null
ROZSUDEK TRIBUNÁLU (desátého rozšířeného senátu)
3. září 2025(*)
„ Předávání osobních údajů do Spojených států – Prováděcí rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů poskytované Spojenými státy – Právo na účinnou právní ochranu – Právo na soukromý a rodinný život – Rozhodnutí založená výhradně na automatizovaném zpracování osobních údajů – Bezpečnost zpracování osobních údajů“
Ve věci T‑553/23,
Philippe Latombe, s bydlištěm v Nantes (Francie), zástupci: N. Coutrelis, J.‑B. Soufron a T. Lamballe, avocats,
žalobce,
proti
Evropské komisi, zástupci: D. Calleja Crespo, A. Bouchagiar, H. Kranenborg a C. Ladenburger, jako zmocněnci,
žalované,
podporované:
Irskem, zástupci: M. Browne, S. Finnegan a A. Joyce, jako zmocněnci, ve spolupráci s: S. Brittain, barrister, a C. Donnelly, SC,
a
Spojenými státy americkými, zástupci: B. Walsh, S. Barton a A. Finlay, solicitors, E. Barrington, SC, a D. Hardiman, barrister,
vedlejšími účastníky řízení,
TRIBUNÁL (desátý rozšířený senát),
ve složení: O. Porchia, předsedkyně, M. Jaeger (zpravodaj), L. Madise, P. Nihoul a S. Verschuur, soudci,
za soudní kancelář: I. Kurme, radová,
s přihlédnutím k usnesení ze dne 12. října 2023, Latombe v. Komise (T‑553/23 R, nezveřejněné, EU:T:2023:621),
s přihlédnutím k písemné části řízení,
po jednání konaném dne 1. dubna 2025,
vydává tento
Rozsudek
1 Žalobou podanou na základě článku 263 SFEU se žalobce, Philippe Latombe, v podstatě domáhá zrušení prováděcího rozhodnutí Komise (EU) 2023/1795 ze dne 10. července 2023 podle nařízení Evropského parlamentu a Rady (EU) 2016/679 o odpovídající úrovni ochrany osobních údajů poskytované rámcem EU – USA pro ochranu údajů (Úř. věst. 2023, L 231, s. 118, dále jen „napadené rozhodnutí“).
I. Skutečnosti předcházející sporu
2 Žalobce je francouzský občan, který tvrdí, že používá různé platformy informačních technologií, které shromažďují jeho osobní údaje a předávají je do Spojených států.
3 Pokud jde o předávání osobních údajů z Evropské unie do Spojených států, Soudní dvůr v první řadě rozsudkem ze dne 6. října 2015, Schrems (C‑362/14, dále jen „rozsudek Schrems I“, EU:C:2015:650), prohlásil za neplatné rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad bezpečného přístavu a s tím souvisejících často kladených otázek vydaných Ministerstvem obchodu Spojených států (Úř. věst. 2000, L 215, s. 7; Zvl. vyd. 16/01, s. 119).
4 V druhé řadě Soudní dvůr rozsudkem ze dne 16. července 2020, Facebook Ireland a Schrems (C‑311/18, dále jen „rozsudek Schrems II“, EU:C:2020:559), prohlásil za neplatné prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice 95/46 o odpovídající úrovni ochrany poskytované štítem EU – USA na ochranu soukromí (Úř. věst. 2016, L 207, s. 1, dále jen „rozhodnutí o odpovídající úrovni ochrany štítu na ochranu soukromí“).
5 V rozsudcích Schrems I a Schrems II měl Soudní dvůr, kterému byla předložena žádost o rozhodnutí o předběžné otázce týkající se posouzení platnosti, zejména za to, že na rozdíl od posouzení Evropské komise vyplývajícího z rozhodnutí o odpovídající úrovni ochrany uvedených v bodech 3 a 4 výše, systém bezpečného přístavu a systém štítu na ochranu soukromí (dále jen „štít na ochranu soukromí“), které upravují předávání osobních údajů, nezaručují úroveň ochrany základních práv a svobod, která je v zásadě rovnocenná úrovni ochrany zaručené unijním právem.
6 V návaznosti na rozsudek Schrems II zahájila Komise jednání s vládou Spojených států s cílem přijmout případné nové rozhodnutí o odpovídající úrovni ochrany, které by splňovalo požadavky čl. 45 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46 (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, oprava Úř. věst. 2018, L 127, s. 2, dále jen „nařízení GDPR“), jak byly vyloženy Soudním dvorem.
7 Dne 7. října 2022 Spojené státy americké přijaly Executive Order 14086 (výkonný dekret č. 14086, dále jen „dekret E. O. 14086“), který posiluje opatření na ochranu soukromí, jimiž se řídí činnosti v oblasti signálového zpravodajství prováděné zpravodajskými službami usazenými ve Spojených státech. Tento dekret byl doplněn Attorney General Order No 5517–2022 (nařízení ministra spravedlnosti č. 5517–2022, dále jen „nařízení AG“), kterým byla do hlavy 28 Code of Federal Regulations (CFR, federální zákoník) doplněna část 201 upravující zřízení a fungování Data Protection Review Court (Soud pro přezkum ochrany údajů, dále jen „DPRC“).
8 Dne 10. července 2023 Komise po přezkoumání tohoto vývoje právní úpravy ve Spojených státech přijala na základě čl. 45 odst. 3 nařízení GDPR napadené rozhodnutí, kterým se stanoví nový transatlantický rámec pro toky osobních údajů mezi Unií a Spojenými státy. Článek 1 uvedeného rozhodnutí stanoví, že Spojené státy americké zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím usazeným v této zemi a uvedeným na seznamu „Rámec EU – USA pro ochranu údajů“ (dále jen „rámec pro ochranu údajů“), který je aktualizován a zveřejňován jejich Ministerstvem obchodu (dále jen „organizace určené na základě rámce pro ochranu údajů“).
II. Návrhová žádání účastníků řízení
9 Žalobce navrhuje, aby Tribunál:
– zrušil napadené rozhodnutí v podstatě v plném rozsahu;
– uložil Komisi náhradu nákladů řízení.
10 Komise podporovaná Irskem a Spojenými státy americkými, navrhuje, aby Tribunál:
– odmítl žalobu jako nepřípustnou;
– podpůrně zamítl žalobu jako neopodstatněnou;
– uložil žalobci náhradu nákladů řízení.
III. Právní otázky
A. K námitce nepřípustnosti
11 Samostatným podáním došlým kanceláři Tribunálu dne 1. prosince 2023 vznesla Komise námitku nepřípustnosti na základě článku 130 jednacího řádu Tribunálu.
12 Komise tvrdí, že žaloba je nepřípustná z důvodu, že žalobce nemá aktivní legitimaci, nemá zájem na podání žaloby a část napadeného rozhodnutí, jejíhož zrušení se domáhá, je neoddělitelná od zbývající části tohoto rozhodnutí.
13 Žalobce argumenty Komise zpochybňuje a tvrdí, že jeho žaloba je přípustná.
14 Je třeba připomenout, že unijní soud je oprávněn posoudit podle okolností každého případu, zda řádný výkon spravedlnosti odůvodňuje zamítnutí žaloby z meritorního hlediska, aniž předtím rozhodne o její přípustnosti (v tomto smyslu viz rozsudek ze dne 26. února 2002, Rada v. Boehringer, C‑23/00 P, EU:C:2002:118, body 51 a 52).
15 S ohledem na okolnosti projednávané věci má tedy Tribunál za to, že vzhledem k tomu, že žaloba je v každém případě a z důvodů uvedených v bodech 16 až 204 níže neopodstatněná, je třeba v zájmu řádného výkonu spravedlnosti přezkoumat její opodstatněnost, aniž předtím rozhodne o její přípustnosti (v tomto smyslu viz rozsudky ze dne 10. října 2014, Marchiani v. Parlament, T‑479/13, nezveřejněný, EU:T:2014:866, bod 23, a ze dne 20. prosince 2023, Naturstrom v. Komise, T‑60/21, nezveřejněný, EU:T:2023:839, bod 74).
B. K věci samé
16 Na podporu žaloby předkládá žalobce pět žalobních důvodů vycházejících:
– zaprvé z porušení článků 3 a 4 nařízení Rady č. 1/1958 ze dne 15. dubna 1958 o užívání jazyků v Evropském hospodářském společenství (Úř. věst. 1958, 17, s. 385; Zvl. vyd. 01/01, s. 3);
– zadruhé z porušení článků 7 a 8 Listiny základních práv Evropské unie;
– zatřetí z porušení čl. 47 druhého pododstavce uvedené Listiny a čl. 45 odst. 2 nařízení GDPR;
– začtvrté z porušení článku 22 nařízení GDPR;
– zapáté z porušení článku 32 nařízení GDPR ve spojení s čl. 45 odst. 2 téhož nařízení.
17 Na jednání vzal žalobce zpět první žalobní důvod, který se týkal porušení článků 3 a 4 nařízení č. 1/1958. Je tedy třeba přezkoumat pouze druhý až pátý žalobní důvod.
1. Úvodní poznámky
18 V první řadě je třeba poznamenat, že čl. 45 odst. 1 nařízení GDPR stanoví, že předávání osobních údajů do určité třetí země se může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi zajišťují odpovídající úroveň ochrany. Toto ustanovení je obsaženo v kapitole V uvedeného nařízení, jejímž cílem je, jak uvedl Soudní dvůr, celkově zajistit kontinuitu vysoké úrovně ochrany osobních údajů, která je zaručena unijním právem na základě tohoto nařízení, jsou-li tyto údaje předávány do třetí země (v tomto smyslu viz rozsudek Schrems II, bod 93).
19 V tomto ohledu Soudní dvůr upřesnil, že výraz „odpovídající úroveň ochrany“ uvedený v čl. 45 odst. 1 nařízení GDPR nevyžaduje, aby dotyčná třetí země zajišťovala stejnou úroveň ochrany, jako je úroveň zajištěná v unijním právním řádu, a musí být chápán v tom smyslu, že vyžaduje, aby tato třetí země skutečně zajišťovala na základě vnitrostátních předpisů nebo svých mezinárodních závazků takovou úroveň ochrany základních práv a svobod, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii na základě uvedeného nařízení ve spojení s Listinou základních práv (v tomto smyslu viz rozsudek Schrems II, body 94 a 162).
20 Soudní dvůr rovněž rozhodl, že i když se prostředky použité třetí zemí k zajištění odpovídající úrovně ochrany osobních údajů mohou lišit od prostředků zavedených v rámci Unie s cílem zaručit dodržování požadavků plynoucích ze směrnice 95/46, vykládané ve světle Listiny základních práv, musí se přesto tyto prostředky v praxi ukázat jako účinné k zajištění ochrany, která je v zásadě rovnocenná ochraně zaručené v rámci Unie (rozsudek Schrems I, bod 74).
21 Kromě toho měl Soudní dvůr za to, že s ohledem na významnou úlohu ochrany osobních údajů z hlediska základního práva na respektování soukromého života a na značný počet osob, jejichž základní práva mohou být porušena v případě předání osobních údajů do třetí země, jež nezajišťuje odpovídající úroveň ochrany, se posuzovací pravomoc Komise ohledně odpovídající úrovně ochrany zajišťované třetí zemí ukázala jako omezená, takže unijní soud musel provést striktní přezkum legality rozhodnutí o odpovídající úrovni ochrany (rozsudek Schrems I, bod 78).
22 V druhé řadě je třeba připomenout, že podle ustálené judikatury musí být legalita unijního aktu posuzována v závislosti na skutkových a právních okolnostech existujících ke dni, kdy byl tento akt přijat, takže akty následující po přijetí rozhodnutí nemohou mít na platnost tohoto rozhodnutí vliv (viz rozsudky ze dne 17. října 2019, Alcogroup a Alcodis v. Komise, C‑403/18 P, EU:C:2019:870, bod 45 a citovaná judikatura a ze dne 28. ledna 2021, Qualcomm a Qualcomm Europe v. Komise, C‑466/19 P, EU:C:2021:76, bod 82 a citovaná judikatura). V projednávaném případě tedy musí být posouzení legality napadeného rozhodnutí provedená Komisí přezkoumána pouze na základě informací, které měla k dispozici v době, kdy je provedla.
23 V této souvislosti je třeba analyzovat žalobní důvody vznesené žalobcem tak, že se nejprve přezkoumá třetí žalobní důvod, poté druhý žalobní důvod, pak čtvrtý žalobní důvod a nakonec pátý žalobní důvod.
2. Ke třetímu žalobnímu důvodu, vycházejícímu z porušení čl. 47 druhého pododstavce Listiny základních práv a čl. 45 odst. 2 nařízení GDPR
24 V rámci třetího žalobního důvodu žalobce tvrdí, že Komise porušila čl. 47 druhý pododstavec Listiny základních práv a čl. 45 odst. 2 nařízení GDPR, jelikož měla v napadeném rozhodnutí za to, že DPRC poskytuje odpovídající úroveň ochrany, pokud jde o právo občanů Unie na přístup k nezávislému a nestrannému soudu, předem zřízenému zákonem.
25 Úvodem je třeba poznamenat, že podmínky čl. 47 druhého pododstavce Listiny základních práv jsou následující:
„Každý má právo, aby jeho věc byla spravedlivě, veřejně a v přiměřené lhůtě projednána nezávislým a nestranným soudem, předem zřízeným zákonem. Každému musí být umožněno poradit se, být obhajován a být zastupován.“
26 Podle vysvětlení k Listině základních práv (Úř. věst. 2007, C 303, s. 17) odpovídá čl. 47 druhý pododstavec uvedené Listiny čl. 6 odst. 1 Úmluvy o ochraně lidských práv a základních svobod, podepsané v Římě dne 4. listopadu 1950 (dále jen „EÚLP“). Posledně uvedené ustanovení zní následovně:
„Každý má právo na to, aby jeho záležitost byla spravedlivě, veřejně a v přiměřené lhůtě projednána nezávislým a nestranným soudem, zřízeným zákonem, který rozhodne o jeho občanských právech nebo závazcích nebo o oprávněnosti jakéhokoli trestního obvinění proti němu.“
27 V tomto ohledu je třeba připomenout, že podle judikatury vzhledem k tomu, že EÚLP nepředstavuje právní nástroj formálně začleněný do unijního právního řádu, dokud k ní Unie nepřistoupí, musí být přezkum platnosti aktu sekundárního práva proveden výlučně z hlediska základních práv zaručených Listinou základních práv (rozsudek ze dne 3. září 2015, Inuit Tapiriit Kanatami a další v. Komise, C‑398/13 P, EU:C:2015:535, body 45 a 46).
28 Judikatura však uznává, že podle čl. 6 odst. 3 SEU jsou základní práva uznaná EÚLP součástí unijního práva jakožto obecné zásady a dále, že z čl. 52 odst. 3 Listiny základních práv vyplývá, že práva obsažená v této Listině, která odpovídají právům zaručeným EÚLP, mají stejný smysl a rozsah jako ty, které jim přikládá EÚLP (viz rozsudek ze dne 31. května 2018, Korwin-Mikke v. Parlament, T‑770/16, EU:T:2018:320, bod 38 a citovaná judikatura).
29 Z judikatury tedy vyplývá, že v zájmu soudržnosti, aniž je narušena autonomie unijního práva a Soudního dvora Evropské unie, musí být práva obsažená v Listině základních práv, která odpovídají právům zaručeným EÚLP, rovněž vykládána ve světle judikatury Evropského soudu pro lidská práva (dále jen „ESLP“) [v tomto smyslu viz rozsudky ze dne 9. listopadu 2023, Staatssecretaris van Justitie en Veiligheid (Pojem „vážná újma“), C‑125/22, EU:C:2023:843, bod 59, a ze dne 31. května 2018, Korwin-Mikke v. Parlament, T‑770/16, EU:T:2018:320, bod 38].
30 Z toho podle judikatury vyplývá, že Soudní dvůr musí podle čl. 52 odst. 3 Listiny základních práv usilovat o to, aby jím podaný výklad čl. 47 druhého pododstavce uvedené Listiny zajišťoval úroveň ochrany, která bude v souladu s úrovní, jež je zaručena čl. 6 odst. 1 EÚLP, tak jak jej vykládá ESLP [viz rozsudek ze dne 6. října 2021, W.Ż. (Kolegium pro mimořádnou kontrolu a věci veřejné Nejvyššího soudu – Jmenování), C‑487/19, EU:C:2021:798, bod 123 a citovaná judikatura).
31 Je třeba rovněž poznamenat, že čl. 45 odst. 2 nařízení GDPR stanoví, že Komise při posuzování odpovídající úrovně ochrany poskytované třetí zemí vezme v úvahu zejména tyto prvky:
„a) [...] existenci účinných a vymahatelných práv subjektu údajů a účinné správní a soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají;
b) existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat a vymáhat v souladu s pravidly pro ochranu údajů, včetně přiměřených vymáhacích pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv a spolupracovat s dozorovými úřady členských států“.
32 Ve světle těchto prvků je třeba přezkoumat dvě výtky, které žalobce uplatnil na podporu tohoto žalobního důvodu.
a) K první výtce třetího žalobního důvodu, podle níž DPRC není nezávislým a nestranným soudem
33 V rámci první výtky třetího žalobního důvodu žalobce tvrdí, že DPRC není nezávislým a nestranným soudem ve smyslu čl. 47 druhého pododstavce Listiny základních práv, nýbrž paraprávním orgánem závislým na výkonné moci.
34 Komise, podporovaná Irskem a Spojenými státy americkými, s argumenty žalobce nesouhlasí.
35 Úvodem je třeba poznamenat, že podle judikatury je požadavek nezávislosti soudů, který je inherentní poslání rozhodovat jako soud, součástí podstaty práva na účinnou právní ochranu a základního práva na spravedlivý proces, které má zásadní význam jakožto záruka ochrany všech práv, která jednotlivcům vyplývají z unijního práva, a jako záruka zachování společných hodnot členských států uvedených v článku 2 SEU, zejména pak hodnoty právního státu [rozsudek ze dne 15. července 2021, Komise v. Polsko (Kárný režim soudců), C‑791/19, EU:C:2021:596, bod 58 a citovaná judikatura]. Podle zásady dělby moci, která charakterizuje fungování právního státu, musí být zaručena nezávislost soudů zejména na zákonodárné a výkonné moci (viz rozsudek ze dne 18. května 2021, Asociaţia „Forumul Judecătorilor din România“ a další, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 a C‑397/19, EU:C:2021:393, bod 195 a citovaná judikatura).
36 Judikatura upřesňuje, že požadavek nezávislosti soudů má dva aspekty. První, vnější aspekt předpokládá, že dotyčný orgán vykonává funkce zcela samostatně, není hierarchicky na nikoho vázán ani nikomu podřízen a od nikoho nepřijímá příkazy či pokyny jakéhokoliv původu, čímž je chráněn před vnějšími zásahy nebo tlaky, které by mohly narušit nezávislost rozhodování jeho členů a ovlivnit jejich rozhodnutí. Druhý, vnitřní aspekt souvisí s pojmem „nestrannost“ a týká se rovného odstupu ve vztahu ke stranám sporu a jejich příslušným zájmům s ohledem na předmět sporu. Tento posledně uvedený aspekt vyžaduje dodržování objektivity a absenci jakéhokoliv zájmu na výsledku sporu nad rámec striktního použití právního předpisu (viz rozsudek ze dne 21. prosince 2021, Euro Box Promotion a další, C‑357/19, C‑379/19, C‑547/19, C‑811/19 a C‑840/19, EU:C:2021:1034, bod 224 a citovaná judikatura).
37 Záruky nezávislosti a nestrannosti vyplývající z unijního práva vyžadují existenci pravidel, zejména pokud jde o složení orgánu, jmenování, funkční období, jakož i důvody pro zdržení se hlasování, vyloučení pro podjatost a odvolání jeho členů, která umožní rozptýlit jakékoli legitimní pochybnosti jednotlivců o neovlivnitelnosti uvedeného orgánu ve vztahu k vnějším skutečnostem a jeho neutralitě ve vztahu k zájmům vzájemně se střetávajícím ve věci [viz rozsudek ze dne 15. července 2021, Komise v. Polsko (Kárný režim soudců), C‑791/19, EU:C:2021:596, bod 59 a citovaná judikatura].
38 V tomto kontextu je třeba zkoumat tři argumenty vznesené žalobcem na podporu této výtky.
1) K prvnímu argumentu, podle kterého DPRC není nezávislým a nestranným soudem, jelikož jeho úkolem je přezkoumat rozhodnutí Civil Liberties Protection Officer of the Director of National Intelligence
39 V rámci prvního argumentu žalobce v podstatě tvrdí, že DPRC není nezávislým a nestranným soudem, jelikož jeho úkolem je přezkoumávat rozhodnutí Civil Liberties Protection Officer of the Director of National Intelligence (Úředník pro ochranu občanských svobod ředitele národních zpravodajských služeb, dále jen „úředník CLPO“, Spojené státy), který je připojen k Úřadu ředitele národních zpravodajských služeb Spojených států (dále jen „ředitel národních zpravodajských služeb“).
40 Komise, podporovaná Irskem a Spojenými státy americkými, s argumentem žalobce nesouhlasí.
41 V zájmu jasnosti je třeba upřesnit, že první argument vznesený v rámci první výtky třetího žalobního důvodu musí být vykládán v tom smyslu, že podle žalobce v podstatě při vyřizování stížnosti týkající se osobních údajů podané subjektem údajů v Unii, který chce uplatnit porušení právních předpisů Spojených států, jimiž se řídí činnosti v oblasti signálového zpravodajství, které zasahuje do jeho zájmů v oblasti ochrany soukromí a občanských svobod (dále jen „stížnost týkající se osobních údajů“), úředník CLPO není vybaven dostatečnými zárukami k zajištění jeho nezávislosti z důvodu, že je připojen k Úřadu ředitele národních zpravodajských služeb, a dále že DPRC není nezávislým a nestranným soudem z důvodu nedostatečných záruk použitelných na úředníka CLPO.
42 Na úvod je třeba poznamenat, že zkoumání záruk týkajících se nezávislosti úředníka CLPO není relevantní pro posouzení toho, zda DPRC představuje nezávislý a nestranný soud. DPRC byl totiž zřízen jako kontrolní orgán nezávislý na úředníkovi CLPO, u něhož, jak vyplývá z bodu 184 odůvodnění napadeného rozhodnutí, osoba, která podala stížnost týkající se osobních údajů, jakož i každá složka zpravodajské komunity, může požádat o přezkum rozhodnutí úředníka CLPO, a v dekretu E. O. 14086 bylo stanoveno několik záruk, aby rozhodnutí úředníka CLPO mohla být přezkoumána a aby je DPRC mohl v případě potřeby nezávislým a nestranným způsobem změnit.
43 Zaprvé z bodů 185 a 186 odůvodnění napadeného rozhodnutí vyplývá, aniž to žalobce zpochybňuje, že DPRC je složen nejméně ze šesti soudců, které jmenuje Attorney General (ministr spravedlnosti, Spojené státy, dále jen „ministr spravedlnosti“) po konzultaci s Privacy and Civil Liberties Oversight Board (Výbor pro dohled nad ochranou soukromí a občanských svobod, Spojené státy, dále jen „výbor PCLOB“), se Secretary of Commerce (ministr obchodu, Spojené státy) a ředitelem národních zpravodajských služeb, a to na čtyřleté funkční období, které lze prodloužit, za použití stejných kritérií, jaká platí pro federální soudce, a s přihlédnutím k jejich předchozí soudní praxi. Soudci tak musí být praktikující právní odborníci, tj. aktivní členové komory, kteří jsou řádně oprávněni k výkonu právnické praxe a musí mít odpovídající zkušenosti v oblasti práva na ochranu soukromí a národní bezpečnosti. Kromě toho ministr spravedlnosti musí usilovat o to, aby alespoň polovina soudců měla předchozí soudní praxi, a všichni soudci musí mít bezpečnostní prověrku, aby mohli mít přístup k utajovaným informacím týkajícím se národní bezpečnosti. Do funkce soudce DPRC mohou být jmenovány pouze fyzické osoby, které splňují kvalifikační požadavky uvedené výše a nejsou zaměstnanci výkonné moci v době svého jmenování ani těmito zaměstnanci v předchozích dvou letech nebyly. Stejně tak nesmí mít soudci během funkčního období u DPRC žádné úřední povinnosti ani pracovní poměr u vládních orgánů USA.
44 Zadruhé z bodů 188 a 189 odůvodnění napadeného rozhodnutí vyplývá, aniž to žalobce zpochybňuje, že rozhodnutí úředníka CLPO přezkoumává v plném rozsahu senát tří soudců DPRC, kterému je nápomocen zvláštní advokát. Při uvedeném přezkumu přitom DPRC nevychází pouze ze spisu poskytnutého úředníkem CLPO, ale také z informací a podání poskytnutých stěžovatelem, zvláštním advokátem, který je nápomocen jeho soudcům, zpravodajskými službami, jakož i případně z dalších informací, které si vyžádal v průběhu vyšetřování stížnosti týkající se osobních údajů. Při tomto přezkumu musí navíc použít relevantní judikaturu Supreme Court of the United States (Nejvyšší soud Spojených států).
45 Zatřetí z bodů 190 a 191 odůvodnění napadeného rozhodnutí vyplývá, aniž to žalobce zpochybňuje, že DPRC má pravomoc změnit rozhodnutí, není vázán rozhodnutím úředníka CLPO, pokud nesouhlasí s posledně uvedeným, může přijmout vlastní rozhodnutí o stížnosti týkající se osobních údajů. Kromě toho, ať už je rozhodnutí přijaté DPRC jakékoliv, je závazné a konečné. Jak zpravodajské služby, tak vláda Spojených států jsou tedy povinny se jím řídit.
46 Z výše uvedeného vyplývá, že záruky stanovené v dekretu E. O. 14086, pokud jde o fungování a pravomoci DPRC, umožňují nezávislý a nestranný přezkum rozhodnutí přijatých úředníkem CLPO. Žalobce tedy nemůže důvodně tvrdit, že nedostatek záruk použitelných na úředníka CLPO ovlivňuje nezávislost a nestrannost DPRC.
47 V každém případě, pokud jde o údajnou nedostatečnost záruk směřujících k zajištění nezávislosti úředníka CLPO, je třeba poznamenat následující.
48 Je třeba poznamenat, jak vyplývá z bodů 176 až 181 odůvodnění napadeného rozhodnutí, aniž to žalobce zpochybňuje, že dekret E. O. 14086, doplněný nařízením AG, zavedl zvláštní nápravný mechanismus pro vyřizování stížnosti týkající se osobních údajů. Tato stížnost musí být podána kontrolnímu orgánu pověřenému v každém členském státě dohledem nad zpracováním osobních údajů, který ji následně předá úředníkovi CLPO, a to za podmínky, že obsahuje údaje uvedené v bodě 178 napadeného rozhodnutí, a sice informace o osobních údajích, o nichž se lze důvodně domnívat, že byly předány do Spojených států, prostředky, o nichž se lze důvodně domnívat, že byly předány, o totožnosti subjektů vlády Spojených států, o nichž se předpokládá, že se podílely na údajném porušení (pokud jsou známy), o důvodech podporujících tvrzení, že došlo k porušení právních předpisů Spojených států, a o povaze požadované nápravy. V této souvislosti musí úředník CLPO určit, zda zpravodajské služby porušily použitelné právo Spojených států, a pokud tomu tak je, může těmto službám nařídit, aby provedly nápravná opatření. Rozhodnutí úředníka CLPO o uvedené stížnosti je závazné.
49 Je pravda, že v bodě 179 odůvodnění napadeného rozhodnutí Komise uvádí, že úředník CLPO je součástí Úřadu ředitele národních zpravodajských služeb a kromě zvláštní pravomoci přezkoumávat stížnost týkající se osobních údajů je obecně povinen zajistit, aby ochrana občanských svobod a soukromí byla vhodně začleněna do politik a postupů uvedeného úřadu a zpravodajských služeb a aby tyto služby splňovaly požadavky na soukromí a občanské svobody. Je však třeba poznamenat, jak je uvedeno v tomto bodě odůvodnění, že za účelem zajištění nezávislosti úředníka CLPO dekret E. O. 14086 stanoví, že tento úředník může být odvolán z funkce pouze uvedeným ředitelem na základě zákonného důvodu, tj. v případě pochybení, nesprávného postupu, porušení bezpečnosti, zanedbání povinností nebo nezpůsobilosti. Kromě toho, jak vyplývá z bodu 180 odůvodnění napadeného rozhodnutí, zpravodajským službám a řediteli národních zpravodajských služeb je zakázáno bránit nebo nepatřičně ovlivňovat práci úředníka CLPO, který musí při přezkoumávání stížnosti týkající se osobních údajů uplatňovat zákon nestranně s přihlédnutím jak k zájmům národní bezpečnosti, tak k ochraně soukromí.
50 Za těchto podmínek je třeba tento argument zamítnout.
2) Ke druhému argumentu, podle kterého DPRC není nezávislým a nestranným soudem, jelikož je složen ze soudců jmenovaných ministrem spravedlnosti po konzultaci s výborem PCLOB
51 V rámci druhého argumentu žalobce v podstatě tvrdí, že DPRC není nezávislým a nestranným soudem, jelikož je složen ze soudců jmenovaných ministrem spravedlnosti po konzultaci s výborem PCLOB, který je orgánem závislým na výkonné moci.
52 Komise, podporovaná Irskem a Spojenými státy americkými, s argumentem žalobce nesouhlasí.
53 Zaprvé z bodu 110 odůvodnění napadeného rozhodnutí vyplývá, že výbor PCLOB je nezávislou agenturou zřízenou v rámci výkonné moci. Nezávislost této agentury vyplývá zejména z jejího složení. Skládá se totiž z výboru složeného z pěti zástupců obou politických stran jmenovaných prezidentem Spojených států se souhlasem Senátu na pevné období šesti let. Uvedení členové výboru musí být vybíráni na základě odborné kvalifikace, dosažených výsledků, veřejného postavení, odborných znalostí v oblasti ochrany občanských svobod a soukromí a zkušeností, a to bez ohledu na politickou příslušnost. Více než tři členové výboru PCLOB nesmí být příslušníky stejné politické strany. Osoba jmenovaná jako člen výboru PCLOB nesmí být po dobu svého působení ve výboru voleným úředníkem, funkcionářem nebo zaměstnancem federální vlády, s výjimkou funkce člena tohoto výboru.
54 Z toho vyplývá, že ačkoli byl výbor PCLOB zřízen v rámci výkonné moci, byl na základě svého zakládajícího statutu koncipován jako nezávislá agentura, jejímž úkolem je nestranně dohlížet na práci vykonávanou orgány výkonné moci směřující zejména k ochraně soukromí a občanských svobod. Jak je uvedeno v bodě 194 odůvodnění napadeného rozhodnutí, aniž to žalobce zpochybňuje, tento výbor musí každoročně ověřit, zda úředník CLPO a DPRC vyřídili předložené případy ve stanovených lhůtách, zda získali úplný přístup k potřebným informacím, zda zohlednili všechny záruky stanovené v dekretu E. O. 14086 a zda zpravodajské služby dodržely jejich rozhodnutí. Po tomto ověření musí vydat veřejné potvrzení o tom, že úředník CLPO a DPRC tyto záruky dodrželi. Navíc musí předložit zprávu prezidentovi Spojených států, ministru spravedlnosti, řediteli národních zpravodajských služeb, vedoucím zpravodajských služeb, úředníkovi CLPO a zpravodajským komisím United States Congress (Kongres Spojených států). Tato zpráva se zveřejní v neutajované verzi. Ministr spravedlnosti, ředitel národních zpravodajských služeb, úředník CLPO a vedoucí zpravodajských služeb jsou povinni provést všechna doporučení obsažená v uvedené zprávě.
55 Za těchto okolností skutečnost, že výbor PCLOB byl zřízen v rámci výkonné moci, sama o sobě neumožňuje dospět k závěru, že DPRC není nezávislým a nestranným soudem proto, že tento výbor byl konzultován před jmenováním soudců DPRC.
56 Zadruhé je třeba poznamenat, že aby bylo zajištěno, že soudci DPRC jsou nezávislí na výkonné moci, dekret E. O. 14086 stanoví, že ministr spravedlnosti musí při jejich jmenování dodržet kritéria a podmínky uvedené v bodě 43 výše. Navíc, jak vyplývá z bodu 187 odůvodnění napadeného rozhodnutí, soudce DPRC může odvolat pouze ministr spravedlnosti, a to pouze na základě zákonného důvodu, tj. v případě pochybení, nesprávného postupu, narušení bezpečnosti, zanedbání povinností nebo nezpůsobilosti, a to po řádném zohlednění norem platných pro federální soudce, které jsou stanoveny v pravidlech pro řízení týkající se chování soudců a jejich nezpůsobilosti.
57 Z toho vyplývá, že pravidla pro jmenování a odvolání soudců DPRC nemohou zpochybnit jeho nezávislost a nestrannost.
58 Zatřetí je třeba uvést, že podle čl. 3 odst. 1 napadeného rozhodnutí je Komise povinna neustále sledovat uplatňování právního rámce, který je předmětem uvedeného rozhodnutí, včetně podmínek, za kterých dochází k dalšímu předávání osobních údajů, výkonu individuálních práv a přístupu orgánů veřejné moci Spojených států k údajům předaným na základě tohoto rozhodnutí, s cílem posoudit, zda Spojené státy americké i nadále zajišťují odpovídající úroveň ochrany. Podle odstavce 5 uvedeného článku tedy Komise v případě, že má k dispozici informace o tom, že odpovídající úroveň ochrany již není zajištěna, o tom informuje orgány Spojených států a v případě potřeby rozhodne o pozastavení použitelnosti, změně nebo zrušení napadeného rozhodnutí nebo o omezení jeho působnosti. Z toho vyplývá, že pokud se změní právní rámec platný ve Spojených státech v okamžiku přijetí napadeného rozhodnutí, který vedl Komisi k závěru obsaženému v tomto rozhodnutí, že DPRC poskytuje právní ochranu, která je v zásadě rovnocenná právní ochraně zaručené unijním právem, Komise v případě potřeby rozhodne o pozastavení použitelnosti, změně nebo zrušení napadeného rozhodnutí nebo o omezení jeho působnosti.
59 Ve světle všech těchto úvah musí být tento argument zamítnut.
3) Ke třetímu argumentu, podle kterého DPRC není nezávislým a nestranným soudem, jelikož nařízení AG nevylučuje, že jeho soudci mohou podléhat jiným formám dohledu než každodennímu dohledu ze strany orgánů výkonné moci
60 Třetím argumentem žalobce v podstatě tvrdí, že DPRC není nezávislým a nestranným soudem, jelikož nařízení AG nevylučuje, že jeho soudci mohou podléhat jiným formám dohledu než každodennímu dohledu ze strany orgánů výkonné moci.
61 Komise, podporovaná Irskem a Spojenými státy americkými, s argumentem žalobce nesouhlasí.
62 Je třeba poznamenat, že i když ze spisu vyplývá, že podle § 201.7(d) nařízení AG nesmí soudci DPRC podléhat každodennímu dohledu ministra spravedlnosti, bod 187 odůvodnění napadeného rozhodnutí rovněž uvádí, že podle dekretu E. O. 14086 zpravodajské služby a ministr spravedlnosti nesmí zasahovat do činnosti DPRC nebo ji nepřiměřeně narušovat. Kromě toho ze spisu vyplývá, že dekret E. O. 14086 a nařízení AG omezují možnost orgánů výkonné moci ovlivňovat činnost DPRC tím, že stanoví, že jeho soudce může odvolat pouze ministr spravedlnosti, a to pouze z důvodů uvedených v bodě 56 výše.
63 V této souvislosti je třeba tento argument, a tudíž i první výtku třetího žalobního důvodu v plném rozsahu zamítnout.
b) Ke druhé výtce třetího žalobního důvodu, podle níž DPRC není soudem předem zřízeným zákonem
64 V rámci druhé výtky třetího žalobního důvodu žalobce tvrdí, že DPRC nebyl předem zřízen zákonem ve smyslu čl. 47 druhého pododstavce Listiny základních práv, jelikož nebyl zřízen zákonem přijatým Kongresem Spojených států, nýbrž aktem orgánu výkonné moci, a sice rozhodnutím ministra spravedlnosti.
65 Komise, podporovaná Irskem a Spojenými státy americkými, s argumenty žalobce nesouhlasí.
66 Zaprvé z judikatury Soudního dvora, rozvinuté ve světle judikatury ESLP týkající se čl. 6 odst. 1 EÚLP (rozsudek ESLP ze dne 1. prosince 2020, Guðmundur Andri Ástráðsson v. Island, CE:ECHR:2020:1201JUD002637418, body 231 a 233), vyplývá, že i když právo na soud předem zřízený zákonem představuje autonomní právo, je současně velmi úzce spojeno se zárukami nezávislosti a nestrannosti obsaženými v témže ustanovení. Konkrétně bylo uvedeno, že ačkoliv každý z požadavků upravených v těchto pojmech sleduje vlastní cíl, což z nich činí specifické záruky spravedlivého procesu, tyto záruky usilují o dodržení týchž základních zásad, a sice zásady právního státu a dělby moci. Základem každého z těchto požadavků je imperativ zachování důvěry, kterou musí soudní moc u jednotlivců vzbuzovat, a nezávislosti této moci vůči ostatním složkám moci [viz rozsudky ze dne 22. února 2022, Openbaar Ministerie (Soud zřízený zákonem ve vystavujícím členském státě), C‑562/21 PPU a C‑563/21 PPU, EU:C:2022:100, bod 56 a citovaná judikatura, a ze dne 29. března 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, bod 117 a citovaná judikatura).
67 Soudní dvůr rovněž upřesnil s odkazem na judikaturu ESLP (rozsudek ESLP ze dne 8. července 2014, Biagioli v. San Marino, CE:ECHR:2014:0708DEC000816213, body 72 až 74; viz rovněž rozsudek ESLP ze dne 2. května 2019, Pasquini v. San Marino, CE:ECHR:2019:0502JUD005095616, body 100 a 101 a citovaná judikatura), že výraz „předem zřízený zákonem“ má za cíl zabránit tomu, aby bylo uspořádání soudního systému ponecháno na volném uvážení moci výkonné, a zajistit, aby se tato oblast řídila zákonem přijatým zákonodárnou mocí způsobem, který je v souladu s pravidly upravujícími výkon její pravomoci. Tento výraz odráží zásadu právního státu a týká se nejen právního základu pro samotnou existenci soudu, ale také složení senátu v každé věci, jakož i všech ostatních ustanovení vnitrostátního práva, jejichž nedodržení vede k pochybení týkajícímu se účasti jednoho nebo více soudců na přezkumu věci, což zahrnuje zejména ustanovení týkající se nezávislosti a nestrannosti členů uvedeného soudu (viz rozsudek ze dne 29. března 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, bod 121 a citovaná judikatura).
68 V této souvislosti Soudní dvůr rozhodl, že rozhodnutí o existenci porušení požadavku, aby byl soud předem zřízen zákonem, a o důsledcích takového porušení je třeba učinit na základě celkového posouzení řady okolností, které jako celek přispívají k vyvolání legitimních pochybností jednotlivců o nezávislosti a nestrannosti soudců [viz rozsudek ze dne 22. února 2022, Openbaar Ministerie (Soud zřízený zákonem ve vystavujícím členském státě), C‑562/21 PPU a C‑563/21 PPU, EU:C:2022:100, bod 74 a citovaná judikatura].
69 Soudní dvůr měl tedy za to, že okolnost, že takový orgán, jako je Národní rada soudnictví, který je zapojen do procesu jmenování soudců, je složen převážně ze členů vybraných zákonodárnou mocí, nemůže sama o sobě vést k pochybnostem o nezávislosti soudců jmenovaných na konci uvedeného procesu, ale že tomu může být jinak, když k vyvolání takových pochybností vede tato okolnost ve spojení s dalšími relevantními skutečnostmi a podmínkami, za kterých byla tato rozhodnutí učiněna [viz rozsudek ze dne 22. února 2022, Openbaar Ministerie (Soud zřízený zákonem ve vystavujícím členském státě), C‑562/21 PPU a C‑563/21 PPU, EU:C:2022:100, bod 75 a citovaná judikatura].
70 Kromě toho v rozsudku ze dne 1. prosince 2020, Guðmundur Andri Ástráðsson v. Island (CE:ECHR:2020:1201JUD002637418, body 207 a 212), měl ESLP za to, že jmenování soudců výkonnou nebo zákonodárnou mocí je přípustné pouze za předpokladu, že takto jmenovaní soudci nejsou při výkonu soudcovské funkce vystaveni žádnému tlaku nebo vlivu.
71 Z této judikatury v podstatě vyplývá, že pro posouzení, zda jsou splněny požadavky, které vyplývají z čl. 47 druhého pododstavce Listiny základních práv, nestačí pouze posoudit formální povahu právního nástroje, kterým se zřizuje soud a vymezují pravidla jeho fungování, ale také je třeba ověřit, zda tento právní nástroj poskytuje dostatečné záruky pro zajištění jeho nezávislosti a nestrannosti vůči ostatním složkám moci, a to zejména vůči moci výkonné.
72 Zadruhé je třeba připomenout, jak rozhodl Soudní dvůr v rozsudcích Schrems I a Schrems II, že v rámci rozhodnutí o odpovídající úrovni ochrany není Komise povinna zajistit, aby relevantní ustanovení třetí země byla totožná s ustanoveními platnými v Unii, ale že jsou v zásadě rovnocenná ustanovením zaručeným unijním právem na základě nařízení GDPR vykládaného ve světle Listiny základních práv (viz body 19 a 20 výše) Z toho vyplývá, že v projednávané věci je Tribunál povinen ověřit opodstatněnost konstatování o odpovídající úrovni ochrany učiněného Komisí v napadeném rozhodnutí, podle kterého ustanovení práva Spojených států týkající se zřízení a fungování DPRC poskytují záruky, které jsou v zásadě rovnocenné zárukám stanoveným unijním právem v čl. 47 druhém pododstavci uvedené Listiny. Takové záruky jsou poskytovány zejména tehdy, když právní předpis, kterým se zřizuje tento soud a vymezují pravidla jeho fungování, směřuje k zajištění jeho nezávislosti a nestrannosti ve vztahu k ostatním složkám moci, zejména výkonné moci, a to navzdory skutečnosti, že uvedený předpis není z formálního hlediska zákonem.
73 V projednávané věci z bodu 185 odůvodnění napadeného rozhodnutí vyplývá, aniž to žalobce zpochybňuje, že DPRC byl zřízen nařízením AG. Z toho vyplývá, že DPRC nebyl zřízen zákonem přijatým orgánem zákonodárné moci, tj. Kongresem Spojených států, nýbrž aktem orgánu výkonné moci. Ministr spravedlnosti je totiž vedoucím Ministerstva spravedlnosti Spojených států a hlavním činitelem federální vlády Spojených států odpovědným za uplatňování práva. Je hlavním poradcem prezidenta Spojených států ve všech právních otázkách a je členem jeho kanceláře.
74 V této souvislosti je třeba ověřit, zda dekret E. O. 14086 a nařízení AG stanoví záruky, které mají zajistit nezávislost a nestrannost DPRC, a to v zásadě rovnocenným způsobem, jako to činí unijní právo.
75 V tomto ohledu je třeba zaprvé poznamenat, že ze spisu vyplývá, aniž to bylo zpochybněno, že:
– ministr spravedlnosti přijal nařízení AG na základě statutární pravomoci vydávat závazná rozhodnutí v otázkách práva Spojených států, včetně těch, které se týkají předávání údajů z Unie, které je upraveno dekretem E. O. 14086;
– zřízením DPRC ministr spravedlnosti na tento orgán delegoval svou pravomoc rozhodovat o legalitě činností v oblasti signálového zpravodajství, které byly napadeny občanem Unie; ministr spravedlnosti tak již není de iure oprávněn vykonávat pravomoc, kterou delegoval na DPRC, dokud tento existuje;
– jak je uvedeno v poznámce pod čarou 366 na straně 63 napadeného rozhodnutí, Nejvyšší soud Spojených států uznal možnost ministerstva spravedlnosti zřídit nezávislé orgány s rozhodovací pravomocí, jako je DPRC; navíc měl za to, že delegování pravomoci ministrem spravedlnosti na svého zmocněnce je pro orgány výkonné moci závazné; z judikatury uvedeného soudu vyplývá, že dokud zůstává nařízení AG v platnosti, jsou jím orgány výkonné moci vázány a zpravodajské služby ani vláda Spojených států nemohou jeho rozhodnutí přezkoumat nebo zrušit.
76 Zadruhé je třeba připomenout, že z napadeného rozhodnutí v podstatě vyplývá, že:
– soudci DPRC jsou jmenováni ministrem spravedlnosti na základě kritérií a v souladu s podmínkami uvedenými v bodě 43 výše;
– soudce DPRC může odvolat pouze ministr spravedlnosti jen z důvodů uvedených v bodě 56 výše, a to po řádném zohlednění norem platných pro federální soudce, které jsou stanoveny v pravidlech pro řízení týkající se chování soudců a jejich nezpůsobilosti;
– rozhodnutí přijaté DPRC je závazné a konečné. Jak orgány výkonné moci, tak zpravodajské služby jsou tedy povinny se jimi řídit;
– činnost vykonávaná DPRC podléhá dohledu výboru PCLOB v mezích uvedených v bodě 54 výše.
77 Dále, jak vyplývá z bodů 187 až 189 odůvodnění napadeného rozhodnutí, soudci DPRC musí při plnění svých úkolů v rámci tohoto orgánu dodržovat následující procesní záruky:
– musí přezkoumat stížnost týkající se osobních údajů v rámci senátu složeného ze tří soudců, včetně předsedy; pro každou věc vybere složení tříčlenného senátu střídavě oddělení pro občanské svobody a soukromí ministerstva spravedlnosti, které je pověřeno poskytováním administrativní podpory DPRC, přičemž zajišťuje, aby v každém senátu byl alespoň jeden soudce s předchozí soudní praxí;
– při přezkumu stížnosti týkající se osobních údajů jim je nápomocen zvláštní advokát, který je jmenován ministrem spravedlnosti po konzultaci s ministrem obchodu, ředitelem národních zpravodajských služeb a výborem PCLOB, a to na dobu dvou funkčních období, kterou lze prodloužit; zvláštní advokát musí mít odpovídající zkušenosti v oblasti práva na ochranu soukromí a národní bezpečnosti, musí být zkušeným advokátem a aktivním členem advokátní komory; navíc nesmí být v době jmenování po dobu předchozích dvou let zaměstnancem výkonné moci; zvláštní advokát má přístup ke všem informacím, včetně utajovaných informací, a ačkoli nejedná jako zástupce stěžovatele ani s ním nemá vztah advokáta a klienta, musí zajistit, aby byly ve všech případech zastoupeny zájmy stěžovatele a aby byli soudci DPRC dobře informováni o všech relevantních právních a skutkových otázkách;
– při rozhodování musí zohlednit vyšetřovací spis, informace a podání poskytnutá stěžovatelem, zvláštním advokátem, zpravodajskými službami a úředníkem CLPO, jakož i případně další informace poskytnuté úředníkem CLPO na žádost DPRC;
– o stížnosti týkající se osobních údajů musí rozhodnout písemně a většinou hlasů.
78 Zatřetí je třeba konstatovat, že nedostatky uvedené Soudním dvorem v rozsudku Schrems II, pokud jde o neexistenci záruk týkajících se odvolání z funkce ombudsmana, ve věcech štítu na ochranu soukromí, orgány výkonné moci a nezávaznosti jeho rozhodnutí, byly odstraněny. Ze spisu totiž vyplývá, že dekret E. O. 14086 omezuje případy, kdy ministr spravedlnosti může odvolat soudce DPRC, a stanoví, že jejich rozhodnutí jsou závazná.
79 V této souvislosti je třeba druhou výtku třetího žalobního důvodu zamítnout.
80 Tento závěr nemůže být zpochybněn skutečností, že ze spisu vyplývá, že DPRC stejně jako jiné tribunály v právním systému Spojených států, a ačkoli je oprávněn rozhodovat o právních otázkách, nepředstavuje soudní orgán zřízený podle článku III Ústavy Spojených států.
81 V rozsudku Schrems II měl totiž Soudní dvůr za to, že účinná soudní ochrana může být zajištěna nejen soudem, který je součástí systému obecných soudů, ale rovněž jakýmkoli jiným „orgánem“, který osobám, jejichž údaje jsou předávány do Spojených států, nabízí záruky, které jsou v zásadě rovnocenné zárukám vyžadovaným v článku 47 Listiny základních práv (rozsudek Schrems II, bod 197).
82 S ohledem na všechny výše uvedené úvahy musí být třetí žalobní důvod zamítnut v plném rozsahu.
3. Ke druhému žalobnímu důvodu, vycházejícímu z porušení článků 7 a 8 Listiny základních práv
83 V rámci druhého žalobního důvodu žalobce tvrdí, že Komise porušila články 7 a 8 Listiny základních práv v rozsahu, v němž měla v napadeném rozhodnutí za to, že Spojené státy americké zajišťují odpovídající úroveň ochrany, pokud jde o hromadné shromažďování osobních údajů zpravodajskými službami této země.
a) K předmětu druhého žalobního důvodu
84 Je třeba poznamenat, že na stranách 2 a 23 žaloby, jakož i na straně 4 repliky žalobce při formulaci druhého žalobního důvodu poukazuje na porušení článků 7 a 8 Listiny základních práv ze strany Komise, pokud jde nejen o hromadné shromažďování, ale i o masové shromažďování osobních údajů. V úvahách, které následují po formulaci uvedeného žalobního důvodu, však žalobce zaměřuje svou argumentaci pouze na hromadné shromažďování těchto údajů.
85 Z poznámky pod čarou 250 uvedené na straně 46 napadeného rozhodnutí, z bodu 141 odůvodnění uvedeného rozhodnutí, aniž to bylo zpochybněno, jakož i z odpovědí účastníků řízení na otázky položené v rámci organizačního procesního opatření a na jednání vyplývá, že:
– ve Spojených státech může mít shromažďování údajů v oblasti signálového zpravodajství pro účely národní bezpečnosti, včetně údajů předávaných z Unie, pouze formu „cíleného shromažďování“; tento výraz není v právu Spojených států definován, ale je obecně používán k popisu shromažďování informací týkajících se konkrétní osoby, komunikačního účtu nebo jiného určeného cíle, který provádějí zpravodajské služby podle Foreign Intelligence Surveillance Act (zákon o dohledu nad zahraničními zpravodajskými službami, dále jen „FISA“) a dekretu E. O. 14086.
– mimo Spojené státy, včetně případů, kdy jsou osobní údaje na cestě z Unie do organizací určených na základě rámce pro ochranu údajů, se shromažďování údajů v oblasti signálového zpravodajství pro účely národní bezpečnosti provádí přednostně prostřednictvím cíleného shromažďování; přitom v případech, kdy je to nezbytné k prosazení potvrzené zpravodajské priority ve smyslu oddílu 2 písm. b) bodu iii) dekretu E. O. 14086, kterou nelze přiměřeně získat cíleným shromažďováním, zpravodajské služby mohou provádět „hromadné shromažďování“ osobních údajů; hromadné shromažďování je v právu Spojených států definováno v oddíle 4 písm. b) dekretu E. O. 14086 jako povolené shromažďování velkého množství údajů v oblasti signálového zpravodajství, které je z technických nebo provozních důvodů prováděno bez použití rozlišovacích prvků, jako jsou například identifikátory nebo specifická kritéria výběru; hromadné shromažďování je upraveno dekretem E. O. 14086 a Executive Order 12333, United States Intelligence Activities (výkonný dekret č. 12333 o zpravodajských činnostech Spojených států), ve znění Executive Orders 13284 (2003), 13355 (2004) a 13470 (2008) (výkonné dekrety č. 13284/2003, 13355/2004 a 13470/2008), které je podrobují řadě záruk a omezení;
– „masové shromažďování“ osobních údajů, na které Komise odkazuje v poznámce pod čarou 250 napadeného rozhodnutí, jako shromažďování údajů na všeobecném a nerozlišujícím základě bez omezení a ochranných opatření není ve Spojených státech povoleno a nemůže být provedeno ani na jejich území, ani mimo ně.
86 Z výše uvedeného vyplývá, že jelikož masové shromažďování údajů není ve Spojených státech povoleno a hromadné shromažďování údajů může být prováděno pouze mimo území Spojených států, je předmět tohoto žalobního důvodu v projednávané věci omezen na posouzení toho, zda Komise porušila články 7 a 8 Listiny základních práv, pokud jde o hromadné shromažďování osobních údajů zpravodajskými službami Spojených států na cestě z Unie do organizací určených na základě rámce pro ochranu údajů, s vyloučením jakéhokoli shromažďování osobních údajů, které na území Unie případně provádějí zpravodajské služby Spojených států nebo členských států.
b) K první výtce druhého žalobního důvodu, podle níž zpravodajské činnosti prováděné podle článku 702 FISA nepodléhají zárukám stanoveným v dekretu E. O. 14086
87 V rámci první výtky druhého žalobního důvodu žalobce tvrdí, že Komise porušila články 7 a 8 Listiny základních práv, jelikož v napadeném rozhodnutí měla v podstatě za to, že Spojené státy americké poskytují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené unijním právem na základě nařízení GDPR vykládaného ve světle uvedené Listiny, navzdory skutečnosti, že článek 702 FISA poskytuje zpravodajským službám Spojených států možnost hromadně shromažďovat osobní údaje státních příslušníků jiných zemí.
88 Komise, podporovaná Irskem a Spojenými státy americkými, s argumenty žalobce nesouhlasí.
89 Je třeba uvést, že článek 702 FISA nepovoluje hromadné shromažďování, nýbrž pouze cílené shromažďování osobních údajů.
90 Proto vzhledem k tomu, že se článek 702 FISA netýká hromadného shromažďování osobních údajů, je v projednávané věci irelevantní.
91 První výtku druhého žalobního důvodu je tedy třeba zamítnout.
c) Ke druhé výtce druhého žalobního důvodu, podle níž dekret E. O. 14086 nepodmiňuje hromadné shromažďování osobních údajů předchozím povolením soudního nebo správního orgánu
92 V rámci druhé výtky druhého žalobního důvodu žalobce tvrdí, že Komise porušila články 7 a 8 Listiny základních práv, jelikož v napadeném rozhodnutí měla za to, že Spojené státy americké poskytují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené unijním právem na základě nařízení GDPR vykládaného ve světle uvedené Listiny, navzdory skutečnosti, že dekret E. O. 14086 nestanoví povinnost zpravodajských služeb Spojených států získat před hromadným shromažďováním osobních údajů předchozí povolení soudního nebo správního orgánu.
93 Komise, podporovaná Irskem a Spojenými státy americkými, s argumenty žalobce nesouhlasí.
94 V projednávané věci ze spisu vyplývá, aniž to účastníci řízení zpochybňují, že právo Spojených států nestanoví povinnost zpravodajských služeb získat předchozí povolení soudního nebo správního orgánu před provedením hromadného shromažďování osobních údajů na cestě z Unie do organizací určených na základě rámce pro ochranu údajů.
95 Je třeba určit, zda tato neexistence předchozího povolení může ovlivnit legalitu napadeného rozhodnutí v rozsahu, v němž by mohla zpochybnit závěr uvedený v článku 1 uvedeného rozhodnutí, podle kterého Spojené státy americké poskytují odpovídající úroveň ochrany osobních údajů.
96 Úvodem je třeba připomenout, že jak rozhodl Soudní dvůr v rozsudku Schrems II, pro posouzení legality rozhodnutí o odpovídající úrovni ochrany je nezbytné posoudit, zda právo třetí země zajišťuje úroveň ochrany základních práv a svobod, která je v zásadě rovnocenná úrovni ochrany, která je zaručena v Unii na základě nařízení GDPR vykládaného ve světle Listiny základních práv (viz bod 19 výše).
97 V tomto kontextu je třeba zkoumat čtyři argumenty vznesené žalobcem na podporu této výtky.
1) K prvnímu argumentu založenému na rozsudku Schrems II
98 Prvním argumentem žalobce v podstatě tvrdí, že stejně jako v případě rozhodnutí o odpovídající úrovni ochrany týkajícího se štítu na ochranu soukromí, které bylo Soudním dvorem zrušeno v rozsudku Schrems II zejména z důvodu nezavedení soudního přezkumu, nepodléhá hromadné shromažďování osobních údajů prováděné v projednávané věci zpravodajskými službami Spojených států soudnímu dohledu a není vymezeno dostatečně jasnými a přesnými pravidly.
99 Komise, podporovaná Irskem a Spojenými státy americkými, s argumentem žalobce nesouhlasí.
100 Je třeba poznamenat, že v rozsudku Schrems II Soudní dvůr rozhodl, že články 7 a 8 Listiny základních práv spolutvoří úroveň ochrany vyžadovanou v Unii a jejich dodržení musí Komise konstatovat ještě před přijetím rozhodnutí o odpovídající ochraně na základě čl. 45 odst. 1 nařízení GDPR. Podle Soudního dvora se totiž jakékoli zpracování osobních údajů fyzické osoby, včetně jejich předávání do třetí země v rámci rozhodnutí o odpovídající úrovni ochrany, dotýká jak základního práva této osoby na respektování soukromého života, zaručeného v článku 7 uvedené Listiny, tak jeho práva na ochranu jeho osobních údajů, obsaženého v článku 8 této Listiny (rozsudek Schrems II, body 169 až 171).
101 Soudní dvůr však upřesnil, že práva zakotvená v článcích 7 a 8 Listiny základních práv nejsou absolutními výsadami, ale musí být nahlížena ve vztahu k jejich společenské funkci (rozsudek Schrems II, bod 172).
102 Podle čl. 52 odst. 1 Listiny základních práv musí být každé omezení výkonu práv a svobod uznaných články 7 a 8 uvedené Listiny stanoveno zákonem a respektovat podstatu těchto práv a svobod. Navíc při dodržení zásady proporcionality mohou být omezení těchto práv a svobod zavedena pouze tehdy, jsou-li nezbytná a odpovídají skutečně cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého (rozsudek Schrems II, bod 174).
103 V této souvislosti Soudní dvůr rozhodl, že možnost poskytnutá výkonným dekretem č. 12333 ve znění pozdějších předpisů zpravodajským službám Spojených států přistupovat k osobním údajům na cestě z Unie, přičemž takový přístup nepodléhá vůbec žádnému soudnímu dohledu, neumožňuje ohraničit dostatečně jasně a přesně rozsah hromadného shromažďování osobních údajů prováděného zpravodajskými službami. Měl tedy za to, že uvedený výkonný dekret nesplňuje minimální požadavky, které jsou v unijním právu svázané se zásadou proporcionality, a sledovací programy prováděné na základě tohoto dekretu se neomezují na to, co je nezbytně nutné (rozsudek Schrems II, body 183 a 184).
104 Je třeba upřesnit, jak je třeba vykládat výraz „vůbec žádnému soudnímu dohledu“ uvedený v bodě 183 rozsudku Schrems II.
105 V tomto ohledu je třeba poznamenat, že nic v rozsudku Schrems II, zejména v jeho bodě 183 a ve výrazu „vůbec žádnému soudnímu dohledu“, nenaznačuje, že by hromadné shromažďování osobních údajů muselo nutně podléhat předchozímu povolení nezávislého orgánu. Naproti tomu z výkladu uvedeného výrazu ve spojení s body 186 až 197 tohoto rozsudku vyplývá, že rozhodnutí povolující takové shromažďování musí přinejmenším podléhat soudnímu přezkumu a posteriori.
106 V projednávané věci, jak je uvedeno v bodech 24 až 82 výše, dekret E. O. 14086 a nařízení AG podrobují činnosti v oblasti signálového zpravodajství prováděné zpravodajskými službami Spojených států, včetně případů, kdy tyto služby provádějí hromadné shromažďování osobních údajů, soudnímu dohledu a posteriori ze strany DPRC, jehož rozhodnutí jsou konečná a závazná a platí jak pro vládu Spojených států, tak pro uvedené služby. Na rozdíl od toho, co tvrdí žalobce, tedy nelze mít za to, že hromadné shromažďování osobních údajů prováděné zpravodajskými službami na základě napadeného rozhodnutí nesplňuje požadavky vyplývající v tomto ohledu z rozsudku Schrems II.
107 Navíc je třeba v první řadě připomenout, že jak vyplývá z bodu 141 odůvodnění napadeného rozhodnutí, aniž to žalobce zpochybňuje, dekret E. O. 14086 stanoví, že zpravodajské služby musí upřednostnit cílené shromažďování osobních údajů. Hromadné shromažďování je tedy povoleno pouze za účelem prosazení potvrzené zpravodajské priority, když danou informaci nelze přiměřeně získat cíleným shromažďováním. V tomto ohledu je třeba poznamenat, že z bodu 135 odůvodnění uvedeného rozhodnutí vyplývá, že potvrzené zpravodajské priority jsou stanoveny v rámci zvláštního postupu, jehož cílem je zajistit dodržování použitelných právních požadavků, a to zejména požadavků týkajících se soukromí a občanských svobod. Konkrétně jsou zpravodajské priority stanoveny ředitelem národních zpravodajských služeb a podléhají schválení prezidentem Spojených států. Než uvedený ředitel navrhne prezidentovi Spojených států zpravodajské priority, musí získat pro každou prioritu posouzení od úředníka CLPO. V rámci tohoto posouzení musí úředník CLPO určit, zda dotčená priorita podporuje jeden nebo více legitimních cílů uvedených v dekretu E. O. 14086, zda nebyla navržena pro shromažďování informací prostřednictvím signálového zpravodajství pro zakázané cíle a zda byla stanovena po náležitém zvážení soukromí a občanských svobod všech dotčených osob bez ohledu na jejich státní příslušnost nebo místo pobytu.
108 V druhé řadě je třeba uvést, že jak je zdůrazněno v bodech 127 až 131, 134 a 135 odůvodnění napadeného rozhodnutí, aniž to žalobce zpochybňuje, dekret E. O. 14086 stanoví základní požadavky vztahující se na všechny činnosti v oblasti signálového zpravodajství, včetně případů, kdy jsou tyto činnosti prováděny prostřednictvím hromadného shromažďování osobních údajů.
109 Zaprvé základem pro tyto činnosti v oblasti signálového zpravodajství musí být zákon nebo povolení prezidentem a musí být prováděny v souladu s právem Spojených států, a to zejména s jejich ústavou.
110 Zadruhé lze činnosti v oblasti signálového zpravodajství provádět až poté, co se na základě přiměřeného posouzení všech relevantních faktorů určí, že jsou nezbytné k dosažení potvrzené zpravodajské priority.
111 Zatřetí činnosti v oblasti signálového zpravodajství musí být prováděny způsobem, který je přiměřený potvrzené zpravodajské prioritě, pro kterou byly schváleny, aby byla nalezena náležitá rovnováha mezi významem sledované zpravodajské priority a dopadem na soukromí a občanské svobody dotčených osob bez ohledu na jejich státní příslušnost nebo místo pobytu.
112 Začtvrté dekret E. O. 14086 uvádí obecné cíle, které nemohou být sledovány činnostmi v oblasti signálového zpravodajství. Patří mezi ně cíle spočívající v umlčení kritiky, nesouhlasu nebo svobodného vyjadřování myšlenek či politických názorů fyzických osob nebo tisku, ve znevýhodnění osob na základě jejich etnického původu, rasy, pohlaví, genderové identity, sexuální orientace nebo náboženství nebo v poskytnutí konkurenční výhody společnostem se sídlem ve Spojených státech.
113 Zatřetí z bodu 141 odůvodnění napadeného rozhodnutí vyplývá, aniž to žalobce zpochybňuje, že dekret E. O. 14086 stanoví zvláštní záruky vztahující se na hromadné shromažďování osobních údajů.
114 Předně dekret E. O. 14086 stanoví, že musí být použity metody a technická opatření, aby se shromážděné údaje omezily pouze na ty, které jsou nezbytné k dosažení potvrzené zpravodajské priority, a zároveň aby se minimalizovalo shromažďování informací, které nejsou relevantní.
115 Dekret E. O. 14086 dále uvádí, že hromadné shromažďování osobních údajů může být prováděno pouze za účelem splnění šesti konkrétních cílů (dále jen „konkrétní cíle hromadného shromažďování“), a sice cíle ochrany před terorismem, špionáží, zbraněmi hromadného ničení, kybernetickými hrozbami, hrozbami pro personál Spojených států nebo jejich spojenců a nadnárodní trestnou činností. Stanoví možnost prezidenta Spojených států aktualizovat uvedené konkrétní cíle, pokud se objeví nové požadavky na národní bezpečnost, jako jsou nové hrozby nebo větší hrozby pro národní bezpečnost, pro které by podle prezidenta mohlo být hromadné shromažďování osobních údajů využito. Tyto aktualizace musí být v zásadě zveřejněny ředitelem národních zpravodajských služeb, pokud prezident Spojených států nerozhodne, že by to samo o sobě představovalo riziko pro národní bezpečnost této země.
116 Konečně dekret E. O. 14086 stanoví, že jakékoliv dotazování na informace shromážděné hromadně prostřednictvím signálového zpravodajství může probíhat pouze v případě, že je to nezbytné k dosažení potvrzené zpravodajské priority, při sledování konkrétních cílů hromadného shromažďování a v souladu s politikami a postupy, které náležitě zohledňují dopad dotazování na soukromí a občanské svobody všech dotčených osob bez ohledu na jejich státní příslušnost nebo místo pobytu.
117 Za těchto okolností nelze oprávněně namítat, že provádění hromadného shromažďování není dostatečně jasně a přesně vymezeno.
118 Ve světle všech těchto úvah musí být tento argument zamítnut.
2) Ke druhému argumentu založenému na rozsudku ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18)
119 V rámci druhého argumentu žalobce, který výslovně odkazuje na bod 189 rozsudku ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), tvrdí, že Soudní dvůr stanovil povinnost zpravodajských služeb získat předchozí povolení soudního nebo správního orgánu před shromážděním údajů o připojení od provozovatelů, kteří je vlastní. Tvrdí, že v projednávaném případě hromadné shromažďování osobních údajů zpravodajskými službami Spojených států na cestě z Unie takovému předchozímu povolení nepodléhá.
120 Komise, podporovaná Irskem a Spojenými státy americkými, s argumentem žalobce nesouhlasí.
121 Je třeba uvést, že v rozsudku ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), měl Soudní dvůr zejména za to, že čl. 15 odst. 1 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. 2002, L 201, s. 37; Zvl. vyd. 13/29, s. 514) ve znění směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009 (Úř. věst. 2009, L 337, s. 11) ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny základních práv musí být vykládán v tom smyslu, že nebrání vnitrostátní právní úpravě, která ukládá poskytovatelům služeb elektronických komunikací povinnost využívat shromažďování provozních a lokalizačních údajů v reálném čase, pokud je toto shromažďování omezeno na subjekty, u nichž existuje pádný důvod se domnívat, že jsou zapojeny do teroristických činností, a podléhá předchozímu přezkumu prováděnému soudem nebo nezávislým správním orgánem (bod 192 uvedeného rozsudku).
122 Z toho vyplývá, že případ dotčený ve věci, v níž byl vydán rozsudek ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), se liší od případu dotčeného v projednávané věci. V projednávaném případě se nejedná o posouzení potřeby podrobit shromažďování provozních a lokalizačních údajů uživatelů, u nichž existuje podezření, že jsou určitým způsobem zapojeny do teroristických činností, poskytovateli služeb elektronických komunikací předchozímu přezkumu soudním nebo správním orgánem, ale o posouzení toho, zda skutečnost, že právo Spojených států nevyžaduje, aby zpravodajské služby získaly předchozí povolení soudního nebo správního orgánu před tím, než začnou hromadně shromažďovat osobní údaje na cestě do této země, zpochybňuje opodstatněnost konstatování o odpovídající úrovni ochrany učiněného Komisí v napadeném rozhodnutí.
123 Za těchto podmínek je třeba dospět k závěru, že odkaz na rozsudek ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791) není v projednávané věci relevantní.
124 Tento závěr nemůže být zpochybněn zohledněním rozsudku ze dne 30. dubna 2024, La Quadrature du Net a další (Osobní údaje a boj proti porušování práv duševního vlastnictví) (C‑470/21, EU:C:2024:370), v souvislosti s nímž byli účastníci řízení v projednávané věci vyzváni, aby se vyjádřili prostřednictvím organizačního procesního opatření.
125 Ve věci, v níž byl vydán rozsudek ze dne 30. dubna 2024, La Quadrature du Net a další (Osobní údaje a boj proti porušování práv duševního vlastnictví) (C‑470/21, EU:C:2024:370), šlo o legalitu přístupu vnitrostátního orgánu veřejné moci pověřeného ochranou autorských práv a práv s nimi souvisejících proti porušování těchto práv na internetu k údajům, které mají poskytovatelé služeb elektronických komunikací a které se týkají totožnosti osoby odpovídající IP adresám, pro účely boje proti porušování práv duševního vlastnictví. Konkrétně je tento přístup odůvodněn cílem spočívajícím ve zjištění totožnosti držitele IP adresy, který vykonával činnost porušující autorská práva nebo práva s nimi související, neboť protiprávně zpřístupnil chráněná díla na internetu ke stažení jinými osobami. Za těchto podmínek Soudní dvůr rozhodl, že předchozí přezkum soudem nebo nezávislým správním orgánem:
– nemusel být proveden, pokud měl příslušný vnitrostátní orgán přístup k údajům o totožnosti osoby odpovídající IP adrese pouze za účelem identifikace dotyčného uživatele, aniž tyto údaje mohly být spojeny s informacemi o uskutečněných komunikacích, jelikož zásah, který zahrnuje takový přístup, nelze kvalifikovat jako závažný (body 133 a 134 uvedeného rozsudku);
– měl být proveden před tím, než příslušný vnitrostátní orgán spojil údaje o totožnosti osoby odpovídající IP adrese se souborem týkajícím se díla nelegálně zpřístupněného na internetu ke stažení jinými osobami a než subjektu údajů zaslal dopis, v němž konstatoval, že se dopustil protiprávního jednání (v tomto smyslu viz bod 141 tohoto rozsudku).
126 Z toho vyplývá, že věc, ve které byl vydán rozsudek ze dne 30. dubna 2024, La Quadrature du Net a další (Osobní údaje a boj proti porušování práv duševního vlastnictví) (C‑470/21, EU:C:2024:370), se týká přístupu vnitrostátních orgánů k IP adrese pro účely boje proti porušování práv duševního vlastnictví a takový předmět se liší od hromadného shromažďování osobních údajů na cestě z Unie zpravodajskými službami. S ohledem na uvedený rozsudek tedy nelze mít za to, že hromadné shromažďování osobních údajů na cestě z Unie zpravodajskými službami Spojených států vyžaduje předchozí povolení.
127 Tento argument je tedy třeba odmítnout.
3) Ke třetímu argumentu, vycházejícímu z rozsudku ESLP ze dne 25. května 2021, Big Brother Watch a další v. Spojené království (CE:ECHR:2021:0525JUD005817013)
128 V rámci třetího argumentu žalobce v podstatě tvrdí, že v rozsudku ESLP ze dne 25. května 2021, Big Brother Watch a další v. Spojené království (CE:ECHR:2021:0525JUD005817013, dále jen „rozsudek Big Brother Watch“), měl ESLP za to, že masové zachycování osobních údajů musí podléhat předchozímu povolení nezávislého orgánu od okamžiku, kdy jsou vymezeny cíle a rozsah sledování. Žalobce tvrdí, že v projednávaném případě hromadné shromažďování osobních údajů na cestě z Unie zpravodajskými službami Spojených států takovému předchozímu povolení nepodléhá.
129 Komise, podporovaná Irskem a Spojenými státy americkými, s argumentem žalobce nesouhlasí.
130 Je třeba uvést, že věc, ve které byl vydán rozsudek Big Brother Watch, se týkala zejména slučitelnosti britského režimu tajného sledování, který poskytoval zpravodajským službám možnost masového zachycování elektronických komunikací a souvisejících komunikačních údajů, tj. údajů o provozu vztahujících se k zachycovaným komunikacím, které byly v zásadě uskutečňovány mimo Britské ostrovy, s článkem 8 EÚLP.
131 Kromě toho, jak vyplývá z judikatury citované v bodě 29 výše, vzhledem k tomu, že článek 8 EÚLP zakotvuje stejně jako článek 7 Listiny základních práv právo na respektování soukromého a rodinného života, musí být při výkladu rozsahu působnosti článku 7 uvedené Listiny zohledněna judikatura ESLP týkající se článku 8 EÚLP. Z toho vyplývá, že pokud by Tribunál rozhodl, že rozsudek Big Brother Watch je v projednávané věci relevantní, měly by být při výkladu rozsahu působnosti článku 7 této Listiny zohledněny úvahy, které ESLP uvedl v tomto rozsudku, pokud jde o rozsah působnosti článku 8 EÚLP.
132 V tomto ohledu je třeba připomenout, že v rozsudku Big Brother Watch se ESLP vyjádřil k legalitě masového zachycování elektronických komunikací a souvisejících komunikačních údajů, které byly v zásadě uskutečňovány mimo Britské ostrovy, britskými zpravodajskými službami.
133 Jak přitom uvedli účastníci řízení v projednávané věci v odpovědi na organizační procesní opatření a na jednání, úvahy, které ESLP uvedl v rozsudku Big Brother Watch, jsou v projednávané věci relevantní, jelikož masové zachycování osobních údajů, o které se jednalo ve věci, v níž byl vydán uvedený rozsudek, lze považovat za zahrnující hromadné shromažďování údajů, které je předmětem napadeného rozhodnutí.
134 Zaprvé je třeba uvést, že zatímco francouzské znění rozsudku Big Brother Watch používá výraz „interception en masse“ údajů, anglické znění používá výraz „bulk interception“, který přesněji odpovídá francouzskému pojmu „interception en vrac“.
135 Zadruhé na rozdíl od cíleného zachycování údajů ESLP definoval zachycování údajů dotčené v rozsudku Big Brother Watch jako zachycování údajů, které se netýkalo určitých osob, a proto mohlo mít dopad na velký počet osob a souvisejících komunikačních údajů a velmi široký dosah, jelikož umožňovalo zejména shromažďovat informace v rámci zahraničního zpravodajství a odhalovat nové hrozby od známých či neznámých subjektů. Navíc podle uvedeného soudu bylo masové zachycování údajů z důvodu svého účelu spojeného s ochranou národní bezpečnosti zpravidla prováděno příslušnými orgány v utajení, což znamenalo, že tyto orgány o fungování systému zveřejňovaly jen málo informací, nebo dokonce vůbec žádné (v tomto smyslu viz rozsudek Big Brother Watch, bod 322).
136 Zatřetí měl ESLP v rozsudku Big Brother Watch za to, že ačkoli ne všechny režimy masového zachycování údajů byly koncipovány podle stejného modelu a jejich způsoby provádění se mohou měnit bez dodržení přísného chronologického pořadí, masové zachycování údajů je postupným procesem, který v podstatě probíhá v následujících čtyřech fázích (dále jen „fáze zachycování údajů“):
a) masové zachycování a prvotní uchovávání elektronických komunikací velkého počtu osob a souvisejících komunikačních údajů;
b) použití selektorů specifických pro uchovávané komunikace a související komunikační údaje s cílem identifikovat komunikace, které by mohly být předmětem zájmu zpravodajských služeb;
c) přezkum vybraných komunikací a souvisejících komunikačních údajů analytiky;
d) následné uchovávání údajů a jejich použití za účelem jejich zahrnutí do zpravodajské zprávy, jejich předání jiným zpravodajským službám země nebo jejich předání zahraničním zpravodajským službám (v tomto smyslu viz rozsudek Big Brother Watch, body 325 až 329).
137 Z toho vyplývá, že takové hromadné shromažďování osobních údajů, jako je shromažďování, které je předmětem napadeného rozhodnutí, spadá do oblasti působnosti první fáze zachycování údajů, které ESLP vymezil v rozsudku Big Brother Watch, jelikož spočívá ve shromažďování osobních údajů velkého počtu osob na cestě z Unie za účelem ochrany národní bezpečnosti.
138 V této souvislosti je třeba vyvodit důsledky z rozsudku Big Brother Watch v rámci posouzení legality takového rozhodnutí o odpovídající úrovni ochrany přijatého na základě čl. 45 odst. 3 nařízení GDPR, jako je napadené rozhodnutí.
139 V tomto ohledu je zaprvé třeba poznamenat, že ESLP v rozsudku Big Brother Watch upřesnil, že článek 8 EÚLP nezakazuje použití masového zachycování údajů za účelem ochrany národní bezpečnosti nebo jiných základních národních zájmů před vážnými vnějšími hrozbami a že státy mají široký prostor pro uvážení při určování druhu režimu zachycování údajů, který potřebují (rozsudek Big Brother Watch, bod 347).
140 Zadruhé ESLP uvedl, že masové zachycování osobních údajů musí podléhat řadě end-to-end záruk, které společně představují základní pilíř každého systému masového zachycování údajů, a sice:
– získání povolení nezávislého orgánu již od okamžiku, kdy je vymezen cíl a rozsah dotčeného sledování (rozsudek Big Brother Watch, bod 350);
– zavedení systému dohledu a nezávislého soudního přezkumu a posteriori (v tomto smyslu viz rozsudek Big Brother Watch, body 336 a 347);
– stanovení právních pravidel, která zajistí nezbytnost a přiměřenost opatření přijatých v každé fázi zachycování údajů (v tomto smyslu viz rozsudek Big Brother Watch, bod 350); v tomto ohledu uvedený soud připomněl, že zásah do práv zaručených článkem 8 EÚLP může být s ohledem na odstavec 2 tohoto článku odůvodněn pouze tehdy, je-li stanoven zákonem, sleduje jeden nebo více legitimních cílů vyjmenovaných v tomto odstavci a je v demokratické společnosti nezbytný k dosažení těchto cílů; v oblasti tajného sledování přitom předvídatelnost přijatých opatření znamenala, že vnitrostátní právo bylo dostatečně jasné, aby každý mohl odpovídajícím způsobem pochopit okolnosti a podmínky, za nichž jsou orgány veřejné moci oprávněny k takovým opatřením přistoupit (rozsudek Big Brother Watch, body 332 a 333).
141 Zatřetí ESLP uvedl, že ačkoli se článek 8 EÚLP vztahuje na každou fázi zachycování údajů, potřeba stanovit záruky se zvyšuje s tím, jak proces prochází jednotlivými fázemi, a v důsledku toho se zvyšuje intenzita zásahu do práva na respektování soukromého života. Podle jeho názoru je tedy právě na konci procesu, kdy jsou informace týkající se konkrétní osoby analyzovány nebo kdy je obsah komunikací zkoumán analytikem, více než kdy jindy nezbytná existence záruk (v tomto smyslu viz rozsudek Big Brother Watch, body 330 a 331).
142 Začtvrté měl ESLP za to, že vzhledem k tomu, že v praxi není možné zahrnout do rozsahu předchozího povolení všechny selektory používané zpravodajskými službami k filtrování shromažďovaných sdělení, měl by být rozsah působnosti tohoto povolení omezen tak, aby zahrnoval alespoň ty typy nebo kategorie selektorů, které mají být použity (rozsudek Big Brother Watch, bod 354).
143 V projednávané věci je třeba připomenout, jak rozhodl Soudní dvůr v rozsudcích Schrems I a Schrems II, že Komise není povinna ujistit se v rámci rozhodnutí o odpovídající úrovni ochrany o tom, že relevantní ustanovení třetí země jsou totožná s ustanoveními platnými v Unii, ale o tom, že jsou v zásadě rovnocenná (viz body 19 a 20 výše).
144 Na druhou stranu je třeba konstatovat, že vzhledem k tomu, že hromadné shromažďování osobních údajů prováděné zpravodajskými službami Spojených států, které je v rámci projednávaného sporu zpochybňováno, lze přirovnat k zachycování údajů prováděnému v rámci první z fází zachycování údajů, které ESLP přiblížil ve věci Big Brother Watch, potřeba stanovit pro tuto konkrétní fázi hromadného shromažďování záruky omezující diskreční pravomoc zpravodajských služeb je omezenější vzhledem ke kontextu, v němž je zachycování údajů prováděno. V projednávané věci se totiž jedná pouze o prvotní hromadné zachycování osobních údajů zpravodajskými službami, s vyloučením následných činností, které nejsou předmětem této žaloby a mohly by případně spočívat v použití konkrétních selektorů, ve zkoumání shromážděných údajů a v jejich následném použití nebo sdělení.
145 Z toho vyplývá, že stanovení předchozího povolení není jedinou zárukou, která musí být poskytnuta v souvislosti s masovým zachycováním osobních údajů, ale představuje jeden z prvků, které společně představují základní pilíř každého režimu masového zachycování údajů. V tomto ohledu je třeba připomenout, že platné právo Spojených států stanoví právní pravidla, která dostatečně jasně a přesně ohraničují provádění hromadného shromažďování osobních údajů zpravodajskými službami Spojených států (viz body 107 až 116 výše), a přiznává subjektům, jichž se předání jejich údajů týká, právo na účinnou soudní ochranu před DPRC (viz body 33 až 63 výše). Kromě toho body 162 až 169 odůvodnění napadeného rozhodnutí uvádějí, aniž to žalobce zpochybňuje, že zpravodajské činnosti prováděné zpravodajskými službami jsou kontrolovány výborem PCLOB, který byl, jak vyplývá z bodu 54 výše, na základě zakládajícího statutu koncipován jako nezávislá agentura. Stejně tak uvedené činnosti podléhají dohledu zaprvé ze strany právních úředníků na vyšší úrovni a úředníků, kteří jsou v rámci každé zpravodajské služby odpovědní za dohled a dodržování uvedeného práva, zadruhé ze strany nezávislého generálního inspektora pověřeného pro každou zpravodajskou službu dohledem nad zahraničními zpravodajskými činnostmi vykonávanými dotčenou službou a zatřetí ze strany Intelligence Oversight Board (Výbor pro dohled nad zpravodajstvím, Spojené státy), který je zřízený v rámci President’s Intelligence Advisory Board (Poradní výbor prezidenta pro zpravodajství, Spojené státy) a je povinen dohlížet na dodržování právních předpisů orgány Spojených států, jakož i začtvrté ze strany zvláštních výborů zřízených v rámci Kongresu Spojených států, které mají odpovědnost za dohled nad veškerou zahraniční zpravodajskou činností této země.
146 S ohledem na tyto úvahy nelze dospět k závěru, že skutečnost, že nebylo stanoveno předchozí povolení vztahující se na prvotní hromadné shromažďování osobních údajů na cestě z Unie zpravodajskými službami Spojených států, postačuje k závěru, že právo Spojených států neposkytuje ve světle poznatků vyvozených z rozsudku Big Brother Watch záruky, které jsou v zásadě rovnocenné zárukám stanoveným unijním právem.
147 Tento argument je tedy třeba odmítnout.
4) Ke čtvrtému argumentu založenému na stanovisku Evropského inspektora ochrany údajů 5/2023
148 V rámci čtvrtého argumentu žalobce tvrdí, že Evropský sbor pro ochranu osobních údajů (dále jen „sbor“) ve stanovisku č. 5/2023 k návrhu prováděcího rozhodnutí Evropské komise o odpovídající ochraně osobních údajů podle rámce EU – USA pro ochranu údajů ze dne 28. února 2023 (dále jen „stanovisko 5/2023“) zdůraznil, že je důležité, aby hromadné shromažďování osobních údajů podléhalo předchozímu povolení. Žalobce tvrdí, že v projednávaném případě hromadné shromažďování osobních údajů na cestě z Unie zpravodajskými službami Spojených států předchozímu povolení nepodléhá.
149 Komise, podporovaná Irskem a Spojenými státy americkými, s argumentem žalobce nesouhlasí.
150 Je třeba poznamenat, že stanovisko 5/2023 vydal sbor na základě čl. 70 odst. 1 písm. s) nařízení GDPR. Toto ustanovení stanoví, že sbor může z vlastního podnětu nebo na žádost Komise poskytnout Komisi stanovisko pro posouzení odpovídající úrovně ochrany zajištěné ve třetí zemi.
151 Při jednání na základě čl. 70 odst. 1 nařízení GDPR se však sbor omezuje na poskytování poradenství prostřednictvím vypracovávání stanovisek, pokynů, doporučení a doporučení osvědčených postupů, které nemají závazné právní účinky (v tomto smyslu viz usnesení předsedy Soudního dvora ze dne 29. listopadu 2023, EIOÚ v. SRB, C‑413/23 P, nezveřejněné, EU:C:2023:1036, bod 11). Toto stanovisko tedy není pro Komisi závazné a ta může i nadále volně posoudit, zda právo této země obecně poskytuje úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené unijním právem, pokud jde o hromadné shromažďování osobních údajů. V každém případě je třeba konstatovat, že sbor v uvedeném stanovisku neuvedl, že by nezavedení předchozího přezkumu týkajícího se hromadného shromažďování osobních údajů nutně zpochybnilo kladné posouzení odpovídající úrovně ochrany osobních údajů poskytované rámcem pro ochranu údajů, které provedla Komise. Naproti tomu v bodě 165 téhož stanoviska uvedl, že toto posouzení závisí na všech okolnostech případu, a zejména na zavedení soudního přezkumu a posteriori a mechanismu opravných prostředků Spojenými státy americkými.
152 V této souvislosti stanovisko 5/2023 neumožňuje mít za to, že hromadné shromažďování osobních údajů na cestě z Unie zpravodajskými službami Spojených států musí podléhat předchozímu povolení a že ochrana poskytovaná touto zemí není v zásadě rovnocenná ochraně, která je zaručena unijním právem.
153 Tento argument, a tudíž i druhou výtku druhého žalobního důvodu, je třeba v plném rozsahu zamítnout.
d) Ke třetí výtce druhého žalobního důvodu, podle které dekret E. O. 14086 poskytuje prezidentovi Spojených států pravomoc povolit utajenou aktualizaci konkrétních cílů hromadného shromažďování
154 V rámci třetí výtky druhého žalobního důvodu žalobce tvrdí, že Komise porušila články 7 a 8 Listiny základních práv, když měla v napadeném rozhodnutí za to, že Spojené státy americké poskytují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené unijním právem na základě nařízení GDPR vykládaného ve světle uvedené Listiny, navzdory skutečnosti, že dekret E. O. 14086 poskytuje prezidentovi Spojených států z důvodů národní bezpečnosti možnost povolit utajenou aktualizaci konkrétních cílů hromadného shromažďování. Konkrétně má za to, že na rozdíl od toho, co bylo rozhodnuto v rozsudku ESLP ze dne 4. prosince 2015, Roman Zacharov v. Rusko (CE:ECHR:2015:1204JUD004714306, dále jen „rozsudek Zacharov“), přisouzení pravomoci aktualizovat tyto konkrétní cíle uvedenému prezidentovi neumožňuje subjektům dotčeným předáváním osobních údajů přesně určit právní rámec, v němž jsou tyto údaje ve Spojených státech zpracovávány.
155 Komise, podporovaná Irskem a Spojenými státy americkými, s argumenty žalobce nesouhlasí.
156 Je třeba poznamenat, že v rozsudku Zacharov měl ESLP za to, že zásah do základního práva na respektování soukromého a rodinného života může být s ohledem na čl. 8 odst. 2 EÚLP odůvodněn pouze tehdy, je-li stanoven zákonem (rozsudek Zacharov, bod 227). Podle uvedeného soudu přitom výraz „stanoven zákonem“ znamená, že sporné opatření musí být přístupné subjektu údajů a musí být předvídatelné, pokud jde o jeho účinky (rozsudek Zacharov, bod 228). Pokud jde o zachycování komunikace, „předvídatelnost“ neznamená, že jednotlivec musí být schopen předvídat, kdy orgány pravděpodobně zachytí jeho komunikaci, ale že omezení jeho práva na respektování soukromého a rodinného života v zásadě musí vyplývat z jasných pravidel (rozsudek Zacharov, bod 229).
157 Je třeba rovněž připomenout, že v souladu s judikaturou uvedenou v bodě 29 výše, vzhledem k tomu, že článek 8 EÚLP zakotvuje stejně jako článek 7 Listiny základních práv právo na respektování soukromého a rodinného života, musí být při výkladu článku 7 uvedené Listiny zohledněna, jako v projednávaném případě, judikatura ESLP týkající se článku 8 EÚLP včetně rozsudku Zacharov.
158 V tomto ohledu z oddílu 2 písm. c) bodu ii) bodu C) dekretu E. O. 14086 vyplývá, že možnost poskytnutá prezidentovi Spojených států aktualizovat seznam konkrétních cílů hromadného shromažďování osobních údajů není neomezená, ale omezuje se pouze na případy, kdy je tato aktualizace nezbytná z důvodu nových požadavků národní bezpečnosti, jako jsou nové hrozby nebo větší hrozby pro národní bezpečnost, pro které by mohlo být hromadné shromažďování osobních údajů využito. Z tohoto ustanovení navíc vyplývá, a Spojené státy americké to na jednání potvrdily, že aktualizace uvedených konkrétních cílů tímto prezidentem není utajená, ale je zveřejněna ředitelem národních zpravodajských služeb, pokud tento prezident nerozhodne, že by to samo o sobě představovalo riziko pro národní bezpečnost této země. Kromě toho i v tomto případě podléhá hromadné shromažďování všem zárukám a omezením stanoveným v dekretu E. O. 14086, a pokud subjekt údajů podá stížnost týkající se osobních údajů, je tato stížnost předmětem kontroly ze strany úředníka CLPO a případně přezkumu ze strany DPRC.
159 V této souvislosti nelze mít za to, že možnost poskytnutá prezidentovi Spojených států aktualizovat seznam konkrétních cílů hromadného shromažďování je v rozporu s požadavky stanovenými ESLP v rozsudku Zacharov.
160 Třetí výtku druhého žalobního důvodu, a tudíž i uvedený žalobní důvod je tedy třeba zamítnout v plném rozsahu.
4. Ke čtvrtému žalobnímu důvodu, vycházejícímu z porušení článku 22 nařízení GDPR
161 V rámci čtvrtého žalobního důvodu žalobce tvrdí, že Komise porušila článek 22 nařízení GDPR, jelikož do napadeného rozhodnutí nevložila žádné ustanovení, které by zakotvovalo právo subjektů údajů nebýt předmětem rozhodnutí založených výhradně na automatizovaném zpracování osobních údajů, včetně profilování, které pro ně mají právní účinky nebo se jich významně dotýkají (dále jen „plně automatizovaná rozhodnutí“).
162 Úvodem je třeba poznamenat, že článek 22 nařízení GDPR zní takto:
„1. Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
2. Odstavec 1 se nepoužije, pokud je rozhodnutí:
a) nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů;
b) povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo
c) založeno na výslovném souhlasu subjektu údajů.“
163 Je třeba rovněž poznamenat, že pojem „profilování“ uvedený v čl. 22 odst. 1 nařízení GDPR je definován v čl. 4 odst. 4 téhož nařízení jako „jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu“.
164 Z toho vyplývá, že podle článku 22 nařízení GDPR má každý subjekt údajů právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů, včetně případů, kdy toto opatření spočívá v analýze a odhadu určitých aspektů jeho chování.
165 Z napadeného rozhodnutí přitom vyplývá, že se konkrétně nezabývá otázkou týkající se plně automatizovaných rozhodnutí.
166 Je tedy třeba rozhodnout, zda takové opomenutí může ovlivnit legalitu napadeného rozhodnutí v rozsahu, v němž by mohlo zpochybnit závěr uvedený v článku 1 uvedeného rozhodnutí, podle kterého Spojené státy americké poskytují odpovídající úroveň ochrany osobních údajů.
167 V tomto kontextu je třeba analyzovat tři výtky vznesené žalobcem na podporu čtvrtého žalobního důvodu, přičemž je třeba začít první a třetí výtkou, které je třeba zkoumat společně.
a) K první a třetí výtce čtvrtého žalobního důvodu, podle nichž jednak skutečnost, že plně automatizovaná rozhodnutí jsou obvykle přijímána správci údajů, kteří vzhledem k tomu, že jsou usazeni v Unii, podléhají nařízení GDPR, neposkytuje žádnou záruku, pokud jde o jiné případy, a jednak skutečnost, že právo Spojených států stanoví odvětvovou ochranu v případech, kdy přijímání plně automatizovaných rozhodnutí nespadá do oblasti působnosti uvedeného nařízení, je v projednávané věci irelevantní
168 V rámci první a třetí výtky čtvrtého žalobního důvodu žalobce tvrdí, že skutečnost, že plně automatizovaná rozhodnutí jsou obvykle přijímána správci údajů, kteří vzhledem k tomu, že jsou usazeni v Unii, podléhají nařízení GDPR, neposkytuje žádnou záruku, pokud jde o jiné případy. Dále uvádí, že okolnost, že právo Spojených států stanoví odvětvovou ochranu v případech, kdy přijímání takových rozhodnutí nespadá do oblasti působnosti uvedeného nařízení, je v projednávané věci irelevantní, jelikož tato okolnost neumožňuje dospět k obecnému závěru, že ochrana, kterou tato země poskytuje všem plně automatizovaným rozhodnutím, je rovnocenná ochraně, která je zaručena článkem 22 tohoto nařízení.
169 Komise, podporovaná Irskem a Spojenými státy americkými, s argumenty žalobce nesouhlasí.
170 Je třeba uvést, že z bodu 33 odůvodnění napadeného rozhodnutí vyplývá, že v případě předání osobních údajů z Unie do Spojených států je třeba rozlišovat tři případy, pokud jde o přijímání plně automatizovaných rozhodnutí.
171 Zaprvé plně automatizovaná rozhodnutí může přijímat správce údajů usazený v Unii, který v Unii shromáždil osobní údaje subjektů údajů. V tomto ohledu je třeba poznamenat, že čl. 4 odst. 7 nařízení GDPR definuje správce údajů jako fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. V takovém případě platí, že pokud se podle čl. 3 odst. 1 uvedeného nařízení na správce údajů toto nařízení vztahuje, musí v případě takových rozhodnutí splnit požadavky stanovené v článku 22 uvedeného nařízení.
172 Zadruhé plně automatizovaná rozhodnutí může přijímat buď zpracovatel usazený ve třetí zemi jednající jménem správce údajů usazeného v Unii, který mu předal osobní údaje, jež shromáždil v Unii, anebo následný zpracovatel jednající jménem zpracovatele usazeného v Unii, který mu předal údaje, jež shromáždil v Unii. V tomto ohledu je třeba upřesnit, že čl. 4 odst. 8 nařízení GDPR definuje zpracovatele jako fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt, který zpracovává osobní údaje pro správce. V těchto případech, pokud zahraniční zpracovatelé jednají jménem správce údajů nebo zpracovatele usazených v Unii, uvedené nařízení se na ně vztahuje na základě jeho čl. 3 odst. 1. Pokud jde o taková rozhodnutí, správce údajů a zpracovatel tedy musí splňovat požadavky stanovené v článku 22 téhož nařízení.
173 Zatřetí plně automatizovaná rozhodnutí mohou být přijímána správcem údajů nebo zpracovatelem, kteří nejsou usazeni v Unii, ale obrací se na subjekty údajů, které se nacházejí v Unii, tak, že jim nabízí zboží nebo služby nebo sledují jejich chování. V takovém případě přitom čl. 3 odst. 2 nařízení GDPR stanoví, že se na správce údajů a zahraničního zpracovatele vztahuje uvedené nařízení. Pokud jde o plně automatizovaná rozhodnutí, musí tedy splňovat požadavky stanovené v článku 22 uvedeného nařízení.
174 Z napadeného rozhodnutí tudíž vyplývá, že případy, kdy plně automatizovaná rozhodnutí nespadají do oblasti působnosti článku 22 nařízení GDPR, jsou okrajové a omezují se na případ, kdy organizace určené na základě rámce pro ochranu údajů shromažďují osobní údaje přímo v Unii, avšak nenabízejí občanům Unie zboží nebo služby a nesledují jejich chování ve smyslu čl. 3 odst. 2 uvedeného nařízení.
175 Z bodů 35 a 36 odůvodnění napadeného rozhodnutí přitom vyplývá, aniž to žalobce zpochybňuje, že v těchto případech poskytuje právo Spojených států odvětvovou ochranu podobnou ochraně, kterou stanoví nařízení GDPR v takových oblastech, jako jsou poskytování úvěrů, nabídky hypotečních úvěrů, rozhodnutí o přijetí do zaměstnání, zaměstnání, bydlení a pojištění, v nichž je pravděpodobnější, že organizace určené na základě rámce pro ochranu údajů přijmou plně automatizovaná rozhodnutí.
176 V oblasti spotřebitelských úvěrů Fair Credit Reporting Act (zákon o spravedlivém informování o úvěrové spolehlivosti) a Equal Credit Opportunity Act (zákon o rovné příležitosti k získání úvěru) obsahují záruky, které spotřebitelům poskytují určitou formu práva na vysvětlení a práva napadnout plně automatizovaná rozhodnutí. Tyto zákony mají význam v celé řadě oblastí, jako jsou úvěry, zaměstnání, bydlení a pojištění. Kromě toho hlava VII Civil Rights Act (zákon o občanských právech) a Fair Housing Act (zákon o spravedlivém bydlení), poskytují fyzickým osobám ochranu před modely používanými v plně automatizovaných rozhodnutích, které by mohly vést k diskriminaci na základě určitých prvků, a přiznávají jim právo napadnout taková rozhodnutí. Kromě toho, pokud jde o zdravotní informace, pravidla přijatá orgány Spojených států podle Health Insurance Portability and Accountability Act (zákon o přenositelnosti zdravotního pojištění a o související odpovědnosti) vyžadují, aby poskytovatelé zdravotní péče obdrželi informace, které jim umožní informovat fyzické osoby o systémech automatizovaného rozhodování používaných ve zdravotnictví.
177 V tomto kontextu na rozdíl od toho, co tvrdí žalobce, nelze mít za to, že odvětvová ochrana stanovená právem Spojených států je v projednávané věci irelevantní z důvodu, že nemá stejnou obecnou působnost jako článek 22 nařízení GDPR.
178 V tomto ohledu je třeba připomenout, že v rozsudcích Schrems I a Schrems II Soudní dvůr rozhodl, že výraz „odpovídající úroveň ochrany“ uvedený v čl. 45 odst. 1 nařízení GDPR nevyžaduje, aby dotyčná třetí země zajišťovala stejnou úroveň ochrany, jako je úroveň zajištěná v unijním právním řádu, a musí být chápán v tom smyslu, že vyžaduje, aby tato třetí země skutečně zajišťovala na základě vnitrostátních předpisů nebo svých mezinárodních závazků takovou úroveň ochrany základních práv a svobod, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii na základě uvedeného nařízení ve spojení s Listinou základních práv (viz body 19 a 20 výše).
179 Kromě toho Soudní dvůr v rozsudku Schrems I rozhodl, že i když se prostředky použité třetí zemí k zajištění odpovídající úrovně ochrany osobních údajů mohou lišit od prostředků zavedených v rámci Unie, musí se přesto tyto prostředky v praxi ukázat jako účinné k zajištění ochrany, která je v zásadě rovnocenná ochraně zaručené v rámci Unie (viz bod 20 výše).
180 S ohledem na všechny tyto úvahy je třeba první a třetí výtku čtvrtého žalobního důvodu zamítnout.
b) Ke druhé výtce čtvrtého žalobního důvodu, podle níž studie zadaná Komisí v roce 2018, která prokazuje okrajovou povahu případů, kdy organizace usazené ve Spojených státech, které přistoupily ke štítu na ochranu soukromí, přijímaly plně automatizovaná rozhodnutí, je v projednávané věci irelevantní
181 V rámci druhé výtky čtvrtého žalobního důvodu žalobce tvrdí, že skutečnost, že studie týkající se plně automatizovaných rozhodnutí, citovaná v bodě 34 odůvodnění napadeného rozhodnutí, kterou si Komise objednala v roce 2018 a jejíž výsledky jsou uvedeny v bodě 4.1.5 zprávy Komise Evropskému parlamentu a Radě COM(2018) 860 final ze dne 19. prosince 2018 o druhém každoročním přezkumu fungování štítu na ochranu soukromí (dále jen „studie z roku 2018“), dospěla k závěru, že neexistují důkazy o tom, že byla přijata plně automatizovaná rozhodnutí organizacemi usazenými ve Spojených státech, které přistoupily ke štítu na ochranu soukromí, je v projednávané věci irelevantní. Konkrétně tvrdí, že uvedená studie odkazuje na rozhodnutí o odpovídající úrovni ochrany týkající se štítu na ochranu soukromí, které Soudní dvůr zrušil v rozsudku Schrems II, a že nezohledňuje současnou situaci, která se vyznačuje extrémně rychlým rozvojem plně automatizovaných služeb založených na umělé inteligenci.
182 Komise, podporovaná Irskem a Spojenými státy americkými, s argumenty žalobce nesouhlasí.
183 Ze studie z roku 2018 zejména vyplývá, že žádný údaj v té době nenaznačoval, že společnosti usazené ve Spojených státech, které se připojily ke štítu na ochranu soukromí, přijímaly plně automatizovaná rozhodnutí, a dále že Spojené státy americké zavedly odvětvové právní předpisy v takových oblastech, jako jsou spotřebitelské úvěry, zaměstnání, bydlení, pojištění a zdraví, v nichž je pravděpodobnější, že budou přijata plně automatizovaná rozhodnutí.
184 V tomto ohledu je třeba zaprvé poznamenat, že studie z roku 2018 není uvedena v rozhodnutí o odpovídající úrovni ochrany týkající se štítu na ochranu soukromí a byla Komisí objednána po vstupu uvedeného rozhodnutí v platnost. Skutečnost, že toto rozhodnutí bylo Soudním dvorem zrušeno v rozsudku Schrems II, je tedy v projednávané věci irelevantní. V rozsudku Schrems II Soudní dvůr navíc uvedené rozhodnutí nezrušil na základě skutečností uvedených v uvedené studii.
185 Zadruhé je pravda, že studie z roku 2018 nezohlednila skutkovou a právní situaci existující ve Spojených státech v roce 2023, ke dni přijetí napadeného rozhodnutí, ale situaci existující v roce 2018, kdy byla vypracována. Okrajová povaha případů, kdy organizace usazené ve Spojených státech, které přistoupily ke štítu na ochranu soukromí, přijímaly plně automatizovaná rozhodnutí, však byla potvrzena zprávou Komise Evropskému parlamentu a Radě COM(2019) 495 final ze dne 23. října 2019 o třetím každoročním přezkumu fungování štítu na ochranu soukromí. V této zprávě bylo totiž zejména uvedeno, že počet organizací usazených ve Spojených státech a zapojených do štítu na ochranu soukromí, které přijímaly plně automatizovaná rozhodnutí, je omezený a rozhodnutí přijímaná těmito organizacemi nemívají obecně žádné právní účinky a nevyvolávají žádné jiné účinky vůči subjektům údajů.
186 Zatřetí je třeba poznamenat, že žalobce v písemných podáních nepředložil žádný důkaz umožňující mít za to, že po dokončení studie z roku 2018 přijímaly organizace usazené ve Spojených státech plně automatizovaná rozhodnutí a právně dostačujícím způsobem nevysvětlil, proč by vývoj umělé inteligence měl uvedenou studii zbavit relevance.
187 V této souvislosti je třeba druhou výtku čtvrtého žalobního důvodu, a tudíž i uvedený žalobní důvod v plném rozsahu zamítnout.
5. K pátému žalobnímu důvodu, vycházejícímu z porušení článku 32 nařízení GDPR ve spojení s čl. 45 odst. 2 téhož nařízení
188 V rámci pátého žalobního důvodu žalobce tvrdí, že Komise porušila článek 32 nařízení GDPR ve spojení s čl. 45 odst. 2 téhož nařízení, jelikož měla v napadeném rozhodnutí za to, že Spojené státy americké poskytují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii, pokud jde o zavedení vhodných technických a organizačních opatření k zajištění bezpečnosti zpracování osobních údajů předávaných z Unie do této země správci údajů a zpracovateli usazenými ve Spojených státech.
189 V tomto ohledu žalobce zaprvé tvrdí, že bod II.4 písm. a) přílohy 1 napadeného rozhodnutí pouze stanoví, že organizace určené na základě rámce pro ochranu údajů musí přijmout přiměřená a vhodná bezpečnostní opatření výlučně při vytváření, uchovávání, používání nebo šíření osobních údajů. Pokud tyto organizace nahlíží do osobních údajů pocházejících z Unie, žádné bezpečnostní opatření podle něj tedy není vyžadováno. Žalobce uvádí, že nahlížení do údajů je přesto jednou z operací zahrnutých do pojmu „zpracování“ osobních údajů uvedeného v čl. 4 odst. 2 nařízení GDPR.
190 Zadruhé žalobce tvrdí, že bod III.6 písm. f) přílohy 1 napadeného rozhodnutí stanoví povinnost organizací usazených ve Spojených státech, které vystoupí z rámce pro ochranu údajů, nadále dodržovat zásady uvedené v tomto rozhodnutí, včetně zásad týkajících se bezpečnosti zpracování po dobu, kdy uchovávají, používají nebo zpřístupňují osobní údaje předávané z Unie do Spojených států, ale nestanoví takovou povinnost, pokud tytéž organizace nahlížejí do osobních údajů.
191 Komise, podporovaná Irskem a Spojenými státy americkými, s argumenty žalobce nesouhlasí.
192 Úvodem je třeba nejprve poznamenat, že článek 32 nařízení GDPR zní následovně:
„1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:
a) pseudonymizace a šifrování osobních údajů;
b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
2. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.“
193 Dále pojem „zpracování“ uvedený v článku 32 nařízení GDPR je definován v čl. 4 odst. 2 téhož nařízení jako „jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení“.
194 Podle judikatury zejména z výrazu „jakákoliv operace“ uvedeného v čl. 4 odst. 2 nařízení GDPR vyplývá, že unijní normotvůrce měl v úmyslu koncipovat pojem „zpracování“ široce, což potvrzuje demonstrativní povaha operací vyjmenovaných v uvedeném ustanovení, která je vyjádřena výrazem „jako je“ (viz rozsudek ze dne 7. března 2024, Endemol Shine Finland, C‑740/22, EU:C:2024:216, bod 29 a citovaná judikatura).
195 Konečně je třeba uvést, že mezi prvky, které musí Komise zohlednit při posuzování úrovně ochrany poskytované třetí zemí podle čl. 45 odst. 2 písm. a) nařízení GDPR, patří bezpečnostní opatření týkající se osobních údajů prováděná touto zemí.
196 V tomto kontextu je třeba přezkoumat společně oba argumenty vznesené žalobcem na podporu tohoto žalobního důvodu.
197 V tomto ohledu je třeba připomenout, že bod II.4 písm. a) přílohy 1 napadeného rozhodnutí zní takto:
„Organizace, které vytvářejí, uchovávají, používají nebo šíří osobní údaje, musí přijmout přiměřená a vhodná opatření, aby zabránily jejich ztrátě, zneužití a neoprávněnému přístupu k nim, jejich zpřístupnění, změně nebo zničení; přitom patřičně přihlédnou k rizikům vyplývajícím ze zpracování a k povaze osobních údajů.“
198 Dále bod III.6 písm. f) přílohy 1 napadeného rozhodnutí zní takto:
„Organizace musí těmto zásadám podrobit všechny osobní údaje přijaté z EU na základě [rámce pro ochranu údajů]. Závazek dodržovat zásady není ve vztahu k osobním údajům, které organizace obdržela v době, v níž požívá výhod [rámce pro ochranu údajů], časově omezen; tento závazek znamená, že se na takové údaje nadále vztahují zásady tak dlouho, dokud je organizace uchovává, používá nebo zpřístupňuje, a to i v případě, že následně z jakéhokoli důvodu [rámec pro ochranu údajů] opustí.“
199 Z toho vyplývá, že bod II.4 písm. a) a bod III.6 písm. f) přílohy 1 napadeného rozhodnutí se netýkají jakékoli formy zpracování osobních údajů ve smyslu čl. 4 odst. 2 nařízení GDPR. První z uvedených bodů naproti tomu omezuje povinnost organizací určených na základě rámce pro ochranu údajů přijímat bezpečnostní opatření pouze na případy, kdy vytvářejí, uchovávají, používají nebo šíří osobní údaje. Kromě toho druhý z uvedených bodů stanoví, že organizace, které opouští rámec pro ochranu údajů, musí nadále uplatňovat zásady obsažené v napadeném rozhodnutí, dokud uchovávají, používají nebo zpřístupňují osobní údaje předávané z Unie do Spojených států.
200 Zaprvé je přitom třeba připomenout, že v rozsudcích Schrems I a Schrems II měl Soudní dvůr za to, že není nezbytné, aby třetí země zajišťovala stejnou právní ochranu, jako je právní ochrana zaručená v unijním právním řádu (viz body 19 a 20 výše). Z toho vyplývá, že pokud má Komise v napadeném rozhodnutí za to, že právo Spojených států platné v okamžiku přijetí tohoto rozhodnutí zaručuje úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany stanovené unijním právem, není nezbytné, aby uvedené rozhodnutí obsahovalo naprosto stejné znění, jaké je uvedeno v nařízení GDPR.
201 Zadruhé zásady uvedené v bodě II.4 písm. a) přílohy 1 napadeného rozhodnutí musí být vykládány ve světle skutečností uvedených v bodě 23 odůvodnění uvedeného rozhodnutí, který podobně jako článek 32 nařízení GDPR stanoví následující:
„Osobní údaje by také měly být zpracovávány způsobem, který zajišťuje jejich zabezpečení, včetně ochrany před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Za tímto účelem by správci a zpracovatelé měli přijmout vhodná technická nebo organizační opatření na ochranu osobních údajů před možnými hrozbami. Tato opatření by měla být posuzována s přihlédnutím ke stavu techniky, souvisejícím nákladům a k povaze, rozsahu, kontextu a účelům zpracování i k rizikům pro práva fyzických osob.“
202 Zatřetí je třeba uvést, že výrazy „vytvářet“, „uchovávat“, „používat“ a „šířit“ obsažené v bodě II.4 písm. a) přílohy 1 napadeného rozhodnutí, jakož i výrazy „uchovávat“, „používat“ a „zpřístupňovat“ obsažené v bodě III.6 písm. f) téže přílohy představují zvláštní projevy operace spočívající ve „zpracování“ osobních údajů ve smyslu článku 32 nařízení GDPR a stejně jako toto nařízení mají zahrnovat širokou škálu operací týkajících se osobních údajů.
203 Začtvrté výraz „používat“, který je obsažen jak v bodě II.4 písm. a) přílohy 1 napadeného rozhodnutí, tak v bodě III.6 písm. f) téže přílohy, je definován jako použití něčeho pro konkrétní účel nebo užití. Z tohoto hlediska použití osobních údajů zahrnuje nahlížení do nich, neboť k tomu, aby mohly být údaje použity, je již z povahy věci nezbytné mít k nim nejprve přístup, a tedy do nich nahlížet. Z toho vyplývá, že argument žalobce, podle kterého napadené rozhodnutí nevyžaduje žádné bezpečnostní opatření pro případy, kdy organizace určené na základě rámce pro ochranu údajů nahlížejí do osobních údajů pocházejících z Unie, není opodstatněný.
204 S ohledem na všechny tyto skutečnosti je třeba zamítnout pátý žalobní důvod, a tudíž i žalobu v plném rozsahu.
IV. K nákladům řízení
205 Podle čl. 134 odst. 1 jednacího řádu se účastníku řízení, který neměl úspěch ve věci, uloží náhrada nákladů řízení, pokud to účastník řízení, který měl ve věci úspěch, požadoval.
206 Vzhledem k tomu, že Komise požadovala, aby byla žalobci uložena náhrada nákladů řízení, a žalobce neměl ve věci úspěch, je důvodné mu uložit, že ponese vlastní náklady řízení a nahradí náklady řízení vynaložené Komisí, a to včetně nákladů vzniklých v rámci řízení o předběžném opatření.
207 Kromě toho podle čl. 138 odst. 1 jednacího řádu nesou členské státy a orgány, které vstoupily do řízení jako vedlejší účastníci, vlastní náklady řízení. Irsko proto ponese vlastní náklady řízení.
208 Dále podle čl. 138 odst. 3 jednacího řádu může Tribunál rozhodnout, že vlastní náklady řízení nesou i jiní vedlejší účastníci, než jsou účastníci uvedení v odstavcích 1 a 2 tohoto článku. V projednávané věci je třeba rozhodnout, že Spojené státy americké ponesou vlastní náklady řízení.
Z těchto důvodů
TRIBUNÁL (desátý rozšířený senát)
rozhodl takto:
1) Žaloba se zamítá.
2) Philippe Latombe ponese vlastní náklady řízení a nahradí náklady řízení vynaložené Evropskou komisí, včetně nákladů vzniklých v rámci řízení o předběžném opatření.
3) Irsko ponese vlastní náklady řízení.
4) Spojené státy americké ponesou vlastní náklady řízení.
|
Porchia |
Jaeger |
Madise |
|
Nihoul |
Verschuur |
Takto vyhlášeno na veřejném zasedání v Lucemburku dne 3. září 2025.
Podpisy
* Jednací jazyk: francouzština.