Zadeva C‑362/14

Maximillian Schrems

proti

Data Protection Commissioner

(Predlog za sprejetje predhodne odločbe,
ki ga je vložilo High Court (Irska))

„Predhodno odločanje – Osebni podatki – Varstvo posameznikov pri obdelavi teh podatkov – Listina Evropske unije o temeljnih pravicah – Členi 7, 8 in 47 – Direktiva 95/46/ES – Člena 25 in 28 – Prenos osebnih podatkov v tretje države – Odločba 2000/520/ES – Prenos osebnih podatkov v Združene države – Neustrezna raven varstva – Veljavnost – Pritožba posameznika, čigar podatki so bili preneseni iz Evropske unije v Združene države – Pristojnosti nacionalnih nadzornih organov“

Povzetek – Sodba Sodišča (veliki senat) z dne 6. oktobra 2015

1.        Približevanje zakonodaj – Varstvo posameznikov pri obdelavi osebnih podatkov –Direktiva 95/46 – Presoja glede na temeljne pravice

(Listina Evropske unije o temeljnih pravicah; Direktiva Evropskega parlamenta in Sveta 95/46)

2.        Približevanje zakonodaj – Varstvo posameznikov pri obdelavi osebnih podatkov – Direktiva 95/46 – Nacionalni nadzorni organi – Zahteva neodvisnosti

(člen 16(2) PDEU; Listina Evropske unije o temeljnih pravicah, člen 8(3); Direktiva Evropskega parlamenta in Sveta 95/46, uvodna izjava 65 in člen 28(1))

3.        Približevanje zakonodaj – Varstvo posameznikov pri obdelavi osebnih podatkov –Direktiva 95/46 – Nacionalni nadzorni organi – Pooblastila – Nadzor nad prenosi osebnih podatkov v tretje države – Vključitev

(Listina Evropske unije o temeljnih pravicah, člen 8(3); Direktiva Evropskega parlamenta in Sveta 95/46, člen 28)

4.        Približevanje zakonodaj – Varstvo posameznikov pri obdelavi osebnih podatkov –Direktiva 95/46 – Prenos osebnih podatkov v tretje države – Sprejetje odločbe o ugotovitvi ustrezne ravni varstva v tretjih državah s strani Komisije – Zavezujoča odločba za vse države članice naslovnice – Preizkus veljavnosti take odločbe – Vloge nacionalnih nadzornih organov oziroma nacionalnih sodišč

(člen 288, četrti odstavek, PDEU; Listina Evropske unije o temeljnih pravicah, člena 8(3) in 47; Direktiva Evropskega parlamenta in Sveta 95/46, člena 25(6) in 28(3) in (4))

5.        Približevanje zakonodaj – Varstvo posameznikov pri obdelavi osebnih podatkov – Direktiva 95/46 – Prenos osebnih podatkov v tretje države – Sprejetje odločbe o ugotovitvi ustrezne ravni varstva v tretjih državah s strani Komisije – Nacionalni nadzorni organ, kateremu je predložena zahteva v zvezi z varstvom pravic in svoboščin glede obdelave prenesenih podatkov, ki se nanašajo na vlagatelja zahteve –Vlagatelj zahteve, ki izpodbija ustrezno raven varstva v tej tretji državi – Obveznost navedenega organa, da preuči zahtevo – Obseg preučitve

(Listina Evropske unije o temeljnih pravicah, členi 7, 8 in 47; Direktiva Evropskega parlamenta in Sveta 95/46, člena 25(6) in 28)

6.        Približevanje zakonodaj – Varstvo posameznikov pri obdelavi osebnih podatkov – Direktiva 95/46 – Prenos osebnih podatkov v tretje države – Sprejetje odločbe o ugotovitvi ustrezne ravni varstva v tretjih državah s strani Komisije – Pojem ustrezne ravni varstva – Merila presoje – Diskrecijska pravica Komisije

(Direktiva Evropskega parlamenta in Sveta 95/46, člen 25(2) in (6))

7.        Približevanje zakonodaj – Varstvo posameznikov pri obdelavi osebnih podatkov – Direktiva 95/46 – Prenos osebnih podatkov v tretje države – Sprejetje odločbe o ugotovitvi ustrezne ravni varstva v tretjih državah s strani Komisije – Odločba 2000/520 o ugotovitvi ustrezne ravni varstva v Združenih državah – Neveljavnost

(Listina Evropske unije o temeljnih pravicah; Direktiva Evropskega parlamenta in Sveta 95/46, člena 25(6) in 28; Odločba Komisije 2000/520, členi od 1 do 4)

8.        Temeljne pravice – Spoštovanje zasebnega življenja – Varstvo osebnih podatkov – Predpis Unije, ki se nanaša na poseg v te temeljne pravice – Pogoji – Zadostna jamstva pred tveganji zlorabe – Spoštovanje načela sorazmernosti

(Listina Evropske unije o temeljnih pravicah, člena 7 in 8)

1.        Glej besedilo odločbe.

(Glej točko 38.)

2.        Glej besedilo odločbe.

(Glej točki 40 in 41.)

3.        Nacionalni nadzorni organi imajo širok razpon pooblastil in ta pooblastila, netaksativno našteta v členu 28(3) Direktive 95/46 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, pomenijo potrebna sredstva za opravljanje njihovih nalog, kakor je navedeno v uvodni izjavi 63 te direktive. Tako imajo navedeni organi med drugim preiskovalna pooblastila, kakršna so pooblastila za zbiranje vseh informacij, ki so potrebne za izvajanje njihovih nadzornih nalog, učinkovita pooblastila za posredovanje, kot je začasna ali dokončna prepoved obdelave, in tudi pooblastilo za sodelovanje v sodnih postopkih.

Glede pooblastila za nadzor prenosov osebnih podatkov v tretje države sicer iz člena 28(1) in (6) Direktive 95/46 res izhaja, da se pooblastila nacionalnih nadzornih organov nanašajo na obdelavo osebnih podatkov, ki poteka na ozemlju države članice, ki ji pripadajo ti organi, tako da na podlagi tega člena 28 navedeni organi nimajo pooblastil v zvezi z obdelavo teh podatkov, ki poteka na ozemlju tretje države. Vendar postopek prenosa osebnih podatkov iz države članice v tretjo državo sam po sebi pomeni obdelavo osebnih podatkov v smislu člena 2(b) Direktive 95/46, ki poteka na ozemlju države članice. Ker so nacionalni nadzorni organi v skladu s členom 8(3) Listine o temeljnih pravicah in členom 28 Direktive 95/46 odgovorni za nadzor nad spoštovanjem predpisov Unije v zvezi z varstvom posameznikov glede obdelave osebnih podatkov, je vsak od teh organov pristojen za preveritev, ali prenos osebnih podatkov iz države članice, kateri pripada, v tretjo državo izpolnjuje zahteve, določene v tej direktivi.

(Glej točke od 43 do 45 in 47.)

4.        Komisija lahko na podlagi člena 25(6) Direktive 95/46 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov sprejme odločbo, s katero ugotovi, da tretja država zagotavlja ustrezno raven varstva. V skladu z drugim pododstavkom te določbe so naslovnice te odločbe države članice, ki morajo sprejeti ukrepe, potrebne za uskladitev z odločbo Komisije. V skladu z drugim pododstavkom te določbe so naslovnice te odločbe države članice, ki morajo sprejeti ukrepe, potrebne za uskladitev z odločbo Komisije. Na podlagi člena 288, četrti odstavek, PDEU, je ta odločba zavezujoča za vse države članice naslovnice in jo morajo vsi njihovi organi upoštevati v delu, v katerem dovoljuje prenose osebnih podatkov iz držav članic v tretjo državo, na katero se nanaša.

Zato, dokler Sodišče, ki je edino pristojno za ugotovitev neveljavnosti akta Unije, odločbe Komisije ne razglasi za neveljavno, države članice in njihovi organi, med katere spadajo tudi njihovi neodvisni nadzorni organi, zagotovo ne smejo sprejeti ukrepov v nasprotju s to odločbo, kot so akti, v katerih se z zavezujočim učinkom ugotovi, da tretja država, na katero se nanaša navedena odločba Komisije, ne zagotavlja ustrezne ravni varstva. Namreč za akte institucij Unije načeloma velja domneva zakonitosti, zaradi česar imajo pravne učinke, dokler niso umaknjeni, razglašeni za nične v okviru ničnostne tožbe ali razveljavljeni zaradi predloga za sprejetje predhodne odločbe ali ugovora nezakonitosti.

Čeprav so nacionalna sodišča vsekakor pristojna za preučitev veljavnosti akta Unije, pa nimajo pristojnosti sama ugotoviti neveljavnosti takega akta. A fortiori, pri preučitvi zahteve v smislu člena 28(4) te direktive, ki se nanaša na skladnost take odločbe Komisije z varstvom zasebnega življenja ter temeljnih svoboščin in pravic posameznikov, nacionalni nadzorni organi niso upravičeni, da sami ugotovijo neveljavnost take odločbe.

Kadar navedeni organ ugotovi, da argumenti, navedeni v utemeljitev take zahteve, niso utemeljeni, in zato to zahtevo zavrne, mora imeti posameznik, ki je vložil navedeno zahtevo – kot izhaja iz člena 28(3), drugi pododstavek, Direktive 95/46 ob upoštevanju člena 47 Listine Evropske unije o temeljnih pravicah – imeti dostop do pravnih sredstev, s katerimi lahko izpodbija tako odločbo, ki posega v njegov položaj, pred nacionalnimi sodišči. V teh okoliščinah morajo ta sodišča prekiniti odločanje in Sodišču predložiti predlog za sprejetje predhodne odločbe glede presoje veljavnosti, če presodijo, da je eden ali več razlogov za neveljavnost, ki jih navajajo stranke oziroma so bili odkriti po uradni dolžnosti, utemeljen.

V nasprotnem primeru mora navedeni organ, kadar meni, da so očitki posameznika, ki mu je predložil zahtevo v zvezi z varstvom svojih pravic in svoboščin glede obdelave svojih osebnih podatkov, utemeljeni, v skladu s členom 28(3), tretji pododstavek, Direktive 95/46, zlasti ob upoštevanju člena 8(3) Listine Evropske unije o temeljnih pravicah, imeti možnost sodelovati v sodnih postopkih. V zvezi s tem mora nacionalni zakonodajalec določiti pravna sredstva, ki zadevnemu nacionalnemu nadzornemu organu omogočajo, da očitke, ki jih šteje za utemeljene, predloži nacionalnim sodiščem, da bi ta, če bi prav tako kot ta organ dvomila o veljavnosti odločbe Komisije, sprožila postopek predhodnega odločanja za preizkus veljavnosti navedene odločbe.

(Glej točke 51, 52, 61, 62, 64 in 65.)

5.        Člen 25(6) Direktive 95/46 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov je treba ob upoštevanju členov 7, 8 in 47 Listine Evropske unije o temeljnih pravicah razlagati tako, da odločba, sprejeta na podlagi te določbe, v kateri Komisija ugotavlja, da tretja država zagotavlja ustrezno raven varstva, ne preprečuje, da nadzorni organ države članice v smislu člena 28 te direktive preuči zahtevo posameznika v zvezi z varstvom njegovih pravic in svoboščin glede obdelave osebnih podatkov, ki se nanašajo nanj in ki so bili iz države članice preneseni v to tretjo državo, kadar ta posameznik zatrjuje, da veljavno pravo in praksa v tej državi ne zagotavljata ustrezne ravni varstva.

V nasprotnem primeru bi bila posameznikom, katerih osebni podatki so bili ali bi lahko bili preneseni v zadevno tretjo državo, odvzeta pravica, zagotovljena v členu 8(1) in (3) Listine Evropske unije o temeljnih pravicah, da pri nacionalnih nadzornih organih vložijo zahtevo, da bi se zaščitile njihove temeljne pravice.

Poleg tega, zahtevo v smislu člena 28(4) Direktive 95/46, s katero tak posameznik zatrjuje, da pravo in praksa te države ne zagotavljata – ne glede na to, kar je ugotovila Komisija v odločbi, sprejeti na podlagi člena 25(6) te direktive – ustrezne ravni varstva, je treba razumeti tako, da se v bistvu nanaša na skladnost te odločbe z varstvom zasebnega življenja in temeljnih svoboščin in pravic posameznikov. V teh okoliščinah mora nacionalni nadzorni organ, kadar mu posameznik, katerega osebni podatki so bili ali bi lahko bili preneseni v tretjo državo, na katero se nanaša odločba Komisije, sprejeta na podlagi člena 25(6) Direktive 95/46, predloži tako zahtevo, navedeno zahtevo preučiti z vso potrebno skrbnostjo.

(Glej točke 58, 59, 63 in 66 ter točko 1 izreka.)

6.        Izraz „ustrezna raven varstva“ iz člena 25(6) Direktive 95/46 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov je treba razumeti tako, da se z njim zahteva, da ta tretja država zaradi svoje nacionalne zakonodaje ali mednarodnih obveznosti dejansko zagotavlja raven varstva temeljnih svoboščin in pravic, ki je v bistvenem enaka ravni, zagotovljeni v Uniji na podlagi te direktive, razlagani ob upoštevanju Listine Evropske unije o temeljnih pravicah.

Glede na to mora Komisija pri preučitvi ravni varstva, ki jo zagotavlja tretja država, presoditi vsebino predpisov, ki se uporabljajo v tej državi in ki je razvidna tako iz njene nacionalne zakonodaje ali mednarodnih obveznosti kot tudi iz tega, kako se spoštovanje teh predpisov zagotavlja v praksi, pri čemer mora ta institucija v skladu s členom 25(2) Direktive 95/46 upoštevati vse okoliščine prenosa osebnih podatkov v tretjo državo. Poleg tega in glede na to, da se raven varstva, ki jo zagotavlja tretja država, lahko spremeni, mora Komisija po sprejetju odločbe na podlagi člena 25(6) Direktive 95/46 redno preverjati, ali je ugotovitev v zvezi z ustrezno ravnijo varstva, ki ga zagotavlja zadevna tretja država, še zmeraj dejansko in pravno utemeljena. Vsekakor je taka preveritev potrebna, kadar je na podlagi indicev mogoče o tem dvomiti.

Ob upoštevanju, prvič, pomembne vloge varstva osebnih podatkov z vidika temeljne pravice do spoštovanja zasebnega življenja ter, drugič, znatnega števila posameznikov, katerih temeljne pravice bi lahko bile kršene zaradi prenosa osebnih podatkov v tretjo državo, ki ne zagotavlja ustrezne ravni varstva, diskrecijska pravica Komisije glede ustreznosti ravni varstva, ki ga zagotavlja tretja država, zmanjšana, tako da je treba izvajati strog nadzor nad zahtevami, določenimi v členu 25 Direktive 95/46, razlagane ob upoštevanju Listine Evropske unije o temeljnih pravicah.

(Glej točke 73, 75, 76 in 78.)

7.        Sprejetje odločbe s strani Komisije na podlagi člena 25(6) Direktive 95/46 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, kakor je Odločba 2000/520 o primernosti zaščite, ki jo zagotavljajo načela „zasebnosti varnega pristana“ in s tem povezana najpogosteje zastavljena vprašanja, ki jih je izdalo Ministrstvo za trgovino Združenih držav Amerike, zahteva, da mora ta institucija obrazloženo ugotoviti, da zadevna tretja država zaradi svoje nacionalne zakonodaje ali mednarodnih obveznosti dejansko zagotavlja raven varstva temeljnih pravic, ki je v bistvenem enaka ravni, zagotovljeni v pravnem redu Unije.

Vendar, ker Komisija v Odločbi 2000/520 tega ni ugotovila, člen 1 te odločbe krši zahteve, določene v členu 25(6) Direktive 95/46, razlagane ob upoštevanju Listine Evropske unije o temeljnih pravicah in je zato neveljaven. Načela „zasebnosti varnega pristana“ se namreč uporabljajo zgolj za samocertificirane ameriške organizacije, ki prejemajo osebne podatke iz Unije, ne zahteva pa se, da tudi ameriški javni organi spoštujejo navedena načela. Poleg tega Odločba 2000/520 omogoča posege – ki temeljijo na zahtevah nacionalne varnosti, javnega interesa ali notranji zakonodaji Združenih držav – v temeljne pravice oseb, katerih osebni podatki se prenašajo ali bi se lahko prenašali iz Unije v Združene države, ne da bi vsebovala ugotovitev glede tega, ali v Združenih državah obstajajo državni predpisi, katerih namen bi bil omejiti morebitne posege v te pravice in ne da bi omenila obstoj učinkovitega sodnega varstva v primeru takih posegov.

Poleg tega je Komisija s sprejetjem člena 3 Odločbe 2000/520 prekoračila pooblastilo, ki ji je podeljeno v členu 25(6) Direktive 95/46, razlagane ob upoštevanju Listine Evropske unije o temeljnih pravicah, in ta člen zato neveljaven. Ta člen 3 je treba torej razumeti tako, da nacionalnim nadzornim organom odvzema pooblastila, ki jih imajo na podlagi člena 28 Direktive 95/46, kadar posameznik v zahtevi, vloženi na podlagi te določbe, navaja elemente, ki lahko izpodbijejo skladnost odločbe Komisije, v kateri je ta na podlagi člena 25(6) te direktive ugotovila, da tretja država zagotavlja ustrezno raven varstva, z varstvom zasebnega življenja ter temeljnih svoboščin in pravic posameznikov. Izvedbeno pooblastilo, ki ga je zakonodajalec Unije Komisiji podelil v členu 25(6) Direktive 95/46, pa tej instituciji ne daje pristojnosti za zožitev pooblastil nacionalnih nadzornih organov.

Ker sta člena 1 in 3 Odločbe 2000/520 neločljivo povezana s členoma 2 in 4 ter s prilogami k tej odločbi, njuna neveljavnost vpliva na veljavnost te odločbe v celoti.

(Glej točke 82, od 87 do 89, od 96 do 98 in od 102 do 105 ter točko 2 izreka.)

8.        Predpis Unije, ki pomeni poseg v temeljne pravice, zagotovljene v členih 7 in 8 Listine Evropske unije o temeljnih pravicah, mora določati jasna in natančna pravila, ki urejajo obseg in uporabo ukrepa ter določajo minimalne zahteve, tako da imajo osebe, za osebne podatke katerih gre, zadostna jamstva, ki omogočajo učinkovito varovanje njihovih podatkov pred tveganjem nezakonitega dostopa do teh podatkov in njihove nezakonite uporabe. Potreba po takih jamstvih je toliko pomembnejša, če so osebni podatki predmet avtomatske obdelave in obstaja veliko tveganje nezakonitega dostopa do teh podatkov. Poleg tega in predvsem, varstvo temeljne pravice do spoštovanja zasebnega življenja na ravni Unije zahteva, da se odstopanja od varstva osebnih podatkov in njegove omejitve določijo v mejah tega, kar je nujno potrebno.

Torej ni zgolj na nujno potrebno omejena ureditev, ki splošno dovoljuje hrambo vseh osebnih podatkov vseh posameznikov, katerih podatki so bili preneseni iz Unije, ne da bi se uporabljalo kakršno koli razlikovanje, omejitev ali izjema glede na cilj, ki se ga poskuša doseči, in ne da bi bilo predvideno objektivno merilo, ki bi omogočalo dostop javnih organov do podatkov in poznejšo uporabo teh podatkov samo v namene, ki so natančno določeni, strogo omejeni in bi lahko utemeljevali poseg, ki ga pomenita dostop in uporaba teh podatkov.

Predvsem je treba šteti, da ureditev, ki javnim organom omogoča splošen dostop do vsebine elektronskih komunikacij, pomeni poseg v bistvo temeljne pravice do spoštovanja zasebnega življenja, kot je zagotovljena v členu 7 Listine Evropske unije o temeljnih pravicah.

Poleg tega ureditev, ki ne določa nobene možnosti, da bi posameznik lahko uporabil pravna sredstva za pridobitev dostopa do osebnih podatkov, ki se nanj nanašajo, ali dosegel popravo ali izbris takih podatkov, posega v bistvo temeljne pravice do učinkovitega sodnega varstva, določene v členu 47 Listine Evropske unije o temeljnih pravicah. Člen 47, prvi odstavek, Listine namreč določa, da ima vsakdo, ki so mu kršene pravice in svoboščine, zagotovljene s pravom Unije, pravico do učinkovitega pravnega sredstva pred sodiščem v skladu s pogoji, določenimi v tem členu. V zvezi s tem je sam obstoj učinkovitega sodnega nadzora, namenjenega zagotovitvi spoštovanja določb prava Unije, neločljivo povezan z obstojem pravne države.

(Glej točke od 91 do 95.)