ROZSUDEK SOUDNÍHO DVORA (velkého senátu)
16. července 2020 ( *1 )
„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Listina základních práv Evropské unie – Články 7, 8 a 47 – Nařízení (EU) 2016/679 – Článek 2 odst. 2 – Působnost – Předávání osobních údajů do třetích zemí pro obchodní účely – Článek 45 – Rozhodnutí Komise o odpovídající ochraně – Článek 46 – Předávání založené na vhodných zárukách – Článek 58 – Pravomoci dozorových úřadů – Zpracování předávaných údajů orgány veřejné moci třetí země pro účely národní bezpečnosti – Posouzení odpovídající úrovně ochrany ve třetí zemi – Rozhodnutí 2010/87/EU – Standardní doložky o ochraně pro předávání osobních údajů do třetích zemí – Vhodné záruky poskytnuté správcem – Platnost – Prováděcí rozhodnutí (EU) 2016/1250 – Odpovídající úroveň ochrany poskytovaná štítem Evropská unie‑USA na ochranu soukromí – Platnost – Stížnost fyzické osoby, jejíž osobní údaje byly předány z Evropské unie do Spojených států“
Ve věci C‑311/18,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce na základě článku 267 SFEU, podaná rozhodnutím High Court (Vrchní soud, Irsko) ze dne 4. května 2018, došlým Soudnímu dvoru dne 9. května 2018, v řízení
Data Protection Commissioner
proti
Facebook Ireland Ltd,
Maximillianu Schremsovi,
za účasti:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance Inc.,
Digitaleurope,
SOUDNÍ DVŮR (velký senát),
ve složení K. Lenaerts, předseda, R. Silva de Lapuerta, místopředsedkyně, A. Arabadžev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P. G. Xuereb, L. S. Rossi a I. Jarukaitis, předsedové senátů, M. Ilešič, T. von Danwitz (zpravodaj) a D. Šváby, soudci,
generální advokát: H. Saugmandsgaard Øe,
vedoucí soudní kanceláře: C. Strömholm, radová,
s přihlédnutím k písemné části řízení a po jednání konaném dne 9. července 2019,
s ohledem na vyjádření předložená:
– |
za Data Protection Commissioner D. Youngem, solicitor, B. Murrayem, SC, M. Collinsem, SC, a C. Donnelly, BL, |
– |
za Facebook Ireland Ltd P. Gallagherem a N. Hyland, SC, A. Mulligan a F. Kieranem, BL, jakož i P. Nolanem, C. Monaghanem, C. O’Neillem a R. Woulfem, solicitors, |
– |
za M. Schremse H. Hofmannem, Rechtsanwalt, E. McCulloughem, J. Dohertym a S. O’Sullivanem, SC, jakož i G. Ruddenem, solicitor, |
– |
za The United States of America E. Barrington, SC, S. Kingston, BL, jakož i S. Bartonem a B. Walshem, solicitors, |
– |
za Electronic Privacy Information Centre S. Lucey, solicitor, G. Gilmore a A. Butlerem, BL, jakož i C. O’Dwyerem, SC, |
– |
za BSA Business Software Alliance Inc. B. Van Voorenem a K. Van Quathemem, advocaten, |
– |
za Digitaleurope N. Cahill, barrister, J. Cahirem, solicitor, a M. Cushem, SC, |
– |
za Irsko A. Joycem a M. Browne, jako zmocněnci, ve spolupráci s D. Fennellym, BL, |
– |
za belgickou vládu J.-C. Halleuxem a P. Cottinem, jako zmocněnci, |
– |
za českou vládu M. Smolkem, J. Vláčilem, O. Serdulou a A. Kasalickou, jako zmocněnci, |
– |
za německou vládu J. Möllerem, D. Klebsem a T. Henzem, jako zmocněnci, |
– |
za francouzskou vládu A.-L. Desjonquères, jako zmocněnkyní, |
– |
za nizozemskou vládu C. S. Schillemans, M. K. Bulterman a M. Noort, jako zmocněnkyněmi, |
– |
za rakouskou vládu J. Schmoll a G. Kunnertem, jako zmocněnci, |
– |
za polskou vládu B. Majczynou, jako zmocněncem, |
– |
za portugalskou vládu L. Inez Fernandesem, A. Pimenta a C. Vieira Guerra, jako zmocněnci, |
– |
za vládu Spojeného království S. Brandonem, jako zmocněncem, ve spolupráci s J. Holmesem, QC, a C. Knightem, barrister, |
– |
za Evropský parlament M. J. Martínez Iglesias a A. Caiolou, jako zmocněnci, |
– |
za Evropskou komisi D. Nardim, H. Krämerem a H. Kranenborgem, jako zmocněnci, |
– |
za Evropský sbor pro ochranu osobních údajů (EDPB) A. Jelinek a K. Behnem, jako zmocněnci, |
po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 19. prosince 2019,
vydává tento
Rozsudek
1 |
Žádost o rozhodnutí o předběžné otázce se v podstatě týká:
|
2 |
Tato žádost byla předložena v rámci sporu mezi Data Protection Commissioner (komisař pro ochranu údajů, Irsko) (dále jen „komisař“ nebo „komisařka“) na straně jedné a společností Facebook Ireland Ltd a Maximillianem Schremsem na straně druhé týkajícího se stížnosti M. Schremse na předávání jeho osobních údajů společností Facebook Ireland společnosti Facebook Inc. do Spojených států. |
Právní rámec
Směrnice 95/46
3 |
Článek 3 směrnice 95/46, nadepsaný „Oblast působnosti“, v odstavci 2 stanovil: „Tato směrnice se nevztahuje na zpracování osobních údajů:
[…]“ |
4 |
Článek 25 této směrnice stanovil: „1. Členské státy stanoví, že k předávání osobních údajů […] do třetích zemí může dojít, aniž by tím bylo dotčeno dodržování vnitrostátních předpisů přijatých na základě ostatních ustanovení této směrnice, pouze pokud dotyčná třetí země zajistí odpovídající úroveň ochrany. 2. Odpovídající úroveň ochrany poskytovaná třetí zemí se posoudí s ohledem na všechny okolnosti související s předáním nebo předáváním údajů; […] […] 6. Postupem podle čl. 31 odst. 2 Komise může konstatovat, že třetí země zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků sjednaných zejména na závěr jednání uvedených v odstavci 5 s cílem zajistit ochranu soukromí a základních práv a svobod osob. Členské státy přijmou opatření nezbytná pro dosažení souladu s rozhodnutím Komise.“ |
5 |
V článku 26 odst. 2 a 4 uvedené směrnice bylo stanoveno: „2. Aniž je tím dotčen odstavec 1, může členský stát povolit předání nebo předávání osobních údajů do třetí země, která nezajišťuje odpovídající úroveň ochrany ve smyslu čl. 25 odst. 2, pokud správce poskytne dostatečná ochranná opatření [dostatečné záruky] pro ochranu soukromí a základních práv a svobod osob, jakož i pro výkon odpovídajících práv; tato ochranná opatření [tyto záruky] mohou zejména vyplývat z vhodných smluvních doložek. […] 4. Pokud Komise rozhodne postupem podle čl. 31 odst. 2, že některé standardní smluvní doložky představují dostatečná ochranná opatření uvedená [dostatečné záruky uvedené] v odstavci 2, přijmou členské státy opatření nezbytná pro dosažení souladu s rozhodnutím Komise.“ |
6 |
Podle čl. 28 odst. 3 téže směrnice platilo: „Každý orgán dozoru má zejména:
[…]“ |
GDPR
7 |
Směrnice 95/46 byla zrušena a nahrazena nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46 (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, oprava Úř. věst. 2018, L 127, s. 2; dále jen „GDPR“). |
8 |
Body 6, 10, 101, 103, 104, 107 až 109, 114, 116 a 141 odůvodnění GDPR znějí:
[…]
[…]
[…]
[…]
[…]
[…]
[…]
|
9 |
Článek 2 odst. 1 a 2 tohoto nařízení stanoví: „1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. 2. Toto nařízení se nevztahuje na zpracování osobních údajů prováděné:
|
10 |
Článek 4 uvedeného nařízení stanoví: „Pro účely tohoto nařízení se rozumí: […]
[…]
[…]“ |
11 |
Článek 23 téhož nařízení stanoví: „1. Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:
[…] 2. Každé legislativní opatření uvedené v odstavci 1 zejména obsahuje konkrétní ustanovení, alespoň, je-li to relevantní, pokud jde o:
|
12 |
Kapitola V GDPR, nadepsaná „Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím“, obsahuje články 44 až 50 tohoto nařízení. Jeho článek 44, nadepsaný „Obecná zásada pro předávání“, zní: „K jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci. Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena.“ |
13 |
Článek 45 tohoto nařízení, nadepsaný „Předání založené na rozhodnutí o odpovídající ochraně“, v odstavcích 1 až 3 stanoví: „1. Předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení. 2. Při posuzování odpovídající úrovně ochrany vezme Komise v úvahu zejména tyto prvky:
3. Komise může po posouzení odpovídající úrovně ochrany prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku. Uvedený prováděcí akt stanoví mechanismus pro pravidelný přezkum prováděný nejméně každé čtyři roky, který zohlední veškerý relevantní vývoj v dotčené třetí zemi nebo mezinárodní organizaci. Stanoví také svou územní a odvětvovou působnost a případně určí dozorový úřad nebo úřady uvedené v odst. 2 písm. b) tohoto článku. Tento prováděcí akt se přijímá přezkumným postupem podle čl. 93 odst. 2.“ |
14 |
Článek 46 téhož nařízení, nadepsaný „Předávání založené na vhodných zárukách“, v odstavcích 1 až 3 stanoví: „1. Jestliže neexistuje rozhodnutí podle čl. 45 odst. 3, správce nebo zpracovatel mohou předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů. 2. Vhodné záruky uvedené v odstavci 1 mohou být stanoveny, aniž je zapotřebí jakékoli zvláštní povolení dozorového úřadu, pomocí:
3. S výhradou povolení od příslušného dozorového úřadu mohou být vhodné záruky uvedené v odstavci 1 rovněž stanoveny zejména pomocí:
|
15 |
Článek 49 téhož nařízení, nadepsaný „Výjimky pro specifické situace“, zní: „1. Jestliže neexistuje rozhodnutí o odpovídající ochraně podle čl. 45 odst. 3 ani vhodné záruky podle článku 46, včetně závazných podnikových pravidel, může se předání nebo soubor předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze při splnění jedné z následujících podmínek:
Jestliže by některé předání nemohlo být založeno na některém z ustanovení článku 45 nebo 46, včetně ustanovení o závazných podnikových pravidlech, a žádná z výjimek pro specifickou situaci uvedených v prvním pododstavci není použitelná, může k předání do třetí země nebo mezinárodní organizaci dojít pouze tehdy, pokud tento převod není opakovaný, týká se pouze omezeného počtu subjektů údajů, je nezbytný pro účely závažných oprávněných zájmů správce, které nejsou převáženy zájmy nebo právy a svobodami subjektu údajů, a pokud správce posoudil všechny okolnosti daného předání údajů a na základě tohoto posouzení poskytl vhodné záruky pro ochranu osobních údajů. Správce o takovém předání informuje dozorový úřad. Správce musí kromě poskytnutí informací uvedených v článcích 13 a 14 subjekt údajů informovat o předání a o závažných legitimních zájmech, které sledoval. 2. Předmětem předání podle odst. 1 prvního pododstavce písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud tyto osoby mají být příjemcem. 3. Ustanovení odst. 1 prvního pododstavce písm. a), b) a c) a druhého pododstavce se nevztahují na činnosti prováděné orgány veřejné moci při výkonu jejich úředních pravomocí. 4. Veřejný zájem uvedený v odst. 1 prvním pododstavci písm. d) musí být uznáván právem Unie nebo právem členského státu, které se na správce vztahuje. 5. V případě absence rozhodnutí o odpovídající ochraně může právo Unie nebo členského státu z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií osobních údajů do třetí země nebo mezinárodní organizaci. Členské státy ohlásí taková ustanovení Komisi. 6. Správce nebo zpracovatel zaznamená posouzení i vhodné záruky uvedené v odst. 1 druhém pododstavci tohoto článku v záznamech uvedených v článku 30.“ |
16 |
Článek 51 odst. 1 GDPR stanoví: „Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen ‚dozorový úřad‘).“ |
17 |
Článek 55 odst. 1 tohoto nařízení stanoví, že „[k]aždý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením“. |
18 |
Článek 57 odst. 1 uvedeného nařízení stanoví: „Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:
[…]
[…]“ |
19 |
Článek 58 odst. 2 a 4 téhož nařízení stanoví: „2. Každý dozorový úřad má všechny tyto nápravné pravomoci: […]
[…]
[…] 4. Výkon pravomocí svěřených tímto článkem dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou.“ |
20 |
V článku 64 odst. 2 GDPR se uvádí: „Kterýkoli dozorový úřad, předseda [Evropského sboru pro ochranu osobních údajů (dále jen ‚sbor‘)] nebo Komise mohou požádat, aby sbor posoudil jakoukoli záležitost s obecnou působností nebo s účinky ve více než jednom členském státě za účelem získání stanoviska, zejména v případě, kdy příslušný dozorový úřad nesplní povinnosti související se vzájemnou pomocí podle článku 61 nebo se společnými postupy podle článku 62.“ |
21 |
Podle čl. 65 odst. 1 tohoto nařízení platí: „S cílem zajistit, aby toto nařízení bylo v jednotlivých případech správně a důsledně uplatňováno, přijme sbor závazné rozhodnutí v těchto případech: […]
|
22 |
Článek 77 uvedeného nařízení, nadepsaný „Právo podat stížnost u dozorového úřadu“, zní: „1. Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení. 2. Dozorový úřad, kterému byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 78.“ |
23 |
Článek 78 téhož nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči dozorovému úřadu“, v odstavcích 1 a 2 stanoví: „1. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká. 2. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku.“ |
24 |
Článek 94 GDPR zní: „1. Směrnice [95/46] se zrušuje s účinkem ode dne 25. května 2018. 2. Odkazy na zrušenou směrnici se považují za odkazy na toto nařízení. Odkazy na pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízenou článkem 29 směrnice [95/46] se považují za odkazy na Evropský sbor pro ochranu osobních údajů zřízený tímto nařízením.“ |
25 |
Článek 99 tohoto nařízení stanoví: „1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie. 2. Toto nařízení se použije ode dne 25. května 2018.“ |
Rozhodnutí o SSD
26 |
Bod 11 odůvodnění rozhodnutí o SSD zní: „Orgány dozoru členských států hrají v tomto smluvním mechanismu klíčovou úlohu při zajišťování toho, aby osobní údaje byly po předání náležitě chráněny. Ve výjimečných případech, kdy vývozci údajů odmítnou řádně poučit dovozce údajů nebo kdy jej řádně poučit nemohou a kdy subjektům údajů hrozí bezprostřední riziko závažné újmy, by měly standardní smluvní doložky umožňovat orgánům dovozu prověřit dovozce údajů a dílčí zpracovatele a popřípadě přijmout rozhodnutí, která budou pro dovozce údajů a dílčí zpracovatele závazná. Orgány dozoru by měly mít pravomoc zakázat nebo pozastavit [pravomoc trvale nebo dočasně zakázat] předání nebo předávání údajů uskutečněné na základě standardních smluvních doložek ve výjimečných případech, kdy by předávání uskutečněné na smluvním základě mělo pravděpodobně závažný nepříznivý dopad na ochranná opatření [záruky] a povinnosti vztahující se k zajištění odpovídající ochrany subjektu údajů.“ |
27 |
Článek 1 tohoto rozhodnutí stanoví: „Standardní smluvní doložky uvedené v příloze jsou považovány za dostatečná ochranná opatření [za dostatečné záruky] s ohledem na ochranu soukromí a základních práv a svobod jednotlivců, jakož i s ohledem na výkon odpovídajících práv v souladu s čl. 26 odst. 2 směrnice [95/46].“ |
28 |
Podle čl. 2 druhého pododstavce se toto rozhodnutí „vztahuje na předávání osobních údajů správci usazenými v Evropské unii příjemcům usazeným mimo území Evropské unie, kteří působí pouze jako zpracovatelé“. |
29 |
Článek 3 téhož rozhodnutí stanoví: „Pro účely tohoto rozhodnutí se: […]
[…]
[…]“ |
30 |
Článek 4 rozhodnutí 2010/87 v původním znění, účinném před vstupem prováděcího rozhodnutí 2016/2297 v platnost, stanovil: „1. Aniž jsou dotčeny jejich pravomoci přijmout opatření k zajištění dodržování vnitrostátních předpisů přijatých podle kapitol II, III, V a VI směrnice [95/46], mohou příslušné orgány členských států vykonávat své stávající pravomoci zakázat nebo pozastavit [pravomoci dočasně nebo trvale zakázat] toky údajů směřující do třetích zemí, aby tak chránily jednotlivce v souvislosti se zpracováním jejich osobních údajů v případech, kdy:
2. Zákaz či pozastavení podle odstavce 1 musí být odvolány [Trvalý či dočasný zákaz podle odstavce 1 musí být odvolán] ihned poté, co pominou důvody pro zákaz nebo pozastavení [trvalý či dočasný zákaz]. 3. Jakmile členské státy přijmou opatření podle odstavců 1 a 2, informují neprodleně Komisi, která informace předá ostatním členským státům.“ |
31 |
Bod 5 odůvodnění prováděcího rozhodnutí 2016/2297, přijatého po vyhlášení rozsudku ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650), zní: „Rozhodnutí Komise přijaté podle čl. 26 odst. 4 směrnice [95/46] je obdobně závazné pro všechny orgány členských států, kterým je určeno, a to i pro nezávislé orgány dozoru v rozsahu, v němž má za účinek uznání, že předávání osobních údajů, k nimž dochází na základě standardních smluvních doložek stanovených v daném rozhodnutí, představuje dostatečná ochranná opatření požadovaná [dostatečné záruky požadované] v čl. 26 odst. 2 uvedené směrnice. Tato skutečnost nebrání vnitrostátnímu orgánu dozoru, aby vykonával své pravomoci dohledu nad toky údajů, včetně pravomoci předávání osobních údajů dočasně nebo trvale zakázat, jestliže uvedený orgán stanoví, že předávání je prováděno v rozporu s právními předpisy EU na ochranu údajů nebo vnitrostátními právními předpisy na ochranu údajů, jako například, pokud dovozce údajů nedodržuje standardní smluvní doložky.“ |
32 |
V současném znění, změněném prováděcím rozhodnutí 2016/2297, článek 4 rozhodnutí o SSD stanoví: „Pokud příslušné orgány v členských státech uplatní pravomoc podle čl. 28 odst. 3 směrnice [95/46] a to povede k dočasnému nebo trvalému zákazu toku údajů do třetích zemí za účelem ochrany fyzických osob s ohledem na zpracování jejich osobních údajů, oznámí dotčený členský stát tuto skutečnost bezodkladně Komisi, která tyto informace předá ostatním členským státům.“ |
33 |
Příloha rozhodnutí o SSD, nadepsaná „Standardní smluvní doložky (zpracovatelé)“, obsahuje dvanáct standardních doložek. Její doložka 3, nadepsaná „Doložka ve prospěch třetí strany“, stanoví: „1. Subjekty údajů mohou vůči vývozci údajů uplatnit jako oprávněné třetí strany tuto doložku, doložku 4 písm. b) až i), doložku 5 písm. a) až e) a g) až j), doložku 6 odst. 1 a 2, doložku 7, doložku 8 odst. 2 a doložky 9 až 12. 2. Subjekty údajů mohou vůči dovozci údajů uplatnit tuto doložku, doložku 5 písm. a) až e) a g), doložku 6, doložku 7, doložku 8 odst. 2 a doložky 9 až 12 v případech, kdy vývozce údajů fakticky zmizel nebo kdy z právního hlediska zanikl, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů a v důsledku toho přijímá práva a povinnosti vývozce údajů, přičemž v tomto případě je subjekt údajů může uplatňovat vůči tomuto subjektu. […]“ |
34 |
Podle doložky 4 této přílohy, nadepsané „Povinnosti vývozce údajů“, platí: „Vývozce údajů se zavazuje a zaručuje, že:
[…]
[…]“ |
35 |
Doložka 5 uvedené přílohy, nadepsaná „Povinnosti dovozce údajů […]“, stanoví: „Dovozce údajů se zavazuje a zaručuje, že:
[…]
[…]“ |
36 |
V poznámce pod čarou příslušné k nadpisu této doložky 5 se uvádí: „Povinné požadavky vnitrostátních právních předpisů vztahujících se na dovozce údajů, které nepřekračují rámec toho, co je nezbytné v demokratické společnosti, na základě jednoho ze zájmů uvedených v čl. 13 odst. 1 směrnice [95/46], tzn. představují-li opatření nezbytná k zajištění bezpečnosti státu, obrany, veřejné bezpečnosti, předcházení trestným činům a jejich vyšetřování, odhalování a stíhání nebo nedodržování deontologických pravidel pro regulovaná povolání, významného hospodářského nebo finančního zájmu státu nebo ochrany subjektu údajů nebo práv a svobod druhých, nejsou v rozporu se standardními smluvními doložkami. […]“ |
37 |
Doložka 6 přílohy rozhodnutí o SSD, nadepsaná „Odpovědnost“, stanoví: „1. Strany se dohodly, že subjekt údajů, který utrpěl v důsledku porušení povinností uvedených v doložce 3 nebo doložce 11 škodu způsobenou kteroukoli ze stran nebo dílčím zpracovatelem, je oprávněn obdržet od vývozce údajů za utrpěnou škodu náhradu. 2. Nemůže-li subjekt údajů uplatňovat v souladu s odstavcem 1 nárok na odškodnění vůči vývozci údajů pro porušení některé z povinností dovozce údajů nebo jeho dílčího zpracovatele uvedených v doložce 3 a 11, protože vývozce údajů fakticky zmizel, z právního hlediska zanikl nebo je v platební neschopnosti, dovozce údajů se zavazuje, že subjekt údajů smí uplatňovat nároky vůči dovozci údajů, jako by byl vývozcem údajů […] […]“ |
38 |
Doložka 8 této přílohy, nadepsaná „Spolupráce s orgány dozoru“, v odstavci 2 stanoví: „Strany se dohodly, že orgán dozoru má právo provést přezkoumání u dovozce údajů a u případného dílčího zpracovatele, které bude mít stejný rozsah a bude podléhat stejným podmínkám jako přezkoumání u vývozce údajů uskutečněné v souladu s právem rozhodným pro ochranu údajů.“ |
39 |
Doložka 9 uvedené přílohy, nadepsaná „Rozhodné právo“, stanoví, že doložky se řídí právem členského státu, ve kterém je usazen vývozce údajů. |
40 |
Podle doložky 11 téže přílohy, nadepsané „Dílčí zpracování“, platí: „1. Dovozce údajů nezadá externě žádnou ze svých činností spojených se zpracováním údajů, které jsou vykonávány jménem vývozce údajů na základě těchto doložek, bez předchozího písemného souhlasu vývozce údajů. Pokud dovozce údajů se souhlasem vývozce údajů zajišťuje plnění svých povinností podle těchto doložek subdodavatelsky, učiní tak pouze formou písemné dohody s dílčím zpracovatelem, která dílčímu zpracovateli ukládá stejné povinnosti, jako jsou povinnosti dovozce údajů podle těchto doložek […] 2. Předchozí písemná smlouva mezi dovozcem údajů a dílčím zpracovatelem zahrnuje rovněž doložku ve prospěch třetí strany stanovenou v doložce 3 pro případy, kdy subjekt údajů nemůže uplatňovat nárok na odškodnění podle odstavce 1 doložky 6 vůči vývozci údajů nebo dovozci údajů, protože ti fakticky zmizeli nebo z právního hlediska zanikli nebo jsou v platební neschopnosti, ledaže případný nástupnický subjekt převzal na základě smlouvy nebo právních předpisů veškeré právní povinnosti vývozce údajů nebo dovozce údajů. Tato odpovědnost dílčího zpracovatele vůči třetím stranám je omezena na jeho vlastní činnosti spojené se zpracováním údajů podle těchto doložek. […]“ |
41 |
Doložka 12 přílohy rozhodnutí o SSD, nadepsaná „Povinnosti po ukončení poskytování služeb spojených se zpracováním osobních údajů“, v odstavci 1 stanoví: „Strany se dohodly, že po ukončení poskytování služeb spojených se zpracováním údajů dovozce údajů a dílčí zpracovatel podle rozhodnutí vývozce údajů vrátí veškeré předávané osobní údaje a jejich kopie vývozci údajů, nebo provede zničení veškerých osobních údajů a předloží vývozci údajů potvrzení o jejich zničení, pokud právní předpisy vztahující se na dovozce údajů nezakazují dovozci vrácení či zničení všech nebo části předávaných osobních údajů. […]“ |
Rozhodnutí o štítu na ochranu soukromí
42 |
Rozsudkem ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650), Soudní dvůr určil, že rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad bezpečného přístavu a s tím souvisejících často kladených otázek vydaných Ministerstvem obchodu Spojených států (Úř. věst. 2000, L 215, s. 7; Zvl. vyd. 16/01, s. 119), ve kterém Komise konstatovala, že tato třetí země zajišťuje odpovídající úroveň ochrany, je neplatné. |
43 |
V návaznosti na vyhlášení řečeného rozsudku Komise přijala rozhodnutí o štítu na ochranu soukromí poté, co pro účely jeho přijetí posoudila právní úpravu Spojených států, jak zmiňuje v bodě 65 odůvodnění uvedeného rozhodnutí: „Komise posoudila omezení a ochranná opatření [záruky], která jsou k dispozici v právu USA, pokud jde o přístup orgánů veřejné moci USA k osobním údajům předávaným v rámci štítu [Evropská unie]‑USA na ochranu soukromí a použití těchto údajů těmito orgány pro účely národní bezpečnosti, prosazování práva a jiné účely veřejného zájmu. Vláda USA kromě toho prostřednictvím Úřadu ředitele národních zpravodajských služeb (Office of the Director of National Intelligence, ODNI) […] poskytla Komisi podrobná prohlášení a závazky, které jsou uvedeny v příloze VI tohoto rozhodnutí. Dopisem ministra zahraničních věcí, který tvoří přílohu III tohoto rozhodnutí, se vláda USA zavázala rovněž vytvořit nový mechanismus pro dohled nad zásahy z důvodu národní bezpečnosti, úřad ombudsmana ve věcech štítu na ochranu soukromí, který je nezávislý na zpravodajské komunitě. A konečně prohlášení Ministerstva spravedlnosti USA, které tvoří přílohu VII tohoto rozhodnutí, popisuje omezení a ochranná opatření použitelná [omezení a záruky použitelné] na přístup orgánů veřejné správy k údajům a jejich použití těmito orgány pro účely prosazování práva a jiné účely veřejného zájmu. Pro vyšší transparentnost a aby byla podtrhnuta právní povaha těchto závazků, bude každý z výše uvedených dokumentů připojených k tomu rozhodnutí zveřejněn ve Federálním úředním věstníku USA (U. S. Federal Register).“ |
44 |
Analýza těchto omezení a záruk, kterou provedla Komise, je shrnuta v bodech 67 až 135 odůvodnění rozhodnutí o štítu na ochranu soukromí, a závěry, které z ní uvedený orgán vyvodil pro odpovídající úroveň ochrany v rámci štítu Evropská unie‑USA na ochranu soukromí, jsou obsaženy v bodech 136 až 141 odůvodnění téhož rozhodnutí. |
45 |
Konkrétně se v bodech 68, 69, 76, 77, 109, 112 až 116, 120, 136 a 140 odůvodnění tohoto rozhodnutí uvádí:
[…]
[…]
[…]
[…]
[…]
[…]
|
46 |
Článek 1 rozhodnutí o štítu na ochranu soukromí stanoví: „1. Pro účely čl. 25 odst. 2 směrnice [95/46] Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím ve Spojených státech v rámci štítu [Evropská unie]‑USA na ochranu soukromí. 2. Štít [Evropská unie]‑USA na ochranu soukromí sestává ze zásad vydaných Ministerstvem obchodu dne 7. července 2016, které jsou obsaženy v příloze II, a oficiálních prohlášení a závazků, které jsou obsaženy přílohách I a III až VII. 3. Pro účely odstavce 1 jsou osobní údaje předávány v rámci štítu [Evropská unie]‑USA na ochranu soukromí, jsou-li předávány z Unie organizacím ve Spojených státech uvedeným na ‚seznamu organizací štítu na ochranu soukromí‘, který vede a zpřístupňuje Ministerstvo obchodu USA v souladu s částí I a III zásad uvedených v příloze II.“ |
47 |
Příloha II rozhodnutí o štítu na ochranu soukromí, nadepsaná „Zásady rámce štítu na ochranu soukromí [Evropská unie]‑USA vydané Ministerstvem obchodu Spojených států“ v bodě I.5 stanoví, že dodržování zásad může být omezeno mimo jiné „v rozsahu nezbytném pro splnění požadavků národní bezpečnosti, veřejného zájmu nebo prosazování zákonů“. |
48 |
Příloha III tohoto rozhodnutí obsahuje dopis Johna Kerryho, tehdejšího Secretary of State (ministr zahraničních věcí, Spojené státy), komisařce pro spravedlnost, spotřebitele a rovnost žen a mužů ze dne 7. července 2016, k němuž je v příloze A připojeno memorandum nadepsané „Mechanismus ombudsmana ve věcech štítu na ochranu soukromí v souvislosti se signálovým zpravodajstvím“, jež obsahuje následující pasáž: „Uznávajíc význam rámce štítu [Evropská unie]‑USA na ochranu soukromí stanoví toto memorandum proces provádění nového mechanismu podle prezidentské směrnice 28 (PPD-28) v souvislosti se signálovým zpravodajstvím. […] Prezident Obama oznámil vydání nové prezidentské směrnice – PPD-28, která ‚zřetelně předepisuje, co děláme a neděláme, pokud jde o naše sledování v zahraničí‘. Paragraf 4(d) PPD-28 nařizuje ministru zahranič[ních věc]í určit ‚vedoucího koordinátora pro mezinárodní informační diplomacii‘ (dále též ‚vedoucí koordinátor‘) ‚jako […] kontaktní osobu pro cizí vlády, které chtějí vznést dotazy v souvislosti se signálovými zpravodajskými činnostmi Spojených států‘. […]
[…]“ |
49 |
Příloha VI rozhodnutí o štítu na ochranu soukromí obsahuje dopis Office of the Director of National Intelligence (úřad ředitele národních zpravodajských služeb) Ministerstvu obchodu Spojených států amerických a odboru pro mezinárodní obchod ze dne 21. června 2016, ve kterém je upřesněno, že PPD-28 umožňuje provádět „hromadné shromažďování […] poměrně velkého objemu signálových zpravodajských informací nebo údajů za okolností, kdy zpravodajská komunita nemůže k soustředěnému shromažďování použít identifikátor spojený s konkrétním cílem […]“. |
Spor v původním řízení a předběžné otázky
50 |
Maximillian Schrems, rakouský státní příslušník s bydlištěm v Rakousku, je uživatelem sociální sítě Facebook (dále jen „Facebook“) od roku 2008. |
51 |
Každá osoba s bydlištěm na území Unie, která má zájem používat sociální síť Facebook, musí při registraci uzavřít smlouvu se společností Facebook Ireland, jež je dceřinou společností společnosti Facebook Inc., která je usazena ve Spojených státech. Osobní údaje uživatelů sociální sítě Facebook, kteří mají bydliště na území Unie, jsou zcela nebo zčásti přenášeny na servery náležející společnosti Facebook Inc. umístěné na území Spojených států, kde jsou zpracovávány. |
52 |
Dne 25. června 2013 podal M. Schrems ke komisaři stížnost, kterou se v podstatě domáhal toho, aby bylo společnosti Facebook Ireland zakázáno předávání jeho osobních údajů do Spojených států, přičemž tvrdil, že právní předpisy a praxe v uvedené zemi nezajišťují dostatečnou ochranu osobních údajů uložených na jejím území před sledováním prováděným v této zemi orgány veřejné moci. Tato stížnost byla zamítnuta zejména z důvodu, že Komise v rozhodnutí 2000/520 konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany. |
53 |
High Court (Vrchní soud, Irsko), ke kterému podal M. Schrems žalobu proti zamítnutí své stížnosti, předložil Soudnímu dvoru žádost o rozhodnutí o předběžné otázce týkající se výkladu a platnosti rozhodnutí 2000/520. Rozsudkem ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650), Soudní dvůr určil, že toto rozhodnutí je neplatné. |
54 |
V návaznosti na citovaný rozsudek zrušil předkládající soud rozhodnutí, jímž byla stížnost M. Schremse zamítnuta, a věc vrátil komisařce k novému projednání a rozhodnutí. V rámci šetření zahájeného komisařkou podala Facebook Ireland vysvětlení, podle kterého je velká část osobních údajů předávána společnosti Facebook Inc. na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD. S ohledem na tyto skutečnosti vyzvala komisařka M. Schremse, aby svou stížnost přeformuloval. |
55 |
Maximillian Schrems v přeformulované stížnosti podané dne 1. prosince 2015 mimo jiné uvedl, že americké právo ukládá společnosti Facebook Inc. povinnost poskytovat osobní údaje, které jí byly předány, americkým orgánům, jako jsou National Security Agency (NSA) a Federal Bureau of Investigation (FBI). Tvrdil, že tyto údaje jsou používány v rámci různých sledovacích programů způsobem neslučitelným s články 7, 8 a 47 Listiny, takže rozhodnutí o SSD nemůže být základem pro předávání těchto údajů do Spojených států. Za těchto podmínek M. Schrems požádal komisařku, aby dočasně nebo trvale zakázala předávání jeho osobních údajů společnosti Facebook Inc. |
56 |
Dne 24. května 2016 zveřejnila komisařka „návrh rozhodnutí“ shrnující předběžné závěry jejího šetření. V tomto návrhu dospěla předběžně k závěru, že existuje nebezpečí, že orgány USA budou nahlížet do osobních údajů občanů Unie předaných do Spojených států a zpracovávat je způsobem neslučitelným s články 7 a 8 Listiny, a že právo Spojených států neposkytuje těmto občanům účinné procesní prostředky slučitelné s článkem 47 Listiny. Uvedla, že standardní doložky o ochraně osobních údajů uvedené v příloze rozhodnutí o SSD nemohou tento nedostatek zhojit, protože subjektům údajů přiznávají jen smluvní nároky vůči vývozci a dovozci údajů, ale pro orgány USA závazné nejsou. |
57 |
Komisařka dospěla k názoru, že za těchto okolností vyvstává v rámci přeformulované stížnosti M. Schremse otázka platnosti rozhodnutí o SSD, a tak dne 31. května 2016 – s odkazem na judikaturu vyplývající z rozsudku ze dne 6. října 2015, Schrems (C‑362/14, EU:C:2015:650, bod 65) – navrhla High Court (Vrchní soud), aby tuto otázku předložil Soudnímu dvoru. Rozhodnutím ze dne 4. května 2018 předložil High Court (Vrchní soud) Soudnímu dvoru tuto žádost o rozhodnutí o předběžné otázce. |
58 |
High Court (Vrchní soud) k této žádosti o rozhodnutí o předběžné otázce přiložil rozsudek vyhlášený dne 3. října 2017, ve kterém zachytil výsledek zkoumání důkazů předložených mu ve vnitrostátním řízení, jehož se účastnila americká vláda. |
59 |
V uvedeném rozsudku, na nějž žádost o rozhodnutí o předběžné otázce opakovaně odkazuje, předkládající soud uvedl, že má v zásadě nejen právo, ale i povinnost zkoumat všechny skutečnosti a argumenty, které před ním byly uplatněny, a na jejich základě rozhodnout, zda je či není nezbytné předložit žádost o rozhodnutí o předběžné otázce. V každém případě má povinnost zohlednit případné změny právní úpravy nastalé v době mezi podáním návrhu a jednáním nařízeným před tímto soudem. Předkládající soud upřesnil, že v původním řízení není při posuzování omezen důvody neplatnosti vznesených komisařkou, takže může i bez návrhu uvést rovněž jiné důvody neplatnosti a žádost o rozhodnutí o předběžné otázce podat na jejich základě. |
60 |
Podle zjištění uvedených v citovaném rozsudku je základem zpravodajské činnosti orgánů USA v souvislosti s osobními údaji předanými do Spojených států především § 702 zákona FISA a EO 12333. |
61 |
K ustanovení § 702 zákona FISA předkládající soud v témže rozsudku uvádí, že toto ustanovení opravňuje ministra spravedlnosti a ředitele národních zpravodajských služeb k tomu, aby za účelem získávání „zahraničních zpravodajských informací“ společně a po schválení Soudem pro uplatňování zákona FISA povolili sledování osob, které nejsou americkými občany a nacházejí se mimo území Spojených států, a slouží mimo jiné jako základ pro sledovací programy PRISM a UPSTREAM. V rámci programu PRISM mají poskytovatelé internetových služeb podle zjištění uvedeného soudu povinnost poskytnout NSA všechna sdělení odeslaná z určitého „selektoru“ a přijatá na určitý „selektor“, přičemž část z nich je rovněž předána FBI a Central Intelligence Agency (CIA) (ústřední zpravodajská služba). |
62 |
V souvislosti s programem UPSTREAM uvedený soud shledává, že v rámci tohoto programu mají telekomunikační podniky provozující „páteřní“ síť internetu – tzn. síť kabelů, síťových přepínačů a směrovačů – povinnost umožnit NSA kopírovat a filtrovat internetové toky dat za účelem shromažďování sdělení odeslaných nebo přijatých osobou, která není osobou USA a na kterou cílí některý ze „selektorů“, nebo týkajících se takové osoby. V rámci uvedeného programu má NSA – podle zjištění téhož soudu – přístup k metadatům i k obsahu dotčených sdělení. |
63 |
V souvislosti s EO 12333 předkládající soud konstatuje, že uvedený předpis umožňuje NSA získat údaje „na cestě“ do Spojených států připojením se k podmořským kabelům položeným na dně Atlantického oceánu, jakož i shromažďovat a ukládat tyto údaje dříve, než dorazí do Spojených států a než se na ně začnou vztahovat ustanovení zákona FISA. Podotýká, že činnosti prováděné na základě EO 12333 nejsou upraveny zákonem. |
64 |
V souvislosti s omezeními zpravodajské činnosti upozorňuje předkládající soud na skutečnost, že na osoby, které nejsou osobami USA, se vztahuje jen PPD-28, ve které se uvádí jen tolik, že zpravodajská činnost musí být „v nejvyšší možné míře uzpůsobená na míru“(as tailored as feasible). Na základě těchto zjištění dospěl předkládající soud k závěru, že Spojené státy provádějí hromadné zpracování údajů a nezajišťují ochranu, která je v zásadě rovnocenná ochraně zaručené články 7 a 8 Listiny. |
65 |
K soudní ochraně týž soud uvádí, že občané Unie nemají proti zpracovávání osobních údajů orgány USA stejné prostředky nápravy před soudem jako státní příslušníci Spojených států, protože čtvrtý dodatek ke Constitution of the United States (Ústava Spojených států), který v americkém právu představuje nejvýznamnější ochranu před protiprávním sledováním, se na občany Unie nevztahuje. V této souvislosti předkládající soud upřesňuje, že prostředky nápravy, které mají k dispozici občané Unie, narážejí na značné překážky, zejména na povinnost – jejíž splnění je podle něj nepřiměřeně obtížné – prokázat svou aktivní legitimaci. Podle dalších zjištění uvedeného soudu nepodléhají činnosti NSA prováděné na základě EO 12333 soudnímu dohledu a nelze se proti nim bránit žalobou. Konečně má týž soud za to, že americké právo vzhledem k tomu, že ombudsman ve věcech štítu na ochranu soukromí nepředstavuje – podle jeho názoru – soud ve smyslu článku 47 Listiny, nezajišťuje občanům Unie úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené základním právem zakotveným v tomto článku. |
66 |
V žádosti o rozhodnutí o předběžné otázce předkládající soud také upřesňuje, že se účastníci původního řízení neshodují mimo jiné v otázce použitelnosti unijního práva na předávání takových osobních údajů do třetí země, které mohou být zpracovávány orgány této země zejména pro účely národní bezpečnosti, ani v tom, které prvky je třeba vzít v úvahu při posuzování odpovídající úrovně ochrany zajišťované uvedenou zemí. Konkrétně poukazuje uvedený soud na to, že podle společnosti Facebook Ireland jsou taková zjištění Komise o odpovídající úrovni ochrany ve třetí zemi, jako jsou zjištění uvedená v rozhodnutí o štítu na ochranu soukromí, závazná pro dozorové úřady i v kontextu předávání osobních údajů na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD. |
67 |
V souvislosti se zmíněnými standardními doložkami o ochraně osobních údajů stojí předkládající soud před otázkou, zda lze rozhodnutí o SSD považovat za platné, i když tyto doložky nejsou podle jeho názoru závazné pro státní orgány dotyčné třetí země, a tudíž nemohou zhojit případný nedostatek odpovídající úrovně ochrany v uvedené zemi. V tomto ohledu má za to, že možnost příslušných orgánů členských států – přiznaná jim článkem 4 odst. 1 písm. a) rozhodnutí 2010/87 ve znění účinném před vstupem prováděcího rozhodnutí 2016/2297 v platnost – zakázat předání osobních údajů do třetí země, která dovozci ukládá povinnosti neslučitelné se zárukami obsaženými v těchto doložkách, je důkazem toho, že stav právních předpisů třetí země může být důvodem pro zákaz předání údajů, i kdyby k němu mělo dojít na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD, což dokládá, že tyto doložky mohou být nedostatečné pro zajištění odpovídající ochrany. Předkládající soud má nicméně pochybnosti o rozsahu pravomoci komisařky zakázat předávání údajů, ke kterému dochází na základě těchto doložek, přičemž diskreční pravomoc nemůže podle jeho názoru stačit k zajištění odpovídající ochrany. |
68 |
Za těchto okolností se High Court (Vrchní soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
|
K přípustnosti žádosti o rozhodnutí o předběžné otázce
69 |
Facebook Ireland, německá vláda a vláda Spojeného království tvrdí, že žádost o rozhodnutí o předběžné otázce je nepřípustná. |
70 |
Facebook Ireland ve své námitce poznamenává, že ustanovení směrnice 95/46, ze kterých vycházejí předběžné otázky, zrušilo GDPR. |
71 |
K tomu je třeba uvést, že směrnice 95/46 byla sice podle čl. 94 odst. 1 GDPR zrušena s účinky od 25. května 2018, avšak dne 4. května 2018, kdy byla podána tato žádost o rozhodnutí o předběžné otázce, jež Soudnímu dvoru došla dne 9. května 2018, byla tato směrnice stále ještě v platnosti. Kromě toho byl čl. 3 odst. 2 první odrážka, články 25 a 26, jakož i čl. 28 odst. 3 směrnice 95/46, na které odkazují předběžné otázky, v podstatě převzaty do čl. 2 odst. 2 a do článků 45, 46 a 58 GDPR. Dále je třeba připomenout, že úkolem Soudního dvora je vyložit všechna ustanovení unijního práva, která vnitrostátní soudy potřebují pro rozhodnutí o sporech, které projednávají, i pokud nejsou tato ustanovení výslovně zmíněna v otázkách položených těmito soudy Soudnímu dvoru (rozsudek ze dne 2. dubna 2020, Ruska Federacija,C‑897/19 PPU, EU:C:2020:262, bod 43 a citovaná judikatura). Z těchto jednotlivých důvodů nemůže okolnost, že předkládající soud při formulování předběžných otázek odkázal jen na ustanovení směrnice 95/46, vést k nepřípustnosti této žádosti o rozhodnutí o předběžné otázce. |
72 |
Německá vláda vychází ve své námitce nepřípustnosti jednak z okolnosti, že komisařka vyjádřila k otázce platnosti rozhodnutí o SSD jen pochybnosti, a nikoli konečné stanovisko, a jednak z toho, že předkládající soud neověřil, zda M. Schrems nepochybně udělil souhlas s předáváním údajů dotčeným ve věci v původním řízení, což by v případě, že by tomu tak bylo, znamenalo, že odpověď na tuto otázku by byla zbytečná. Konečně podle vlády Spojeného království jsou předběžné otázky hypotetické, protože předkládající soud nekonstatoval, že by tyto údaje vskutku byly předány na základě uvedeného rozhodnutí. |
73 |
Z ustálené judikatury Soudního dvora vyplývá, že je pouze na vnitrostátním soudu, který rozhoduje spor a musí nést odpovědnost za soudní rozhodnutí, které bude vydáno, aby posoudil s ohledem na konkrétní okolnosti věci jak nezbytnost rozhodnutí o předběžné otázce pro vydání jeho rozsudku, tak relevanci otázek, které klade Soudnímu dvoru. Jestliže se tedy položené otázky týkají výkladu nebo platnosti normy unijního práva, je Soudní dvůr v zásadě povinen rozhodnout. Z toho vyplývá, že se na otázky položené vnitrostátními soudy vztahuje domněnka relevance. Soudní dvůr smí rozhodnutí o předběžné otázce položené vnitrostátním soudem odmítnout pouze tehdy, pokud je zjevné, že žádaný výklad nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, pokud se jedná o hypotetický problém nebo také pokud Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na dané otázky (rozsudky ze dne 16. června 2015, Gauweiler a další, C‑62/14, EU:C:2015:400, body 24 a 25; ze dne 2. října 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, bod 45, jakož i ze dne 19. prosince 2019, Dobersberger, C‑16/18, EU:C:2019:1110, body 18 a 19). |
74 |
V projednávané věci žádost o rozhodnutí o předběžné otázce obsahuje skutkové a právní okolnosti, které postačují k pochopení významu předběžných otázek. Dále je především třeba konstatovat, že spis předložený Soudnímu dvoru neobsahuje žádnou informaci, na jejímž základě by bylo možné mít za to, že požadovaný výklad unijního práva nemá žádný vztah k realitě nebo předmětu sporu v původním řízení nebo že se jedná o hypotetický problém zejména proto, že by k předávání osobních údajů dotčenému ve věci v původním řízení docházelo na základě výslovného souhlasu subjektu údajů s tímto předáváním, a nikoli na základě rozhodnutí o SSD. Facebook Ireland totiž podle informací uvedených v uvedené žádosti potvrdila, že osobní údaje svých uživatelů s bydlištěm v Unii předává společnosti Facebook Inc. a že k tomuto předávání, jehož zákonnost M. Schrems zpochybňuje, dochází z velké části na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD. |
75 |
Skutečnost, že komisařka nevyjádřila své konečné stanovisko k platnosti tohoto rozhodnutí, nemá na přípustnost projednávané žádosti o rozhodnutí žádný dopad, protože předkládající soud považuje odpověď na předběžné otázky týkající se výkladu a platnosti norem unijního práva za nezbytnou pro rozhodnutí sporu v původním řízení. |
76 |
Z toho vyplývá, že žádost o rozhodnutí o předběžné otázce je přípustná. |
K předběžným otázkám
77 |
Úvodem je třeba připomenout, že projednávaná žádost o rozhodnutí o předběžné otázce navazuje na stížnost M. Schremse směřující k tomu, aby komisařka do budoucna dočasně nebo trvale zakázala společnosti Facebook Ireland předávání jeho osobních údajů společnosti Facebook Inc. Předběžné otázky přitom sice odkazují na ustanovení směrnice 95/46, avšak je nesporné, že komisařka před zrušením této směrnice a jejím nahrazením GDPR s účinností od 25. května 2018 nepřijala konečné rozhodnutí o této stížnosti. |
78 |
Skutečnost, že vnitrostátní rozhodnutí nebylo dosud vydáno, odlišuje situaci dotčenou ve věci v původním řízení od situace ve věcech, ve kterých byly vyhlášeny rozsudky ze dne 24. září 2019, Google (Územní dosah odstranění odkazu z výsledků vyhledávání) (C‑507/17, EU:C:2019:772), a ze dne 1. října 2019, Planet49 (C‑673/17, EU:C:2019:801), v nichž dotčená rozhodnutí byla přijata před zrušením uvedené směrnice. |
79 |
Na předběžné otázky je proto třeba odpovědět vzhledem k ustanovením GDPR, a nikoli k ustanovením směrnice 95/46. |
K první otázce
80 |
Podstatou první předběžné otázky předkládajícího soudu je, zda musí být čl. 2 odst. 1 a čl. 2 odst. 2 písm. a), b) a d) GDPR ve spojení s čl. 4 odst. 2 SEU vykládány v tom smyslu, že předávání osobních údajů prováděné hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi v případech, kdy tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány této třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu, spadá do působnosti uvedeného nařízení. |
81 |
V této souvislosti je předně třeba poukázat na to, že ustanovení obsažené v čl. 4 odst. 2 SEU, podle kterého národní bezpečnost zůstává v Unii výhradní odpovědností každého členského státu, se týká výlučně členských států Unie. Toto ustanovení proto není pro výklad čl. 2 odst. 1 a čl. 2 odst. 2 písm. a), b) a d) GDPR v projednávané věci relevantní. |
82 |
Podle čl. 2 odst. 1 GDPR se toto nařízení vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Článek 4 bod 2 tohoto nařízení definuje pojem „zpracování“ jako „jak[ou]koliv operac[i] nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů“, a jako jeho příklady uvádí „zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění“ bez ohledu na to, zda se tyto operace uskutečňují uvnitř Unie nebo zda mají vazbu na třetí zemi. Uvedené nařízení dále stanoví pro předávání osobních údajů do třetích zemí zvláštní pravidla obsažená v jeho kapitole V, nadepsané „Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím“, a dozorovým úřadům dále přiznává pro tyto účely zvláštní pravomoci upravené v čl. 58 odst. 2 písm. j) téhož nařízení. |
83 |
Z toho vyplývá, že operace spočívající v zajištění předání osobních údajů z členského státu do třetí země jako taková představuje zpracování osobních údajů ve smyslu čl. 4 bodu 2 GDPR prováděné na území členského státu, tj. zpracování, na které se toto nařízení použije na základě jeho čl. 2 odst. 1 [obdobně ve vztahu k čl. 2 písm. b) a čl. 3 odst. 1 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 45 a citovaná judikatura]. |
84 |
K otázce, zda takovou operaci lze považovat za vyloučenou z působnosti GDPR podle jeho čl. 2 odst. 2, je třeba připomenout, že toto ustanovení stanoví výjimky z působnosti tohoto nařízení upravené v jeho čl. 2 odst. 1 a že tyto výjimky musí být vykládány striktně (obdobně ve vztahu k čl. 3 odst. 2 směrnice 95/46 viz rozsudek ze dne 10. července 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 37 a citovaná judikatura). |
85 |
V projednávaném případě předávání osobních údajů dotčené ve věci v původním řízení nespadá vzhledem k tomu, že tyto údaje předává společnost Facebook Ireland společnosti Facebook Inc., tedy jedna právnická osoba jiné právnické osobě, pod čl. 2 odst. 2 písm. c) GDPR, který upravuje zpracování údajů prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností. Toto předávání nespadá ani pod výjimky upravené v čl. 2 odst. 2 písm. a), b) a d) tohoto nařízení, protože v nich uvedené činnosti jsou v každém případě příkladem činností státu či státních orgánů, které se liší od činnosti jednotlivců (obdobně ve vztahu k čl. 3 odst. 2 směrnice 95/46 viz rozsudek ze dne 10. července 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, bod 38 a citovaná judikatura). |
86 |
Možnost, že osobní údaje předávané jedním hospodářským subjektem jinému hospodářskému subjektu pro obchodní účely budou při předávání nebo po něm zpracovány pro účely veřejné bezpečnosti, obrany a bezpečnosti státu orgány dotyčné třetí země, nemůže toto předávání vyloučit z působnosti GDPR. |
87 |
Samotné znění čl. 45 odst. 2 písm. a) tohoto nařízení ostatně tím, že je Komisi výslovně uložena povinnost vzít při posuzování odpovídající úrovně ochrany poskytované třetí zemí v úvahu mimo jiné „příslušné právní předpisy, obecné i odvětvové, včetně těch, které se týkají veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů“, dokládá, že použitelnost uvedeného nařízení na dané předávání není případným zpracováním dotčených údajů třetí zemí pro účely veřejné bezpečnosti, obrany a bezpečnosti státu zpochybněna. |
88 |
Z toho vyplývá, že takové předávání nemůže být z důvodu, že dotčené údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu, vyloučeno z působnosti GDPR. |
89 |
Na první otázku je proto třeba odpovědět, že čl. 2 odst. 1 a 2 GDPR musí být vykládán v tom smyslu, že předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi spadá do působnosti tohoto nařízení i tehdy, když tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu. |
Ke druhé, třetí a šesté otázce
90 |
Podstatou druhé, třetí a šesté otázky předkládajícího soudu Soudnímu dvoru je úroveň ochrany, která je v čl. 46 odst. 1 a v čl. 46 odst. 2 písm. c) GDPR vyžadována při předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů. Konkrétně uvedený soud žádá Soudní dvůr o upřesnění prvků, které je třeba vzít v úvahu pro účely určení, zda je tato úroveň ochrany v kontextu takového předávání zajištěna. |
91 |
V souvislosti s vyžadovanou úrovní ochrany z citovaných ustanovení v jejich vzájemné souvislosti plyne, že jestliže neexistuje rozhodnutí o odpovídající ochraně přijaté na základě čl. 45 odst. 3 tohoto nařízení, mohou správce nebo zpracovatel předat osobní údaje do třetí země jen tehdy, pokud poskytl „vhodné záruky“, a za podmínky, že jsou k dispozici „vymahatelná práva […] a účinná právní ochrana“ subjektů údajů, přičemž tyto vhodné záruky mohou být stanoveny mimo jiné pomocí standardních doložek o ochraně osobních údajů přijatých Komisí. |
92 |
I když článek 46 GDPR neupřesňuje povahu požadavků, které vyplývají z tohoto odkazu na „vhodné záruky“, „vymahatelná práva“ a „účinnou právní ochranu“, je třeba poukázat na to, že tento článek je obsažen v kapitole V tohoto nařízení, a tudíž musí být vykládán ve spojení s článkem 44 uvedeného nařízení, nadepsaným „Obecná zásada pro předávání“, jenž stanoví, že „[v]eškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena“. Tato úroveň ochrany musí proto být zaručena bez ohledu na to, které z ustanovení řečené kapitoly je základem pro předání osobních údajů do třetí země. |
93 |
Jak totiž podotkl generální advokát v bodě 117 svého stanoviska, cílem ustanovení kapitoly V GDPR je – v souladu s cílem upřesněným v bodě 6 odůvodnění tohoto nařízení – zajistit kontinuitu vysoké úrovně této ochrany, jsou-li osobní údaje předávány do třetí země. |
94 |
Článek 45 odst. 1 věta první GDPR stanoví, že předání osobních údajů do třetí země může být povoleno rozhodnutím Komise, podle kterého tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi zajišťují odpovídající úroveň ochrany. V tomto ohledu výraz „odpovídající úroveň ochrany“ nevyžaduje, aby dotyčná třetí země zajišťovala stejnou úroveň ochrany, jako je úroveň zajištěná v unijním právním řádu, a musí být chápán – jak dokládá bod 104 odůvodnění tohoto nařízení – v tom smyslu, že vyžaduje, aby tato třetí země skutečně zajišťovala na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků takovou úroveň ochrany základních práv a svobod, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii na základě uvedeného nařízení ve spojení s Listinou. Pokud by totiž takový požadavek chyběl, byl by popřen cíl zmíněný v předchozím bodě (obdobně ve vztahu k čl. 25 odst. 6 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 73). |
95 |
V tomto kontextu se v bodě 107 odůvodnění GDPR uvádí, že když „určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi […] již odpovídající úroveň ochrany údajů nezajišťuje“, mělo by „[p]ředání osobních údajů do této třetí země […] být povoleno, jen pokud jsou splněny požadavky […] tohoto nařízení týkající se předání na základě vhodných záruk“. K tomu je v bodě 108 odůvodnění uvedeného nařízení upřesněno, že nebude-li přijato rozhodnutí o odpovídající ochraně, musí vhodné záruky, které mají podle čl. 46 odst. 1 téhož nařízení poskytnout správce nebo zpracovatel, „v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi […] zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii“. |
96 |
Z uvedeného plyne, jak podotkl generální advokát v bodě 115 svého stanoviska, že tyto vhodné záruky musí být způsobilé zajistit, aby se na osoby, jejichž údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, vztahovala, tak jako v rámci předávání založeného na rozhodnutí o odpovídající úrovni ochrany, úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii. |
97 |
Předkládající soud si dále klade otázku, zda musí být tato úroveň ochrany, která má být v zásadě rovnocenná úrovni ochrany zaručené v Unii, určena vzhledem k unijnímu právu, zejména k právům zaručeným Listinou, nebo vzhledem k základním právům zakotveným evropskou Úmluvou o ochraně lidských práv a základních svobod (dále jen „EÚLP“), anebo vzhledem k vnitrostátnímu právu členských států. |
98 |
V tomto ohledu je třeba připomenout, že i když jsou základní práva, která jsou zakotvena v EÚLP – jak potvrzuje čl. 6 odst. 3 SEU – součástí unijního práva jakožto obecné zásady, a i když čl. 52 odst. 3 Listiny stanoví, že v ní obsažená práva odpovídající právům zaručeným EÚLP mají stejný smysl a stejný rozsah, jaký jim přikládá uvedená úmluva, nepředstavuje tato úmluva právní nástroj formálně začleněný do unijního právního řádu, dokud k ní Unie nepřistoupí (rozsudky ze dne 26. února 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, bod 44 a citovaná judikatura, jakož i ze dne 20. března 2018, Menci, C‑524/15, EU:C:2018:197, bod 22). |
99 |
Za těchto podmínek Soudní dvůr rozhodl, že unijní právo musí být vykládáno a platnost unijních aktů zkoumána vzhledem k základním právům zaručeným Listinou (obdobně viz rozsudek ze dne 20. března 2018, Menci, C‑524/15, EU:C:2018:197, bod 24). |
100 |
Z ustálené judikatury také vyplývá, že platnost ustanovení unijního práva a v případě, že tato ustanovení výslovně neodkazují na vnitrostátní právo členských států, jejich výklad nelze posuzovat vzhledem k tomuto vnitrostátnímu právu, třebaže konkrétně taková základní práva, jaká jsou upravena v jejich vnitrostátních ústavách, mají sílu ústavní normy (v tomto smyslu viz rozsudky ze dne 17. prosince 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, bod 3; ze dne 13. prosince 1979, Hauer, 44/79, EU:C:1979:290, bod 14, jakož i ze dne 18. října 2016, Nikiforidis, C‑135/15, EU:C:2016:774, bod 28 a citovaná judikatura). |
101 |
Z toho vyplývá, že když takové předávání osobních údajů, jako je předávání dotčené ve věci v původním řízení, prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi, spadá – jak plyne z odpovědi na první otázku – do působnosti GDPR a když cílem tohoto nařízení je – jak plyne z bodu 10 jeho odůvodnění – zajistit soudržnou a vysokou úroveň ochrany fyzických osob v Unii a za tím účelem zajistit v celé Unii jednotné a soudržné uplatňování pravidel ochrany základních práv a svobod těchto osob v souvislosti se zpracováváním osobních údajů, musí být úroveň ochrany základních práv vyžadovaná v čl. 46 odst. 1 uvedeného nařízení určena na základě ustanovení téhož nařízení ve spojení se základními právy zaručenými Listinou. |
102 |
Předkládající soud se dále táže, jaké prvky je třeba vzít v úvahu pro účely určení odpovídající úrovně ochrany v kontextu předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých na základě čl. 46 odst. 2 písm. c) GDPR. |
103 |
K tomu je nutno uvést, že i když toto ustanovení nepodává výčet jednotlivých prvků, které je třeba vzít v úvahu pro účely posouzení odpovídající úrovně ochrany, jež musí být při takovém předávání dodržena, čl. 46 odst. 1 tohoto nařízení upřesňuje, že na subjekty údajů se musí vztahovat vhodné záruky a těmto subjektům musí být k dispozici vymahatelná práva a účinná právní ochrana. |
104 |
Při posuzování vyžadovaném pro tyto účely v kontextu takového předávání je zejména třeba vzít v úvahu jednak smluvní ujednání mezi správcem nebo zpracovatelem usazenými v Unii a příjemcem předávaných údajů usazeným v dotyčné třetí zemi a jednak – v souvislosti s případným přístupem orgánů veřejné moci této třetí země k předávaným osobním údajům – relevantní prvky právního řádu této země. V posledně uvedeném ohledu odpovídají prvky, které je třeba vzít v úvahu v kontextu článku 46 uvedeného nařízení, prvkům příkladmo vyjmenovaným v jeho čl. 45 odst. 2. |
105 |
Na druhou, třetí a šestou otázku je proto třeba odpovědět, že čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR musí být vykládány v tom smyslu, že vhodné záruky, vymahatelná práva a účinná právní ochrana vyžadované uvedenými ustanoveními musí zajistit, aby se na práva osob, jejichž osobní údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, vztahovala úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii tímto nařízením ve spojení s Listinou. Pro tyto účely je při posuzování úrovně ochrany zajištěné v kontextu takového předávání zejména třeba vzít v úvahu jednak smluvní ujednání mezi správcem nebo zpracovatelem usazenými v Unii a příjemcem předávaných údajů usazeným v dotyčné třetí zemi a jednak – v souvislosti s případným přístupem orgánů veřejné moci této třetí země k takto předávaným osobním údajům – relevantní prvky právního řádu této země, zejména prvky uvedené v čl. 45 odst. 2 uvedeného nařízení. |
K osmé otázce
106 |
Podstatou osmé otázky předkládajícího soudu je, zda musí být čl. 58 odst. 2 písm. f) a j) GDPR vykládán v tom smyslu, že příslušný dozorový úřad je povinen dočasně nebo trvale zakázat předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých Komisí, když tento dozorový úřad dospěje k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem, zejména články 45 a 46 GDPR a Listinou, nemůže být zajištěna, nebo v tom smyslu, že výkon těchto pravomocí je omezen na výjimečné případy. |
107 |
Podle čl. 8 odst. 3 Listiny a podle čl. 51 odst. 1 a čl. 57 odst. 1 písm. a) GDPR jsou vnitrostátní dozorové úřady pověřeny dohlížením na dodržování unijních pravidel týkajících se ochrany fyzických osob v souvislosti se zpracováním osobních údajů. Každý z nich je tedy nadán pravomocí ověřit, zda je předání osobních údajů z jeho členského státu do třetí země v souladu s požadavky stanovenými tímto nařízením (obdobně ve vztahu k článku 28 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 47). |
108 |
Ze zmíněných ustanovení plyne, že prvořadým úkolem dozorových úřadů je monitorovat a vymáhat uplatňování GDPR. Plnění tohoto úkolu má zvláštní význam v kontextu předávání osobních údajů do třetí země, protože – jak plyne ze samotného znění bodu 116 odůvodnění tohoto nařízení – „[p]ředání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo poskytnutím těchto údajů“. V takovém případě, jak je dále upřesněno v témže bodě odůvodnění, se „[z]ároveň […] může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu“. |
109 |
Kromě toho má podle čl. 57 odst. 1 písm. f) GDPR každý dozorový úřad povinnost na svém území se zabývat stížnostmi, které mu má podle čl. 77 odst. 1 tohoto nařízení právo podat každý subjekt údajů, jenž se domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení, a také povinnost ve vhodné míře prošetřit předmět takové stížnosti. Dozorový úřad se musí takovou stížností zabývat s veškerou náležitou péčí (obdobně ve vztahu k čl. 25 odst. 6 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 63). |
110 |
Článek 78 odst. 1 a 2 GDPR přiznává každému právo na účinnou soudní ochranu mimo jiné tehdy, když se dozorový úřad nezabývá jeho stížností. I v bodě 141 odůvodnění tohoto nařízení je odkázáno na „právo na účinnou soudní ochranu v souladu s článkem 47 Listiny“ v případě, kdy tento dozorový úřad „nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů“. |
111 |
Za účelem vyřizování podaných stížností přiznává čl. 58 odst. 1 GDPR každému dozorovému úřadu významné vyšetřovací pravomoci. Když takový orgán na základě šetření dospěje k závěru, že na subjekt údajů, jehož osobní údaje byly předány do třetí země, se v dané zemi nevztahuje odpovídající úroveň ochrany, má podle unijního práva povinnost přiměřeně reagovat, aby zjednal nápravu shledaného nedostatku, a to bez ohledu na to, z čeho tento nedostatek pramení a jakou má povahu. Pro tyto účely jsou v čl. 58 odst. 2 tohoto nařízení vyjmenovány různé nápravné pravomoci, které dozorový úřad má. |
112 |
I když volba vhodného a nezbytného prostředku přísluší dozorovému úřadu, který ji musí provést s přihlédnutím ke všem okolnostem dotčeného předání dotčených osobních údajů, musí tento úřad zároveň s veškerou náležitou péčí splnit svůj úkol vymáhat uplatňování GDPR. |
113 |
V této souvislosti má uvedený úřad, jak podotkl i generální advokát v bodě 148 svého stanoviska, povinnost podle čl. 58 odst. 2 písm. f) a j) tohoto nařízení povinnost dočasně nebo trvale zakázat předávání osobních údajů do třetí země, když na základě všech okolností daného předávání dospěje k názoru, že standardní doložky o ochraně osobních údajů nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem nemůže být zajištěna jinými prostředky, jestliže předávání nepozastavil nebo neukončil sám správce nebo zpracovatel usazení v Unii. |
114 |
Výklad uvedený v předchozím bodě nemůže zpochybnit argumentace komisařky, podle které článek 4 rozhodnutí 2010/87 ve znění účinném před vstupem prováděcího rozhodnutí 2016/2297 v platnost ve spojení s bodem 11 odůvodnění tohoto rozhodnutí omezoval pravomoc dozorových úřadů dočasně nebo trvale zakázat předávání osobních údajů do třetí země na určité výjimečné případy. V článku 4 rozhodnutí o SSD ve znění změněném prováděcím rozhodnutím 2016/2297 je totiž pravomoc dočasně nebo trvale zakázat takové předávání, kterou tyto orgány disponují nyní na základě čl. 58 odst. 2 písm. f) a j) GDPR, zmíněna bez sebemenšího omezení výkonu této pravomoci na výjimečné okolnosti. |
115 |
V každém případě prováděcí pravomoc, kterou Komisi přiznává čl. 46 odst. 2 písm. c) GDPR pro účely přijetí standardních doložek o ochraně osobních údajů, tomuto orgánu nesvěřuje pravomoc omezit pravomoci dozorových úřadů přiznané jim článkem 58 odst. 2 tohoto nařízení (obdobně ve vztahu k čl. 25 odst. 6 a článku 28 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, body 102 a 103). Kromě toho bod 5 odůvodnění prováděcího rozhodnutí 2016/2297 dokládá, že rozhodnutí o SSD „nebrání [dozorovému úřadu], aby vykonával své pravomoci dohledu nad toky údajů, včetně pravomoci předávání osobních údajů dočasně nebo trvale zakázat, jestliže uvedený orgán stanoví, že předávání je prováděno v rozporu s právními předpisy [Unie] na ochranu údajů nebo vnitrostátními právními předpisy na ochranu údajů“. |
116 |
Je nicméně třeba upřesnit, že pravomoci příslušného dozorového úřadu jsou podmíněny důsledným dodržením rozhodnutí, jímž Komise na základě čl. 45 odst. 1 věty první GDPR případně rozhodne, že určitá třetí země zajišťuje odpovídající úroveň ochrany. V takovém případě totiž z čl. 45 odst. 1 věty druhé tohoto nařízení ve spojení s bodem 103 jeho odůvodnění plyne, že se předávání osobních údajů do dotyčné třetí země může uskutečnit, aniž je třeba získat zvláštní povolení. |
117 |
Podle čl. 288 čtvrtého pododstavce SFEU je rozhodnutí Komise o odpovídající ochraně závazné v celém rozsahu pro všechny členské státy, jimž je určeno, a v rozsahu, v němž konstatuje, že dotyčná třetí země zajišťuje odpovídající úroveň ochrany, a v němž má za účinek povolení takového předávání osobních údajů, platí tedy pro všechny jejich orgány (obdobně ve vztahu k čl. 25 odst. 6 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 51 a citovaná judikatura). |
118 |
Je sice pravda, že dokud není rozhodnutí o odpovídající ochraně prohlášeno Soudním dvorem za neplatné, nemohou členské státy a jejich orgány, včetně jejich nezávislých dozorových úřadů, přijmout opatření odporující tomuto rozhodnutí, jako např. akty směřující ke zjištění se závazným účinkem, že třetí země, na kterou se vztahuje uvedené rozhodnutí, nezajišťuje odpovídající úroveň ochrany (rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 52 a citovaná judikatura), a v důsledku toho dočasně nebo trvale zakázat předávání osobních údajů do této třetí země. |
119 |
Takové rozhodnutí Komise o odpovídající ochraně přijaté na základě čl. 45 odst. 3 GDPR nicméně nemůže bránit osobám, jejichž osobní údaje byly nebo by mohly být předány do třetí země, aby na základě čl. 77 odst. 1 GDPR podaly u vnitrostátního dozorového úřadu stížnost týkající se ochrany jejich práv a svobod v souvislosti se zpracováním těchto údajů. Stejně tak rozhodnutí této povahy nemůže popřít ani omezit pravomoci výslovně přiznané vnitrostátním dozorovým úřadům článkem 8 odst. 3 Listiny, jakož i článkem 51 odst. 1 a článkem 57 odst. 1 písm. a) uvedeného nařízení (obdobně ve vztahu k čl. 25 odst. 6 a článku 28 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 53). |
120 |
Příslušný vnitrostátní dozorový úřad, k němuž subjekt údajů podal stížnost týkající se ochrany svých práv a svobod v souvislosti se zpracováním svých osobních údajů, proto musí i tehdy, když existuje rozhodnutí Komise o odpovídající ochraně, mít možnost zcela nezávisle posoudit, zda je předání těchto údajů v souladu s požadavky stanovenými v GDPR, a případně podat k vnitrostátním soudům návrh na to, aby za předpokladu, že se ztotožní s pochybnostmi dotyčného úřadu o platnosti rozhodnutí o odpovídající ochraně, podaly za účelem přezkumu této platnosti žádost o rozhodnutí o předběžné otázce (obdobně ve vztahu k čl. 25 odst. 6 a článku 28 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, body 57 a 65). |
121 |
S ohledem na výše rozvedené úvahy je třeba na osmou otázku odpovědět, že čl. 58 odst. 2 písm. f) a j) GDPR musí být vykládán v tom smyslu, že neexistuje-li rozhodnutí o odpovídající ochraně platně přijaté Komisí, je příslušný dozorový úřad povinen dočasně nebo trvale zakázat předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých Komisí, když tento dozorový úřad dospěje na základě všech okolností daného předávání k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem, zejména články 45 a 46 GDPR a Listinou, nemůže být v případě, že předávání nepozastavili nebo neukončili sám správce nebo zpracovatel usazení v Unii, zajištěna jinými prostředky. |
K sedmé a jedenácté otázce
122 |
Podstatou sedmé a jedenácté otázky předkládajícího soudu Soudnímu dvoru, jimiž je třeba se zabývat společně, je platnost rozhodnutí o SSD vzhledem k článkům 7, 8 a 47 Listiny. |
123 |
Konkrétně se předkládající soud táže, jak plyne z formulace sedmé otázky a z vysvětlení k této otázce uvedených v žádosti o rozhodnutí o předběžné otázce, zda je rozhodnutí o SSD způsobilé zajistit odpovídající úroveň ochrany osobních údajů předávaných do třetích zemí, když standardní doložky o ochraně osobních údajů nejsou pro orgány těchto třetích zemí závazné. |
124 |
Článek 1 rozhodnutí o SSD stanoví, že standardní doložky o ochraně osobních údajů uvedené v jeho příloze jsou považovány za vhodné záruky s ohledem na ochranu soukromí a základních práv a svobod jednotlivců v souladu s čl. 26 odst. 2 směrnice 95/46. Posledně zmíněné ustanovení bylo v podstatě převzato do čl. 46 odst. 1 a do čl. 46 odst. 2 písm. c) GDPR. |
125 |
Tyto doložky jsou sice závazné pro správce usazeného v Unii a pro příjemce předávaných osobních údajů usazeného ve třetí zemi tehdy, když jimi uzavřená smlouva odkazuje na řečené doložky, avšak není sporu o tom, že nemohou zavazovat orgány této třetí země, neboť ty stranami dané smlouvy nejsou. |
126 |
Ačkoli tedy existují situace, ve kterých – v závislosti na stavu právních předpisů a praxe v dotyčné třetí zemi – je příjemce takto předávaných údajů s to zajistit jejich nezbytnou ochranu jen na základě standardních doložek o ochraně osobních údajů, existují i situace jiné, ve kterých by ustanovení obsažená v těchto doložkách nemusela v praxi představovat dostatečný prostředek k zajištění skutečné ochrany předaných osobních údajů v dotyčné třetí zemi. Tak je tomu zejména v případech, kdy právní předpisy této třetí země umožňují orgánům veřejné moci této země zasahovat do práv subjektů údajů týkajících se těchto údajů. |
127 |
Vyvstává tedy otázka, zda je rozhodnutí Komise o standardních doložkách o ochraně osobních údajů, přijaté na základě čl. 46 odst. 2 písm. c) GDPR, neplatné, když v tomto rozhodnutí nejsou stanoveny záruky vymahatelné vůči orgánům veřejné moci třetích zemí, do kterých jsou nebo mohou být na základě těchto doložek předány osobní údaje. |
128 |
Článek 46 odst. 1 GDPR stanoví, že jestliže neexistuje rozhodnutí o odpovídající ochraně, správce nebo zpracovatel mohou předat osobní údaje do třetí země pouze tehdy, pokud správce nebo zpracovatel poskytl vhodné záruky, a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů. Podle čl. 46 odst. 2 písm. c) tohoto nařízení mohou být tyto záruky stanoveny pomocí standardních doložek o ochraně osobních údajů přijatých Komisí. V těchto ustanoveních přitom není uvedeno, že by všechny tyto záruky musely být nutně stanoveny takovým rozhodnutím Komise, jako je rozhodnutí o SSD. |
129 |
K tomu je nutno podotknout, že takové rozhodnutí se liší od rozhodnutí o odpovídající ochraně přijatého na základě čl. 45 odst. 3 GDPR, jehož cílem je – po posouzení právní úpravy dotyčné třetí země s přihlédnutím zejména k příslušným právním předpisům v oblasti národní bezpečnosti a přístupu orgánů veřejné moci k osobním údajům – závazně konstatovat, že určitá třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi zajišťují odpovídající úroveň ochrany, a že tudíž přístup orgánů veřejné moci uvedené třetí země k takovým údajům nebrání jejich předávání do dané třetí země. Takové rozhodnutí o odpovídající ochraně může tedy Komise přijmout jen za podmínky, že konstatovala, že příslušné právní předpisy třetí země v dané oblasti skutečně skýtají všechny vyžadované záruky umožňující mít za to, že zajišťují odpovídající úroveň ochrany. |
130 |
Naproti tomu u takového rozhodnutí Komise, kterým se přijímají standardní doložky o ochraně osobních údajů, jako je rozhodnutí o SSD, nelze vzhledem k tomu, že se takové rozhodnutí netýká určité třetí země, určitého území nebo jednoho či více konkrétních odvětví v této třetí zemi, dovozovat z čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR, že by Komise měla před přijetím takového rozhodnutí posuzovat odpovídající úroveň ochrany zajišťovanou třetí zemí, do které by osobní údaje mohly být na základě takových doložek předány. |
131 |
V této souvislosti je třeba připomenout, že čl. 46 odst. 1 tohoto nařízení stanoví, že jestliže neexistuje rozhodnutí Komise o odpovídající ochraně, přísluší správci nebo zpracovateli usazenému v Unii poskytnout zejména vhodné záruky. Body 108 a 114 odůvodnění uvedeného nařízení potvrzují, že pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, měl by správce či případně zpracovatel „v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky“, a že „[t]yto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany […] v Unii nebo ve třetí zemi“. |
132 |
Vzhledem k tomu, jak plyne z bodu 125 tohoto rozsudku, že standardní doložky o ochraně osobních údajů nemohou v důsledku své smluvní povahy zavazovat orgány veřejné moci třetích zemí, ale že článek 44, čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR vykládané s ohledem na články 7, 8 a 47 Listiny vyžadují, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena, může vzniknout potřeba doplnění záruk obsažených v těchto standardních doložkách o ochraně osobních údajů. V této souvislosti se v bodě 109 odůvodnění citovaného nařízení uvádí, že „[s]kutečnost, že správci […] mohou používat standardní doložky o ochraně údajů přijaté Komisí […] by neměla správcům […] bránit v tom, aby […] doplnili jiné doložky či další záruky“, a upřesňuje zejména, že tito správci „by měli být vybízeni k poskytování dalších záruk […], které doplní standardní doložky o ochraně údajů“. |
133 |
Je tedy zřejmé, že cílem standardních doložek o ochraně osobních údajů přijatých Komisí na základě čl. 46 odst. 2 písm. c) téhož nařízení není nic jiného než poskytnout správcům a zpracovatelům usazeným v Unii smluvní záruky uplatňované jednotně ve všech třetích zemích, a tedy bez ohledu na úroveň ochrany zajištěnou v jednotlivých třetích zemích. Vzhledem k tomu, že tyto standardní doložky o ochraně osobních údajů nemohou s ohledem na svou povahu poskytovat záruky nad rámec smluvní povinnosti dbát na dodržování úrovně ochrany vyžadované unijním právem, může být v závislosti na situaci panující v dané třetí zemi potřebné, aby správce za účelem zajištění dodržení této úrovně ochrany přijal další opatření. |
134 |
V tomto ohledu, jak podotkl generální advokát v bodě 126 svého stanoviska, je smluvní mechanismus stanovený v čl. 46 odst. 2 písm. c) GDPR založen na odpovědnosti správce nebo zpracovatele usazených v Unii a podpůrně příslušného dozorového úřadu. Je tedy především na správci či zpracovateli aby případ od případu – a eventuálně ve spolupráci s příjemcem předávaných údajů – ověřili, zda právo třetí země, do které jsou údaje předávány, zajišťuje ochranu osobních údajů předávaných na základě standardních doložek o ochraně osobních údajů, která je z hlediska unijního práva odpovídající, a v případě potřeby poskytl k zárukám poskytovaným těmito doložkami další záruky. |
135 |
Nemohou-li správce nebo zpracovatel usazení v Unii přijmout další opatření dostatečná pro zajištění takové ochrany, mají tento správce nebo zpracovatel, či případně příslušný dozorový úřad, povinnost pozastavit nebo ukončit předávání osobních údajů do dotyčné třetí země. Tak je tomu zejména v případě, že právo této třetí země ukládá příjemci osobních údajů předávaných z Unie povinnosti, které jsou v rozporu s uvedenými doložkami a mohou tedy ohrozit smluvní záruku odpovídající úrovně ochrany před přístupem orgánů veřejné moci uvedené třetí země k těmto údajům. |
136 |
Pouhou skutečností, že takové standardní doložky o ochraně osobních údajů uvedené v rozhodnutí Komise přijatém na základě čl. 46 odst. 2 písm. c) GDPR, jako jsou standardní doložky uvedené v příloze rozhodnutí o SSD, nezavazují orgány třetích zemí, do kterých mohou být osobní údaje předány, proto nemůže být dotčena platnost tohoto rozhodnutí. |
137 |
Tato platnost naproti tomu závisí na tom, zda takové rozhodnutí – v souladu s požadavkem vyplývajícím z čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR vykládaných s ohledem na články 7, 8 a 47 Listiny – obsahuje účinné mechanismy, které v praxi umožní zajistit dodržování úrovně ochrany vyžadované unijním právem a v případě, že by došlo k porušení takových doložek nebo k nemožnosti je dodržet, dočasně nebo trvale zakázat předávání osobních údajů na jejich základě. |
138 |
K zárukám obsaženým ve standardních doložkách o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD je třeba uvést, že z jeho doložky 4 písm. a) a b), z doložky 5 písm. a), z doložky 9 a z doložky 11 odst. 1 plyne, že se správce usazený v Unii, příjemce předávaných osobních údajů a jeho případný zpracovatel těchto údajů vzájemně zavazují k tomu, že zpracování těchto údajů včetně jejich předávání bylo a bude prováděno v souladu s „právem rozhodným pro ochranu údajů“, to znamená, jak stanoví definice uvedená v čl. 3 písm. f) uvedeného rozhodnutí, s „právní[mi] předpisy ochraňující[mi] základní práva a svobody jednotlivců, a zejména jejich právo na soukromí ve vztahu ke zpracování osobních údajů, které se vztahují na správce údajů v členském státě, ve kterém je usazen vývozce údajů“. Mezi tyto předpisy přitom patří ustanovení GDPR ve spojení s Listinou. |
139 |
Příjemce předávaných osobních údajů usazený ve třetí zemi se dále podle doložky 5 písm. a) zavazuje neprodleně informovat správce usazeného v Unii o tom, že případně nebude moci zajistit dodržování povinností, které pro něj vyplývají z uzavřené smlouvy. Konkrétně podle doložky 5 písm. b) tento příjemce osvědčuje, že nemá důvod se domnívat, že mu právní předpisy, kterým podléhá, brání plnit povinnosti vyplývající z uzavřené smlouvy, a zavazuje se, že v případě jakékoli změny těchto vnitrostátních právních předpisů, kterým podléhá, která by mohla mít výrazně nepříznivý dopad na záruky a závazky stanovené standardními doložkami o ochraně osobních údajů uvedenými v příloze rozhodnutí o SSD, oznámí neprodleně tuto změnu správci. Tatáž doložka 5 sice v písm. d) bodě i) umožňuje příjemci předávaných osobních údajů v případě, že mu to zakazují právní předpisy, jako například v případě, kdy je tak zakázáno trestním právem, aby byla zajištěna důvěrnost vyšetřování v rámci výkonu práva, neoznámit správci usazenému v Unii právně závazný požadavek na zveřejnění osobních údajů ze strany donucovacího orgánu, tento příjemce je nicméně podle doložky 5 písm. a) přílohy rozhodnutí o SSD povinen správce informovat o tom, že již nemůže zajistit dodržování standardních doložek o ochraně osobních údajů. |
140 |
Tato doložka 5 písm. a) a b) v obou tam upravených případech dává správci usazenému v Unii oprávnění pozastavit předávání údajů a/nebo odstoupit od smlouvy. S ohledem na požadavky vyplývající z čl. 46 odst. 1 a odst. 2 písm. c) GDPR ve spojení s články 7 a 8 Listiny je pozastavení předávání údajů a/nebo odstoupení od smlouvy pro správce povinné, jestliže příjemce předávaných údajů nemůže nebo již nemůže zajistit dodržování standardních doložek o ochraně osobních údajů. V opačném případě by správce nedostál požadavkům na něj kladeným doložkou 4 písm. a) přílohy rozhodnutí o SSD vykládanou ve spojení s ustanoveními GDPR a Listiny. |
141 |
Je tedy zřejmé, že doložka 4 písm. a) a doložka 5 písm. a) a b) této přílohy stanoví správci usazenému v Unii a příjemci předávaných osobních údajů povinnost ujistit se, že právní předpisy třetí země, do které jsou údaje předávány, umožňují tomuto příjemci dodržovat standardní doložky o ochraně osobních údajů uvedené v příloze rozhodnutí o SSD, a to ještě před samotným předáním osobních údajů do této třetí země. K tomuto ověření je v poznámce k uvedené doložce 5 upřesněno, že povinné požadavky těchto právních předpisů, které nepřekračují rámec toho, co je nezbytné v demokratické společnosti k zajištění zejména bezpečnosti státu, obrany a veřejné bezpečnosti, nejsou v rozporu se standardními doložkami o ochraně osobních údajů. Naopak za porušení těchto doložek musí být považováno, jak zdůraznil generální advokát v bodě 131 svého stanoviska, dodržení povinnosti uložené právem třetí země, do které jsou údaje předávány, jež překračuje rámec toho, co je nezbytné pro uvedené účely. Uvedené subjekty musí při posuzování nezbytnosti takové povinnosti případně zohlednit zjištění Komise, vyjádřené v rozhodnutí o odpovídající ochraně přijatém na základě čl. 45 odst. 3 GDPR, že dotyčná třetí země zajišťuje odpovídající úrovně ochrany. |
142 |
Z toho plyne, že správce usazený v Unii a příjemce předávaných osobních údajů mají povinnost předem ověřit, že v dotyčné třetí zemi bude dodržena úroveň ochrany vyžadovaná unijním právem. Příjemce předávaných údajů má případně na základě téže doložky 5 písm. b) povinnost informovat správce, pokud nebude moci zajistit dodržování těchto doložek, přičemž správce musí v takovém případě pozastavit předávání údajů a/nebo odstoupit od smlouvy. |
143 |
Oznámí-li příjemce osobních údajů předávaných do třetí země správci na základě doložky 5 písm. b) přílohy rozhodnutí o SSD, že mu právní předpisy dotyčné třetí země již nedovolují zajistit dodržování standardních doložek o ochraně osobních údajů uvedených v této příloze, musí podle doložky 12 uvedené přílohy být veškeré údaje, které již byly předány do této třetí země, a jejich kopie vráceny nebo zničeny. Doložka 6 téže přílohy v každém případě postihuje nedodržení těchto standardních doložek tím, že subjektu údajů přiznává nárok na náhradu utrpěné škody. |
144 |
Je nutno dodat, že podle doložky 4 písm. f) přílohy rozhodnutí o SSD se správce usazený v Unii zavazuje v případě, kdy by do třetí země, která neposkytuje odpovídající úroveň ochrany, mohly být předány zvláštní kategorie údajů, informovat o této skutečnosti subjekt údajů před předáním nebo co nejdříve po něm. Na základě tohoto informování by mohl uvedený subjekt získat možnost domáhat se na základě oprávnění, které mu přiznává doložka 3 odst. 1 této přílohy, na správci, aby pozastavil navrhované předání, odstoupil od smlouvy uzavřené s příjemcem předávaných osobních údajů nebo aby případně vyžadoval po tomto příjemci vrácení nebo zničení předaných údajů. |
145 |
Konečně podle doložky 4 písm. g) uvedené přílohy má správce usazený v Unii povinnost v případě, kdy mu příjemce předávaných osobních údajů oznámí na základě doložky 5 písm. b) této přílohy, že právní předpisy, kterým podléhá, se změnily způsobem, jenž by mohl mít výrazně nepříznivý dopad na záruky a závazky stanovené standardními doložkami o ochraně osobních údajů, předat toto oznámení příslušnému dozorovému úřadu, pokud se navzdory tomuto oznámení rozhodne pokračovat v předávání nebo odvolat jeho pozastavení. Na základě předání takového oznámení tomuto dozorovému úřadu a oprávnění tohoto úřadu provést u příjemce předávaných osobních údajů ověření podle doložky 8 odst. 2 téže přílohy může tento dozorový úřad ověřit, zda je za účelem zajištění odpovídající úrovně ochrany třeba dočasně nebo trvale zakázat navrhované předání. |
146 |
V tomto kontextu článek 4 rozhodnutí o SSD ve spojení s bodem 5 odůvodnění prováděcího rozhodnutí 2016/2297 potvrzuje, že rozhodnutí o SSD příslušnému dozorovému úřadu nebrání, aby v případě potřeby dočasně nebo trvale zakázal předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze tohoto rozhodnutí. V této souvislosti má příslušný dozorový úřad, jak vyplývá z odpovědi na osmou otázku a pokud neexistuje rozhodnutí o odpovídající ochraně platně přijaté Komisí, povinnost podle čl. 58 odst. 2 písm. f) a j) GDPR dočasně nebo trvale zakázat takové předávání, když na základě všech okolností daného předávání dospěje k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem nemůže být zajištěna jinými prostředky, jestliže předávání nepozastavil nebo neukončil sám správce nebo zpracovatel usazení v Unii. |
147 |
K okolnosti, na kterou poukazuje komisařka a podle které by se na předávání osobních údajů do takové třetí země mohla případně vztahovat rozdílná rozhodnutí dozorových úřadů v jednotlivých členských státech, je nutno dodat, že – jak vyplývá z čl. 55 odst. 1 a čl. 57 odst. 1 písm. a) GDPR – úkol vymáhat uplatňování tohoto nařízení je v zásadě svěřen každému dozorovému úřadu na území jeho členského státu. K zabránění rozdílných rozhodnutí stanoví čl. 64 odst. 2 uvedeného nařízení možnost dozorového úřadu, který dospěje k názoru, že předávání údajů do třetí země by mělo být obecně zakázáno, požádat o stanovisko evropský sbor pro ochranu osobních údajů (EDPB), který na základě čl. 65 odst. 1 písm. c) téhož nařízení může přijmout závazné rozhodnutí mimo jiné tehdy, pokud se určitý dozorový úřad neřídí vydaným stanoviskem. |
148 |
Z toho vyplývá, že rozhodnutí o SSD stanoví účinné mechanismy umožňující v praxi zajistit, aby předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze tohoto rozhodnutí bylo dočasně nebo trvale zakázáno, když příjemce předávaných údajů tyto doložky nedodržuje nebo když je mu jejich dodržování znemožněno. |
149 |
S ohledem na všechny výše rozvedené úvahy je třeba na sedmou a jedenáctou otázku odpovědět, že přezkum rozhodnutí o SSD vzhledem k článkům 7, 8 a 47 Listiny neodhalil žádnou skutečnost, která by mohla mít dopad na platnost tohoto rozhodnutí. |
Ke čtvrté, páté, deváté a desáté otázce
150 |
Podstatou deváté otázky předkládajícího soudu je, zda a do jaké míry je dozorový úřad členského státu vázán zjištěními uvedenými v rozhodnutí o štítu na ochranu soukromí, podle kterých Spojené státy zajišťují odpovídající úroveň ochrany. Podstatou čtvrté, páté a desáté otázky téhož soudu je, zda s ohledem na jeho vlastní zjištění týkající se práva Spojených států je předávání osobních údajů do této třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD porušením práv zaručených články 7, 8 a 47 Listiny, a konkrétně zda je zřízení úřadu ombudsmana zmíněného v příloze III rozhodnutí o štítu na ochranu soukromí slučitelné s článkem 47 Listiny. |
151 |
Předně je nutno poukázat na to, že komisařka sice v návrhu, jímž bylo zahájeno původní řízení, zpochybňuje platnost jen rozhodnutí o SSD, avšak tento návrh byl k předkládajícímu soudu podán před přijetím rozhodnutí o štítu na ochranu soukromí. Vzhledem k tomu, že prostřednictvím čtvrté a páté otázky se předkládající soud táže Soudního dvora obecně na ochranu, která musí podle článků 7, 8 a 47 Listiny být zajištěna v kontextu takového předávání, musí Soudní dvůr při přezkumu zohlednit důsledky plynoucí ze skutečnosti, že v mezidobí bylo přijato rozhodnutí o štítu na ochranu soukromí. Je tomu tak tím spíše, že uvedený soud se prostřednictvím desáté otázky výslovně táže, zda ochranu vyžadovanou tímto článkem 47 Listiny zajišťuje úřad ombudsmana zmíněný v posledně zmíněném rozhodnutí. |
152 |
Z informací uvedených v žádosti o rozhodnutí o předběžné otázce dále plyne, že Facebook Ireland v původním řízení tvrdila, že rozhodnutí o štítu na ochranu soukromí je v rozsahu zjištění odpovídající úrovně ochrany zajišťované Spojenými státy, potažmo v rozsahu legality předávání osobních údajů do této třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD, pro komisařku závazné. |
153 |
Jak přitom vyplývá z bodu 59 tohoto rozsudku, předkládající soud ve svém rozsudku ze dne 3. října 2017, přiloženém k žádosti o rozhodnutí o předběžné otázce, zdůraznil, že má povinnost zohlednit případné změny právní úpravy nastalé v době mezi podáním návrhu a jednáním nařízeným před tímto soudem. Tento soud je tedy podle všeho povinen zohlednit při rozhodování sporu v původním řízení změnu okolností vyplývající z přijetí rozhodnutí o štítu na ochranu soukromí i jeho případné závazné účinky. |
154 |
Konkrétně je existence závazných účinků spojených se zjištěním odpovídající úrovně ochrany ve Spojených státech v rozhodnutí o štítu na ochranu soukromí relevantní pro účely posuzování povinností, připomenutých výše v bodech 141 a 142 tohoto rozsudku, které mají správce a příjemce osobních údajů předávaných do třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD, a také povinností příslušejících případně dozorovému úřadu a spočívajících v dočasném nebo trvalém zakázání takového předávání. |
155 |
K závazným účinkům rozhodnutí o štítu na ochranu soukromí totiž toto rozhodnutí v čl. 1 odst. 1 stanoví, že pro účely čl. 45 odst. 1 GDPR „Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím ve Spojených státech v rámci štítu [Evropská unie]‑USA na ochranu soukromí“. Podle čl. 1 odst. 3 uvedeného rozhodnutí se osobní údaje považují za předávané v rámci tohoto štítu tehdy, jsou-li předávány z Unie organizacím ve Spojených státech uvedeným na seznamu organizací tohoto štítu, který vede a zpřístupňuje Ministerstvo obchodu USA v souladu s částí I a III zásad uvedených v příloze II téhož rozhodnutí. |
156 |
Jak vyplývá z judikatury připomenuté výše v bodech 117 a 118 tohoto rozsudku, rozhodnutí o štítu na ochranu soukromí je pro dozorové úřady závazné v rozsahu, ve kterém je v něm konstatováno, že Spojené státy zajišťují odpovídající úroveň ochrany, takže v jeho důsledku je předávání osobních údajů v rámci štítu Evropská unie‑USA na ochranu soukromí povoleno. Dokud tedy toto rozhodnutí není prohlášeno za neplatné Soudním dvorem, nemůže příslušný dozorový úřad dočasně nebo trvale zakázat předávání osobních údajů organizaci uvedené na seznamu organizací tohoto štítu z důvodu, že podle jeho názoru – na rozdíl od závěru Komise vyjádřeného v uvedeném rozhodnutí – právní předpisy Spojených států upravující přístup k osobním údajům předaným v rámci uvedeného štítu a použití těchto údajů orgány veřejné moci této třetí země pro účely národní bezpečnosti, prosazování práva a jiné účely veřejného zájmu, nezajišťují odpovídající úroveň ochrany. |
157 |
To nic nemění na tom, že podle judikatury připomenuté výše v bodech 119 a 120 tohoto rozsudku musí příslušný dozorový úřad, k němuž subjekt údajů podal stížnost, zcela nezávisle posoudit, zda je předání těchto údajů v souladu s požadavky stanovenými v GDPR, a v případě uznání důvodnosti výtek vznesených tímto subjektem a zpochybňujících platnost rozhodnutí o odpovídající ochraně podat k vnitrostátním soudům návrh na to, aby za účelem posouzení platnosti tohoto rozhodnutí podaly Soudnímu dvoru žádost o rozhodnutí o předběžné otázce. |
158 |
Stížnost podaná podle čl. 77 odst. 1 GDPR, v níž osoba, jejíž osobní údaje byly nebo by mohly být předány do třetí země, tvrdí, že právní předpisy a praxe platné v této zemi nezajišťují – navzdory zjištění učiněnému Komisí v rozhodnutí přijatém na základě čl. 45 odst. 3 tohoto nařízení – odpovídající úroveň ochrany, musí totiž být chápána v tom smyslu, že se v podstatě týká slučitelnosti tohoto rozhodnutí s ochranou soukromí a základních práv a svobod osob (obdobně ve vztahu k čl. 25 odst. 6 a čl. 28 odst. 4 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 59). |
159 |
Podstatou žádosti M. Schremse v projednávané věci bylo, aby komisařka dočasně nebo trvale zakázala předávání jeho osobních údajů společností Facebook Ireland společnosti Facebook Inc. usazené ve Spojených státech, protože tato třetí země nezajišťuje odpovídající úroveň ochrany. Komisařka se po prošetření tvrzení M. Schremse obrátila na předkládající soud, který si podle všeho klade s ohledem na předložené důkazy a kontradiktorní projednání věci před ním otázku, zda pochybnosti M. Schremse o odpovídající úrovni ochrany zajišťované v této třetí zemi nejsou navzdory zjištěním, které Komise v mezidobí učinila v rozhodnutí o štítu na ochranu soukromí, opodstatněné, a tak se rozhodl položit Soudnímu dvoru čtvrtou, pátou a desátou předběžnou otázku. |
160 |
Jak podotkl generální advokát v bodě 175 svého stanoviska, tyto předběžné otázky je třeba chápat tak, že v podstatě zpochybňují zjištění, které Komise uvedla v rozhodnutí o štítu na ochranu soukromí a podle kterého Spojené státy zajišťují odpovídající úroveň ochrany osobních předávaných údajů z Unie do této třetí země, potažmo platnost tohoto rozhodnutí. |
161 |
S ohledem na závěry a úvahy uvedené výše v bodech 121 a 157 až 160 tohoto rozsudku a za účelem podání úplné odpovědi předkládajícímu soudu je proto třeba posoudit, zda je rozhodnutí o štítu na ochranu soukromí v souladu s požadavky vyplývajícími z GDPR ve spojení s Listinou (obdobně viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 67). |
162 |
Přijetí rozhodnutí o odpovídající ochraně Komisí na základě čl. 45 odst. 3 GDPR vyžaduje, aby tento orgán s náležitým odůvodněním konstatoval, že dotyčná třetí země skutečně zajišťuje na základě svých vnitrostátních předpisů nebo mezinárodních závazků takovou úroveň ochrany základních práv, která je v zásadě rovnocenná úrovni ochrany zaručené v unijním právním řádu (obdobně ve vztahu k čl. 25 odst. 6 směrnice 95/46 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 96). |
K obsahu rozhodnutí o štítu na ochranu soukromí
163 |
Komise v čl. 1 odst. 1 rozhodnutí o štítu na ochranu soukromí konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím ve Spojených státech v rámci štítu Evropská unie‑USA na ochranu soukromí, který podle čl. 1 odst. 2 tohoto rozhodnutí sestává zejména ze zásad vydaných Ministerstvem obchodu Spojených států dne 7. července 2016, které jsou obsaženy v příloze II uvedeného rozhodnutí, a oficiálních prohlášení a závazků, které jsou obsaženy přílohách I a III až VII téhož rozhodnutí. |
164 |
Rozhodnutí o štítu na ochranu soukromí ovšem v bodě I.5 své přílohy II, nadepsané „Zásady rámce štítu na ochranu soukromí“, také upřesňuje, že dodržování těchto zásad může být omezeno mimo jiné „v rozsahu nezbytném pro splnění požadavků národní bezpečnosti, veřejného zájmu nebo prosazování zákonů“. Toto rozhodnutí tedy, stejně jako rozhodnutí 2000/520, zakotvuje přednost těchto požadavků před zmíněnými zásadami, podle níž jsou autocertifikované organizace USA, které získávají osobní údaje z Unie, povinny bez jakéhokoli omezení neuplatnit tyto zásady, pokud jsou v rozporu s těmito požadavky, a tudíž se ukážou jako s nimi neslučitelné (obdobně ve vztahu k rozhodnutí 2000/520 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 86). |
165 |
Vzhledem ke své obecnosti umožňuje odchylka obsažená v bodě I.5 přílohy II rozhodnutí o štítu na ochranu soukromí zásahy do základních práv osob, jejichž osobní údaje jsou nebo by mohly být předávány z Unie do Spojených států, jež se opírají o požadavky související s bezpečností státu a veřejným zájmem nebo o vnitrostátní předpisy Spojených států (obdobně ve vztahu k rozhodnutí 2000/520 viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 87). Konkrétně, jak je konstatováno v rozhodnutí o štítu na ochranu soukromí, mohou být takové zásahy důsledkem přístupu k osobním údajům předaným z Unie do Spojených států a použití těchto údajů orgány veřejné moci USA v rámci sledovacích programů PRISM a UPSTREAM, jejichž základem je § 702 zákona FISA, jakož i na základě EO 12333. |
166 |
V tomto kontextu Komise v bodech 67 až 135 odůvodnění rozhodnutí o štítu na ochranu soukromí posoudila omezení a záruky, které jsou k dispozici v právní úpravě Spojených států, zejména v § 702 zákona FISA, v EO 12333 a v PPD-28, v souvislosti s přístupem orgánů veřejné moci USA k osobním údajům předávaným v rámci štítu Evropská unie‑USA na ochranu soukromí a použitím těchto údajů těmito orgány pro účely národní bezpečnosti, prosazování práva, jakož i pro jiné účely obecného zájmu. |
167 |
Na základě tohoto posouzení Komise v bodě 136 odůvodnění uvedeného rozhodnutí konstatovala, že „Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie autocertifikovaným organizacím ve Spojených státech“, a v bodě 140 odůvodnění téhož rozhodnutí shledala „na základě dostupných informací o právním řádu USA […], že jakýkoli zásah orgány veřejné moci USA do základních práv osob, jejichž údaje jsou předávány z Unie do Spojených států v rámci štítu na ochranu soukromí[,] za účelem národní bezpečnosti, prosazování práva nebo jiného veřejného zájmu, a z toho plynoucí omezení kladená na autocertifikované společnosti s ohledem na jejich přijetí zásad bude omezen na rozsah striktně nezbytný k tomu, aby bylo dosaženo příslušného legitimního cíle, a že existuje účinná právní ochrana proti takový zásahům“. |
Ke konstatování týkajícímu se odpovídající úrovně ochrany
168 |
S ohledem na informace uvedené Komisí v rozhodnutí o štítu na ochranu soukromí a na skutečnosti zjištěné předkládajícím soudem v rámci původního řízení má uvedený soud pochybnosti o tom, zda právo Spojených států skutečně zajišťuje odpovídající úroveň ochrany vyžadovanou v článku 45 GDPR ve spojení se základními právy zaručenými v článcích 7, 8 a 47 Listiny. Konkrétně má uvedený soud za to, že právo této třetí země nestanoví omezení a záruky nezbytné vzhledem k zásahům dovoleným jeho vnitrostátní právní úpravou a nezajišťuje ani účinnou soudní ochranu proti takovým zásahům. K posledně zmíněnému aspektu předkládající soud dodává, že tyto nedostatky nemůže podle jeho názoru zhojit zřízení úřadu ombudsmana ve věcech štítu na ochranu soukromí, protože tohoto ombudsmana nelze považovat za soud ve smyslu článku 47 Listiny. |
169 |
Zaprvé k článkům 7 a 8 Listiny, které spolutvoří úroveň ochrany vyžadovanou v Unii a jejichž dodržení musí Komise konstatovat ještě před přijetím rozhodnutí o odpovídající ochraně na základě čl. 45 odst. 1 GDPR, je třeba připomenout, že článek 7 Listiny zaručuje každému právo na respektování jeho soukromého a rodinného života, obydlí a komunikace. Článek 8 odst. 1 Listiny dále výslovně přiznává každému právo na ochranu osobních údajů, které se ho týkají. |
170 |
Přístup k osobním údajům fyzické osoby za účelem jejich uložení nebo jejich použití se tedy dotýká základního práva této osoby na respektování soukromého života zaručeného v článku 7 Listiny, přičemž toto právo se vztahuje na veškeré informace o identifikované či identifikovatelné fyzické osobě. Tyto způsoby zpracování údajů spadají i pod článek 8 Listiny, protože představují zpracování osobních údajů ve smyslu tohoto článku, a musí tedy nutně splňovat požadavky na ochranu údajů stanovené v tomto článku [v tomto smyslu viz rozsudky ze dne 9. listopadu 2010, Volker und Markus Schecke a Eifert, C‑92/09 a C‑93/09, EU:C:2010:662, body 49 a 52; ze dne 8. dubna 2014, Digital Rights Ireland a další, C‑293/12 a C‑594/12, EU:C:2014:238, bod 29, jakož i posudek 1/15 (Dohoda PNR mezi EU a Kanadou), ze dne 26. července 2017, EU:C:2017:592, body 122 a 123]. |
171 |
Soudní dvůr již rozhodl, že sdělování osobních údajů třetí straně, například veřejnému orgánu, je zásahem do základních práv zakotvených v článcích 7 a 8 Listiny, bez ohledu na způsob následného použití sdělených informací. Totéž platí pro uložení osobních údajů a pro jejich zpřístupňování za účelem jejich použití orgány veřejné moci, a to bez ohledu na to, zda dotyčné informace o soukromém životě představují citlivé údaje nebo zda dotyčné osoby utrpěly z důvodu tohoto zásahu případné nepříznivé následky [v tomto smyslu viz rozsudky ze dne 20. května 2003, Österreichischer Rundfunk a další, C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, body 74 a 75; ze dne 8. dubna 2014, Digital Rights Ireland a další, C‑293/12 a C‑594/12, EU:C:2014:238, body 33 až 36, jakož i posudek 1/15 (Dohoda PNR mezi EU a Kanadou), ze dne 26. července 2017, EU:C:2017:592, body 124 a 126]. |
172 |
Práva zakotvená v článcích 7 a 8 Listiny se však neprojevují jako absolutní výsady, ale musí být nahlížena ve vztahu k jejich společenské funkci [v tomto smyslu viz rozsudky ze dne 9. listopadu 2010, Volker und Markus Schecke a Eifert, C‑92/09 a C‑93/09, EU:C:2010:662, bod 48 a citovaná judikatura; ze dne 17. října 2013, Schwarz, C‑291/12, EU:C:2013:670, bod 33 a citovaná judikatura, jakož i posudek 1/15 (Dohoda PNR mezi EU a Kanadou), ze dne 26. července 2017, EU:C:2017:592, bod 136]. |
173 |
V tomto ohledu je třeba rovněž poukázat na to, že podle čl. 8 odst. 2 Listiny musí být osobní údaje zpracovány zejména „k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem“. |
174 |
Podle čl. 52 odst. 1 věty první Listiny musí dále být každé omezení výkonu práv a svobod uznaných touto Listinou stanoveno zákonem a respektovat podstatu těchto práv a svobod. Článek 52 odst. 1 věta druhá Listiny stanoví, že při dodržení zásady proporcionality mohou být omezení těchto práv a svobod zavedena pouze tehdy, pokud jsou nezbytná a pokud skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého. |
175 |
K posledně zmíněnému aspektu je třeba doplnit, že požadavek, aby každé omezení výkonu základních práv bylo stanoveno zákonem, implikuje, že právní základ dovolující zásah do těchto práv musí sám definovat rozsah omezení výkonu dotyčného práva [posudek 1/15 (Dohoda PNR mezi EU a Kanadou), ze dne 26. července 2017, EU:C:2017:592, bod 139 a citovaná judikatura]. |
176 |
Konečně za účelem splnění požadavku proporcionality, podle kterého musí být výjimky z ochrany osobních údajů a její omezení činěny v mezích toho, co je nezbytně nutné, musí předmětná právní úprava, která s sebou přináší zásah, stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a stanovit minimální požadavky, tak aby osoby, jejichž údaje byly předány, měly dostatečné záruky umožňující účinně chránit jejich osobní údaje proti riziku zneužití. Taková právní úprava musí zejména vymezit okolnosti a podmínky, za nichž může být přijato opatření týkající se zpracovávání takových údajů, čímž zaručí, že se zásah omezí na to, co je nezbytně nutné. Potřeba takových záruk je o to významnější v případě, kdy jsou osobní údaje zpracovávány automaticky [v tomto smyslu viz posudek 1/15 (Dohoda PNR mezi EU a Kanadou), ze dne 26. července 2017, EU:C:2017:592, body 140 a 141 a citovaná judikatura]. |
177 |
Pro tyto účely čl. 45 odst. 2 písm. a) GDPR upřesňuje, že Komise při posuzování odpovídající úrovně ochrany ve třetí zemi vezme v úvahu mimo jiné existenci „účinných a vymahatelných práv subjekt[ů] údajů“, jejichž osobní údaje se předávají. |
178 |
V projednávané věci bylo zjištění, které Komise uvedla v rozhodnutí o štítu na ochranu soukromí a podle kterého Spojené státy zajišťují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii GDPR ve spojení s články 7 a 8 Listiny, zpochybněno zejména proto, že se na zásahy, které vyplývají z provádění sledovacích programů, jejichž základem jsou § 702 zákona FISA a EO 12333, nevztahují požadavky zajišťující v souladu se zásadou proporcionality takovou úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené článkem 52 odst. 1 větou druhou Listiny. Je proto třeba posoudit, zda jsou tyto sledovací programy prováděny v souladu s takovými požadavky, aniž je nutné předem ověřovat, zda tato třetí země dodržuje podmínky, které jsou v zásadě rovnocenné podmínkám stanoveným v čl. 52 odst. 1 větě první Listiny. |
179 |
V tomto ohledu Komise ke sledovacím programům, jejichž základem je § 702 zákona FISA, shledala v bodě 109 odůvodnění rozhodnutí o štítu na ochranu soukromí, že „Soud pro uplatňování zákona FISA [nepovoluje] jednotlivá sledovací opatření, nýbrž povoluje celé sledovací programy (např. PRISM, UPSTREAM), a to na základě ročních osvědčení, která vypracovávají ministr spravedlnosti a ředitel národních zpravodajských služeb“. Jak vyplývá z tohoto bodu odůvodnění, cílem přezkumu prováděného Soudem pro uplatňování zákona FISA je ověřit, zda tyto sledovací programy odpovídají cíli získat zahraniční zpravodajské informace, ale nikoli „zda jsou za účelem získání zahraničních zpravodajských informací fyzické osoby cíleny správně“. |
180 |
Vše tedy nasvědčuje tomu, že z § 702 zákona FISA nijak nevyplývá, že by existovala sebemenší omezení pro jím stanovené zmocnění k provádění sledovacích programů za účelem získání zahraničních zpravodajských informací nebo že by existovaly záruky pro osoby, které nejsou osobami USA a na které se tyto programy mohou vztahovat. Za těchto podmínek, jak v podstatě podotkl generální advokát v bodech 291, 292 a 297 svého stanoviska, nemůže tento článek zajistit takovou úroveň ochrany, která by byla v zásadě rovnocenná úrovni ochrany zaručené Listinou, tak jak je vyložena v judikatuře připomenuté výše v bodech 175 a 176 tohoto rozsudku a podle které právní základ dovolující zásahy do základních práv musí k tomu, aby byl v souladu se zásadou proporcionality, sám definovat rozsah omezení výkonu dotyčného práva a také stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a stanovit minimální požadavky. |
181 |
Je pravda, že podle zjištění uvedených v rozhodnutí o štítu na ochranu soukromí musí být sledovací programy, jejichž základem je § 702 zákona FISA, prováděny v souladu s požadavky vyplývajícími z PPD-28. Nicméně – třebaže Komise v bodech 69 a 77 odůvodnění rozhodnutí o štítu na ochranu soukromí zdůraznila, že takové požadavky jsou pro zpravodajské orgány USA závazné – vláda USA v odpověď na otázku Soudního dvora připustila, že PPD-28 nepřiznává subjektům údajů práva vymahatelná vůči orgánům USA před soudy. Nemůže tedy zajistit úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany vyplývající z Listiny, i když je taková úroveň vyžadována v čl. 45 odst. 2 písm. a) GDPR, podle něhož je konstatování této úrovně závislé mimo jiné na existenci účinných a vymahatelných práv subjektů údajů, jejichž osobní údaje se předávají do dotyčné třetí země. |
182 |
V souvislosti se sledovacími programy, jejichž základem je EO 12333, vyplývá ze spisu předloženého Soudnímu dvoru, že ani tento dekret nepřiznává práva vymahatelná vůči orgánům USA před soudy. |
183 |
Je nutno dodat, že PPD-28, která musí být při uplatňování programů zmíněných v předchozích bodech dodržována, umožňuje provádět „hromadné shromažďování […] poměrně velkého objemu signálových zpravodajských informací nebo údajů za okolností, kdy zpravodajská komunita nemůže k soustředěnému shromažďování použít identifikátor spojený s konkrétním cílem […]“, jak upřesňuje dopis úřadu ředitele národních zpravodajských služeb (Office of the Director of National Intelligence) Ministerstvu obchodu Spojených států amerických a odboru pro mezinárodní obchod ze dne 21. června 2016, uvedený v příloze VI rozhodnutí o štítu na ochranu soukromí. Tato možnost, v důsledku které lze v rámci sledovacích programů, jejichž základem je EO 12333, přistupovat k údajům na cestě do Spojených států, přičemž takový přístup nepodléhá vůbec žádnému soudnímu dohledu, přitom rozhodně neohraničuje dostatečně jasně a přesně rozsah takového hromadného shromažďování osobních údajů. |
184 |
Ukazuje se tedy, že ani § 702 zákona FISA, ani EO 12333 ve spojení s PPD-28 neodpovídají minimálním požadavkům, které jsou v unijním právu svázané se zásadou proporcionality, takže nelze mít za to, že by se sledovací programy prováděné na základě těchto předpisů omezovaly na to, co je nezbytně nutné. |
185 |
Za těchto podmínek je třeba konstatovat, že omezení ochrany osobních údajů, která plynou z vnitrostátních právních předpisů Spojených států upravujících přístup k takovým údajům předávaným z Unie do Spojených států a jejich použití orgány veřejné moci USA a která Komise posuzovala v rozhodnutí o štítu na ochranu soukromí, nejsou upravena takovým způsobem, aby odpovídala požadavkům, které jsou v zásadě rovnocenné požadavkům vyžadovaným v unijním právu článkem 52 odst. 1 větou druhou Listiny. |
186 |
Zadruhé k článku 47 Listiny, který také spolutvoří úroveň ochrany vyžadovanou v Unii a jehož dodržení musí Komise konstatovat ještě před přijetím rozhodnutí o odpovídající ochraně na základě čl. 45 odst. 1 GDPR, je třeba připomenout, že první pododstavec tohoto článku 47 vyžaduje, aby každý, jehož práva a svobody zaručené právem Unie byly porušeny, měl za podmínek stanovených tímto článkem právo na účinné prostředky nápravy před soudem. Podle druhého pododstavce téhož článku má každý právo, aby jeho věc byla projednána nezávislým a nestranným soudem. |
187 |
Podle ustálené judikatury je samotná existence účinného soudního přezkumu určeného k zajištění dodržování ustanovení unijního práva inherentní existenci právního státu. Právní úprava, která nestanoví procesním subjektům žádnou možnost využít právních prostředků s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů, proto nerespektuje podstatu základního práva na účinnou právní ochranu zakotveného v článku 47 Listiny (rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 95 a citovaná judikatura). |
188 |
Pro tyto účely čl. 45 odst. 2 písm. a) GDPR vyžaduje, aby Komise vzala při posuzování odpovídající úrovně ochrany ve třetí zemi v úvahu mimo jiné existenci „účinné správní a soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají“. V bodě 104 odůvodnění GDPR je v této souvislosti zdůrazněno, že daná třetí země „by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů“ s upřesněním, že „subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana“. |
189 |
Skutečnost, že v dotyčné třetí zemi existují takové možnosti účinné ochrany, je v kontextu předávání osobních údajů do této třetí země zvlášť důležitá, protože subjektům údajů se – jak plyne z bodu 116 odůvodnění GDPR – může stát, že správní orgány a soudy členských států nebudou mít dostatečné pravomoci a prostředky pro vyhovění jejich stížnostem založeným na údajně nezákonném zpracování jejich takto předaných údajů v této třetí zemi, což může vést k tomu, že se budou muset obrátit na vnitrostátní orgány a soudy této třetí země. |
190 |
V projednávané věci bylo zjištění, které Komise uvedla v rozhodnutí o štítu na ochranu soukromí a podle kterého Spojené státy zajišťují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v článku 47 Listiny, zpochybněno zejména proto, že zřízení úřadu ombudsmana ve věcech štítu na ochranu soukromí nemůže zhojit nedostatky zjištěné samotnou Komisí v soudní ochraně osob, jejichž osobní údaje jsou předávány do této třetí země. |
191 |
V tomto ohledu Komise v bodě 115 odůvodnění rozhodnutí o štítu na ochranu soukromí uvedla, že zatímco „fyzické osoby, včetně subjektů údajů z [Unie], […] mají k dispozici několik možností nápravy, pokud se staly předmětem nezákonného (elektronického) sledování z důvodu národní bezpečnosti, je stejně tak jasné, že přinejmenším některých z právních základů, které zpravodajské orgány USA mohou využít (např. EO 12223), se to netýká“. V souvislosti s EO 12333 poukázala v témže bodě 115 odůvodnění na neexistenci jakékoli možnosti nápravy. Podle judikatury připomenuté výše v bodě 187 tohoto rozsudku přitom takový nedostatek v soudní ochraně proti zásahům spojeným se zpravodajskými programy, jejichž základem je zmíněný prezidentský dekret, brání závěru, který učinila Komise v rozhodnutí o štítu na ochranu soukromí a podle kterého právo Spojených států zajišťuje úroveň ochrany, jež je v zásadě rovnocenná úrovni ochrany zaručené v článku 47 Listiny. |
192 |
Kromě toho ke sledovacím programům, jejichž základem je § 702 zákona FISA, jakož i ke sledovacím programům, jejichž základem je EO 12333, bylo již výše v bodech 181 a 182 tohoto rozsudku uvedeno, že PPD-28 ani EO 12333 nepřiznávají subjektům údajů práva vymahatelná vůči orgánům USA před soudy, takže tyto osoby nemají právo na účinný prostředek nápravy. |
193 |
Komise nicméně v bodech 115 a 116 odůvodnění rozhodnutí o štítu na ochranu soukromí konstatovala, že vzhledem k tomu, že orgány USA vytvořily mechanismus ombudsmana, který je popsán v dopise ministra zahranič[ních věc]í USA evropské komisařce pro spravedlnost, spotřebitele a rovnost žen a mužů ze dne 7. července 2016, jenž tvoří přílohu III tohoto rozhodnutí, a k povaze funkce svěřené ombudsmanovi, konkrétně funkce „vedoucího koordinátora pro mezinárodní informační diplomacii“, lze mít za to, že Spojené státy zajišťují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v článku 47 Listiny. |
194 |
Při zkoumání otázky, zda mechanismus ombudsmana zmíněný v rozhodnutí o štítu na ochranu soukromí skutečně může překlenout Komisí zjištěná omezení práva na soudní ochranu, je nutné v souladu s požadavky plynoucími z článku 47 Listiny a z judikatury připomenuté výše v bodě 187 tohoto rozsudku vycházet ze zásady, že procesním subjektům musí být dána možnost využít právních prostředků před nezávislým a nestranným soudem s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů. |
195 |
V dopise zmíněném výše v bodě 193 tohoto rozsudku byl přitom ombudsman ve věcech štítu na ochranu soukromí popsán jako sice „nezávislý na zpravodajské komunitě“, avšak zároveň jako „přímo podřízen[ý] ministru zahranič[ních věc]í, který zajistí, aby ombudsman vykonával svou funkci objektivně a nepodléhal nepatřičnému vlivu, jenž může mít účinek na odpověď, kterou má poskytnout“. Dále kromě skutečnosti, jak shledala Komise v bodě 116 odůvodnění tohoto rozhodnutí, že ombudsman je ustanoven ministrem zahranič[ních věc]í a je nedílnou součástí Ministerstva zahraničních věcí Spojených států, neobsahuje toto rozhodnutí, jak podotkl generální advokát v bodě 337 svého stanoviska, žádnou informaci o tom, že by odvolání ombudsmana nebo zrušení jeho jmenování bylo spojeno se zvláštními zárukami, což může vyvolat pochybnosti o nezávislosti ombudsmana na výkonné moci (v tomto smyslu viz rozsudek ze dne 21. ledna 2020, Banco de Santander, C‑274/14, EU:C:2020:17, body 60 a 63 a citovaná judikatura). |
196 |
Rozhodnutí o štítu na ochranu soukromí navíc, jak zdůraznil generální advokát v bodě 338 svého stanoviska, sice v bodě 120 odůvodnění rozhodnutí o štítu na ochranu soukromí zmiňuje závazek vlády USA zajistit, že dotčený prvek zpravodajské komunity bude muset napravit každé nedodržení příslušných předpisů zjištěné ombudsmanem ve věcech štítu na ochranu soukromí, avšak řečené rozhodnutí neobsahuje žádnou zmínku o tom, že by tento ombudsman měl pravomoc přijímat závazná rozhodnutí ve vztahu k této komunitě, ani o zákonných zárukách spojených s tímto závazkem, jichž by se mohly dovolávat subjekty údajů. |
197 |
Mechanismus ombudsmana zmíněný v rozhodnutí o štítu na ochranu soukromí tudíž neposkytuje prostředek nápravy u orgánu, který by osobám, jejichž údaje jsou předávány do Spojených států, nabízel záruky, které jsou v zásadě rovnocenné zárukám vyžadovaným v článku 47 Listiny. |
198 |
Komise proto tím, že v čl. 1 odst. 1 rozhodnutí o štítu na ochranu soukromí konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím usazeným v této třetí zemi v rámci štítu Evropská unie‑USA na ochranu soukromí, nedodržela požadavky vyplývající z čl. 45 odst. 1 GDPR ve spojení s články 7, 8 a 47 Listiny. |
199 |
Z toho plyne, že článek 1 rozhodnutí o štítu na ochranu soukromí je neslučitelný s čl. 45 odst. 1 GDPR ve spojení s články 7, 8 a 47 Listiny, a z toho důvodu je neplatný. |
200 |
Vzhledem k tomu, že článek 1 rozhodnutí o štítu na ochranu soukromí je neoddělitelně spjat s články 2 až 6, jakož i s přílohami tohoto rozhodnutí, má jeho neplatnost dopad na platnost tohoto rozhodnutí jako celku. |
201 |
Vzhledem ke všem výše uvedeným úvahám je třeba dospět k závěru, že rozhodnutí o štítu na ochranu soukromí je neplatné. |
202 |
K otázce, zda je třeba zachovat účinky tohoto rozhodnutí, aby nedošlo ke vzniku právního vakua (v tomto smyslu viz rozsudek ze dne 28. dubna 2016, Borealis Polyolefine a další, C‑191/14, C‑192/14, C‑295/14, C‑389/14 a C‑391/14 až C‑393/14, EU:C:2016:311, bod 106), je nutno poznamenat, že zrušení takového rozhodnutí o odpovídající ochraně, jako je rozhodnutí o štítu na ochranu soukromí, v každém případě nemůže – s ohledem na článek 49 GDPR – vést ke vzniku právního vakua. Tento článek totiž přesně stanoví podmínky, za nichž mohou být osobní údaje předávány do třetích zemí, jestliže neexistuje rozhodnutí o odpovídající ochraně podle čl. 45 odst. 3 uvedeného nařízení ani vhodné záruky podle článku 46 téhož nařízení. |
K nákladům řízení
203 |
Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují. |
Z těchto důvodů Soudní dvůr (velký senát) rozhodl takto: |
|
|
|
|
|
Podpisy |
( *1 ) – Jednací jazyk: angličtina.