 4, първа алинея от Директива 95/46 — в който се посочва, че националните надзорни органи могат да бъдат сезирани „от което и да е лице […] [с искания,] отнасящи се до защита на неговите права и свободи при обработването на лични данни“ — не се предвижда каквото и да било изключение по този въпрос в хипотезата на прието от Комисията решение по член 25, параграф 6 от същата директива.

56      Освен това възможността решение на Комисията, прието въз основа на член 25, параграф 6 от посочената директива, да води до възпрепятстване на национален надзорен орган да разгледа искане на лице — отнасящо се до защита на неговите права и свободи при обработването на личните му данни, които са били или биха могли да бъдат прехвърлени от държава членка към трета страна, за която се отнася решението — би противоречала на въведената с Директива 95/46 система, а също и на целта на членове 25 и 28 от нея.

57      Напротив, поради самото му естество член 28 от Директива 95/46 се прилага за всяко обработване на лични данни. Така дори при наличие на решение на Комисията, прието въз основа на член 25, параграф 6 от същата директива, националните надзорни органи, сезирани от лице с искане, отнасящо се до защитата на неговите права и свободи при обработването на засягащи го лични данни, трябва да могат напълно независимо да проверят дали прехвърлянето на тези данни отговаря на въведените с посочената директива изисквания.

58      В противен случай лицата, чиито лични данни са били или биха могли да бъдат прехвърлени към съответната трета страна, ще бъдат лишени от гарантираното в член 8, параграфи 1 и 3 от Хартата право да сезират националните надзорни органи с искане, за да защитят основните си права (вж. по аналогия решение Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 68).

59      Искане по смисъла на член 28, параграф 4 от Директива 95/46, с което лице, чиито лични данни са били или биха могли да бъдат прехвърлени към трета страна, твърди, както по делото в главното производство, че въпреки констатацията на Комисията в прието въз основа на член 25, параграф 6 от същата директива решение, правото и практиките на третата страна не гарантират достатъчна степен на защита, трябва да се разглежда като искане, отнасящо се по същество до съвместимостта на това решение със защитата на личния живот и на основните права и свободи на лицата.

60      В това отношение трябва да се припомни, че съгласно постоянната практика на Съда Съюзът е правов съюз, в който актовете на неговите институции са обект на контрол за съответствие по-специално с Договорите, с общите принципи на правото, както и с основните права (вж. в този смисъл решения Комисия и др./Kadi, C‑584/10 P, C‑593/10 P и C‑595/10 P, EU:C:2013:518, т. 66, Inuit Tapiriit Kanatami и др./Парламент и Съвет, C‑583/11 P, EU:C:2013:625, т. 91 и Telefónica/Комисия, C‑274/12 P, EU:C:2013:852, т. 56). Следователно този контрол не може да се избегне по отношение на решенията, приети от Комисията въз основа на член 25, параграф 6 от Директива 95/46.

61      При тези обстоятелства единствено Съдът е компетентен да установи невалидността на акт на Съюза, какъвто е прието въз основа на член 25, параграф 6 от Директива 95/46 решение на Комисията, и изключителният характер на тази компетентност цели да се обезпечи правната сигурност, като се осигури еднакво прилагане на правото на Съюза (вж. решения Melki и Abdeli, C‑188/10 и C‑189/10, EU:C:2010:363, т. 54 и CIVAD, C‑533/10, EU:C:2012:347, т. 40).

62      Макар националните юрисдикции безспорно да имат право да обсъждат валидността на акт на Съюза, какъвто е прието въз основа на член 25, параграф 6 от Директива 95/46 решение на Комисията, същевременно те не са компетентни сами да констатират невалидността на такъв акт (вж. в този смисъл решения Foto-Frost, 314/85, EU:C:1987:452, т. 15—20 и IATA и ELFAA, C‑344/04, EU:C:2006:10, т. 27). A fortiori, при разглеждането на искане по смисъла на член 28, параграф 4 от посочената директива, отнасящо се до съвместимостта на решение на Комисията, прието въз основа на член 25, параграф 6 от същата директива, със защитата на личния живот и на основните права и свободи на лицата, националните надзорни органи нямат право сами да констатират невалидността на такова решение.

63      Предвид изложените съображения, когато лице, чиито лични данни са били или биха могли да бъдат прехвърлени към трета страна, по отношение на която има решение на Комисията по член 25, параграф 6 от Директива 95/46, сезира национален надзорен орган с искане, отнасящо се до защитата на неговите права и свободи при обработването на тези данни, и — както по делото в главното производство — в това искане се оспорва съвместимостта на посоченото решение със защитата на личния живот и на основните права и свободи на лицата, органът трябва да разгледа искането с цялата дължима грижа.

64      Ако посоченият орган стигне да извода, че изложените в подкрепа на искането доказателства са неоснователни и съответно го отхвърли, в съответствие с член 28, параграф 3, втора алинея от Директива 95/46, разглеждан във връзка с член 47 от Хартата, подалото искането лице трябва да разполага с правни средства за защита по съдебен ред, позволяващи му да оспори засягащото го решение пред националните юрисдикции. Както следва от посочената в точки 61 и 62 от настоящото решение съдебна практика, когато тези юрисдикции считат, че едно или няколко основания за невалидност — изтъкнати от страните или евентуално разгледани служебно — са основателни, те трябва да спрат производството и да сезират Съда с преюдициално запитване за преценка на валидността (вж. в този смисъл решение T & L Sugars и Sidul Açúcares/Комисия, C‑456/13 P, EU:C:2015:284, т. 48 и цитираната съдебна практика).

65      В противната хипотеза, ако органът счете за основателни твърденията за нарушения, които са изложени от лицето, подало искането във връзка със защитата на неговите права и свободи при обработването на личните му данни, в съответствие с член 28, параграф 3, първа алинея, трето тире от Директива 95/46, разглеждан във връзка по-специално с член 8, параграф 3 от Хартата, същият орган трябва да може да предприеме действия по съдебен ред. В това отношение националният законодател трябва да предвиди правни способи, позволяващи на съответния национален надзорен орган да изложи твърденията за нарушения, които счита за основателни, пред националните юрисдикции, така че ако последните споделят съмненията на органа относно валидността на решението на Комисията, да отправят преюдициално запитване с цел проверка на валидността на решението.

66      С оглед на гореизложените съображения, на поставените въпроси трябва да се отговори, че член 25, параграф 6 от Директива 95/46, разглеждан във връзка с членове 7, 8 и 47 от Хартата, трябва да се тълкува в смисъл, че прието въз основа на тази разпоредба решение като Решение 2000/520, с което Комисията констатира, че трета страна гарантира достатъчна степен на защита, не е пречка надзорен орган на държава членка по смисъла на член 28 от посочената директива да разгледа жалбата на лице — отнасяща се до защита на неговите права и свободи при обработването на засягащи го лични данни, които са били прехвърлени от държава членка към тази трета страна — ако то твърди, че действащите в момента право и практики в третата страна не гарантират достатъчна степен на защита.

 По валидността на Решение 2000/520

67      Видно от обясненията на запитващата юрисдикция във връзка с поставените въпроси, в главното производство г‑н Schrems твърди, че правото и практиките на Съединените щати не гарантират достатъчна степен на защита по смисъла на член 25 от Директива 95/46. Както отбелязва генералният адвокат в точки 123 и 124 от заключението си, г‑н Schrems изразява съмнения относно валидността на Решение 2000/520, които впрочем запитващата изглежда споделя по същество. При тези обстоятелства, предвид направените в точки 60—63 от настоящото решение констатации и за да бъде отговорът до посочената юрисдикция изчерпателен, следва да се провери дали въпросното решение съответства на изискванията, произтичащи от Директива 95/46, разглеждана във връзка с Хартата.

 По изискванията, произтичащи от член 25, параграф 6 от Директива 95/46

68      Както вече бе посочено в точки 48 и 49 от настоящото решение, в член 25, параграф 1 от Директива 95/46 се забранява прехвърлянето на лични данни към трета страна, която не гарантира достатъчна степен на защита.

69      Същевременно, за целите на контрола върху такова прехвърляне, в член 25, параграф 6, първа алинея от същата директива се посочва, че Комисията „може да констатира, […] че трета страна гарантира достатъчна степен на защита по смисъла на параграф 2 [от този] член, по силата на вътрешното си законодателство или на международните [си] споразумения, [….] за защитата на личния живот и на основните свободи и права на лицата“.

70      Безспорно, нито член 25, параграф 2 от Директива 95/46, нито която и да било друга разпоредба съдържа определение на понятието за достатъчна степен на защита. По-специално в член 25, параграф 2 от посочената директива само се отбелязва, че достатъчният характер на степента на защита, предоставяна от трета страна „се преценява в светлината на всички обстоятелства, свързани с операцията по предаването на данни или набор от операции по предаване на данни“, и неизчерпателно се изброяват обстоятелствата, които трябва да се вземат предвид при извършването на такава преценка.

71      Същевременно, от една страна, както следва от самия текст на член 25, параграф 6 от Директива 95/46, тази разпоредба изисква третата страна да „гарантира“ достатъчна степен на защита по силата на вътрешното си законодателство или на международните си споразумения. От друга страна, видно отново от същата разпоредба, достатъчният характер на гарантираната от третата страна защита се преценява „[с оглед на] защитата на личния живот и на основните свободи и права на лицата“.

72      По този начин с член 25, параграф 6 от Директива 95/46 се прилага изричното задължение за защита личните данни, предвидено в член 8, параграф 1 от Хартата, и както отбелязва генералният адвокат в точка 139 от заключението си, се цели да се гарантира непрекъснатостта на високото ниво на тази защита при прехвърляне на лични данни към трета страна.

73      Безспорно, съдържащият се в член 25, параграф 6 от Директива 95/46 термин „достатъчна“ означава, че от трета страна не може да изисква да гарантира защита, която е идентична на гарантираната в правния ред на Съюза. Същевременно, както отбелязва генералният адвокат в точка 141 от заключението си, изразът „достатъчна степен на защита“ трябва да се разбира в смисъл, че от съответната трета страна се изисква ефективно да гарантира, по силата на вътрешното си законодателство или на международните си споразумения, степен на защита на основните права и свободи, която по същество е равностойна на гарантираната в Съюза по силата на Директива 95/46, разглеждана във връзка с Хартата. Всъщност, ако това изискване не е изпълнено, посочената в предходната точка от настоящото решение цел би се оказала пренебрегната. Освен това гарантираната от Директива 95/46, разглеждана във връзка с Хартата висока степен на защита лесно би могла да бъде заобиколена чрез прехвърлянето на лични данни от Съюза към трети страни, за да бъдат данните обработени в тези страни.

74      От изричния текст на член 25, параграф 6 от Директива 95/46 следва, че именно правният ред на третата страна, за която се отнася решението на Комисията, трябва да гарантира достатъчна степен на защита. Макар да е възможно средствата, до които третата страна прибягва в това отношение, за да гарантира такава степен на защита, да са различни от прилаганите вътре в Съюза, за да се гарантира спазването на изискванията, произтичащи от посочената директива, разглеждана във връзка с Хартата, все пак е необходимо на практика тези средства да се окажат ефективни с цел да се осигури защита, която по същество е равностойна на гарантираната в Съюза.

75      При това положение при анализа на предоставяната от трета страна степен на защита Комисията трябва да прецени съдържанието на приложимите в тази страна правила, произтичащи от вътрешното законодателство или от международните споразумения на страната, както и практиката с цел спазване на тези правила, като в съответствие с член 25, параграф 2 от Директива 95/46 тази институция трябва да вземе предвид всички обстоятелства, свързани с операцията по прехвърляне на лични данни към трета страна.

76      Също така, предвид възможната промяна на гарантираната от трета страна степен на защита, след като приеме решение по член 25, параграф 6 от Директива 95/46 Комисията трябва периодично да проверява дали констатацията относно достатъчната степен на защита, гарантирана от съответната трета страна, все още е обоснована от фактическа и правна гледна точка. При всички положения извършването на такава проверка се налага при наличие на признаци, пораждащи съмнения в това отношение.

77      Освен това, както посочва генералният адвокат в точки 134 и 135 от заключението си, при анализа на валидността на решение на Комисията, прието въз основа на член 25, параграф 6 от Директива 95/46, също така трябва да се вземат предвид обстоятелствата, настъпили след приемането на решението.

78      В това отношение трябва да се констатира, че като се имат предвид, от една страна, важната роля на защитата на личните данни с оглед на основното право на зачитане на личния живот, и от друга страна, значителният брой лица, чиито основни права е възможно да бъдат нарушени при прехвърляне на лични данни към трета страна, която не гарантира достатъчна степен на защита, правото на Комисията на преценка относно достатъчния характер на степента на защита, гарантирана от трета страна, се оказва ограничено, поради което трябва да се извърши стриктна проверка на изискванията, произтичащи от член 25 от Директива 95/46, разглеждан във връзка с Хартата (вж. по аналогия решение Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 47 и 48).

 По член 1 от Решение 2000/520

79      В член 1, параграф 1 от Решение 2000/520 Комисията приема, че принципите, посочени в приложение I към него и прилагани съгласно насоките, предоставени с ЧЗВ в приложение II към същото решение, гарантират достатъчна степен на защита на личните данни, прехвърляни от Съюза към установени в САЩ организации. От тази разпоредба е видно, че както тези принципи, така и ЧЗВ са били публикувани от американския департамент по търговия.

80      От член 1, параграфи 2 и 3 от същото решение във връзка с ЧЗВ 6, включен в приложение II към решението, следва, че придържането на съответната организация към принципите за сфера на неприкосновеност се извършва въз основа на система за самосертифициране.

81      Макар използването от трета страна на система за самосертифициране само по себе си да не противоречи на предвиденото в член 25, параграф 6 от Директива 95/46 изискване — че достатъчната степен на защита трябва се гарантира „по силата на вътрешното […] законодателство или на международните споразумения“ на съответната трета страна — надеждността на такава система с оглед на посоченото изискване почива основно на въвеждането на ефективни механизми за откриване и контрол, позволяващи установяване и санкциониране в практиката на евентуалните нарушения на правилата, гарантиращи защитата на основните права, по-специално правото на зачитане на личния живот и правото на защита личните данни.

82      В разглеждания случай, съгласно втора алинея от приложение I към Решение 2000/520, принципите за сфера на неприкосновеност са „предназначени единствено за американските организации, които получават лични данни, произхождащи от Европейския съюз, с цел тези организации да изпълнят условията за сфера на неприкосновеност[, за да се ползват от] презумпцията за „ниво на адекватна защита“, произтичаща от нея“. Следователно тези принципи се прилагат единствено за американски самосертифицирани организации, получаващи лични данни от Съюза, като не се изисква американските публични органи да спазват тези принципи.

83      Освен това съгласно член 2 от Решение 2000/520, то „се отнася само до адекватността на защитата, осигурена в Съединените щати чрез принципите [за сфера на неприкосновеност], приети по силата на ЧЗВ с цел изпълнение на изискванията на член 25, параграф 1 от Директива [95/46]“, като при това не съдържа достатъчно констатации относно мерките, с които Съединените американски щати гарантират достатъчна степен на защита, по смисъла на член 25, параграф 6 от същата директива, а именно по силата на вътрешното им законодателство или техните международните споразумения.

84      Към това се добавя и фактът, че съгласно четвърта алинея от приложение I към Решение 2000/520, прилагането на посочените принципи може да бъде ограничено по-специално „с оглед спазване изискванията, [свързани с] националната сигурност, [с] обществения интерес или [с] правоприлагането [в Съединените щати]“, както и със „закон, правителствено регулиране или съдебна практика, които пораждат взаимнопротиворечиви задължения или предвиждат изрични разрешителни, при положение че дадена организация, която е поискала подобно разрешително, може да докаже, че неспазването на принципите е ограничено до необходимата степен за гарантиране на първостепенните законово предвидени интереси, за които е поискано разрешителното“.

85      В това отношение, що се отнася до ограниченията, на които е подложено прилагането на принципите за сфера на неприкосновеност, съгласно подчертаното в раздел Б от приложение IV към Решение 2000/520 „[е ясно], че когато американското законодателство предвижда конфликтно задължение, американските организации, били те спазващи принципите „сфера на неприкосновеност на личния живот“ или не, са длъжни да спазват това законодателство“.

86      По този начин Решение 2000/520 дава предимство на „изискванията, [свързани с] националната сигурност, [с] обществения интерес или [с] правоприлагането [в Съединените щати]“ пред принципите за сфера на неприкосновеност, по силата на което предимство американските самосертифицирани организации, получаващи лични данни от Съюза, са длъжни без ограничения да се отклоняват от посочените принципи, когато последните влизат в противоречие с въпросните изисквания и съответно се оказват несъвместими с тях.

87      Предвид общия характер на дерогацията, съдържаща се в четвърта алинея от приложение I към Решение 2000/520, последното съответно прави възможна намесата — въз основа на изисквания, свързани с националната сигурност и с обществения интерес, или въз основа на вътрешното законодателство на САЩ — в упражняването на основните права на лицата, чиито лични данни се прехвърлят или биха могли да се прехвърлят от Съюза към САЩ. В това отношение, за да се установи наличието на намеса в основното право на зачитане на личния живот, не е от значение дали съответните данни за личния живот имат чувствителен характер или не и дали заинтересованите лица са претърпели или не евентуални неудобства поради тази намеса (решение Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 33 и цитираната съдебна практика).

88      В допълнение, Решение 2000/520 не съдържа каквато и да било констатация относно наличието в Съединените щати на правила с етичен характер, предназначени за ограничаване на евентуалната намеса, засягаща основните права на лицата, чиито данни се прехвърлят от Съюза към Съединените щати, която намеса държавните структури на тази страна имат право да извършват, ако преследват законосъобразни цели, като например осигуряването на националната сигурност.

89      Към това се добавя фактът, че в Решение 2000/520 не се отбелязва наличието на ефективна правна защита срещу този вид намеса. Както посочва генералният адвокат в точки 204—206 от заключението си, механизмите на частния арбитраж и процедурите пред Федералната търговска комисия, чиито правомощия са описани по-специално в ЧЗВ 11 от приложение II към това решение и се ограничават до търговските спорове, се отнасят до спазването от страна на американските предприятия на принципите за сфера на неприкосновеност и не могат да бъдат използвани при спорове относно законосъобразността на намесата, засягаща основните права, въз основа на мерки от страна на държавата.

90      Впрочем извършеният по-горе анализ на Решение 2000/520 се подкрепя от оценката, която самата Комисия прави на създалото се положение вследствие на прилагането на решението. По-специално в точки 2 и 3.2 от Съобщение COM(2013) 846 окончателен и в точки 7.1, 7.2 и 8 от Съобщение COM(2013) 847 окончателен, чието съдържание съответно бе изложено в точки 13—16, 22, 23 и 25 от настоящото решение, тази институция констатира, че американските власти са могли да имат достъп до прехвърляните лични данни от държавите членки към САЩ и да ги обработват по начин, който е несъвместим по-специално с целта на прехвърлянето им и който надхвърля строго необходимото и пропорционалното за защитата на националната сигурност. Комисията също така констатира, че засегнатите лица не разполагат със средства за защита по административен или съдебен път, чрез които по-специално да получат достъп до засягащите ги данни и при необходимост данните да бъдат поправени или заличени.

91      Що се отнася до гарантираната в рамките на Съюза степен на защита на основните права и свободи, съгласно постоянната практика на Съда съответната правна уредба на Съюза, в която се предвижда намеса в гарантираните с членове 7 и 8 от Хартата основни права, трябва да предвижда ясни и точни правила, които да уреждат обхвата и прилагането на разглежданата мярка и да установяват минимални изисквания, така че лицата, чиито лични данни са били засегнати, да разполагат с достатъчни гаранции, позволяващи ефикасна защита на техните лични данни срещу рискове от злоупотреби, както и срещу всякакъв незаконен достъп или използване на тези данни. Необходимостта от такива гаранции е още по-голяма, когато личните данни са подложени на автоматична обработка и съществува значителен риск от незаконен достъп до тях (решение Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 54 и 55 и цитираната съдебна практика).

92      Освен това и преди всичко, защитата на основното право на зачитане на личния живот на равнище на Съюза изисква дерогациите и ограниченията на защитата на личните данни да се въвеждат в границите на строго необходимото (решение Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 52 и цитираната съдебна практика).

93      Следователно не се ограничава до строго необходимото правна уредба, която общо разрешава съхраняването на всички лични данни на всички лица, чиито данни са били прехвърлени от Съюза към Съединените щати, без да въвежда никакво разграничаване, ограничаване или изключение с оглед на преследваната цел и без да предвижда обективен критерий, позволяващ да се ограничи достъпът на публичните органи до данните и тяхното последващо използване за конкретни цели, които са строго ограничени и могат да обосноват намесата, каквато съдържат достъпът и използването на тези данни (в този смисъл, що се отнася до Директива 2006/24/ЕО на Европейския парламент и на Съвета от 15 март 2006 година за запазване на данни, създадени или обработени, във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи и за изменение на Директива 2002/58/EО (ОВ L 105, стр. 54; Специално издание на български език, 2007 г., глава 13, том 53, стр. 51), вж. решение Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 57—61).

94      По-специално, правна уредба, осигуряваща общ достъп на публичните органи до съдържанието на електронни съобщения, трябва да се счита за засягаща същественото съдържание на основното право на зачитане на личния живот, гарантирано с член 7 от Хартата (вж. в този смисъл решение Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 39).

95      Също така правна уредба, в която не се предвижда никаква възможност правният субект да използва правни средства за защита, за да получи достъп до засягащи го лични данни или да поправи или заличи такива данни, не зачита същественото съдържание на основното право на ефективна съдебна защита, признато в член 47 от Хартата. Всъщност, в член 47, първа алинея от Хартата се изиска всеки, чиито права и свободи, гарантирани от правото на Съюза, са били нарушени, да има право на ефективни правни средства за защита пред съд в съответствие с предвидените в този член условия. В това отношение самото наличие на ефективен съдебен контрол, чието предназначение е да гарантира спазването на разпоредбите от правото на Съюза, е неделимо свързано със съществуването на правовата държава (вж. в този смисъл решения Les Verts/Парламент, 294/83, EU:C:1986:166, т. 23, Johnston, 222/84, EU:C:1986:206, т. 18 и 19, Heylens и др., 222/86, EU:C:1987:442, т. 14 и UGT-Rioja и др., C‑428/06—C‑434/06, EU:C:2008:488, т. 80).

96      Следователно, както бе констатирано по-специално в точки 71, 73 и 74 от настоящото решение, за приемането на решение по член 25, параграф 6 от Директива 95/46 от Комисията е необходимо тази институция да направи надлежно мотивирана констатация, че по силата на вътрешното си законодателство или на международните си споразумения съответната трета страна ефективно гарантира степен на защита на основните права, която по същество е равностойна на гарантираната в правния ред на Съюза, както по-специално следва от предходните точки от настоящото решение.

97      Трябва да се посочи обаче, че в Решение 2000/520 Комисията не отбелязва, че Съединените американски щати ефективно „гарантират“ достатъчна степен на защита по силата на вътрешното си законодателство или на международните си споразумения.

98      Следователно — без при това да е необходимо да се анализира съдържанието на принципите за сфера на неприкосновеност — се налага изводът, че член 1 от това решение не отговаря на изискванията, установени в член 25, параграф 6 от Директива 95/46, разглеждан във връзка с Хартата, и поради това е невалиден.

 По член 3 от Решение 2000/520

99      От изложените в точки 53, 57 и 63 от настоящото решение съображения следва, че предвид член 28 от Директива 95/46, разглеждан във връзка по-специално с член 8 от Хартата, националните надзорни органи трябва да могат да разгледат напълно независимо всяко искане относно защитата на правата и свободите на съответното лице при обработването на засягащи го лични данни. Това по-специално е така, ако във връзка с такова искане лицето повдига въпроси относно съвместимостта на решение на Комисията, прието въз основа на член 25, параграф 6 от същата директива, със защитата на личния живот и на основните права и свободи на лицата.

100    Същевременно в член 3, параграф 1, първа алинея от Решение 2000/520 е предвидена специфична правна уредба на правомощията, с които разполагат националните надзорни органи с оглед на извършена от Комисията констатация във връзка с достатъчната степен на защита по смисъла на член 25 от Директива 95/46.

101    Така по силата на тази разпоредба посочените органи могат „[б]ез това да засяга техните правомощия за вземане на мерки с цел гарантиране спазването на националните разпоредби, приети съгласно разпоредби, различни от тези по член 25 от Директива [95/46], […] да спрат потока данни към дадена организация, заявила себе си като придържаща се към принципите [на Решение 2000/520]“, при ограничителни условия, установяващи висок праг за намеса. Макар тази разпоредба да не засяга правомощията на посочените органи да вземат мерки с цел гарантиране на спазването на националните разпоредби, приети в приложение на Директива 95/46, от друга страна обаче, разпоредбата изключва възможността посочените органи да вземат мерки с цел гарантиране на спазването на член 25 от същата директива.

102    Следователно член 3, параграф 1, първа алинея от Решение 2000/520 трябва да се разглежда като лишаващ националните надзорни органи от правомощията, които те черпят от член 28 от Директива 95/46, в случай че във връзка с искане по тази разпоредба съответното лице посочи обстоятелства, които могат да поставят под въпрос съвместимостта със защитата на личния живот и на основните права и свободи на лицата на решение на Комисията, с което въз основа на член 25, параграф 6 от същата директива тя констатира, че трета страна гарантира достатъчна степен на защита.

103    Същевременно изпълнителните правомощия, предоставени от законодателя на Съюза на Комисията в член 25, параграф 6 от Директива 95/46, не дават право на тази институция да ограничава правомощията на националните надзорни органи, посочени в предходната точка от настоящото решение.

104    При това положение трябва да се констатира, че с приемането на член 3 от Решение 2000/520 Комисията е превишила предоставените ѝ правомощия по член 25, параграф 6 от Директива 95/46, разглеждан във връзка с Хартата, и поради това въпросният член 3 е невалиден.

105    Тъй като членове 1 и 3 от Решение 2000/520 са неотделими от членове 2 и 4 от това решение и от приложенията към него, невалидността им засяга валидността на цялото решение.

106    С оглед на гореизложените съображения се налага изводът, че Решение 2000/520 е невалидно.

 По съдебните разноски

107    С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред препращащата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (голям състав) реши:

1)      Член 25, параграф 6 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, изменена с Регламент (ЕО) № 1882/2003 на Европейския парламент и на Съвета от 29 септември 2003 г., разглеждан във връзка с членове 7, 8 и 47 от Хартата на основните права на Европейския съюз, трябва да се тълкува в смисъл, че прието въз основа на тази разпоредба решение — като Решение 2000/520/ЕО на Комисията от 26 юли 2000 година съгласно Директива 95/46 относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот“ и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ — с което Европейската комисия констатира, че трета страна гарантира достатъчна степен на защита, не е пречка надзорен орган на държава членка по смисъла на член 28 от посочената директива, изменена, да разгледа жалбата на лице — отнасяща се до защита на неговите права и свободи при обработването на засягащи го лични данни, които са били прехвърлени от държава членка към тази трета страна — ако то твърди, че действащите в момента право и практики в третата страна не гарантират достатъчна степен на защита.

2)      Решение 2000/520 е невалидно.

Подписи


* Език на производството: английски.