–

Data Protection Commissioner, v zastúpení: D. Young, solicitor, B. Murray a M. Collins, SC, a C. Donnelly, BL,

–

Facebook Ireland Ltd, v zastúpení: P. Gallagher a N. Hyland, SC, A. Mulligan, a F. Kieran, BL, P. Nolan, C. Monaghan, C. O’Neill a R. Woulfe, solicitors,

–

M. Schrems, v zastúpení: H. Hofmann, Rechtsanwalt, E. McCullough, SC, J. Doherty a S. O’Sullivan, SC, a G. Rudden, solicitor,

–

The United States of America, v zastúpení: E. Barrington, SC, S. Kingston, BL, S. Barton a B. Walsh, solicitors,

–

Electronic Privacy Information Centre, v zastúpení: S. Lucey, solicitor, G. Gilmore a A. Butler, BL, a C. O’Dwyer, SC,

–

BSA Business Software Alliance Inc., v zastúpení: B. Van Vooren a K. Van Quathem, advocaten,

–

Digitaleurope, v zastúpení: N. Cahill, barrister, J. Cahir, solicitor, a M. Cush, SC,

–

Írsko, v zastúpení: A. Joyce a M. Browne, splnomocnení zástupcovia, za právnej pomoci D. Fennelly, BL,

–

belgická vláda, v zastúpení: J.‑C. Halleux a P. Cottin, splnomocnení zástupcovia,

–

česká vláda, v zastúpení: M. Smolek, J. Vláčil, O. Serdula a A. Kasalická, splnomocnení zástupcovia,

–

nemecká vláda, v zastúpení: J. Möller, D. Klebs a T. Henze, splnomocnení zástupcovia,

–

francúzska vláda, v zastúpení: A.‑L. Desjonquères, splnomocnená zástupkyňa,

–

holandská vláda, v zastúpení: C. S. Schillemans, M. K. Bulterman a M. Noort, splnomocnené zástupkyne,

–

rakúska vláda, v zastúpení: J. Schmoll a G. Kunnert, splnomocnení zástupcovia,

–

poľská vláda, v zastúpení: B. Majczyna, splnomocnený zástupca,

–

portugalská vláda, v zastúpení: L. Inez Fernandes, A. Pimenta a C. Vieira Guerra, splnomocnení zástupcovia,

–

vláda Spojeného kráľovstva, v zastúpení: S. Brandon, splnomocnený zástupca, za právnej pomoci J. Holmes, QC, a C. Knight, barrister,

–

Európsky parlament, v zastúpení: M. J. Martínez Iglesias a A. Caiola, splnomocnení zástupcovia,

–

Európska komisia, v zastúpení: D. Nardi, H. Krämer a H. Kranenborg, splnomocnení zástupcovia,

–

Európsky výbor pre ochranu údajov (EDPB), v zastúpení: A. Jelinek a K. Behn, splnomocnení zástupcovia,

1

Návrh na začatie prejudiciálneho konania sa v zásade týka:

2

Tento návrh bol podaný v rámci sporu medzi Data Protection Commissioner (komisár pre ochranu údajov, Írsko) (ďalej len „komisár“), ďalej spoločnosťou Facebook Ireland Ltd a napokon pánom Maximillianom Schremsom vo veci sťažnosti, ktorú podal pán Schrems, v súvislosti s prenosom jeho osobných údajov spoločnosťou Facebook Ireland spoločnosti Facebook Inc. v Spojených štátoch.

3

Článok 3 smernice 95/46, nazvaný „Rozsah“, v odseku 2 stanovuje:

„Táto smernica sa neuplatňuje na spracovanie osobných údajov:

…“

4

Článok 25 tejto smernice stanovoval:

„1.   Členské štáty zabezpečia, aby sa prenos osobných údajov… do tretej krajiny mohol urobiť len, bez toho, aby boli dotknuté vnútroštátne ustanovenia prijaté v súlade s ostatnými ustanoveniami tejto smernice, [ak – neoficiálny preklad] príslušná tretia krajina zaistí adekvátnu úroveň ochrany.

2.   Adekvátnosť úrovne ochrany, ktorú poskytuje tretia krajina sa hodnotí vzhľadom na všetky okolnosti týkajúce sa operácie prenosu údajov alebo komplexu operácií prenosu údajov;…

…

6.   Komisia môže zistiť [konštatovať – neoficiálny preklad], podľa postupu uvedeného v článku 31 ods. 2, že tretia krajina zaisťuje adekvátnu úroveň ochrany v rámci znenia odseku 2 tohto článku, z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, najmä na základe záverov jednaní uvedených v odseku 5, na ochranu súkromného života a osobných práv a slobôd [slobôd a základných práv osôb – neoficiálny preklad].

Členské štáty prijmú opatrenia potrebné na dosiahnutie súladu s rozhodnutím Komisie.“

5

Článok 26 ods. 2 a 4 uvedenej smernice stanovoval:

„2.   Bez toho, aby boli dotknuté ustanovenia odseku 1 môže členský štát schváliť prenos alebo súbor prenosov osobných údajov do tretej krajiny, ktorá nezaistí adekvátnu úroveň ochrany v rámci znenia článku 25 ods. 2, vtedy keď kontrolór uvádza záruky [prevádzkovateľ poskytuje dostatočné záruky – neoficiálny preklad] s ohľadom na ochranu súkromia a základných práv a slobôd jednotlivcov a pokiaľ ide o uplatnenie príslušných práv; takéto záruky môžu vyplývať najmä z príslušných zmluvných klauzúl.

…

4.   Ak Komisia rozhodne, v súlade s postupom uvedenom v článku 31 ods. 2, že určité štandardné zmluvné klauzuly ponúkajú dostatočné záruky, ako sa to požaduje v odseku 2, členské štáty podniknú nevyhnutné opatrenia, na dosiahnutie súladu s rozhodnutím Komisie.“

6

V zmysle článku 28 ods. 3 tej istej smernice:

„Každý [Každý dozorný orgán – neoficiálny preklad] je zabezpečený [má – neoficiálny preklad] najmä:

…“

7

Smernica 95/46 bola zrušená a nahradená nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa ruší smernica 95/46 (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „nariadenie GDPR“).

8

Odôvodnenia 6, 10, 101, 103, 104, 107 až 109, 114, 116 a 141 nariadenia GDPR stanovujú:

…

…

…

…

…

…

…

9

Článok 2 ods. 1 a 2 tohto nariadenia stanovuje:

„1.   Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

2.   Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:

10

Článok 4 tohto nariadenia stanovuje:

„Na účely tohto nariadenia:

…

…

…“

11

Článok 23 toho istého nariadenia stanovuje:

„1.   V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:

…

2.   Konkrétne musí každé legislatívne opatrenie uvedené v odseku 1 obsahovať osobitné ustanovenia, ktoré v relevantných prípado[ch] upravujú aspoň:

12

Kapitola V nariadenia GDPR, nazvaná „Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám“, obsahuje články 44 až 50 tohto nariadenia. Podľa článku 44 tohto nariadenia s názvom „Všeobecná zásada prenosov“:

„Akýkoľvek prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa uskutoční len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky stanovené v tejto kapitole, ako aj ostatné ustanovenia tohto nariadenia vrátane podmienok následných prenosov osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny, alebo inej medzinárodnej organizácii. Všetky ustanovenia v tejto kapitole sa uplatňujú s cieľom zabezpečiť, aby sa neohrozila úroveň ochrany fyzických osôb zaručená týmto nariadením.“

13

Článok 45 tohto nariadenia s názvom „Prenosy na základe rozhodnutia o primeranosti“ v odsekoch 1 až 3 stanovuje:

„1.   Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne osobitné povolenie.

2.   Pri posudzovaní primeranosti úrovne ochrany zohľadňuje Komisia najmä tieto skutočnosti:

3.   Komisia môže po posúdení primeranosti úrovne ochrany rozhodnúť prostredníctvom vykonávacieho aktu, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku. Vo vykonávacom akte sa stanoví mechanizmus pravidelného preskúmania, ktoré sa uskutočňuje najmenej raz za štyri roky, v ktorom sa zohľadnia všetky významné zmeny v tretej krajine alebo medzinárodnej organizácii. Vo vykonávacom akte sa uvedie rozsah jeho územnej a sektorovej pôsobnosti a v príslušných prípadoch aj dozorný orgán alebo dozorné orgány uvedené v odseku 2 písm. b) tohto článku. Vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 93 ods. 2“

14

Článok 46 daného nariadenia, nazvaný „Prenosy vyžadujúce primerané záruky“, v odsekoch 1 až 3 stanovuje:

„1.   Ak neexistuje rozhodnutie podľa článku 45 ods. 3, prevádzkovateľ alebo sprostredkovateľ môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

2.   Primerané záruky uvedené v odseku 1 sa môžu ustanoviť bez toho, aby sa dozorný orgán žiadal o akékoľvek osobitné povolenie, prostredníctvom:

3.   S výhradou povolenia od príslušného dozorného orgánu sa primerané záruky uvedené v odseku 1 môžu tiež zabezpečiť predovšetkým:

15

Článok 49 toho istého nariadenia s názvom „Výnimky pre osobitné situácie“ stanovuje:

„1.   Ak neexistuje rozhodnutie o primeranosti podľa článku 45 ods. 3 alebo ak neexistujú primerané záruky podľa článku 46 vrátane záväzných vnútropodnikových pravidiel, prenos alebo súbor prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa uskutoční len za jednej z týchto podmienok:

Ak by sa prenos nemohol zakladať na ustanovení článku 45 alebo 46 vrátane ustanovení o záväzných vnútropodnikových pravidlách a neuplatňuje sa žiadna výnimka pre osobitnú situáciu uvedená v prvom pododseku tohto odseku, prenos do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak prenos nie je opakujúcej sa povahy, týka sa len obmedzeného počtu dotknutých osôb, je nevyhnutný na účely závažných oprávnených záujmov, ktoré sleduje prevádzkovateľ a nad ktorými neprevažujú záujmy alebo práva a slobody dotknutej osoby, a prevádzkovateľ posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia poskytol vhodné záruky, pokiaľ ide o ochranu osobných údajov. Prevádzkovateľ informuje o prenose dozorný orgán. Prevádzkovateľ okrem poskytnutia informácií uvedených v článkoch 13 a 14 informuje dotknutú osobu o prenose a o závažných oprávnených záujmoch, ktoré sleduje.

2.   Prenos podľa odseku 1 prvého pododseku písm. g) nezahŕňa všetky osobné údaje alebo celé kategórie osobných údajov obsiahnutých v registri. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa uskutoční iba na žiadosť týchto osôb alebo vtedy, keď majú byť príjemcami.

3.   Odsek 1 prvý pododsek písm. a), b) a c) a odsek 1 druhý pododsek sa neuplatňujú na činnosti, ktoré vykonávajú orgány verejnej moci pri uplatňovaní svojich verejných právomocí.

4.   Verejný záujem uvedený v odseku 1 prvom pododseku písm. d) musí byť uznaný právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha.

5.   Ak neexistuje rozhodnutie o primeranosti, môžu sa v práve Únie alebo v práve členského štátu zo závažných dôvodov verejného záujmu výslovne stanoviť obmedzenia prenosu osobitných kategórií osobných údajov do tretej krajiny alebo medzinárodnej organizácii. Členské štáty oznámia takéto ustanovenia Komisii.

6.   Prevádzkovateľ alebo sprostredkovateľ zdokumentujú posúdenie, ako aj vhodné záruky uvedené v druhom pododseku odseku 1 tohto článku v záznamoch uvedených v článku 30.“

16

Podľa článku 51 ods. 1 nariadenia GDPR:

„Každý členský štát stanoví, že za monitorovanie uplatňovania tohto nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie (ďalej len ‚dozorný orgán‘).“

17

V súlade s článkom 55 ods. 1 tohto nariadenia „každý dozorný orgán je príslušný plniť úlohy, ktoré mu boli uložené, a vykonávať právomoci, ktoré mu boli zverené, v súlade s týmto nariadením na území vlastného členského štátu“.

18

Článok 57 ods. 1 uvedeného nariadenia stanovuje:

„Bez toho, aby boli dotknuté iné úlohy stanovené podľa tohto nariadenia, každý dozorný orgán na svojom území:

…

…“

19

V zmysle článku 58 ods. 2 a 4 toho istého nariadenia:

„2.   Každý dozorný orgán má všetky tieto nápravné právomoci:

…

…

…

4.   Výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, stanoveným v práve Únie a v práve členského štátu v súlade s chartou.“

20

Článok 64 ods. 2 nariadenia GDPR stanovuje:

„Ktorýkoľvek dozorný orgán, predseda [Európskeho výboru pre ochranu údajov (EDPB)] alebo Komisia môže požiadať, aby akúkoľvek záležitosť so všeobecným uplatnením alebo s účinkami vo viac ako jednom členskom štáte preskúmal výbor s cieľom získať stanovisko, najmä ak si príslušný dozorný orgán neplní povinnosti týkajúce sa vzájomnej pomoci podľa článku 61 alebo spoločných operácií podľa článku 62.“

21

Podľa článku 65 ods. 1 tohto nariadenia:

„S cieľom zabezpečiť správne a jednotné uplatňovanie tohto nariadenia v jednotlivých prípadoch prijme výbor záväzné rozhodnutie v týchto prípadoch:

…

22

Článok 77 uvedeného nariadenia, nazvaný „Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu“, stanovuje:

„1.   Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.

2.   Dozorný orgán, ktorému sa sťažnosť podala, informuje sťažovateľa o pokroku a výsledku sťažnosti vrátane možnosti podať súdny prostriedok nápravy podľa článku 78.“

23

Článok 78 toho istého nariadenia s názvom „Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu“ v odsekoch 1 a 2 stanovuje:

„1.   Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.

2.   Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak dozorný orgán, ktorý je príslušný podľa článkov 55 a 56, sťažnosť nevybavil alebo neinformoval dotknutú osobu do troch mesiacov o pokroku alebo výsledku sťažnosti podanej podľa článku 77.“

24

Článok 94 nariadenia GDPR stanovuje:

„1.   Smernica [95/46] sa zrušuje s účinnosťou od 25. mája 2018.

2.   Odkazy na zrušenú smernicu sa považujú za odkazy na toto nariadenie. Odkazy na Pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, zriadenú článkom 29 smernice [95/46], sa považujú za odkazy na Európsky výbor pre ochranu údajov zriadený týmto nariadením.“

25

Podľa článku 99 tohto nariadenia:

„1.   Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2.   Uplatňuje sa od 25. mája 2018.“

26

Odôvodnenie 11 rozhodnutia 2010/87 znie:

„Dozorné orgány členských štátov hrajú kľúčovú úlohu v tomto zmluvnom mechanizme, pokiaľ ide o zabezpečenie primeranej ochrany osobných údajov po prenose. Vo výnimočných prípadoch, kedy vývozcovia údajov odmietnu alebo nie sú schopní poskytnúť dovozcovi údajov náležité pokyny, za bezprostredného rizika vážneho poškodenia subjektov údajov, majú štandardné zmluvné doložky umožniť dozorným orgánom audit dovozcov údajov a subdodávateľov spracovateľských operácií a v prípade potreby prijať rozhodnutia, ktoré sú pre dovozcov údajov a subdodávateľov záväzné. Dozorné orgány majú mať právomoc zakázať alebo pozastaviť prenos údajov alebo skupinu prenosov na základe štandardných zmluvných doložiek v tých výnimočných prípadoch, kde sa zistí, že prevod na zmluvnom základe bude mať pravdepodobne závažný nepriaznivý účinok na záruky a záväzky poskytujúce primeranú ochranu subjektu údajov.“

27

Článok 1 tohto rozhodnutia stanovuje:

„Štandardné zmluvné doložky uvedené v prílohe sa považujú za doložky, ktoré poskytujú primerané záruky, pokiaľ ide o ochranu súkromia a základných práv a slobôd jednotlivcov ako aj pokiaľ ide o uplatnenie príslušných práv, ako to požaduje článok 26 ods. 2 smernice [95/46].“

28

V súlade s článkom 2 druhým odsekom uvedeného rozhodnutia sa „toto rozhodnutie… bude týkať prenosu osobných údajov prevádzkovateľmi usadenými v Európskej únii príjemcom usadeným mimo územia Európskej únie, ktorí vykonávajú len funkciu spracovateľov“.

29

Článok 3 toho istého rozhodnutia stanovuje:

„Na účely tohto rozhodnutia sa uplatňujú tieto pojmy:

…

…

…“

30

Článok 4 rozhodnutia 2010/87 vo svojom pôvodnom znení, ktoré predchádzalo nadobudnutiu účinnosti vykonávacieho rozhodnutia 2016/2297, stanovoval:

„1.   Bez toho, aby boli dotknuté ich právomoci podnikať právne opatrenia na zabezpečenie dodržiavania vnútroštátnych ustanovení prijatých podľa kapitol II, III, V a VI smernice [95/46], môžu príslušné úrady v členských štátoch uplatniť svoje existujúce právomoci zakázať alebo pozastaviť toky údajov do tretích krajín s cieľom ochrany osôb vo vzťahu k spracovaniu ich osobných údajov v prípadoch, ak:

2.   Zákaz alebo pozastavenie podľa odseku 1 bude zrušený, len čo dôvody pre pozastavenie alebo zákaz prestanú existovať.

3.   Ak členské štáty prijmú opatrenia podľa odsekov 1 a 2, budú o tom bezodkladne informovať Komisiu, ktorá príslušné informácie postúpi ostatným členským štátom.“

31

Odôvodnenie 5 vykonávacieho rozhodnutia 2016/2297, ktoré bolo prijaté po vyhlásení rozsudku zo 6. októbra 2015, Schrems (C‑362/14, EU:C:2015:650), znie takto:

„Rozhodnutie Komisie prijaté podľa článku 26 ods. 4 smernice [95/46] je mutatis mutandis záväzné pre všetky orgány členských štátov, ktoré sú jeho adresátmi, vrátane ich nezávislých orgánov dohľadu, v rozsahu, v akom má za následok, že uzná, že prenosy, ktoré sa uskutočňujú na základe štandardných zmluvných doložiek v ňom uvedených, ponúkajú dostatočné záruky, ako sa to požaduje v článku 26 ods. 2 príslušnej smernice. To nebráni vnútroštátnemu dozornému orgánu uplatňovať svoje právomoci pri dohľade nad tokmi údajov vrátane právomoci na pozastavenie alebo zákaz prenosu osobných údajov, keď skonštatuje, že sa prenos uskutočňuje v rozpore s právnymi predpismi EÚ a vnútroštátnymi právnymi predpismi o ochrane údajov, napríklad vtedy, keď príjemca údajov nedodržiava štandardné zmluvné doložky.“

32

Článok 4 rozhodnutia 2010/87 vo svojom aktuálnom znení, ktoré vychádza z vykonávacieho rozhodnutia 2016/2297, stanovuje:

„Keď príslušné orgány členských štátov uplatnia svoje právomoci podľa článku 28 ods. 3 smernice [95/46], dôsledkom čoho je pozastavenie alebo trvalý zákaz tokov údajov do tretích krajín v záujme ochrany fyzických osôb v súvislosti so spracovaním ich osobných údajov, príslušný členský štát o tom bezodkladne informuje Komisiu, ktorá príslušné informácie postúpi ostatným členským štátom.“

33

Príloha rozhodnutia 2010/87 s názvom „Štandardné zmluvné doložky (Spracovatelia)“ obsahuje 12 typových doložiek. Doložka 3 tejto prílohy, nazvaná „Doložka o oprávnenosti tretej strany“, stanovuje:

„1. Subjekt údajov môže ako oprávnená tretia strana uplatňovať voči vývozcovi údajov túto doložku, doložku 4 písm. b) až i), doložku 5 písm. a) až e) a písm. g) až j), doložku 6 ods. 1 a 2, doložku 7, doložku 8 ods. 2 a doložky 9 až 12.

2. Subjekt údajov môže uplatňovať voči dovozcovi údajov túto doložku, doložku 5 písm. a) až e) a písm. g), doložku 6, doložku 7, doložku 8 ods. 2 a doložky 9 až 12 v prípadoch, keď vývozca údajov fakticky zmizol alebo prestal právne existovať, pokiaľ prípadný nástupnícky subjekt neprevzal na základe zmluvy alebo podľa zákona všetky právne záväzky vývozcu údajov, v dôsledku čoho prijíma práva a záväzky vývozcu údajov a subjekt údajov ich v takom prípade môže uplatňovať voči tomuto subjektu.

…“

34

Z ustanovení doložky 4 tejto prílohy, nazvanej „Povinnosti vývozcu údajov“, vyplýva:

„Vývozca údajov súhlasí a zaručuje sa, že:

…

…“

35

Doložka 5 uvedenej prílohy, nazvaná „Povinnosti vývozcu [dovozcu – neoficiálny preklad] údajov…“, stanovuje:

„Dovozca údajov sa zaväzuje a zaručuje, že:

…

…“

36

V poznámke pod čiarou, na ktorú odkazuje názov tejto doložky 5, sa uvádza:

„Povinné požiadavky vnútroštátnych právnych predpisov vzťahujúcich sa na dovozcu údajov, ktoré nepresahujú rámec toho, čo je nevyhnutné v demokratickej spoločnosti na základe jedného zo záujmov uvedených v článku 13 ods. 1 smernice [95/46], t. j. ak predstavujú opatrenia nevyhnutné na zabezpečenie obrany národnej bezpečnosti, verejnej bezpečnosti, na predchádzanie, vyšetrovanie, odhaľovanie a stíhanie trestných činov alebo porušenie etických zásad regulovaných profesií, významného hospodárskeho alebo finančného záujmu štátu alebo ochrany subjektov údajov alebo práv a slobôd iných, nie sú v rozpore so štandardnými zmluvnými doložkami. …“

37

Doložka 6 prílohy rozhodnutia 2010/87 s názvom „Zodpovednosť“ stanovuje:

„1. Strany sa dohodli že subjekt údajov, ktorý utrpel škodu v dôsledku porušenia povinností uvedených v doložke 3 alebo doložke 11 spôsobeného ktoroukoľvek zo strán alebo subdodávateľom, má nárok na odškodnenie od vývozcu údajov.

2. Ak subjekt údajov nemôže v súlade s odsekom 1 požadovať odškodnenie od vývozcu údajov za porušenie niektorej z povinností dovozcu údajov alebo jeho subdodávateľa uvedených v doložke 3 alebo doložke 11, pretože vývozca údajov fakticky zmizol, prestal právne existovať alebo sa stal platobne neschopným, dovozca údajov sa zaväzuje, že subjekt údajov smie uplatňovať nároky voči dovozcovi údajov, ako by bol vývozcom údajov…

…“

38

Doložka 8 tejto prílohy, nazvaná „Spolupráca s dozornými orgánmi“, v odseku 2 stanovuje:

„Strany súhlasia, že dozorný orgán má právo vykonať audit dovozcu údajov alebo akéhokoľvek subdodávateľa v rovnakom rozsahu a za rovnakých podmienok, aké by sa uplatňovali pri audite vývozcu údajov v súlade s príslušným právom týkajúcim sa ochrany údajov.“

39

Doložka 9 uvedenej prílohy, nazvaná „Rozhodné právo“, spresňuje, že doložky sa majú riadiť právom členského štátu, v ktorom je vývozca údajov usadený.

40

Podľa doložky 11 tej istej prílohy, nazvanej „Spracovanie údajov subdodávateľmi“:

„1. Dovozca údajov nezadá na spracovanie subdodávateľom žiadnu zo spracovateľských operácií, ktoré vykonáva v mene vývozcu údajov podľa doložiek, bez predchádzajúceho písomného súhlasu vývozcu údajov. Pokiaľ dovozca údajov so súhlasom vývozcu údajov zadáva zákazky na spracovanie údajov subdodávateľom podľa doložiek, môže to uskutočniť len formou písomnej dohody so subdodávateľom, ktorá subdodávateľovi uloží rovnaké záväzky, aké má dovozca údajov podľa doložiek…

2. Predchádzajúca písomná zmluva medzi dovozcom údajov a subdodávateľom má tiež ustanoviť doložku o oprávnenosti tretej strany, ako je uvedené v doložke 3, pre tie prípady, keď subjekt údajov nemôže požadovať odškodnenie podľa odseku 1 doložky 6 od vývozcu údajov alebo dovozcu údajov, pretože fakticky zmizli alebo prestali právne existovať, alebo sa stali platobne neschopnými a žiaden nástupnícky subjekt neprevzal na základe zmluvy alebo podľa zákona všetky právne záväzky vývozcu údajov. Táto zodpovednosť subdodávateľa voči tretím stranám je obmedzená na jeho vlastné operácie súvisiace so spracovaním údajov podľa doložiek.

…“

41

Doložka 12, nazvaná „Povinnosti po ukončení poskytovania služieb spojených so spracovaním osobných údajov“, v odseku 1 stanovuje:

„Strany sa dohodli, že po ukončení poskytovania služieb spojených so spracovaním údajov dovozca údajov a subdodávateľ podľa rozhodnutia vývozcu údajov vráti všetky prenášané osobné údaje a ich kópie vývozcovi údajov alebo zničí všetky osobné údaje a predloží vývozcovi potvrdenie o ich zničení, pokiaľ právne predpisy vzťahujúce sa na dovozcu údajov nezakazujú dovozcovi vrátenie alebo zničenie všetkých alebo časti prenášaných osobných údajov. …“

42

Rozsudkom zo 6. októbra 2015, Schrems (C‑362/14, EU:C:2015:650), Súdny dvor zrušil rozhodnutie Komisie 2000/520/ES z 26. júla 2000 v súlade so smernicou 95/46 o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu Spojených štátov amerických, ktorým Európska komisia konštatovala, že táto tretia krajina zaručuje primeranú úroveň ochrany.

43

Po vyhlásení tohto rozsudku Komisia prijala rozhodnutie ŠnOOÚ, na čo musela najskôr vykonať posúdenie právnej úpravy Spojených štátov, ako to spresňuje odôvodnenie 65 uvedeného rozhodnutia:

„Komisia posúdila obmedzenia a záruky, ktoré sú k dispozícii v rámci práva USA v súvislosti s prístupom k osobným údajom prenášaným v rámci štítu na ochranu osobných údajov medzi [Európskou úniou] a USA orgánmi verejnej moci USA na účely národnej bezpečnosti, presadzovania práva a iné účely verejného záujmu a s ich používaním. Vláda USA navyše prostredníctvom svojho Úradu riaditeľa národnej spravodajskej služby (Office of the Director of National Intelligence – ODNI)… poskytla Komisii podrobné vyhlásenia a záväzky, ktoré sú uvedené v prílohe VI k tomuto rozhodnutiu. Listom podpísaným ministrom zahraničných vecí a priloženým ako príloha III k tomuto rozhodnutiu sa vláda USA takisto zaviazala vytvoriť nový mechanizmus dohľadu nad zásahmi na účely národnej bezpečnosti, a to funkciu ombudsmana pre štít na ochranu osobných údajov, ktorý je nezávislý od spravodajských služieb (Intelligence Community). A napokon, vo vyhlásení Ministerstva spravodlivosti USA uvedeného v prílohe VII k tomuto rozhodnutiu sa opisujú obmedzenia a záruky vzťahujúce sa na prístup k údajom a ich používanie orgánmi verejnej moci na účely presadzovania práva a iné účely verejného záujmu. V záujme zvýšenia transparentnosti a ako výraz právnej povahy týchto záväzkov sa všetky uvedené dokumenty priložené k tomuto rozhodnutiu uverejnia vo Federálnom registri USA.“

44

Analýza Komisie týkajúca sa týchto obmedzení a záruk je zhrnutá v odôvodneniach 67 až 135 rozhodnutia ŠnOOÚ, zatiaľ čo závery tejto inštitúcie týkajúce sa primeranej úrovne ochrany v rámci štítu na ochranu osobných údajov Európskej únie – Spojené štáty sú uvedené v odôvodneniach 136 až 141 tohto rozhodnutia.

45

Konkrétne odôvodnenia 68, 69, 76, 77, 109, 112 až 116, 120, 136 a 140 tohto rozhodnutia stanovujú:

…

…

…

…

…

…

46

V zmysle článku 1 rozhodnutia ŠnOOÚ:

„1.   Na účely článku 25 ods. 2 [smernice 95/46] Spojené štáty zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných z Únie organizáciám v USA v rámci štítu na ochranu osobných údajov medzi [Európskou úniou] a USA.

2.   Štít na ochranu osobných údajov medzi [Európskou úniou] a USA tvoria zásady vydané Ministerstvom obchodu USA 7. júla 2016, ktoré sú uvedené v prílohe II, a oficiálne vyhlásenia a záväzky obsiahnuté v dokumentoch uvedených v prílohách I, III až VII.

3.   Na účely odseku 1 sa osobné údaje prenášajú v rámci štítu na ochranu osobných údajov medzi [Európskou úniou] a USA, keď sa prenášajú z Únie organizáciám v USA, ktoré sú zahrnuté do ‚zoznamu organizácií zapojených do štítu na ochranu osobných údajov‘, ktorý vedie a sprístupňuje verejnosti Ministerstvo obchodu USA v súlade s oddielmi I a III zásad stanovených v prílohe II.“

47

Príloha II rozhodnutia ŠnOOÚ, nazvaná „Zásady rámca štítu na ochranu osobných údajov medzi [Európskou úniou] a USA vydané ministerstvom obchodu USA“, vo svojom bode I.5. stanovuje, že dodržiavanie zásad môže byť obmedzené najmä „môže byť obmedzené najmä požiadavk[ami] národnej bezpečnosti, verejného záujmu [a] presadzovania práva“.

48

Príloha III tohto rozhodnutia obsahuje list od pána Johna Kerryho, vtedajšieho Secretary of State (minister zahraničných vecí, Spojené štáty), zaslaný komisárke pre spravodlivosť, spotrebiteľov a rodovú rovnosť, zo 7. júla 2016, ku ktorému je v prílohe A pripojené memorandum s názvom „Mechanizmus ombudsmana pre štít na ochranu osobných údajov medzi EÚ a USA týkajúci sa signálového spravodajstva“, ktoré obsahuje tento text:

„Uznávajúc význam rámca štítu na ochranu osobných údajov medzi [Európskou úniou] a USA sa týmto memorandom stanovuje postup zavedenia nového mechanizmu týkajúceho sa signálového spravodajstva, ktorý je v súlade s… PPD‑28…

… Prezident Obama oznámil vydanie novej prezidentskej smernice PPD‑28, ktorá ‚jasne stanoví, čo robíme a čo nerobíme, pokiaľ ide o naše zahraničné sledovanie‘.

V oddiele 4 písm. d) smernice PPD‑28 sa nariaďuje ministrovi zahraničných vecí, aby vymenoval ‚hlavného koordinátora medzinárodnej diplomacie v oblasti informačných technológií‘ (ďalej len ‚hlavný koordinátor‘), ktorý by mal ‚slúžiť ako kontaktná osoba pre zahraničné vlády, ktoré chcú vyjadriť znepokojenie týkajúce sa činností signálového spravodajstva Spojených štátov‘.

…

…“

49

Príloha VI rozhodnutia ŠnOOÚ obsahuje list od Úradu riaditeľa národnej spravodajskej služby (Office of the Director of National Intelligence) Ministerstvu obchodu USA, ako aj správnemu orgánu zahraničného obchodu z 21. júna 2016, v ktorom sa uvádza, že PPD‑28 umožňuje „‚hromadné zhromažďovanie‘… pomerne veľkého objemu informácií alebo údajov prostredníctvom signálového spravodajstva za okolností, keď spravodajské služby nemôžu použiť identifikátor spojený s konkrétnym cieľom…, aby mohli presne zamerať zhromažďovanie informácií“.

50

Pán Schrems, rakúsky štátny príslušník s bydliskom v Rakúsku, je používateľom sociálnej siete Facebook (ďalej len „Facebook“) od roku 2008.

51

Každý, kto má bydlisko na území Únie a chce používať Facebook, musí v rámci svojej registrácie uzavrieť zmluvu so spoločnosťou Facebook Ireland, dcérskou spoločnosťou Facebook Inc., ktorá má sídlo v Spojených štátoch. Osobné údaje klientov spoločnosti Facebook s bydliskom na území Únie sa v celom rozsahu alebo sčasti prenášajú na servery patriace spoločnosti Facebook Inc., ktoré sa nachádzajú na území Spojených štátov, kde sa spracúvajú.

52

Dňa 25. júna 2013 sa pán Schrems obrátil na komisára so sťažnosťou, v ktorej ho v podstate žiadal, aby zakázal spoločnosti Facebook Ireland prenos jeho osobných údajov do Spojených štátov, pričom tvrdil, že platné právo a prax v tejto krajine nezaručujú dostatočnú ochranu osobných údajov uchovávaných na jej území pred činnosťami sledovania, ktoré tam vykonávali orgány verejnej moci. Táto sťažnosť bola zamietnutá najmä z dôvodu, že Komisia vo svojom rozhodnutí 2000/520 konštatovala, že Spojené štáty zabezpečovali primeranú úroveň ochrany.

53

High Court (Vyšší súd, Írsko), na ktorý pán Schrems podal žalobu proti zamietnutiu jeho sťažnosti, podal na Súdny dvor návrh na začatie prejudiciálneho konania týkajúci sa výkladu a platnosti rozhodnutia 2000/520. Rozsudkom zo 6. októbra 2015, Schrems (C‑362/14, EU:C:2015:650), Súdny dvor vyhlásil toto rozhodnutie za neplatné.

54

V nadväznosti na tento rozsudok vnútroštátny súd zrušil zamietnutie sťažnosti pána Schremsa a vrátil ju komisárovi. V rámci konania, ktoré tento orgán začal, Facebook Ireland vysvetlila, že veľká časť osobných údajov bola prenesená na spoločnosť Facebook Inc. na základe štandardných doložiek o ochrane údajov uvedených v prílohe rozhodnutia 2010/87. Vzhľadom na tieto skutočnosti komisár vyzval pána Schremsa, aby svoju sťažnosť preformuloval.

55

Vo svojej v tomto zmysle preformulovanej sťažnosti podanej 1. decembra 2015 pán Schrems najmä tvrdil, že americké právo ukladá spoločnosti Facebook Inc. povinnosť sprístupniť osobné údaje, ktoré sú jej prenesené, americkým orgánom, akými sú National Security Agency (NSA) a Federal Bureau of Investigation (FBI). Tvrdil, že vzhľadom na to, že tieto údaje boli použité v rámci rôznych programov sledovania spôsobom nezlučiteľným s článkami 7, 8 a 47 Charty, rozhodnutie 2010/87 nemôže odôvodniť prenos uvedených údajov do Spojených štátov. Za týchto podmienok pán Schrems požiadal komisára, aby zakázal alebo pozastavil prenos jeho osobných údajov na spoločnosť Facebook Inc.

56

Dňa 24. mája 2016 komisár uverejnil „návrh rozhodnutia“, v ktorom zhrnul predbežné závery svojho vyšetrovania. V tomto návrhu predbežne konštatoval, že k osobným údajom občanov Únie prenášaným do Spojených štátov možno pristupovať a spracúvať ich orgánmi Spojených štátov spôsobom nezlučiteľným s článkami 7 a 8 Charty a že právo Spojených štátov neposkytuje týmto občanom opravné prostriedky zlučiteľné s článkom 47 Charty. Komisár sa domnieval, že štandardné doložky o ochrane údajov pripojené k rozhodnutiu 2010/87 nemôžu napraviť tento nedostatok, keďže dotknutým osobám priznávajú len zmluvné práva voči vývozcovi a dovozcovi údajov, avšak bez toho, aby zaväzovali americké orgány.

57

Keďže sa za týchto podmienok komisár domnieval, že preformulovaná sťažnosť pána Schremsa nastoľovala otázku platnosti rozhodnutia 2010/87, 31. mája 2016 sa obrátil na High Court (Vyšší súd), pričom poukazoval na judikatúru vyplývajúcu z rozsudku zo 6. októbra 2015, Schrems (C‑362/14,EU:C:2015:650, bod 65), aby sa tento súd obrátil na Súdny dvor s touto otázkou. Rozhodnutím zo 4. mája 2018 High Court (Vyšší súd) podal prejednávaný návrh na začatie prejudiciálneho konania na Súdny dvor.

58

High Court (Vyšší súd) pripojil k tomuto návrhu na začatie prejudiciálneho konania rozsudok vyhlásený 3. októbra 2017, v ktorom uviedol výsledok preskúmania dôkazov, ktoré mu boli predložené v rámci vnútroštátneho konania, teda konania, na ktorom sa zúčastnila americká vláda.

59

V uvedenom rozsudku, na ktorý sa viackrát odvoláva návrh na začatie prejudiciálneho konania, vnútroštátny súd uviedol, že v zásade má nielen právo, ale aj povinnosť preskúmať všetky skutočnosti a tvrdenia, ktoré mu boli predložené, aby na ich základe rozhodol, či je alebo nie je potrebné podať návrh na začatie prejudiciálneho konania. V každom prípade je povinný zohľadniť prípadné zmeny práva, ku ktorým došlo medzi podaním žaloby a pojednávaním, ktoré pred ním prebiehalo. Tento súd spresnil, že v rámci veci samej sa jeho vlastné posúdenie neobmedzuje na dôvody neplatnosti uvádzané komisárom, takže môže odhaliť aj ex offo iné dôvody neplatnosti a na ich základe podať návrh na začatie prejudiciálneho konania.

60

Podľa konštatovaní uvedených v danom rozsudku sa spravodajské činnosti orgánov Spojených štátov, pokiaľ ide o osobné údaje prenášané do Spojených štátov, zakladajú najmä na článku 702 FISA a E.O. 12333.

61

Pokiaľ ide o článok 702 FISA, vnútroštátny súd v tom istom rozsudku spresnil, že tento článok umožňuje generálnemu prokurátorovi a riaditeľovi národnej spravodajskej služby, aby po schválení FISC s cieľom získať „zahraničné spravodajské informácie“ spoločne povolili sledovanie osôb, ktoré nie sú americkými občanmi a ktoré sa nenachádzajú na území Spojených štátov, a slúži najmä ako základ pre programy sledovania PRISM a UPSTREAM. V rámci programu PRISM sú poskytovatelia internetových služieb, ako konštatuje tento súd, povinní poskytnúť NSA celú zasielanú a prijímanú komunikáciu „selektora“, pričom časť z nich sa posiela aj FBI a Central Intelligence Agency (CIA) (Ústredná spravodajská služba).

62

Pokiaľ ide o program UPSTREAM, uvedený súd konštatoval, že v rámci tohto programu sú telekomunikačné podniky prevádzkujúce „chrbtovú“ sieť, t. j. sieť káblov, prepínačov a smerovačov povinné umožniť NSA kopírovať a filtrovať internetovú komunikáciu na účely zhromažďovania komunikácie zaslanej, prijatej alebo týkajúcej sa osoby, ktorá nie je americkým občanom ani rezidentom, a ktorú vyberie „selektor“. V rámci uvedeného programu má NSA podľa zistení tohto súdu prístup tak k metaúdajom, ako aj k obsahu predmetných komunikácií.

63

Pokiaľ ide o E.O. 12333, vnútroštátny súd konštatuje, že umožňuje NSA prístup k údajom nachádzajúcim sa „na ceste“ do Spojených štátov prostredníctvom prístupu k podmorským káblom uloženým na dne Atlantického oceánu, ako aj získavanie a uchovávanie týchto údajov pred ich vstupom do Spojených štátov a uplatňovaním tam na ne ustanovenia zákona FISA. Spresňuje, že činnosti založené na E.O. 12333 sa nespravujú zákonom.

64

Pokiaľ ide o obmedzenia spravodajských činností, vnútroštátny súd kladie dôraz na skutočnosť, že osoby, ktoré nie sú americkými občanmi ani rezidentmi, spadajú výlučne pod PPD‑28 a že táto smernica len uvádza, že spravodajské činnosti by mali byť „v čo najväčšej uskutočniteľnej miere prispôsobené [čo možno najpresnejšie zacielené – neoficiálny preklad]“ (as tailored as feasible). Na základe týchto konštatovaní sa uvedený súd domnieva, že Spojené štáty vykonávajú hromadné spracúvanie osobných údajov bez toho, aby zabezpečili úroveň ochrany v podstate rovnocennú tej, ktorá je zaručená článkami 7 a 8 Charty.

65

Pokiaľ ide o súdnu ochranu, ten istý súd uvádza, že občania Únie nemajú prístup k rovnakým prostriedkom nápravy, aké majú americkí štátni príslušníci proti spracúvaniu osobných údajov americkými orgánmi, keďže štvrtý dodatok ku Constitution of the United States (Ústava Spojených štátov), ktorá v americkom práve predstavuje najdôležitejšiu ochranu pred nezákonným sledovaním, sa nevzťahuje na občanov Únie. V tejto súvislosti vnútroštátny súd spresňuje, že žaloby, ktoré majú títo občania k dispozícii, narážajú na značné prekážky, najmä na povinnosť – podľa jeho názoru príliš ťažko splniteľnú – preukázať svoju aktívnu legitimáciu. Okrem toho z jeho konštatovaní vyplýva, že činnosti NSA založené na E.O. 12333 nemôžu byť predmetom súdneho preskúmania a nemožno proti nim podať opravný prostriedok. Uvedený súd sa napokon domnieva, že vzhľadom na to, že podľa jeho názoru ombudsman pre štít na ochranu údajov nepredstavuje súd v zmysle článku 47 Charty, americké právo nezaručuje občanom Únie úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej základným právom zakotveným v tomto článku.

66

Vnútroštátny súd vo svojom návrhu na začatie prejudiciálneho konania ďalej spresňuje, že spor medzi účastníkmi konania vo veci samej sa týka najmä otázky uplatniteľnosti práva Únie na prenosy osobných údajov do tretej krajiny, ktoré môžu byť spracúvané orgánmi tejto krajiny najmä na účely národnej bezpečnosti, ako aj skutočností, ktoré treba zohľadniť na účely posúdenia primeranosti úrovne ochrany zabezpečovanej uvedenou krajinou. Tento súd konkrétne uvádza, že podľa spoločnosti Facebook Ireland zistenia Komisie týkajúce sa primeranosti úrovne ochrany zabezpečovanej treťou krajinou, akými sú zistenia uvedené v rozhodnutí ŠnOOÚ, zaväzujú dozorné orgány aj v kontexte prenosu osobných údajov založeného na štandardných doložkách o ochrane údajov uvedených v prílohe rozhodnutia 2010/87.

67

Pokiaľ ide o tieto štandardné doložky o ochrane údajov, daný súd sa pýta, či rozhodnutie 2010/87 možno považovať za platné, hoci podľa toho istého súdu uvedené doložky nemajú pre štátne orgány dotknutej tretej krajiny záväzný charakter, a preto nemôžu napraviť prípadnú neexistenciu primeranej úrovne ochrany v uvedenej krajine. V tejto súvislosti sa domnieva, že možnosť zakázať prenosy osobných údajov do tretej krajiny, ktorá dovozcovi ukladá povinnosti nezlučiteľné so zárukami obsiahnutými v tých istých ustanoveniach, ktorú príslušným orgánom členských štátov priznáva článok 4 ods. 1 písm. a) rozhodnutia 2010/87 v znení predchádzajúcom nadobudnutiu účinnosti vykonávacieho rozhodnutia 2016/2297, preukazuje, že právny stav v tretej krajine môže byť dôvodom pre zákaz prenosu údajov, aj vtedy, keď sa uskutočňuje na základe štandardných doložiek o ochrane údajov, ktoré sú uvedené v prílohe rozhodnutia 2010/87, a teda je zjavné, že tieto doložky môžu byť neprimerané na zabezpečenie primeranej ochrany. Za týchto okolností sa vnútroštátny súd pýta na rozsah právomoci komisára zakázať prenos údajov založený na týchto doložkách, pričom sa domnieva, že diskrečná právomoc nemôže stačiť na zabezpečenie primeranej ochrany.

68

Za týchto podmienok High Court (Vyšší súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

69

Facebook Ireland, ako aj nemecká vláda a vláda Spojeného kráľovstva tvrdia, že návrh na začatie prejudiciálneho konania je neprípustný.

70

Pokiaľ ide o námietku predloženú spoločnosťou Facebook Ireland, táto spoločnosť poznamenáva, že nariadenie GDPR zrušilo ustanovenia smernice 95/46, na ktorých sú založené prejudiciálne otázky.

71

Hoci je v tejto súvislosti pravda, že smernica 95/46 bola v súlade s článkom 94 ods. 1 nariadenia GDPR zrušená s účinnosťou od 25. mája 2018, táto smernica bola účinná ešte 4. mája 2018, keď bol vydaný tento návrh na začatie prejudiciálneho konania, a 9. mája 2018, keď bol doručený Súdnemu dvoru. Okrem toho článok 3 ods. 2 prvá zarážka, články 25 a 26, ako aj článok 28 ods. 3 smernice 95/46, na ktoré odkazujú prejudiciálne otázky, boli v podstate prevzaté do článku 2 ods. 2, ako aj článkov 45, 46 a 58 nariadenia GDPR. Navyše treba pripomenúť, že úlohou Súdneho dvora je vykladať všetky ustanovenia práva Únie, ktoré vnútroštátne súdy potrebujú na rozhodovanie o žalobách, ktoré im boli predložené, aj keď tieto ustanovenia nie sú výslovne spomenuté v otázkach položených Súdnemu dvoru týmito súdmi (rozsudok z 2. apríla 2020, Ruska Federacija, C‑897/19 PPU, EU:C:2020:262, bod 43 a citovaná judikatúra). Z týchto rôznych dôvodov okolnosť, že vnútroštátny súd formuloval prejudiciálne otázky s odkazom výlučne na ustanovenia smernice 95/46, nemôže mať za následok neprípustnosť tohto návrhu na začatie prejudiciálneho konania.

72

Nemecká vláda zakladá svoju námietku neprípustnosti jednak na okolnosti, že komisár vyjadril len pochybnosti, a nie konečné stanovisko, pokiaľ ide o otázku platnosti rozhodnutia 2010/87, a jednak na tom, že vnútroštátny súd neoveril, či pán Schrems dal nepochybne svoj súhlas s prenosmi údajov, o ktoré ide vo veci samej, čo by v prípade, že to tak je, spôsobilo, že odpoveď na túto otázku nebude užitočná. Napokon podľa vlády Spojeného kráľovstva majú prejudiciálne otázky hypotetickú povahu, keďže tento súd nekonštatoval, že tieto údaje boli skutočne prenesené na základe uvedeného rozhodnutia.

73

Z ustálenej judikatúry Súdneho dvora vyplýva, že prináleží iba vnútroštátnemu súdu, ktorý prejednáva spor a ktorý nesie zodpovednosť za následné súdne rozhodnutie, aby so zreteľom na osobitosti veci posúdil tak potrebu rozhodnutia v prejudiciálnom konaní na vydanie svojho rozsudku, ako aj relevantnosť otázok, ktoré kladie Súdnemu dvoru. Preto pokiaľ sa predložené otázky týkajú výkladu právneho predpisu Únie, Súdny dvor je v zásade povinný rozhodnúť. Z toho vyplýva, že pri otázkach položených vnútroštátnymi súdmi platí prezumpcia relevantnosti. Súdny dvor môže odmietnuť návrh na začatie prejudiciálneho konania podaný vnútroštátnym súdom len vtedy, ak sa javí, že požadovaný výklad nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, ak ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými ani právnymi podkladmi potrebnými na užitočnú odpoveď na uvedené otázky (rozsudky zo 16. júna 2015, Gauweiler a i., C‑62/14, EU:C:2015:400, body 24 a 25; z 2. októbra 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, bod 45, ako aj z 19. decembra 2019, Dobersberger, C‑16/18, EU:C:2019:1110, body 18 a 19).

74

V prejednávanej veci návrh na začatie prejudiciálneho konania obsahuje skutkové a právne okolnosti, ktoré sú dostatočné na pochopenie rozsahu prejudiciálnych otázok. Okrem toho a predovšetkým žiadna skutočnosť v spise, ktorý má Súdny dvor k dispozícii, neumožňuje domnievať sa, že požadovaný výklad práva Únie nemá súvislosť s existenciou alebo predmetom sporu vo veci samej, alebo že ide o hypotetický problém, najmä z dôvodu, že poskytnutie osobných údajov, o ktoré ide vo veci samej, je založené na výslovnom súhlase dotknutej osoby s týmto prenosom, a nie na rozhodnutí 2010/87. Podľa údajov uvedených v tomto návrhu totiž Facebook Ireland uznala, že spoločnosti Facebook Inc. prenáša osobné údaje svojich používateľov s bydliskom v Únii a že veľká časť týchto prenosov, ktorých zákonnosť pán Schrems spochybňuje, sa vykonáva na základe štandardných doložiek o ochrane údajov uvedených v prílohe rozhodnutia 2010/87.

75

Okrem toho na prípustnosť tohto návrhu na začatie prejudiciálneho konania nemá vplyv, že komisár nevyjadril konečné stanovisko k platnosti tohto rozhodnutia, keďže vnútroštátny súd sa domnieva, že odpoveď na prejudiciálne otázky týkajúce sa výkladu a platnosti pravidiel práva Únie je nevyhnutná na vyriešenie sporu vo veci samej.

76

Z toho vyplýva, že návrh na začatie prejudiciálneho konania je prípustný.

77

Na úvod treba pripomenúť, že tento návrh na začatie prejudiciálneho konania vychádza zo sťažnosti pána Schremsa, ktorou sa domáha, aby komisár nariadil do budúcnosti pozastaviť alebo zakázať spoločnosti Facebook Ireland prenos jeho osobných údajov spoločnosti Facebook Inc. Keďže prejudiciálne otázky odkazujú na ustanovenia smernice 95/46, je nesporné, že komisár v momente, keď bola táto smernica zrušená a nahradená nariadením GDPR s účinnosťou od 25. mája 2018, ešte neprijal konečné rozhodnutie o tejto sťažnosti.

78

Táto neexistencia vnútroštátneho rozhodnutia odlišuje situáciu vo veci samej od situácií, ktoré viedli k rozsudkom z 24. septembra 2019, Google (Územná pôsobnosť odstránenia odkazu) (C‑507/17, EU:C:2019:772), a z 1. októbra 2019, Planet49 (C‑673/17, EU:C:2019:801), v ktorých išlo o rozhodnutia prijaté pred zrušením uvedenej smernice.

79

Na prejudiciálne otázky preto treba odpovedať vzhľadom na ustanovenia nariadenia GDPR, a nie na smernicu 95/46.

80

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa článok 2 ods. 1 a článok 2 ods. 2 písm. a), b) a d) nariadenia GDPR v spojení s článkom 4 ods. 2 ZEÚ majú vykladať v tom zmysle, že do pôsobnosti tohto nariadenia patrí prenos osobných údajov vykonaný hospodárskym subjektom usadeným v jednom členskom štáte inému hospodárskemu subjektu usadenému v tretej krajine, ak v priebehu tohto prenosu alebo po ňom môžu byť tieto údaje spracúvané orgánmi tejto tretej krajiny na účely verejnej bezpečnosti, obrany a bezpečnosti štátu.

81

V tejto súvislosti treba na úvod uviesť, že ustanovenie článku 4 ods. 2 ZEÚ, podľa ktorého národná bezpečnosť v rámci Únie ostáva vo výlučnej zodpovednosti každého členského štátu, sa týka výlučne členských štátov Únie. V dôsledku toho toto ustanovenie nie je v prejednávanej veci relevantné pre výklad článku 2 ods. 1 a článku 2 ods. 2 písm. a), b) a d) nariadenia GDPR.

82

Podľa článku 2 ods. 1 nariadenia GDPR sa toto nariadenie vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému. Článok 4 bod 2 tohto nariadenia definuje pojem „spracúvanie“ ako „operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov… automatizovanými alebo neautomatizovanými prostriedkami“, a ako príklad uvádza „poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom“ bez ohľadu na to, či sa tieto operácie vykonávajú v rámci Únie alebo majú spojitosť s treťou krajinou. Okrem toho uvedené nariadenie podriaďuje prenosy osobných údajov do tretích krajín osobitným pravidlám uvedeným v jeho kapitole V, nazvanej „Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám“, a navyše zveruje dozorným orgánom na tieto účely osobitné právomoci uvedené v článku 58 ods. 2 písm. j) toho istého nariadenia.

83

Z toho vyplýva, že operácia spočívajúca v prenose osobných údajov z členského štátu do tretej krajiny predstavuje sama osebe spracúvanie osobných údajov v zmysle článku 4 bodu 2 nariadenia GDPR vykonané na území členského štátu, na ktoré sa toto nariadenie podľa svojho článku 2 ods. 1 vzťahuje [pozri analogicky, pokiaľ ide o článok 2 písm. b) a článok 3 ods. 1 smernice 95/46, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 45 a citovanú judikatúru].

84

Pokiaľ ide o otázku, či možno takúto operáciu považovať za vylúčenú z pôsobnosti nariadenia GDPR podľa článku 2 ods. 2 tohto nariadenia, treba pripomenúť, že toto ustanovenie stanovuje výnimky z pôsobnosti tohto nariadenia, ako je vymedzená v jeho článku 2 ods. 1, a že tieto výnimky sa majú vykladať reštriktívne (pozri analogicky, pokiaľ ide o článok 3 ods. 2 smernice 95/46, rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 37 a citovanú judikatúru).

85

Keďže v prejednávanej veci sa prenos osobných údajov, o ktorý ide vo veci samej, vykonáva spoločnosťou Facebook Ireland spoločnosti Facebook Inc., teda medzi dvoma právnickými osobami, na tento prenos sa nevzťahuje článok 2 ods. 2 písm. c) nariadenia GDPR, ktorý sa týka spracúvania údajov fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti. Na uvedený prenos sa nevzťahujú ani výnimky uvedené v článku 2 ods. 2 písm. a), b) a d) tohto nariadenia, keďže činnosti demonštratívne uvedené v tomto článku sú v každom prípade činnosti štátu a štátnych orgánov, ktoré nepatria do oblasti činností jednotlivcov (pozri analogicky, pokiaľ ide o článok 3 ods. 2 smernice 95/46, rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 38 a citovanú judikatúru).

86

Možnosť, že osobné údaje prenášané medzi dvoma hospodárskymi subjektmi na obchodné účely budú počas prenosu alebo po ňom spracúvané orgánmi dotknutej tretej krajiny na účely verejnej bezpečnosti, obrany a bezpečnosti štátu, nemôže vylúčiť uvedený prenos z pôsobnosti nariadenia GDPR.

87

Okrem toho tým, že sa Komisii výslovne stanovuje povinnosť, aby pri posudzovaní primeranosti úrovne ochrany poskytovanej treťou krajinou zohľadnila najmä „príslušné právne predpisy, a to všeobecné aj odvetvové, vrátane predpisov týkajúcich sa verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva a prístupu orgánov verejnej moci k osobným údajom, ako aj vykonávanie takýchto právnych predpisov“, samotné znenie článku 45 ods. 2 písm. a) tohto nariadenia zdôrazňuje, že prípadné spracúvanie dotknutých osobných údajov treťou krajinou na účely verejnej bezpečnosti, obrany a bezpečnosti štátu nespochybňuje uplatniteľnosť uvedeného nariadenia na predmetný prenos.

88

Z toho vyplýva, že takýto prenos nemôže byť vyňatý z pôsobnosti nariadenia GDPR z dôvodu, že dotknuté údaje môžu v priebehu tohto prenosu alebo po ňom byť spracúvané orgánmi dotknutej tretej krajiny na účely verejnej bezpečnosti, obrany a bezpečnosti štátu.

89

Preto treba na prvú otázku odpovedať tak, že článok 2 ods. 1 a 2 nariadenia GDPR sa má vykladať v tom zmysle, že do pôsobnosti tohto nariadenia patrí prenos osobných údajov vykonaný na obchodné účely hospodárskym subjektom usadeným v jednom členskom štáte inému hospodárskemu subjektu usadenému v tretej krajine bez ohľadu na to, či v priebehu tohto prenosu alebo po ňom môžu byť tieto údaje spracúvané orgánmi dotknutej tretej krajiny na účely verejnej bezpečnosti, obrany a bezpečnosti štátu.

90

Svojou druhou, treťou a šiestou otázkou sa vnútroštátny súd Súdneho dvora v podstate pýta na úroveň ochrany vyžadovanú v článku 46 ods. 1 a v článku 46 ods. 2 písm. c) nariadenia GDPR v rámci prenosu osobných údajov do tretej krajiny založeného na štandardných doložkách o ochrane údajov. Tento súd konkrétne žiada Súdny dvor, aby spresnil skutočnosti, ktoré treba zohľadniť na účely určenia, či je táto úroveň ochrany zaručená v kontexte uvedeného prenosu.

91

Pokiaľ ide o požadovanú úroveň ochrany, zo znenia týchto ustanovení v ich vzájomnej spojitosti vyplýva, že v prípade neexistencie rozhodnutia o primeranosti prijatého podľa článku 45 ods. 3 tohto nariadenia môže prevádzkovateľ alebo sprostredkovateľ preniesť osobné údaje do tretej krajiny len vtedy, ak poskytol „primerané záruky“, a pod podmienkou, že dotknuté osoby majú „vymožiteľné práva a účinné právne prostriedky nápravy“, pričom tieto primerané záruky môžu byť poskytnuté najmä prostredníctvom štandardných doložiek o ochrane údajov prijatých Komisiou.

92

Hoci článok 46 nariadenia GDPR nespresňuje povahu požiadaviek, ktoré vyplývajú z tohto odkazu na „primerané záruky“, „vymožiteľné práva“ a „účinné právne prostriedky nápravy“, treba uviesť, že tento článok sa nachádza v kapitole V tohto nariadenia, a preto treba uvedený článok vykladať s ohľadom na článok 44 uvedeného nariadenia, nazvaný „Všeobecná zásada prenosov“, ktorý stanovuje, že „všetky ustanovenia v tejto kapitole sa uplatňujú s cieľom zabezpečiť, aby sa neohrozila úroveň ochrany fyzických osôb zaručená týmto nariadením“. Táto úroveň ochrany musí byť preto zaručená bez ohľadu na ustanovenie uvedenej kapitoly, na základe ktorého sa uskutočňuje prenos osobných údajov do tretej krajiny.

93

Ako totiž uviedol generálny advokát v bode 117 svojich návrhov, cieľom ustanovení kapitoly V nariadenia GDPR je zabezpečiť kontinuitu vysokej úrovne tejto ochrany v prípade prenosu osobných údajov do tretej krajiny v súlade s cieľom uvedeným v odôvodnení 6 tohto nariadenia.

94

Článok 45 ods. 1 prvá veta nariadenia GDPR stanovuje, že prenos osobných údajov do tretej krajiny možno povoliť, ak Komisia prijme rozhodnutie, že táto tretia krajina, územie alebo jeden či viaceré určené sektory v danej krajine zaručujú primeranú úroveň ochrany. V tejto súvislosti sa síce nepožaduje, aby dotknutá tretia krajina zaručila rovnakú úroveň ochrany, ako je úroveň ochrany zaručená v právnom poriadku Únie, výraz „primeraná úroveň ochrany“ treba chápať – ako potvrdzuje odôvodnenie 104 tohto nariadenia – tak, že vyžaduje, aby táto tretia krajina skutočne zabezpečila na základe jej vnútroštátneho práva alebo medzinárodných dohôd úroveň ochrany slobôd a základných práv, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v rámci Únie podľa uvedeného nariadenia v spojení s Chartou. Ak by totiž takáto požiadavka chýbala, cieľ uvedený v predchádzajúcom bode by nebol dodržaný (pozri analogicky, pokiaľ ide o článok 25 ods. 6 smernice 95/46, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 73).

95

V tejto súvislosti odôvodnenie 107 nariadenia GDPR uvádza, že ak „tretia krajina, územie alebo určený sektor v tretej krajine… už nezaručujú primeranú úroveň ochrany údajov… prenos osobných údajov do tejto tretej krajiny [by sa mal]… zakázať, pokiaľ nie sú splnené požiadavky tohto nariadenia týkajúce sa prenosov na základe primeraných záruk“. Na tento účel odôvodnenie 108 uvedeného nariadenia spresňuje, že v prípade neexistencie rozhodnutia o primeranosti, príslušné záruky, ktoré musí prevádzkovateľ alebo sprostredkovateľ prijať v súlade s článkom 46 ods. 1 toho istého nariadenia, musia„kompenz[ovať]… nedostatočnú ochranu údajov v tretej krajine“, aby „zabezpeči[li] súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie“.

96

Z toho vyplýva, ako uviedol generálny advokát v bode 115 svojich návrhov, že tieto primerané záruky musia byť spôsobilé zabezpečiť, že osobám, ktorých osobné údaje sa prenášajú do tretej krajiny na základe štandardných doložiek o ochrane údajov, prináleží, tak ako pri prenose založenom na rozhodnutí o primeranosti, úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v rámci Únie.

97

Vnútroštátny súd sa tiež pýta, či sa má táto úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v rámci Únie, určiť s ohľadom na právo Únie, najmä práva zaručené Chartou, a/alebo so zreteľom na základné práva zakotvené v Európskom dohovore o ochrane ľudských práv a základných slobôd (ďalej len „EDĽP“) alebo tiež s ohľadom na vnútroštátne právo členských štátov.

98

V tejto súvislosti treba pripomenúť, že ako to potvrdzuje článok 6 ods. 3 ZEÚ, že základné práva zakotvené EDĽP sú súčasťou práva Únie rovnako ako všeobecné zásady, a hoci článok 52 ods. 3 Charty stanovuje, že práva obsiahnuté v Charte, ktoré zodpovedajú právam zaručeným EDĽP, majú rovnaký zmysel a rozsah, ako majú práva priznané uvedeným dohovorom, tento dohovor nepredstavuje, kým k nemu Európska únia nepristúpila, právny nástroj formálne začlenený do právneho poriadku Únie (rozsudky z 26. februára 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, bod 44 a citovaná judikatúra, ako aj z 20. marca 2018, Menci, C‑524/15, EU:C:2018:197, bod 22).

99

Za týchto podmienok Súdny dvor rozhodol, že výklad práva Únie, ako aj preskúmanie platnosti aktov Únie musia byť vykonané s ohľadom na základné práva zaručené Chartou (pozri analogicky rozsudok z 20. marca 2018, Menci, C‑524/15, EU:C:2018:197, bod 24).

100

Okrem toho z ustálenej judikatúry vyplýva, že platnosť ustanovení práva Únie a pri neexistencii výslovného odkazu na vnútroštátne právo členských štátov výklad týchto ustanovení nemožno posudzovať s ohľadom na uvedené vnútroštátne právo, a to ani ústavnej povahy, konkrétne základné práva, ako sú formulované v ich vnútroštátnej ústave (pozri v tomto zmysle rozsudky zo 17. decembra 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, bod 3; z 13. decembra 1979, Hauer, 44/79, EU:C:1979:290, bod 14, ako aj z 18. októbra 2016, Nikiforidis, C‑135/15, EU:C:2016:774, bod 28 a citovanú judikatúru).

101

Z toho vyplýva, že jednak preto, že prenos osobných údajov, o aký ide vo veci samej, ktorý na obchodné účely vykonáva hospodársky subjekt usadený v členskom štáte inému hospodárskemu subjektu usadenému v tretej krajine, patrí, ako vyplýva z odpovede na prvú otázku, do pôsobnosti nariadenia GDPR, a jednak preto, že cieľom tohto nariadenia je, ako vyplýva z jeho odôvodnenia 10, zaručiť konzistentnú a vysokú úroveň ochrany fyzických osôb v rámci Únie a na tento účel zabezpečiť konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv týchto osôb pri spracúvaní osobných údajov v celej Únii, by sa úroveň ochrany základných práv vyžadovaná v článku 46 ods. 1 uvedeného nariadenia mala určiť na základe ustanovení toho istého nariadenia v spojení so základnými právami zaručenými Chartou.

102

Vnútroštátny súd sa snaží ďalej zistiť, aké skutočnosti treba zohľadniť na účely určenia primeranosti úrovne ochrany v kontexte prenosu osobných údajov do tretej krajiny na základe štandardných doložiek o ochrane údajov prijatých podľa článku 46 ods. 2 písm. c) nariadenia GDPR.

103

V tejto súvislosti, hoci toto ustanovenie neuvádza jednotlivé skutočnosti, ktoré treba zohľadniť na účely posúdenia primeranosti úrovne ochrany a ktoré sa majú v rámci takéhoto prenosu dodržiavať, článok 46 ods. 1 tohto nariadenia spresňuje, že dotknuté osoby musia mať k dispozícii primerané záruky, vymožiteľné práva a účinné právne prostriedky nápravy.

104

Posúdenie vyžadované na tento účel v kontexte takéhoto prenosu musí najmä zohľadniť tak zmluvné ustanovenia dohodnuté medzi prevádzkovateľom alebo jeho sprostredkovateľom usadeným v Únii a príjemcom prenosu usadeným v dotknutej tretej krajine, ako aj, pokiaľ ide o prípadný prístup orgánov verejnej moci tejto tretej krajiny k prenášaným osobným údajom, relevantné prvky právneho systému tejto tretej krajiny. V tejto súvislosti skutočnosti, ktoré treba zohľadniť v kontexte článku 46 uvedeného nariadenia, zodpovedajú skutočnostiam, ktoré sú demonštratívne uvedené v článku 45 ods. 2 uvedeného nariadenia.

105

Preto treba na druhú, tretiu a šiestu otázku odpovedať tak, že článok 46 ods. 1 a článok 46 ods. 2 písm. c) nariadenia GDPR sa majú vykladať v tom zmysle, že primerané záruky, vymožiteľné práva a účinné právne prostriedky nápravy vyžadované týmito ustanoveniami musia zabezpečiť, aby práva osôb, ktorých osobné údaje sa prenášajú do tretej krajiny na základe štandardných doložiek o ochrane údajov, požívali úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v rámci Únie týmto nariadením v spojení s Chartou. Na tento účel posúdenie úrovne ochrany zaručenej v kontexte takéhoto prenosu musí najmä zohľadniť tak zmluvné ustanovenia dohodnuté medzi prevádzkovateľom alebo jeho sprostredkovateľom usadeným v Únii a príjemcom prenosu usadeným v dotknutej tretej krajine, ako aj, pokiaľ ide o prípadný prístup orgánov verejnej moci tejto tretej krajiny k takto prenášaným osobným údajom, relevantné prvky právneho systému tejto krajiny, najmä tie, ktoré sú uvedené v článku 45 ods. 2 uvedeného nariadenia.

106

Svojou ôsmou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 58 ods. 2 písm. f) a j) nariadenia GDPR vykladať v tom zmysle, že príslušný dozorný orgán je povinný pozastaviť alebo zakázať prenos osobných údajov do tretej krajiny založený na štandardných doložkách o ochrane údajov prijatých Komisiou, ak sa tento dozorný orgán domnieva, že tieto doložky nie sú alebo nemôžu byť v tejto tretej krajine dodržané a že ochrana prenášaných údajov, ktorú vyžaduje právo Únie, najmä články 45 a 46 nariadenia GDPR, ako aj Charta, nemôže byť zaručená, alebo v tom zmysle, že výkon týchto právomocí sa obmedzuje na výnimočné prípady.

107

V súlade s článkom 8 ods. 3 Charty, ako aj článkom 51 ods. 1 a článkom 57 ods. 1 písm. a) nariadenia GDPR sú vnútroštátne dozorné orgány poverené dohľadom nad dodržiavaním pravidiel Únie týkajúcich sa ochrany fyzických osôb pri spracovaní osobných údajov. Každý z nich má preto právomoc overiť, či prenos osobných údajov z členského štátu, ktorému podlieha, do tretej krajiny spĺňa požiadavky stanovené týmto nariadením (pozri analogicky, pokiaľ ide o článok 28 smernice 95/46, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 47).

108

Z týchto ustanovení vyplýva, že prvoradou úlohou dozorných orgánov je kontrolovať uplatňovanie nariadenia GDPR a dohliadať nad jeho dodržiavaním. Výkon tejto úlohy má osobitný význam v kontexte prenosu osobných údajov do tretej krajiny, keďže ako vyplýva zo samotného znenia odôvodnenia 116 tohto nariadenia „pri cezhraničnom pohybe osobných údajov mimo Úniu môže byť schopnosť fyzických osôb uplatniť si práva na ochranu údajov vystavená vyššiemu riziku, a to najmä pokiaľ ide o ich ochranu pred nezákonným využitím alebo poskytnutím týchto informácií“. V danom prípade, ako bolo spresnené v tomto odôvodnení, „dozorné orgány [môžu] zistiť, že nedokážu vybavovať sťažnosti alebo viesť vyšetrovania týkajúce sa činností vykonávaných za ich hranicami“.

109

Okrem toho podľa článku 57 ods. 1 písm. f) nariadenia GDPR je každý dozorný orgán povinný na svojom území vybavovať sťažnosti, ktoré má v súlade s článkom 77 ods. 1 tohto nariadenia právo podať každá osoba, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením, a v nevyhnutnom rozsahu preskúmať predmet tejto sťažnosti. Dozorný orgán musí pristúpiť k vybaveniu takejto sťažnosti so všetkou vyžadovanou náležitou starostlivosťou (pozri analogicky, pokiaľ ide o článok 25 ods. 6 smernice 95/46, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 63).

110

Článok 78 ods. 1 a 2 nariadenia GDPR priznáva každej osobe právo na účinný súdny prostriedok nápravy, najmä ak dozorný orgán sťažnosť nevybavil. Odôvodnenie 141 tohto nariadenia tiež odkazuje na to, že „v súlade s článkom 47 Charty [má] právo na účinný súdny prostriedok nápravy“ v prípade, že tento dozorný orgán „nekoná v prípade, keď je takéto konanie nevyhnutné na ochranu práv dotknutej osoby“.

111

Článok 58 ods. 1 nariadenia GDPR udeľuje na účely vybavovania podaných sťažností každému dozornému orgánu rozsiahle vyšetrovacie právomoci. Ak sa takýto orgán na základe svojho vyšetrovania domnieva, že dotknutá osoba, ktorej osobné údaje boli prenesené do tretej krajiny, nemá v tejto krajine zabezpečenú primeranú úroveň ochrany, je podľa práva Únie povinný reagovať primeraným spôsobom, aby napravil konštatovaný nedostatok, a to bez ohľadu na pôvod alebo povahu tohto nedostatku. Na tento účel článok 58 ods. 2 tohto nariadenia uvádza rôzne nápravné opatrenia, ktoré môže dozorný orgán prijať.

112

Hoci výber vhodného a potrebného prostriedku prináleží dozornému orgánu a tento orgán musí pri tomto výbere zohľadniť všetky okolnosti dotknutého prenosu osobných údajov, nič to nemení na tom, že so všetkou náležitou starostlivosťou je povinný splniť svoju úlohu spočívajúcu v zabezpečení plného dodržiavania nariadenia GDPR.

113

Ako v tejto súvislosti uviedol tiež generálny advokát v bode 148 svojich návrhov, uvedený orgán je na základe článku 58 ods. 2 písm. f) a j) tohto nariadenia povinný pozastaviť alebo zakázať prenos osobných údajov do tretej krajiny, ak sa vzhľadom na všetky osobitné okolnosti tohto prenosu domnieva, že štandardné doložky ochrany údajov nie sú alebo nemôžu byť v tejto tretej krajine dodržané a že ochrana prenášaných údajov, ktorú vyžaduje právo Únie, nemôže byť zabezpečená inými prostriedkami, pokiaľ prevádzkovateľ alebo jeho sprostredkovateľ so sídlom v Únii sám tento prenos nepozastaví alebo neukončí.

114

Výklad uvedený v predchádzajúcom bode nemôže byť vyvrátený argumentáciou komisára, podľa ktorej článok 4 rozhodnutia 2010/87 v znení predchádzajúcom nadobudnutiu účinnosti vykonávacieho rozhodnutia 2016/2297 v spojení s odôvodnením 11 tohto rozhodnutia obmedzoval právomoc dozorných orgánov pozastaviť alebo zakázať prenos osobných údajov do tretej krajiny na určité výnimočné prípady. Článok 4 rozhodnutia 2010/87 totiž vo svojom znení vychádzajúcom z vykonávacieho rozhodnutia 2016/2297 uvádza právomoc, ktorú majú tieto orgány v súčasnosti na základe článku 58 ods. 2 písm. f) a j) nariadenia GDPR, a ktorou je pozastaviť alebo zakázať takýto prenos bez toho, aby sa výkon tejto právomoci akokoľvek obmedzoval na výnimočné okolnosti.

115

V každom prípade vykonávacia právomoc, ktorú článok 46 ods. 2 písm. c) nariadenia GDPR priznáva Komisii na účely prijatia štandardných ustanovení ochrany údajov, jej nepriznáva právomoc obmedziť právomoci, ktoré majú dozorné orgány podľa článku 58 ods. 2 tohto nariadenia (pozri analogicky, pokiaľ ide o článok 25 ods. 6 a článok 28 smernice 95/46, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, body 102 a 103). Odôvodnenie 5 vykonávacieho rozhodnutia 2016/2297 navyše potvrdzuje, že rozhodnutie 2010/87 „nebráni… dozornému orgánu uplatňovať svoje právomoci pri dohľade nad tokmi údajov vrátane právomoci na pozastavenie alebo zákaz prenosu osobných údajov, keď skonštatuje, že sa prenos uskutočňuje v rozpore s právnymi predpismi [Európskej únie] a vnútroštátnymi právnymi predpismi o ochrane údajov“.

116

Treba však spresniť, že právomoci príslušného dozorného orgánu podliehajú úplnému dodržaniu rozhodnutia, ktorým Komisia na základe článku 45 ods. 1 prvej vety nariadenia GDPR prípadne konštatuje, že určitá tretia krajina zaručuje primeranú úroveň ochrany. V takom prípade totiž z článku 45 ods. 1 druhej vety tohto nariadenia v spojení s jeho odôvodnením 103 vyplýva, že prenosy osobných údajov do dotknutej tretej krajiny sa môže uskutočniť bez toho, aby bolo nutné získať osobitné povolenie.

117

Podľa článku 288 štvrtého odseku ZFEÚ je rozhodnutie Komisie o primeranosti v celom rozsahu záväzné pre všetky členské štáty, ktorým je určené, a teda aj pre všetky ich orgány v rozsahu, v akom konštatuje, že dotknutá tretia krajina zaručuje primeranú úroveň ochrany, a má za následok, že oprávňuje tieto prenosy údajov (pozri analogicky, pokiaľ ide o článok 25 ods. 6 smernice 95/46, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 51 a citovanú judikatúru).

118

Preto pokiaľ rozhodnutie o primeranosti nebolo Súdnym dvorom vyhlásené za neplatné, členské štáty a ich orgány, medzi ktoré patria ich nezávislé dozorné orgány, nemôžu prijať opatrenia v rozpore s týmto rozhodnutím, akým sú akty, ktorými sa záväzne konštatuje, že tretia krajina dotknutá uvedeným rozhodnutím nezaručuje primeranú úroveň ochrany (rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 52 a citovaná judikatúra), a v dôsledku toho nemôžu pozastaviť alebo zakázať prenosy osobných údajov do tejto tretej krajiny.

119

Rozhodnutie Komisie o primeranosti prijaté na základe článku 45 ods. 3 nariadenia GDPR však nemôže brániť osobám, ktorých osobné údaje boli alebo by mohli byť prenesené do tretej krajiny, obrátiť sa podľa článku 77 ods. 1 nariadenia GDPR na príslušný vnútroštátny dozorný orgán so sťažnosťou týkajúcou sa ochrany ich práv a slobôd v súvislosti so spracúvaním týchto údajov. Rovnako tak rozhodnutie tejto povahy nemôže vylúčiť ani obmedziť právomoci výslovne priznané vnútroštátnym dozorným orgánom podľa článku 8 ods. 3 Charty, ako aj článkom 51 ods. 1 a článkom 57 ods. 1 písm. a) uvedeného nariadenia (pozri analogicky, pokiaľ ide o článok 25 ods. 6 a článok 28 smernice 95/46, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 53).

120

Teda aj v prípade, že Komisia prijme rozhodnutie o primeranosti, príslušný vnútroštátny dozorný orgán, na ktorý sa osoba obrátila so sťažnosťou týkajúcou sa ochrany jej práv a slobôd v súvislosti so spracovaním osobných údajov, ktoré sa jej týkajú, musí mať možnosť úplne nezávisle preskúmať, či prenos týchto údajov spĺňa požiadavky stanovené nariadením GDPR, a prípadne podať žalobu na vnútroštátne súdy, aby tieto súdy, ak majú rovnaké pochybnosti ako tento orgán, pokiaľ ide o platnosť rozhodnutia o primeranosti, podali návrh na začatie prejudiciálneho konania na účely preskúmania tejto platnosti (pozri analogicky, pokiaľ ide o článok 25 ods. 6 a článok 28 smernice 95/46, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, body 57 a 65).

121

Vzhľadom na predchádzajúce úvahy treba na ôsmu otázku odpovedať tak, že článok 58 ods. 2 písm. f) a j) nariadenia GDPR sa má vykladať v tom zmysle, že pokiaľ neexistuje rozhodnutie o primeranosti, ktoré Komisia platne prijala, príslušný dozorný orgán je povinný pozastaviť alebo zakázať prenos osobných údajov do tretej krajiny založený na štandardných doložkách o ochrane údajov prijatých Komisiou, ak sa tento dozorný orgán vzhľadom na všetky osobitné okolnosti tohto prenosu domnieva, že tieto doložky nie sú alebo nemôžu byť v tejto tretej krajine dodržané a že ochrana prenášaných údajov, ktorú vyžaduje právo Únie, najmä články 45 a 46 nariadenia GDPR, ako aj Charta, nemôže byť zabezpečená inými prostriedkami, pokiaľ prevádzkovateľ alebo jeho sprostredkovateľ so sídlom v Únii sám tento prenos nepozastaví alebo neukončí.

122

Svojou siedmou a jedenástou otázkou, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta Súdneho dvora na platnosť rozhodnutia 2010/87 vzhľadom na články 7, 8 a 47 Charty.

123

Konkrétne, ako vyplýva zo samotného znenia siedmej otázky a súvisiacich vysvetlení uvedených v návrhu na začatie prejudiciálneho konania, vnútroštátny súd sa pýta, či rozhodnutie 2010/87 môže zabezpečiť primeranú úroveň ochrany osobných údajov prenášaných do tretích krajín, vzhľadom na to, že štandardné doložky o ochrane údajov, ktoré stanovuje, nie sú pre orgány týchto tretích krajín záväzné.

124

Článok 1 rozhodnutia 2010/87 stanovuje, že štandardné doložky o ochrane údajov uvedené v prílohe daného rozhodnutia sa považujú za doložky, ktoré poskytujú primerané záruky, pokiaľ ide o ochranu súkromia a základných práv a slobôd jednotlivcov v súlade s požiadavkami článku 26 ods. 2 smernice 95/46. Ustanovenie tohto článku bolo v podstate prevzaté do článku 46 ods. 1 a článku 46 ods. 2 písm. c) GDPR.

125

Hoci tieto doložky sú pre prevádzkovateľa usadeného v Únii a príjemcu prenosu osobných údajov usadeného v tretej krajine, ak uzavreli zmluvu s odkazom na tieto doložky, záväzné, je nesporné, že uvedené doložky nezaväzujú orgány tejto tretej krajiny, pretože nie sú zmluvnými stranami danej zmluvy.

126

Ak teda existujú situácie, keď vzhľadom na právny stav a prax uplatňovanú v dotknutej tretej krajine je príjemca takéhoto prenosu schopný zaručiť vyžadovanú ochranu údajov len na základe štandardných doložiek o ochrane údajov, existujú iné okolnosti, v ktorých ustanovenia obsiahnuté v týchto doložkách nemôžu predstavovať dostatočný prostriedok umožňujúci v praxi zabezpečiť účinnú ochranu osobných údajov prenášaných do dotknutej tretej krajiny. O taký prípad ide najmä vtedy, ak právo tejto tretej krajiny umožňuje jej orgánom verejnej moci zasahovať do práv dotknutých osôb týkajúcich sa týchto údajov.

127

Vzniká teda otázka, či je rozhodnutie Komisie týkajúce sa štandardných doložiek o ochrane údajov, ktoré bolo prijaté na základe článku 46 ods. 2 písm. c) nariadenia GDPR, neplatné, keďže v tomto rozhodnutí neexistujú záruky uplatniteľné voči orgánom verejnej moci tretích krajín, do ktorých sú alebo by mohli byť osobné údaje na základe týchto doložiek prenášané.

128

Článok 46 ods. 1 GDPR stanovuje, že v prípade neexistencie rozhodnutia o primeranosti môže prevádzkovateľ alebo sprostredkovateľ uskutočniť prenos osobných údajov do tretej krajiny len vtedy, ak poskytol primerané záruky, a pod podmienkou, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy. Podľa článku 46 ods. 2 písm. c) tohto nariadenia môžu byť tieto záruky poskytnuté prostredníctvom štandardných doložiek o ochrane údajov prijatých Komisiou. Tieto ustanovenia však neuvádzajú, že všetky uvedené záruky musia byť nevyhnutne stanovené rozhodnutím Komisie, akým je rozhodnutie 2010/87.

129

V tejto súvislosti treba uviesť, že takéto rozhodnutie sa odlišuje od rozhodnutia o primeranosti prijatého na základe článku 45 ods. 3 nariadenia GDPR, ktorého cieľom je v dôsledku preskúmania právnej úpravy dotknutej tretej krajiny, a najmä s prihliadnutím na relevantnú právnu úpravu v oblasti národnej bezpečnosti a prístupu orgánov verejnej moci k osobným údajom konštatovať so záväzným účinkom, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej krajine zaručujú primeranú úroveň ochrany, a teda že prístup orgánov verejnej moci danej tretej krajiny nebráni prenosom údajov do tejto tretej krajiny. Takéto rozhodnutie o primeranosti môže Komisia prijať len pod podmienkou, že dospela k záveru, že relevantná právna úprava tejto tretej krajiny skutočne obsahuje všetky požadované záruky, na základe ktorých sa môže domnievať, že zaručuje primeranú úroveň ochrany.

130

Naopak, pokiaľ ide o rozhodnutie Komisie, ktorým sa prijímajú štandardné doložky o ochrane údajov, akým je rozhodnutie 2010/87, keďže sa takéto rozhodnutie netýka tretej krajiny, územia alebo jedného či viacerých určených sektorov v danej krajine, z článku 46 ods. 1 a článku 46 ods. 2 písm. c) nariadenia GDPR nemožno vyvodiť, že Komisia bola povinná pred prijatím takéhoto rozhodnutia vykonať posúdenie primeranosti úrovne ochrany zabezpečovanej tretími krajinami, do ktorých mohli byť také osobné údaje na základe takých doložiek prenesené.

131

V tejto súvislosti treba pripomenúť, že podľa článku 46 ods. 1 tohto nariadenia v prípade, že Komisia nerozhodne o primeranosti, je úlohou najmä prevádzkovateľa alebo sprostredkovateľa, ktorí sú usadení v Únii, aby poskytli primerané záruky. Odôvodnenia 108 a 114 uvedeného nariadenia potvrdzujú, že keď sa Komisia nevyjadrila k primeranosti úrovne ochrany údajov v tretej krajine, prevádzkovateľ alebo prípadne jeho sprostredkovateľ by „mali prijať opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu“ a že „tieto záruky by mali zabezpečiť súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie vrátane dostupnosti vymáhateľných práv dotknutých osôb a účinných právnych prostriedkov nápravy… v Únii alebo tretej krajine“.

132

Keďže, ako vyplýva z bodu 125 tohto rozsudku, zo zmluvnej povahy štandardných doložiek o ochrane údajov vyplýva, že tieto doložky nemôžu zaväzovať orgány verejnej moci tretích krajín, ale že článok 44, článok 46 ods. 1 a článok 46 ods. 2 písm. c) nariadenia GDPR vykladané s prihliadnutím na články 7, 8 a 47 Charty vyžadujú, aby nebola ohrozená úroveň ochrany fyzických osôb zaručená týmto nariadením, môže sa ukázať ako nevyhnutné doplniť záruky, ktoré obsahujú tieto štandardné doložky o ochrane údajov. V tejto súvislosti odôvodnenie 109 daného nariadenia uvádza, že „možnosť pre prevádzkovateľa… uplatniť štandardné doložky o ochrane údajov prijaté Komisiou… by nemali [prevádzkovateľom] brániť v tom, aby… k nim pridali ďalšie doložky alebo dodatočné záruky“ a konkrétne spresňuje, že „by sa mali nabádať, aby poskytovali dodatočné záruky…, ktoré doplnia štandardné ochranné doložky [údajov]“.

133

Zdá sa teda, že cieľom štandardných doložiek o ochrane údajov prijatých Komisiou na základe článku 46 ods. 2 písm. c) toho istého nariadenia je výlučne poskytnúť prevádzkovateľom alebo ich sprostredkovateľom usadeným v Únii zmluvné záruky, ktoré sa uplatňujú jednotne vo všetkých tretích krajinách, a teda nezávisle od úrovne ochrany zaručenej v každej z nich. Keďže tieto štandardné doložky o ochrane údajov nemôžu vzhľadom na svoju povahu poskytnúť záruky nad rámec zmluvnej povinnosti, ktoré by dbali na to, aby úroveň ochrany vyžadovaná právom Únie bola dodržaná, môžu však vyžadovať v závislosti od situácie existujúcej v určitej tretej krajine, aby prevádzkovateľ prijal dodatočné opatrenia s cieľom zaručiť dodržiavanie tejto úrovne ochrany.

134

V tejto súvislosti, ako uviedol generálny advokát v bode 126 svojich návrhov, zmluvný mechanizmus stanovený v článku 46 ods. 2 písm. c) nariadenia GDPR je založený na vyvodení zodpovednosti voči prevádzkovateľovi alebo jeho sprostredkovateľovi usadeným v Únii, ako aj subsidiárne tiež voči príslušným dozorným orgánom. Prináleží teda predovšetkým tomuto prevádzkovateľovi alebo jeho sprostredkovateľovi, aby v každom jednotlivom prípade a eventuálne v spolupráci s príjemcom prenosu overil, či právo tretej krajiny určenia zaručuje primeranú ochranu osobných údajov prenášaných na základe štandardných doložiek o ochrane údajov z hľadiska práva Únie a v prípade potreby poskytol dodatočné záruky k zárukám poskytovaným týmito ustanoveniami.

135

Ak prevádzkovateľ alebo jeho sprostredkovateľ usadení v Únii nemôžu prijať dostatočné dodatočné opatrenia na zabezpečenie takejto ochrany, tieto osoby alebo subsidiárne príslušný dozorný orgán musia pozastaviť alebo ukončiť prenos osobných údajov do dotknutej tretej krajiny. Je to tak najmä v prípade, ak právo tejto tretej krajiny ukladá príjemcovi prenosu osobných údajov pochádzajúcich z Únie povinnosti, ktoré sú v rozpore s uvedenými doložkami, a teda také, ktoré môžu spochybniť zmluvnú záruku primeranej úrovne ochrany pred prístupom orgánov verejnej moci uvedenej tretej krajiny k týmto údajom.

136

Preto samotná skutočnosť, že štandardné doložky o ochrane údajov uvedené v rozhodnutí Komisie prijatom na základe článku 46 ods. 2 písm. c) nariadenia GDPR, ako sú doložky uvedené v prílohe rozhodnutia 2010/87, nezaväzujú orgány tretích krajín, do ktorých môžu byť osobné údaje prenesené, nemôže mať vplyv na platnosť tohto rozhodnutia.

137

Táto platnosť naopak závisí od toho, či v súlade s požiadavkou vyplývajúcou z článku 46 ods. 1 a článku 46 ods. 2 písm. c) nariadenia GDPR, vykladaných s prihliadnutím na články 7, 8 a 47 Charty, takéto rozhodnutie obsahuje účinné mechanizmy, ktoré v praxi umožňujú zabezpečiť, aby bola dodržaná úroveň ochrany vyžadovaná právom Únie a aby sa prenosy osobných údajov založené na takýchto doložkách v prípade ich porušenia alebo nemožnosti ich dodržať pozastavili alebo zakázali.

138

Pokiaľ ide o záruky obsiahnuté v štandardných doložkách o ochrane údajov uvedených v prílohe rozhodnutia 2010/87, z doložky 4 písm. a) a b), doložky 5 písm. a), doložky 9, ako aj doložky 11 ods. 1 tejto prílohy vyplýva, že prevádzkovateľ usadený v Únii, príjemca prenosu osobných údajov, ako aj prípadný sprostredkovateľ tohto prenosu sa vzájomne zaväzujú, že spracovanie týchto údajov vrátane ich prenosu bolo, a naďalej bude uskutočňované v súlade s „príslušn[ým] právo[m] týkajúc[im] sa ochrany údajov“, t. j. podľa definície uvedenej v článku 3 písm. f) uvedeného rozhodnutia, v súlade s „právn[ymi] predpis[mi] chrániac[imi] základné práva a slobody jednotlivcov a najmä ich právo [na súkromie] vo vzťahu k spracovaniu osobných údajov, uplatniteľn[ými] na prevádzkovateľa údajov v členskom štáte, v ktorom je vývozca údajov usadený“. Ustanovenia nariadenia GDPR v spojení s Chartou sú súčasťou týchto právnych predpisov.

139

Okrem toho príjemca prenosu osobných údajov usadený v tretej krajine sa na základe tejto doložky 5 písm. a) zaväzuje bezodkladne informovať prevádzkovateľa usadeného v Únii o jeho prípadnej nemožnosti dodržiavať povinnosti, ktoré mu vyplývajú z uzavretej zmluvy. Konkrétne podľa uvedenej doložky 5 písm. b) tento príjemca potvrdzuje, že nemá dôvod sa domnievať, že právne predpisy, ktorým podlieha, mu bránia plniť záväzky vyplývajúce z uzavretej zmluvy, a zaväzuje sa oznámiť prevádzkovateľovi bezodkladne po tom, ako sa o zmene právnych predpisov dozvedel, každú ich zmenu, ktorá by mohla mať závažný nepriaznivý účinok na záruky a záväzky stanovené štandardnými doložkami o ochrane údajov, ktoré sú uvedené v prílohe rozhodnutia 2010/87. Okrem toho, hoci samotná doložka 5 písm. d) bod i) umožňuje príjemcovi prenosu osobných údajov v prípade právnych predpisov, ktoré takýto postup odôvodňujú, akým je zákaz trestnoprávnej povahy v záujme zachovania dôvernosti vyšetrovania v rámci presadzovania práva, neoznámiť prevádzkovateľovi usadenému v Únii, že orgán presadzovania práva podal právne záväznú žiadosť na sprístupnenie osobných údajov, v súlade s doložkou 5 písm. a) prílohy rozhodnutia 2010/87 je prinajmenšom povinný prevádzkovateľa informovať, že nemôže zabezpečiť dodržiavanie štandardných doložiek o ochrane údajov.

140

V oboch prípadoch, ktoré táto doložka 5 písm. a) a b) upravuje, priznáva prevádzkovateľovi usadenému v Únii právo pozastaviť prenos údajov a/alebo vypovedať zmluvu. Vzhľadom na požiadavky vyplývajúce z článku 46 ods. 1 a článku 46 ods. 2 písm. c) nariadenia GDPR v spojení s článkami 7 a 8 Charty pozastavenie prenosu údajov a/alebo vypovedanie zmluvy sú pre prevádzkovateľa povinné, ak prijímateľ prenosu nie je alebo už nie je schopný dodržať štandardné doložky o ochrane údajov. V opačnom prípade by prevádzkovateľ porušil požiadavky, ktoré mu vyplývajú z doložky 4 písm. a) prílohy rozhodnutia 2010/87 vykladanej s prihliadnutím na ustanovenia nariadenia GDPR a Charty.

141

Zdá sa teda, že doložka 4 písm. a) doložka 5 písm. a) a b) tejto prílohy ukladajú prevádzkovateľovi usadenému v Únii a príjemcovi prenosu osobných údajov povinnosť zabezpečiť, aby právna úprava tretej krajiny určenia umožnila uvedenému príjemcovi dodržať štandardné doložky o ochrane údajov uvedené v prílohe rozhodnutia 2010/87 predtým, ako pristúpi k prenosu osobných údajov do tejto tretej krajiny. Pokiaľ ide o toto overenie, poznámka pod čiarou týkajúca sa doložky 5 spresňuje, že povinné požiadavky týchto právnych predpisov, ktoré nepresahujú rámec toho, čo je v demokratickej spoločnosti nevyhnutné na zabezpečenie osobitne bezpečnosti štátu, obrany a verejnej bezpečnosti, nie sú v rozpore so štandardnými doložkami o ochrane údajov. Naopak, ako zdôraznil generálny advokát v bode 131 svojich návrhov, splnenie si povinnosti uloženej právom tretej krajiny určenia, ktorá ide nad rámec toho, čo je na tento účel nevyhnutné, treba považovať za porušenie uvedených doložiek. Posúdenie nevyhnutnosti takejto povinnosti uvedenými hospodárskymi subjektmi musí v prípade potreby zohľadniť zistenie o primeranosti úrovne ochrany zabezpečovanej dotknutou treťou krajinou, ktoré je uvedené v rozhodnutí Komisie o primeranosti prijatého na základe článku 45 ods. 3 nariadenia GDPR.

142

Z toho vyplýva, že prevádzkovateľ usadený v Únii a príjemca prenosu osobných údajov sú povinní vopred overiť, či sa v dotknutej tretej krajine dodržiava úroveň ochrany vyžadovaná právom Únie. Príjemca tohto prenosu je v prípade potreby podľa tejto istej doložky 5 písm. b) povinný informovať prevádzkovateľa o jeho prípadnej nemožnosti zabezpečiť dodržanie týchto podmienok, pričom povinnosťou tohto prevádzkovateľa je vtedy pozastaviť prenos údajov a/alebo vypovedať zmluvu.

143

Ak príjemca prenosu osobných údajov do tretej krajiny oznámil prevádzkovateľovi na základe doložky 5 písm. b) prílohy rozhodnutia 2010/87, že právna úprava dotknutej tretej krajiny mu neumožňuje zabezpečiť dodržanie štandardných doložiek o ochrane údajov uvedených v tejto prílohe, z doložky 12 uvedenej prílohy vyplýva, že údaje, ktoré už boli prenesené do tejto tretej krajiny, a ich kópie musia byť v celom rozsahu vrátené alebo zničené. V každom prípade doložka 6 tej istej prílohy sankcionuje porušenie týchto štandardných doložiek tým, že priznáva dotknutej osobe právo na náhradu spôsobenej škody.

144

Treba dodať, že podľa doložky 4 písm. f) prílohy rozhodnutia 2010/87 sa prevádzkovateľ usadený v Únii zaväzuje, že subjekt údajov bude pred prenosom údajov alebo čo najskôr po ňom informovaný o tom, ak by prenos zahŕňal osobitné kategórie údajov, ktoré by mohli byť prenesené do tretej krajiny, ktorá neposkytuje primeranú úroveň ochrany. Táto informácia môže umožniť danej osobe uplatniť právo podať opravný prostriedok, ktoré jej priznáva doložka 3 ods. 1, proti prevádzkovateľovi, aby tento prevádzkovateľ pozastavil plánovaný prenos, odstúpil od zmluvy uzavretej s príjemcom prenosu osobných údajov alebo prípadne požiadal tohto príjemcu o vrátenie alebo zničenie prenesených údajov.

145

Napokon podľa doložky 4 písm. g) uvedenej prílohy prevádzkovateľ usadený v Únii je v prípade, keď mu príjemca prenosu osobných údajov na základe doložky 5 písm. b) tejto prílohy oznámi, že právna úprava, ktorá sa ho týka, je predmetom zmeny, ktorá môže mať závažné nepriaznivé účinky na záruky a záväzky stanovené štandardnými doložkami o ochrane údajov, povinný postúpiť toto oznámenie príslušnému dozornému orgánu, pokiaľ sa vývozca údajov napriek uvedenému oznámeniu rozhodne pokračovať v prenose alebo zrušiť jeho pozastavenie. Na základe predloženia takéhoto oznámenia tomuto dozornému orgánu a vzhľadom na jeho právo vykonať overenia u príjemcu prenosu osobných údajov podľa doložky 8 ods. 2 tej istej prílohy môže uvedený orgán overiť, či treba pristúpiť k pozastaveniu alebo zákazu zamýšľaného prenosu s cieľom zaručiť primeranú úroveň ochrany.

146

V tomto kontexte článok 4 rozhodnutia 2010/87 v spojení s odôvodnením 5 vykonávacieho rozhodnutia 2016/2297 potvrdzuje, že rozhodnutie 2010/87 nijako nebráni príslušnému dozornému orgánu pozastaviť alebo prípadne zakázať prenos osobných údajov do tretej krajiny založený na štandardných doložkách o ochrane údajov uvedených v prílohe k tomuto rozhodnutiu. V tejto súvislosti, ako vyplýva z odpovede na ôsmu otázku, že pokiaľ neexistuje rozhodnutie o primeranosti, ktoré Komisia platne prijala, príslušný dozorný orgán je na základe článku 58 ods. 2 písm. f) a j) nariadenia GDPR povinný pozastaviť alebo zakázať taký prenos, ak sa vzhľadom na všetky osobitné okolnosti tohto prenosu domnieva, že tieto doložky nie sú alebo nemôžu byť v tejto tretej krajine dodržané a že ochrana prenesených údajov vyžadovaná podľa práva Únie nemôže byť zabezpečená inými prostriedkami, pokiaľ prevádzkovateľ alebo jeho sprostredkovateľ so sídlom v Únii sám tento prenos nepozastaví alebo neukončí.

147

Pokiaľ ide o okolnosť zdôraznenú komisárom, že prenosy osobných údajov do takejto tretej krajiny by prípadne mohli byť predmetom rozdielnych rozhodnutí dozorných orgánov v rôznych členských štátoch, treba dodať, že z článku 55 ods. 1 a článku 57 ods. 1 písm. a) nariadenia GDPR vyplýva, že úloha zabezpečiť dodržiavanie tohto nariadenia je v zásade zverená každému dozornému orgánu na území jeho členského štátu. Okrem toho článok 64 ods. 2 uvedeného nariadenia s cieľom predísť rozdielnym rozhodnutiam stanovuje možnosť pre dozorný orgán, ktorý sa domnieva, že prenosy údajov do tretej krajiny musia byť vo všeobecnosti zakázané, požiadať o stanovisko Európsky výbor pre ochranu údajov (EDPB), ktorý môže na základe článku 65 ods. 1 písm. c) toho istého nariadenia prijať záväzné rozhodnutie, najmä ak dozorný orgán nepostupuje podľa vydaného stanoviska.

148

Z toho vyplýva, že rozhodnutie 2010/87 stanovuje účinné mechanizmy, ktoré v praxi umožňujú zabezpečiť, že prenos osobných údajov do tretej krajiny na základe štandardných doložiek o ochrane údajov uvedených v prílohe tohto rozhodnutia bude pozastavený alebo zakázaný, ak príjemca prenosu nedodržiava uvedené doložky alebo nie je schopný ich dodržiavať.

149

Vzhľadom na všetky predchádzajúce úvahy treba na siedmu a jedenástu otázku odpovedať tak, že preskúmanie rozhodnutia 2010/87 vzhľadom na články 7, 8 a 47 Charty neodhalilo nijakú skutočnosť, ktorá by mohla ovplyvniť platnosť tohto rozhodnutia.

150

Svojou deviatou otázkou sa vnútroštátny súd snaží v podstate zistiť, či a v akom rozsahu je dozorný orgán členského štátu viazaný zisteniami uvedenými v rozhodnutí ŠnOOÚ, podľa ktorých Spojené štáty zabezpečujú primeranú úroveň ochrany. Svojou štvrtou, piatou a desiatou otázkou sa tento súd v podstate pýta, či vzhľadom na jeho vlastné zistenia týkajúce sa práva Spojených štátov, prenos osobných údajov do tejto tretej krajiny na základe štandardných doložiek o ochrane údajov uvedených v prílohe rozhodnutia 2010/87 porušuje práva zaručené v článkoch 7, 8 a 47 Charty a Súdneho dvora sa pýta najmä na to, či je zriadenie ombudsmana uvedené v prílohe III rozhodnutia o ŠnOOÚ zlučiteľné s týmto článkom 47.

151

Na úvod treba uviesť, že hoci žaloba vo veci samej, ktorú podal komisár, spochybňuje platnosť len rozhodnutia 2010/87, táto žaloba bola podaná na vnútroštátny súd pred prijatím rozhodnutia ŠnOOÚ. Keďže tento súd sa svojou štvrtou a piatou otázkou vo všeobecnosti pýta Súdneho dvora na ochranu, ktorá sa má podľa článkov 7, 8 a 47 Charty zabezpečiť s ohľadom na takýto prenos, preskúmanie Súdneho dvora musí zohľadniť dôsledky vyplývajúce z rozhodnutia ŠnOOÚ, ktoré bolo medzitým prijaté. Platí to o to viac, ako sa uvedený súd svojou desiatou otázkou výslovne pýta, ak je ochrana požadovaná týmto článkom 47 zabezpečená prostredníctvom ombudsmana uvedeného v uvedenom rozhodnutí.

152

Okrem toho z informácií uvedených v návrhu na začatie prejudiciálneho konania vyplýva, že v rámci konania vo veci samej Facebook Ireland tvrdila, že rozhodnutie ŠnOOÚ malo pre komisára záväzné účinky, pokiaľ ide o zistenie primeranosti úrovne ochrany zabezpečenej Spojenými štátmi, a v dôsledku toho, pokiaľ ide o zákonnosť prenosu osobných údajov do tejto tretej krajiny, ktorý sa zakladá na štandardných doložkách o ochrane údajov uvedených v prílohe rozhodnutia 2010/87.

153

Ako však vyplýva z bodu 59 tohto rozsudku, vnútroštátny súd vo svojom rozsudku z 3. októbra 2017, pripojenom k návrhu na začatie prejudiciálneho konania zdôraznil, že bol povinný zohľadniť zmeny práva, ku ktorým došlo medzi podaním žaloby a pojednávaním, ktoré sa pred ním uskutočnilo. Tento súd je teda údajne na účely rozhodnutia sporu vo veci samej povinný zohľadniť zmenu okolností vyplývajúcich z prijatia rozhodnutia ŠnOOÚ, ako aj prípadné záväzné účinky tohto rozhodnutia.

154

Konkrétne existencia záväzných účinkov, ktoré sa viažu na zistenia uvedené v rozhodnutí ŠnOOÚ o primeranej úrovni ochrany v Spojených štátoch, je relevantná na účely posúdenia tak povinností pripomenutých v bodoch 141 a 142 tohto rozsudku, ktoré prináležia prevádzkovateľovi a príjemcovi prenosu osobných údajov prenášaných do tretej krajiny na základe štandardných doložiek o ochrane údajov uvedených v prílohe rozhodnutia 2010/87, ako aj povinností, ktoré prípadne prináležia dozornému orgánu takýto prenos pozastaviť alebo zakázať.

155

Pokiaľ totiž ide o záväzné účinky rozhodnutia ŠnOOÚ, článok 1 ods. 1 tohto rozhodnutia stanovuje, že na účely článku 45 ods. 1 nariadenia GDPR „Spojené štáty zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných z Únie organizáciám v USA v rámci štítu na ochranu osobných údajov medzi [Európskou úniou] a USA“. V súlade s článkom 1 ods. 3 uvedeného rozhodnutia sa osobné údaje považujú za prenášané v rámci tohto štítu, ak sa prenášajú z Únie organizáciám usadeným v Spojených štátoch, zahrnutým do zoznamu organizácií zapojených do uvedeného štítu, ktorý vedie a sprístupňuje verejnosti Ministerstvo obchodu USA v súlade s oddielmi I a III zásad stanovených v prílohe II toho istého rozhodnutia.

156

Ako vyplýva z judikatúry pripomenutej v bodoch 117 a 118 tohto rozsudku, rozhodnutie ŠnOOÚ je pre dozorné orgány záväzné v rozsahu, v akom konštatuje, že Spojené štáty zaručujú primeranú úroveň ochrany, a teda jeho účinkom je povoliť prenosy osobných údajov uskutočňované v rámci štítu na ochranu osobných údajov medzi Európskou úniou a USA. Preto pokiaľ Súdny dvor toto rozhodnutie nevyhlási za neplatné, príslušný dozorný orgán nemôže pozastaviť alebo zakázať prenos osobných údajov organizácii zapojenej do tohto štítu z dôvodu, že na rozdiel od posúdenia vykonaného Komisiou v uvedenom rozhodnutí sa domnieva, že právna úprava Spojených štátov, ktorá upravuje prístup k osobným údajom prenášaným v rámci uvedeného štítu a používanie týchto údajov orgánmi verejnej moci tejto tretej krajiny na účely národnej bezpečnosti, dodržiavania zákona alebo verejného záujmu nezabezpečuje primeranú úroveň ochrany.

157

Nič to však nemení na tom, že v súlade s judikatúrou pripomenutou v bodoch 119 a 120 tohto rozsudku, keď sa osoba obráti na príslušný dozorný orgán so sťažnosťou, príslušný dozorný orgán musí úplne nezávisle preskúmať, či predmetný prenos osobných údajov spĺňa požiadavky stanovené nariadením GDPR, a v prípade, že považuje výhrady uvedené touto osobou na účely spochybnenia platnosti rozhodnutia o primeranosti za dôvodné, musí podať žalobu na vnútroštátne súdy, aby sa mohli obrátiť na Súdny dvor s návrhom na začatie prejudiciálneho konania týkajúcim sa platnosti tohto rozhodnutia.

158

Sťažnosť podaná podľa článku 77 ods. 1 nariadenia GDPR, ktorou osoba, ktorej osobné údaje boli alebo by mohli byť prenesené do tretej krajiny, uvádza, že právo a prax tejto krajiny nezaisťujú, napriek tomu, čo konštatovala Komisia v rozhodnutí prijatom podľa článku 45 ods. 3 tohto nariadenia, primeranú úroveň ochrany, treba totiž vnímať v podstate ako vzťahujúcu sa na zlučiteľnosť tohto rozhodnutia s ochranou súkromia, ako aj slobôd a základných práv osôb (pozri analogicky, pokiaľ ide o článok 25 ods. 6 a článok 28 ods. 4 smernice 95/46, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 59).

159

V prejednávanej veci pán Schrems v podstate požiadal komisára, aby zakázal alebo pozastavil prenos osobných údajov vykonávaný spoločnosťou Facebook Ireland na spoločnosť Facebook Inc. usadenú v Spojených štátoch, z dôvodu, že táto tretia krajina nezaručuje primeranú úroveň ochrany. Keďže komisár sa po preskúmaní tvrdení pána Schremsa obrátil na vnútroštátny súd, tento súd sa vzhľadom na predložené dôkazy a kontradiktórnu debatu pred ním zrejme pýta na dôvodnosť pochybností pána Schremsa, pokiaľ ide o primeranosť úrovne ochrany zaručenej v danej tretej krajine, a to napriek tomu, čo Komisia medzitým konštatovala v rozhodnutí ŠnOOÚ, čo viedlo tento súd k položeniu štvrtej, piatej a desiatej prejudiciálnej otázky Súdnemu dvoru.

160

Ako uviedol generálny advokát v bode 175 svojich návrhov, tieto prejudiciálne otázky treba chápať tak, že sa nimi v podstate spochybňuje zistenie Komisie uvedené v rozhodnutí ŠnOOÚ, že Spojené štáty zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných z Únie do tejto tretej krajiny, a teda sa nimi spochybňuje aj platnosť tohto rozhodnutia.

161

Vzhľadom na skutočnosti uvedené v bodoch 121 a 157 až 160 tohto rozsudku a s cieľom poskytnúť úplnú odpoveď vnútroštátnemu súdu treba teda preskúmať, či rozhodnutie ŠnOOÚ spĺňa požiadavky vyplývajúce z nariadenia GDPR vykladené v spojení s Chartou (pozri analogicky rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 67).

162

Prijatie rozhodnutia o primeranosti podľa článku 45 ods. 3 nariadenia GDPR Komisiou vyžaduje riadne odôvodnené konštatovanie tejto inštitúcie, že dotknutá tretia krajina z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd skutočne zabezpečuje úroveň ochrany základných práv, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v právnom poriadku Únie (pozri analogicky, pokiaľ ide o článok 25 ods. 6 smernice 95/46, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 96).

163

Komisia v článku 1 ods. 1 rozhodnutia ŠnOOÚ konštatovala, že Spojené štáty zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných z Únie organizáciám usadeným v Spojených štátoch v rámci štítu na ochranu údajov medzi Európskou úniou a USA, ktorý podľa článku 1 ods. 2 tohto rozhodnutia tvoria najmä zásady vydané americkým ministerstvom obchodu 7. júla 2016, ktoré sú uvedené v prílohe II uvedeného rozhodnutia, ako aj záväzky obsiahnuté v dokumentoch uvedených v prílohách I, III až VII toho istého rozhodnutia.

164

Rozhodnutie ŠnOOÚ v bode I.5 prílohy II, nazvanej „Zásady rámca štítu na ochranu osobných údajov medzi [Európskou úniou] a USA vydané ministerstvom obchodu USA“, však tiež spresňuje, že dodržiavanie zásad môže byť obmedzené najmä „požiadavk[ami] národnej bezpečnosti, verejného záujmu [a] presadzovania práva“. Toto rozhodnutie tak rovnako ako rozhodnutie 2000/520 zakotvuje prednosť týchto požiadaviek pred uvedenými zásadami, na základe ktorej americké samocertifikované organizácie, ktoré získali osobné údaje z Únie, sú povinné bez akéhokoľvek obmedzenia neuplatniť tieto zásady, ak sú v rozpore s týmito požiadavkami, a teda sú s nimi nezlučiteľné (pozri analogicky, pokiaľ ide o rozhodnutie 2000/520, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 86).

165

Vzhľadom na všeobecnú povahu výnimky uvedenej v bode I.5 prílohy II rozhodnutia ŠnOOÚ táto výnimka umožňuje zasahovanie založené na požiadavkách týkajúcich sa národnej bezpečnosti, verejného záujmu alebo vnútroštátneho práva Spojených štátov, a to do základných práv osôb, ktorých osobné údaje sú alebo by mohli byť prenesené z Únie do Spojených štátov (pozri analogicky, pokiaľ ide o rozhodnutie 2000/520, rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 87). Presnejšie a ako bolo konštatované v rozhodnutí ŠnOOÚ, takéto zásahy môžu vyplývať z prístupu k osobným údajom prenášaným z Únie do Spojených štátov a z použitia týchto údajov americkými orgánmi verejnej moci v rámci programov sledovania PRISM a UPSTREAM založených na článku 702 FISA, ako aj na základe E.O. 12333.

166

V tejto súvislosti Komisia v odôvodneniach 67 až 135 rozhodnutia ŠnOOÚ posúdila obmedzenia a záruky stanovené v právnej úprave Spojených štátov, najmä v článku 702 FISA, E.O. 12333 a PPD‑28, týkajúce sa prístupu k osobným údajom, ktoré sú prenášané v rámci štítu na ochranu osobných údajov medzi Európskou úniou a USA, a ich používaním orgánmi verejnej moci Spojených štátov na účely národnej bezpečnosti, presadzovania práva a iné účely všeobecného záujmu.

167

Na základe tohto posúdenia Komisia v odôvodnení 136 tohto rozhodnutia konštatovala, že „USA zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných z Únie organizáciám v USA, ktoré osvedčili svoje dodržiavanie zásad“, a v odôvodnení 140 uvedeného rozhodnutia uviedla, že „na základe dostupných informácií o právnom poriadku USA vrátane vyhlásení a záväzkov vlády USA… akékoľvek zásahy orgánov verejnej moci USA do základných práv osôb, ktorých údaje sa prenášajú z Únie do USA v rámci štítu na ochranu osobných údajov na účely národnej bezpečnosti, presadzovania práva alebo iných verejných záujmov, a následné obmedzenia organizácií, ktoré osvedčili svoje dodržiavanie zásad, s ohľadom na to, ako dodržiavajú zásady, budú obmedzené na to, čo je nevyhnutne potrebné na dosiahnutie príslušného legitímneho cieľa, a že existuje účinná právna ochrana pred takými zásahmi“.

168

Vzhľadom na skutočnosti uvedené Komisiou v rozhodnutí ŠnOOÚ, ako aj na skutočnosti, ktoré zistil vnútroštátny súd v rámci konania vo veci samej, má tento súd pochybnosti o tom, či právo Spojených štátov skutočne zaručuje primeranú úroveň ochrany vyžadovanú článkom 45 nariadenia GDPR v spojení so základnými právami zaručenými v článkoch 7, 8 a 47 Charty. Uvedený súd sa konkrétne domnieva, že právo tejto tretej krajiny nestanovuje nevyhnutné obmedzenia a záruky vo vzťahu k zásahom povoleným jeho vnútroštátnou právnou úpravou a ani nezabezpečuje účinnú súdnu ochranu pred takými zásahmi. V tejto súvislosti dodáva, že zriadenie ombudsmana pre štít na ochranu údajov nemôže podľa tohto súdu napraviť dané nedostatky, keďže tohto ombudsmana nemožno považovať za súd v zmysle článku 47 Charty.

169

Pokiaľ ide v prvom rade o články 7 a 8 Charty, ktoré prispievajú k dosiahnutiu požadovanej úrovne ochrany v rámci Únie a ktorých dodržanie musí Komisia konštatovať pred prijatím rozhodnutia o primeranosti podľa článku 45 ods. 1 nariadenia GDPR, treba pripomenúť, že článok 7 Charty zaručuje každému právo na rešpektovanie jeho súkromného a rodinného života, obydlia a komunikácie. Článok 8 ods. 1 Charty navyše každému výslovne priznáva právo na ochranu osobných údajov, ktoré sa ho týkajú.

170

Prístup k osobným údajom fyzickej osoby s cieľom ich uchovávania alebo ich použitia má teda vplyv na základné právo tejto osoby na rešpektovanie súkromného života zaručené v článku 7 Charty, keďže toto právo sa vzťahuje na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Na uvedené spracovanie údajov sa vzťahuje článok 8 Charty z dôvodu, že predstavuje spracovanie osobných údajov v zmysle tohto článku, a teda nevyhnutne musí spĺňať požiadavky ochrany údajov, ktoré stanovuje uvedený článok [pozri v tomto zmysle rozsudky z 9. novembra 2010, Volker und Markus Schecke a Eifert, C‑92/09 a C‑93/09, EU:C:2010:662, body 49 a 52; z 8. apríla 2014, Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, bod 29, ako aj stanovisko 1/15 (Dohoda PNR medzi EÚ a Kanadou) z 26. júla 2017, EU:C:2017:592, body 122 a 123].

171

Súdny dvor už rozhodol, že poskytnutie osobných údajov tretej osobe, akou je orgán verejnej moci, predstavuje zásah do základných práv zakotvených v článkoch 7 a 8 Charty bez ohľadu na neskoršie použitie poskytnutých informácií. To isté platí s ohľadom na uchovávanie osobných údajov, ako aj prístup k uvedeným údajom na účely ich použitia orgánmi verejnej moci, nezávisle od toho, či dotknuté informácie týkajúce sa súkromného života majú alebo nemajú citlivú povahu alebo či pre dotknuté osoby z dôvodu tohto zásahu vyplynuli alebo nevyplynuli prípadné nepriaznivé následky [pozri v tomto zmysle rozsudky z 20. mája 2003, Österreichischer Rundfunk a i., C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, body 74 a 75; z 8. apríla 2014, Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, body 33 až 36, ako aj stanovisko 1/15 (Dohoda PNR medzi EÚ a Kanadou) z 26. júla 2017, EU:C:2017:592, body 124 a 126].

172

Práva zakotvené v článkoch 7 a 8 Charty však nie sú absolútnymi výsadami, ale musia sa vnímať vo vzťahu k ich úlohe v spoločnosti [pozri v tomto zmysle rozsudky z 9. novembra 2010, Volker und Markus Schecke a Eifert, C‑92/09 a C‑93/09, EU:C:2010:662, bod 48 a citovanú judikatúru; zo 17. októbra 2013, Schwarz, C‑291/12, EU:C:2013:670, bod 33 a citovanú judikatúru, ako aj stanovisko 1/15 (Dohoda PNR medzi EÚ a Kanadou) z 26. júla 2017, EU:C:2017:592, bod 136].

173

V tejto súvislosti treba tiež uviesť, že podľa článku 8 ods. 2 Charty musia byť osobné údaje spracované najmä „na určené účely na základe súhlasu dotknutej osoby alebo na inom oprávnenom základe ustanovenom zákonom“.

174

Okrem toho podľa článku 52 ods. 1 prvej vety Charty, akékoľvek obmedzenie výkonu práv a slobôd uznaných v tejto Charte musí byť ustanovené zákonom a rešpektovať podstatu týchto práv a slobôd. Podľa článku 52 ods. 1 druhej vety Charty možno pri dodržaní zásady proporcionality tieto práva a slobody obmedziť len vtedy, ak je to nevyhnutné a skutočne to zodpovedá cieľom všeobecného záujmu, ktoré sú uznané Úniou, alebo ak je to potrebné na ochranu práv a slobôd iných.

175

V tejto súvislosti treba dodať, že požiadavka, podľa ktorej musí byť každé obmedzenie výkonu základných práv stanovené zákonom, predpokladá, že samotný právny základ, ktorý umožňuje zásah do týchto práv, musí vymedzovať rozsah obmedzenia výkonu dotknutého práva [stanovisko 1/15 (Dohoda PNR medzi EÚ a Kanadou) z 26. júla 2017, EU:C:2017:592, bod 139 a citovaná judikatúra].

176

Napokon na splnenie požiadavky proporcionality, podľa ktorej výnimky z ochrany osobných údajov a jej obmedzenia musia pôsobiť v rámci toho, čo je striktne nevyhnutné, musí dotknutá právna úprava obsahujúca zásah stanoviť jasné a presné pravidlá, ktoré budú upravovať rozsah a uplatnenie predmetného opatrenia a ukladať minimálne požiadavky tak, aby osoby, ktorých údaje boli prenesené, mali dostatočné záruky umožňujúce im účinne chrániť ich osobné údaje pred rizikami zneužitia. Táto právna úprava musí najmä vymedziť okolnosti a podmienky, za akých možno prijať opatrenie upravujúce spracovanie takýchto údajov, čím zaručí, aby zásah nešiel nad rámec toho, čo je striktne nevyhnutné. Nevyhnutnosť disponovať takými zárukami je o to dôležitejšia v prípade, keď sú osobné údaje spracúvané automaticky [pozri v tomto zmysle stanovisko 1/15 (Dohoda PNR medzi EÚ a Kanadou), z 26. júla 2017, EU:C:2017:592, body 140 a 141, ako aj citovanú judikatúru].

177

V tejto súvislosti článok 45 ods. 2 písm. a) nariadenia GDPR spresňuje, že Komisia v rámci svojho posúdenia primeranosti úrovne ochrany zabezpečovanej treťou krajinou zohľadní najmä „účinné a vymáhateľné práva… pre dotknuté osoby“, ktorých osobné údaje sa prenášajú.

178

V prejednávanej veci bolo zistenie Komisie v rozhodnutí ŠnOOÚ, podľa ktorého Spojené štáty zabezpečujú úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v rámci Únie na základe nariadenia GDPR v spojení s článkami 7 a 8 Charty, spochybnené najmä z dôvodu, že zásahy vyplývajúce z programov sledovania založených na článku 702 FISA a E.O. 12333 nepodliehajú požiadavkám, ktoré pri dodržaní zásady proporcionality zabezpečujú úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej článkom 52 ods. 1 druhou vetou Charty. Treba teda preskúmať, či sa tieto programy sledovania vykonávajú v súlade s takými požiadavkami bez toho, aby bolo potrebné najprv overiť, či táto tretia krajina spĺňa podmienky, ktoré sú v podstate rovnocenné podmienkam stanoveným v článku 52 ods. 1 prvej vete Charty.

179

V tejto súvislosti, pokiaľ ide o programy sledovania založené na článku 702 FISA, Komisia v odôvodnení 109 rozhodnutia ŠnOOÚ konštatovala, že podľa uvedeného článku „FISC… nepovoľuje jednotlivé opatrenia sledovania; povoľuje skôr programy sledovania (ako PRISM, UPSTREAM) na základe každoročných certifikácií pripravených generálnym prokurátorom [United States General Attorney] a riaditeľom národnej spravodajskej služby [Director of National Intelligence (DNI)]“. Ako vyplýva z tohto odôvodnenia, cieľom kontroly vykonávanej FISC je teda overiť, či tieto programy sledovania zodpovedajú cieľu získať informácie v oblasti zahraničných spravodajských informácií, ale nezaoberá sa tým, „či boli osoby správne zacielené s cieľom získať zahraničné spravodajské informácie“.

180

Zdá sa teda, že z článku 702 FISA nijako nevyplýva existencia obmedzení oprávnenia, ktoré obsahuje a ktorým sa vykonávajú programy sledovania na účely zahraničných spravodajských informácií, ani existencia záruk pre osoby, ktoré nie sú americkými občanmi a ktorých sa môžu týkať tieto programy. Za týchto podmienok a ako v podstate uviedol generálny advokát v bodoch 291, 292 a 297 svojich návrhov, tento článok nemôže zabezpečiť úroveň ochrany, ktorá je v podstate rovnocenná s úrovňou zaručenou Chartou, ako ju vykladá judikatúra pripomenutá v bodoch 175 a 176 tohto rozsudku, podľa ktorej samotný právny základ, ktorý umožňuje zásah do základných práv, musí na účely splnenia zásady proporcionality sám definovať rozsah obmedzenia výkonu dotknutého práva a stanoviť jasné a presné pravidlá, ktoré budú upravovať rozsah a uplatnenie predmetného opatrenia a ukladať minimálne požiadavky.

181

Podľa zistení uvedených v rozhodnutí ŠnOOÚ sa programy sledovania založené na článku 702 FISA musia vykonávať v súlade s požiadavkami vyplývajúcimi z PPD‑28. Hoci Komisia v odôvodneniach 69 a 77 rozhodnutia ŠnOOÚ zdôraznila, že také požiadavky majú pre spravodajské služby Spojených štátov záväzný charakter, americká vláda v odpovedi na otázku Súdneho dvora pripustila, že PPD‑28 nepriznáva dotknutým osobám práva uplatniteľné pred súdmi voči americkým orgánom. Preto nemôže zabezpečiť úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany vyplývajúcej z Charty, na rozdiel od toho, čo vyžaduje článok 45 ods. 2 písm. a) nariadenia GDPR, podľa ktorého konštatovanie tejto úrovne závisí najmä od existencie skutočných a vymožiteľných práv prináležiacich osobám, ktorých údaje boli prenesené do dotknutej tretej krajiny.

182

Pokiaľ ide o programy sledovania založené na E.O. 12333, zo spisu, ktorý má Súdny dvor k dispozícii, vyplýva, že ani toto nariadenie nepriznáva práva uplatniteľné pred súdmi voči americkým orgánom.

183

Je potrebné dodať, že PPD‑28, ktorá sa musí dodržiavať pri vykonávaní programov uvedených v predchádzajúcich dvoch bodoch, umožňuje „‚hromadné zhromažďovanie‘… pomerne veľkého objemu informácií alebo údajov prostredníctvom signálového spravodajstva za okolností, keď spravodajské služby nemôžu použiť identifikátor spojený s konkrétnym cieľom…, aby mohli presne zamerať zhromažďovanie informácií“, ako sa uvádza v liste od Úradu riaditeľa národnej spravodajskej služby Ministerstvu obchodu USA, ako aj správnemu orgánu zahraničného obchodu z 21. júna 2016, ktorý sa nachádza v prílohe VI rozhodnutia ŠnOOÚ. Táto možnosť, ktorá v rámci programov sledovania založených na E.O. 12333 umožňuje prístup k údajom na ceste do Spojených štátov bez toho, aby podliehal tento prístup akémukoľvek preskúmaniu zo strany súdov, však v žiadnom prípade dostatočne jasne a presne nevymedzuje rozsah hromadného zhromažďovania osobných údajov.

184

Zdá sa teda, že ani článok 702 FISA, ani E.O. 12333 v spojení s PPD‑28 nezodpovedajú minimálnym požiadavkám, ktoré sú v práve Únie spojené so zásadou proporcionality, takže nemožno dospieť k záveru, že programy sledovania založené na týchto ustanoveniach sa obmedzujú na to, čo je striktne nevyhnutné.

185

Za týchto podmienok obmedzenia ochrany osobných údajov, ktoré vyplývajú z vnútroštátnej právnej úpravy Spojených štátov týkajúcej sa prístupu a používania takýchto údajov prenášaných z Únie do Spojených štátov americkými orgánmi verejnej moci a ktoré Komisia posúdila v rozhodnutí ŠnOOÚ, nie sú vymedzené takým spôsobom, aby zodpovedali požiadavkám, ktoré sú v podstate rovnocenné požiadavkám vyžadované v práve Únie v článku 52 ods. 1 druhej vete Charty.

186

Pokiaľ ide v druhom rade o článok 47 Charty, ktorý tiež prispieva k úrovni ochrany požadovanej v rámci Únie a ktorého dodržanie musí Komisia konštatovať skôr, než prijme rozhodnutie o primeranosti podľa článku 45 ods. 1 nariadenia GDPR, treba pripomenúť, že prvý odsek tohto článku 47 vyžaduje, aby každý, koho práva a slobody zaručené právom Únie boli porušené, mal za podmienok ustanovených v tomto článku právo na účinný prostriedok nápravy pred súdom. V zmysle znenia druhého odseku daného článku má každý právo na to, aby jeho záležitosť bola prejednaná nezávislým a nestranným súdom.

187

Podľa ustálenej judikatúry samotná existencia účinného súdneho preskúmavania na účely dodržania ustanovení práva Únie je súčasťou existencie právneho štátu. Právna úprava, ktorá neupravuje nijakú možnosť osoby podliehajúcej súdnej právomoci uplatniť právne prostriedky nápravy, aby mala prístup k osobným údajom, ktoré sa jej týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov, tak nerešpektuje podstatu obsahu základného práva na účinnú súdnu ochranu, ako je upravené článkom 47 Charty (rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 95, a citovaná judikatúra).

188

V tejto súvislosti článok 45 ods. 2 písm. a) nariadenia GDPR vyžaduje, aby Komisia v rámci svojho posúdenia primeranosti úrovne ochrany zabezpečovanej treťou krajinou zohľadnila najmä „účinné a vymáhateľné práva dotknutej osoby a účinné správne a súdne prostriedky nápravy pre dotknuté osoby, ktorých osobné údaje sa prenášajú“. Odôvodnenie 104 nariadenia GDPR v tejto súvislosti zdôrazňuje, že tretia krajina „by predovšetkým mala zabezpečiť účinný a nezávislý dozor nad ochranou údajov, ako aj mechanizmy spolupráce s orgánmi členských štátov na ochranu údajov“ a spresňuje, že „dotknutým osobám by sa mali poskytnúť účinné a vymožiteľné práva a účinné správne a súdne prostriedky nápravy“.

189

Existencia takýchto účinných prostriedkov nápravy v dotknutej tretej krajine má osobitný význam v súvislosti s prenosom osobných údajov do uvedenej tretej krajiny, keďže ako vyplýva z odôvodnenia 116 nariadenia GDPR, dotknuté osoby sa môžu dostať do situácie, že správne a súdne orgány členských štátov nebudú mať dostatok právomocí a prostriedkov na to, aby mohli užitočne konať vo veciach sťažností uvedených osôb založených na údajnom protiprávnom spracúvaní ich údajov v tejto tretej krajine, ktoré sú takto prenášané, čo ich môže nútiť k tomu, aby sa obrátili na vnútroštátne orgány a súdy danej tretej krajiny.

190

V prejednávanej veci bolo zistenie Komisie v rozhodnutí ŠnOOÚ, podľa ktorého Spojené štáty zabezpečujú úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej článkom 47 Charty, spochybnené najmä z dôvodu, že zriadenie ombudsmana pre štít na ochranu osobných údajov nemôže napraviť nedostatky konštatované samotnou Komisiou, pokiaľ ide o súdnu ochranu osôb, ktorých osobné údaje sa do tejto tretej krajiny prenášajú.

191

V tejto súvislosti Komisia v bode 115 rozhodnutia ŠnOOÚ uviedla, že „hoci teda fyzické osoby vrátane dotknutých osôb z [Únie] majú niekoľko možností nápravy, keď sa stali predmetom nezákonného (elektronického) sledovania na účely národnej bezpečnosti, je jasné aj to, že tieto možnosti sa nevzťahujú aspoň na niektoré právne základy, ktoré spravodajské orgány USA môžu využiť (napr. vykonávacie nariadenie [E.O.] č. 12333)“. Pokiaľ teda ide o E.O. 12333, v uvedenom odôvodnení 115 zdôraznila neexistenciu akéhokoľvek práva na možnosť nápravy. Podľa judikatúry pripomenutej v bode 187 tohto rozsudku však takáto medzera v súdnej ochrane, pokiaľ ide o zásahy spojené s programami sledovania založenými na tomto vykonávacom nariadení, bráni záveru, ktorý urobila Komisia v rozhodnutí ŠnOOÚ, že právo Spojených štátov zaručuje úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej článkom 47 Charty.

192

Okrem toho, čo sa týka programov sledovania založených na článku 702 FISA, ako aj programov založených na E.O. 12333, v bodoch 181 a 182 tohto rozsudku bolo uvedené, že ani PPD‑28, ani E.O. 12333 nepriznávajú dotknutým osobám práva uplatniteľné pred súdmi voči americkým orgánom, takže tieto osoby nemajú právo na účinný prostriedok nápravy.

193

Komisia napriek tomu v odôvodneniach 115 a 116 rozhodnutia ŠnOOÚ konštatovala, že z dôvodu existencie mechanizmu ombudsmana zavedeného americkými orgánmi, ako je opísaný v liste zaslanom 7. júla 2016 ministrom zahraničných vecí Spojených štátov Európskej komisárke pre spravodlivosť, spotrebiteľov a rodovú rovnosť, ktorý je uvedený v prílohe III tohto rozhodnutia, a na základe povahy úlohy zverenej ombudsmanovi, v danom prípade „hlavnému koordinátorovi medzinárodnej diplomacie v oblasti informačných technológií“ Spojených štátov, táto krajina môže byť považovaná za zabezpečujúcu úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej článkom 47 Charty.

194

Preskúmanie otázky, či mechanizmus ombudsmana uvedený v rozhodnutí ŠnOOÚ môže skutočne napraviť obmedzenia práva na súdnu ochranu konštatované Komisiou, musí v súlade s požiadavkami vyplývajúcimi z článku 47 Charty a z judikatúry pripomenutej v bode 187 tohto rozsudku vychádzať zo zásady, že osoby podliehajúce súdnej právomoci musia mať možnosť uplatniť právne prostriedky nápravy pred nezávislým a nestranným súdom, aby mali prístup k osobným údajom, ktoré sa ich týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov.

195

V liste spomenutom v bode 193 tohto rozsudku bol ombudsman pre štít na ochranu osobných údajov, hoci je opísaný ako „nezávislý od spravodajských služieb“, predstavený tak, že „podlieha priamo ministrovi zahraničných vecí, ktorý zabezpečí, aby ombudsman vykonával svoju funkciu objektívne a bez pôsobenia neprimeraných vplyvov, ktoré by mohli viesť k ovplyvňovaniu poskytovanej odpovede“. Navyše okrem skutočnosti, ako konštatovala Komisia v odôvodnení 116 tohto rozhodnutia, že ombudsman je menovaný ministrom zahraničných vecí a je neoddeliteľnou súčasťou Ministerstva zahraničných vecí Spojených štátov, neexistuje v uvedenom rozhodnutí – ako uviedol generálny advokát v bode 337 svojich návrhov – žiadna zmienka o tom, že by sa s odvolaním ombudsmana alebo zrušením jeho vymenovania spájali osobitné záruky, čo môže spochybňovať nezávislosť ombudsmana vo vzťahu k výkonnej moci (pozri v tomto zmysle rozsudok z 21. januára 2020, Banco de Santander, C‑274/14, EU:C:2020:17, body 60 a 63, ako aj citovanú judikatúru).

196

Rovnako, ako zdôraznil generálny advokát v bode 338 svojich návrhov, hoci odôvodnenie 120 rozhodnutia ŠnOOÚ poukazuje na záväzok americkej vlády, že príslušná zložka spravodajských služieb bude povinná napraviť všetky porušenia platných predpisov, ktoré ombudsman pre štít na ochranu osobných údajov zistí, uvedené rozhodnutie neuvádza nijaké ustanovenie, podľa ktorého by tento ombudsman bol oprávnený voči týmto službám prijímať záväzné rozhodnutia, ani nestanovuje zákonné záruky, ktoré by boli s týmto záväzkom spojené a ktorých by sa dotknuté osoby mohli dovolávať.

197

Mechanizmus ombudsmana uvedený v rozhodnutí ŠnOOÚ teda neposkytuje opravný prostriedok pred orgánom, ktorý by ponúkal osobám, ktorých údaje sa prenášajú do Spojených štátov, záruky, ktoré sú v podstate rovnocenné zárukám vyžadovaným podľa článku 47 Charty.

198

Komisia teda tým, že v článku 1 ods. 1 rozhodnutia ŠnOOÚ konštatovala, že Spojené štáty zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných z Únie organizáciám usadeným v tejto tretej krajine v rámci štítu na ochranu osobných údajov medzi Európskou úniou a USA, porušila požiadavky vyplývajúce z článku 45 ods. 1 nariadenia GDPR v spojení s článkami 7, 8 a 47 Charty.

199

Z toho vyplýva, že článok 1 rozhodnutia ŠnOOÚ je nezlučiteľný s článkom 45 ods. 1 nariadenia GDPR v spojení s článkami 7, 8 a 47 Charty a je z tohto dôvodu neplatný.

200

Keďže článok 1 rozhodnutia ŠnOOÚ je neoddeliteľný od článkov 2 až 6, ako aj od jeho príloh, jeho neplatnosť má vplyv na platnosť tohto rozhodnutia ako celku.

201

Vzhľadom na vyššie uvedené úvahy treba dospieť k záveru, že rozhodnutie ŠnOOÚ je neplatné.

202

Pokiaľ ide o otázku, či treba zachovať účinky tohto rozhodnutia, aby sa zamedzilo vzniku právneho vákua (pozri v tomto zmysle rozsudok z 28. apríla 2016, Borealis Polyolefine a i., C‑191/14, C‑192/14, C‑295/14, C‑389/14 a C‑391/14 až C‑393/14, EU:C:2016:311, bod 106), treba poznamenať, že v každom prípade vzhľadom na článok 49 nariadenia GDPR zrušenie rozhodnutia o primeranosti, akým je rozhodnutie ŠnOOÚ, nemôže viesť k vzniku takéhoto právneho vákua. Tento článok totiž presne stanovuje podmienky, za akých sa prenosy osobných údajov do tretích krajín môžu uskutočniť bez rozhodnutia o primeranosti podľa článku 45 ods. 3 uvedeného nariadenia alebo primeraných záruk podľa článku 46 toho istého nariadenia.

203

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (veľká komora) rozhodol takto: