EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62014CJ0362

Rozsudok Súdneho dvora (veľká komora) zo 6. októbra 2015.
Maximillian Schrems proti Data Protection Commissioner.
Návrh na začatie prejudiciálneho konania, ktorý podal High Court (Írsko).
Návrh na začatie prejudiciálneho konania – Osobné údaje – Ochrana fyzických osôb pri spracovaní týchto údajov – Charta základných práv Európskej únie – Články 7, 8 a 47 – Smernica 95/46/ES – Články 25 a 28 – Prenos osobných údajov do tretích krajín – Rozhodnutie 2000/520/ES – Prenos osobných údajov do Spojených štátov – Neprimeraná úroveň ochrany – Platnosť – Sťažnosť fyzickej osoby, ktorej osobné údaje boli prenesené z Európskej únie do Spojených štátov – Právomoci vnútroštátnych dozorných orgánov.
Vec C-362/14.

Digital reports (Court Reports - general)

ECLI identifier: ECLI:EU:C:2015:650

ROZSUDOK SÚDNEHO DVORA (veľká komora)

zo 6. októbra 2015 ( * )

„Návrh na začatie prejudiciálneho konania — Osobné údaje — Ochrana fyzických osôb pri spracovaní týchto údajov — Charta základných práv Európskej únie — Články 7, 8 a 47 — Smernica 95/46/ES — Články 25 a 28 — Prenos osobných údajov do tretích krajín — Rozhodnutie 2000/520/ES — Prenos osobných údajov do Spojených štátov — Neprimeraná úroveň ochrany — Platnosť — Sťažnosť fyzickej osoby, ktorej osobné údaje boli prenesené z Európskej únie do Spojených štátov — Právomoci vnútroštátnych dozorných orgánov“

Vo veci C‑362/14,

ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím High Court (Írsko) zo 17. júla 2014 a doručený Súdnemu dvoru 25. júla 2014, ktorý súvisí s konaním:

Maximillian Schrems

proti

Data Protection Commissioner,

za účasti:

Digital Rights Ireland Ltd,

SÚDNY DVOR (veľká komora),

v zložení: predseda V. Skouris, podpredseda K. Lenaerts, predsedovia komôr A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (spravodajca), S. Rodin, K. Jürimäe, sudcovia A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen a C. Lycourgos,

generálny advokát: Y. Bot,

tajomník: L. Hewlett, hlavná referentka,

so zreteľom na písomnú časť konania a po pojednávaní z 24. marca 2015,

so zreteľom na pripomienky, ktoré predložili:

M. Schrems, v zastúpení: N. Travers, SC, P. O’Shea, BL, G. Rudden, solicitor, a H. Hofmann, Rechtsanwalt,

Data Protection Commissioner, v zastúpení: P. McDermott, BL, S. More O’Ferrall a D. Young, solicitors,

Digital Rights Ireland Ltd, v zastúpení: F. Crehan, BL, S. McGarr a E. McGarr, solicitors,

Írsko, v zastúpení: A. Joyce, B. Counihan a E. Creedon, splnomocnení zástupcovia, za právnej pomoci D. Fennelly, BL,

belgická vláda, v zastúpení: J.‑C. Halleux a C. Pochet, splnomocnení zástupcovia,

česká vláda, v zastúpení: M. Smolek a J. Vláčil, splnomocnení zástupcovia,

talianska vláda, v zastúpení: G. Palmieri, splnomocnená zástupkyňa, za právnej pomoci P. Gentili, avvocato dello Stato,

rakúska vláda, v zastúpení: G. Hesse a G. Kunnert, splnomocnení zástupcovia,

poľská vláda, v zastúpení: M. Kamejsza, M. Pawlicka a B. Majczyna, splnomocnení zástupcovia,

slovinská vláda, v zastúpení: A. Grum a V. Klemenc, splnomocnené zástupkyne,

vláda Spojeného kráľovstva, v zastúpení: L. Christie a J. Beeko, splnomocnení zástupcovia, za právnej pomoci J. Holmes, barrister,

Európsky parlament, v zastúpení: D. Moore, A. Caiola a M. Penčeva, splnomocnení zástupcovia,

Európska komisia, v zastúpení: B. Schima, B. Martenczuk, B. Smulders a J. Vondung, splnomocnení zástupcovia,

Európsky dozorný úradník pre ochranu údajov (EDPS), v zastúpení: C. Docksey, A. Buchta a V. Pérez Asinari, splnomocnení zástupcovia,

po vypočutí návrhov generálneho advokáta na pojednávaní 23. septembra 2015,

vyhlásil tento

Rozsudok

1

Návrh na začatie prejudiciálneho konania sa týka výkladu článku 25 ods. 6 a článku 28 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, s. 31; Mim. vyd. 13/015, s. 355), zmenenej a doplnenej nariadením (ES) č. 1882/2003 Európskeho parlamentu a Rady z 29. septembra 2003 (Ú. v. EÚ L 284, s. 1; Mim. vyd. 01/004, s. 447), z hľadiska článkov 7, 8 a 47 Charty základných práv Európskej únie (ďalej len „Charta“), ako aj v podstate platnosti rozhodnutia Komisie 2000/520/ES z 26. júla 2000 v súlade so smernicou 95/46 o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (Ú. v. ES L 215, s. 7; Mim. vyd. 16/001, s. 119).

2

Tento návrh bol podaný v rámci sporu medzi pánom Schremsom a Data Protection Commissioner (komisár pre ochranu údajov, ďalej len „komisár“) vo veci jeho odmietnutia vyšetriť sťažnosť podanú pánom Schremsom z dôvodu, že Facebook Ireland Ltd (ďalej len „Facebook Ireland“) zasiela do Spojených štátov osobné údaje svojich používateľov a uchováva ich na serveroch umiestnených v tejto krajine.

Právny rámec

Smernica 95/46

3

Odôvodnenia 2, 10, 56, 57, 60, 62 a 63 smernice 95/46 znejú:

„(2)

… systémy spracovania údajov sú určené na to, aby slúžili človeku;… tieto systémy musia, nech je akákoľvek štátna príslušnosť fyzických osôb a ich bydlisko, rešpektovať ich základné práva a slobody, najmä právo na súkromie, a prispievať k… blahobytu jednotlivcov;

(10)

… cieľom vnútroštátnych právnych predpisov o spracovaní osobných údajov je chrániť základné práva a slobody, najmä právo na súkromie, čo sa rešpektuje tak v článku 8 Európskeho dohovoru na ochranu ľudských práv a základných slobôd [podpísaného v Ríme 4. novembra 1950], ako aj vo všeobecných zásadách práva spoločenstva;… z toho dôvodu aproximácia týchto právnych predpisov nesmie mať za následok zníženie ochrany, ktorú poskytujú, ale naopak musí sa snažiť zabezpečiť vysokú úroveň ochrany v spoločenstve;

(56)

… pohyb tokov osobných údajov cez hranice je nevyhnutný pre expanziu medzinárodného obchodu;… ochrana jednotlivcov zaručená v spoločenstve touto smernicou nie je prekážkou transferov osobných údajov do tretích krajín, ktoré zaistia adekvátnu úroveň ochrany;… adekvátnosť úrovne ochrany, ktorú poskytuje tretia krajina, musí byť ohodnotená z hľadiska všetkých okolností, ktoré sa týkajú operácie transferu alebo zostavy transferových operácií;

(57)

… na druhej strane, transfer osobných údajov do tretej krajiny, ktorá nezaisťuje adekvátnu úroveň ochrany, sa musí zakázať;

(60)

… v každom prípade, transfery do tretích krajín možno vykonať iba v úplnom súlade s ustanoveniami prijatými členskými štátmi podľa tejto smernice a najmä podľa jej článku 8;

(62)

… zriadenie dozorných úradov v členských štátoch, ktoré vykonávajú svoje funkcie s úplnou nezávislosťou, je nevyhnutným komponentom ochrany jednotlivcov v súvislosti so spracovaním osobných údajov;

(63)

… takéto orgány musia mať nevyhnutné prostriedky pre vykonávanie svojich povinností, vrátane právomoci vyšetrovania a intervencie, najmä v prípadoch sťažností od jednotlivcov a právomoci zúčastniť sa na súdnom pojednávaní…“

4

Články 1, 2, 25, 26, 28 a 31 smernice 95/46 stanovujú:

„Článok 1

Predmet smernice

1.   V súlade s touto smernicou členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov.

Článok 2

Definície

Na účely tejto smernice:

a)

‚osobné údaje‘ znamenajú akúkoľvek informáciu, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby (‚údajového subjektu‘); identifikovateľná osoba je osoba, ktorú možno identifikovať, priamo alebo nepriamo, najmä pomocou overenia identifikačného čísla alebo jedného alebo viacerých faktorov špecifických pre jeho fyzickú, fyziologickú, duševnú, hospodársku, kultúrnu alebo sociálnu identitu,

b)

‚spracovanie osobných údajov‘ (‚spracovanie‘) znamená akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, odhalenie prenosom, šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie,

d)

‚kontrolór‘ znamená fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov; tam, kde sú účely a prostriedky spracovania stanovené vnútroštátnymi zákonmi a nariadeniami, alebo zákonmi a nariadeniami spoločenstva, ten, kto spracovanie riadi, alebo konkrétne kritériá pre jeho menovanie môžu byť navrhnuté na základe vnútroštátneho práva alebo práva spoločenstva,

Článok 25

Princípy

1.   Členské štáty zabezpečia, aby sa prenos osobných údajov, ktoré sa spracovávajú alebo sú určené na spracovanie po prenose do tretej krajiny mohol urobiť len, bez toho, aby boli dotknuté vnútroštátne ustanovenia prijaté v súlade s ostatnými ustanoveniami tejto smernice, ak príslušná tretia krajina zaistí adekvátnu úroveň ochrany.

2.   Adekvátnosť úrovne ochrany, ktorú poskytuje tretia krajina, sa hodnotí vzhľadom na všetky okolnosti týkajúce sa operácie prenosu údajov alebo komplexu operácií prenosu údajov; zvláštna pozornosť sa venuje charakteru údajov, účelu a trvaniu navrhnutej operácie alebo operácií spracovania, krajine pôvodu a krajine konečného určenia, právnym normám aj všeobecným aj sektorovým, platným v príslušnej tretej krajine a profesionálnym predpisom a bezpečnostným opatreniam, ktorým táto krajina vyhovuje.

3.   Členské štáty a Komisia sa navzájom informujú o prípadoch, keď sa domnievajú, že tretia krajina nezabezpečuje adekvátnu úroveň ochrany v rámci znenia odseku 2.

4.   Ak Komisia zistí [konštatuje – neoficiálny preklad], podľa postupu uvedeného v článku 31 ods. 2, že tretia krajina nezaisťuje adekvátnu úroveň ochrany v rámci znenia odseku 2 tohto článku, členské štáty podniknú nevyhnutné opatrenia na ochranu a prenos [na zamedzenie akéhokoľvek prenosu – neoficiálny preklad] údajov tohto istého typu do príslušnej tretej krajiny.

5.   Vo vhodnom čase Komisia začne vyjednávať s cieľom napravenia stavu vzniknutého z vykonaných zistení [stavu vyplývajúceho z konštatovania, ku ktorému dospela – neoficiálny preklad] v súlade s odsekom 4.

6.   Komisia môže zistiť [konštatovať – neoficiálny preklad], podľa postupu uvedeného v článku 31 ods. 2, že tretia krajina zaisťuje adekvátnu úroveň ochrany v rámci znenia odseku 2 tohto článku, z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, najmä na základe záverov jednaní uvedených v odseku 5, na ochranu súkromného života a osobných práv a slobôd [slobôd a základných práv osôb – neoficiálny preklad].

Členské štáty prijmú opatrenia potrebné na dosiahnutie súladu s rozhodnutím Komisie.

Článok 26

Odchýlky

1.   Odchylne od článku 25 a s výnimkou, keď sú inak zabezpečené vnútroštátnym právom riadiacim konkrétne situácie, zabezpečia členské štáty, že sa môže uskutočniť prenos alebo súbor prenosov osobných údajov do tretej krajiny, ktorá nezaistí adekvátnu úroveň ochrany v rámci znenia článku 25 ods. 2 za predpokladu, že:

a)

osoba pracujúca s údajmi dala jednoznačne súhlas na navrhnutý prenos; alebo

b)

prenos je nevyhnutný pre plnenie zmluvy medzi osobou pracujúcou s údajmi a kontrolórom alebo pre zavedenie predbežných zmluvných opatrení uskutočnených v súlade s požiadavkou osoby pracujúcej s údajmi; alebo

c)

prenos je nevyhnutný pre uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme osoby pracujúcej s údajmi medzi kontrolórom a treťou stranou; alebo

d)

prenos je nevyhnutný alebo právne požadovaný z dôvodu dôležitého verejného záujmu, alebo pre zriadenie, výkon a obranu právnych nárokov; alebo

e)

prenos je nevyhnutný, aby sa ochránili dôležité záujmy osoby pracujúcej s údajmi; alebo

f)

prenos sa robí z registra, ktorý je podľa zákona alebo predpisov určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadnutie verejnosti alebo každej osobe, ktorá môže preukázať legitímny záujem, do tej miery, že sa v konkrétnom prípade splnia podmienky stanovené príslušným zákonom.

2.   Bez toho, aby boli dotknuté ustanovenia odseku 1, môže členský štát schváliť prenos alebo súbor prenosov osobných údajov do tretej krajiny, ktorá nezaistí adekvátnu úroveň ochrany v rámci znenia článku 25 ods. 2 vtedy, keď kontrolór uvádza záruky s ohľadom na ochranu súkromia a základných práv a slobôd jednotlivcov a pokiaľ ide o uplatnenie príslušných práv; takéto záruky môžu vyplývať najmä z príslušných zmluvných klauzúl.

3.   Členský štát informuje Komisiu a ostatné členské štáty o povoleniach, ktoré zaručuje v súlade s odsekom 2.

Ak členský štát alebo Komisia namieta proti odôvodneným dôvodom zahŕňajúcim ochranu súkromia a osobných práv a slobôd [slobôd a základných práv osôb – neoficiálny preklad], Komisia uskutoční príslušné opatrenia podľa postupu uvedeného v článku 31 ods. 2.

Členské štáty prijmú opatrenia potrebné na dosiahnutie súladu s rozhodnutím Komisie.

Článok 28

Dozorný orgán

1.   Každý členský štát zabezpečí, aby jeden alebo viac štátnych orgánov bolo zodpovedných za monitorovanie uplatňovania ustanovení v rámci jeho územia, prijatých členskými štátmi v súlade s touto smernicou.

Tieto orgány konajú s úplnou nezávislosťou vo vykonávaní im zverených funkcií.

2.   Každý členský štát zabezpečí, že s dozornými orgánmi sa budú konzultovať návrhy administratívnych opatrení alebo predpisov týkajúcich sa osobných práv a slobôd [slobôd a základných práv osôb – neoficiálny preklad] týkajúcich sa spracovania osobných údajov.

3.   Každý [dozorný orgán – neoficiálny preklad] je zabezpečený najmä:

vyšetrovacími právomocami, ako sú práva prístupu k údajom, tvoriacich záležitosť subjektu operácií spracovania [ktoré sú predmetom spracovania – neoficiálny preklad] a práva zbierať všetky nevyhnutné informácie pre plnenie jeho kontrolných povinností,

efektívnymi právomocami intervencie, ako sú napríklad doručenie stanovísk pred vykonaním operácii spracovania podľa článku 20 a zabezpečenie príslušného zverejnenia takýchto stanovísk, nariadenie zablokovania, vymazania alebo zničenia údajov, uvalenie dočasného alebo úplného zákazu na spracovanie, upozornenie alebo pripomenutie kontrolórovi, alebo oznámenie záležitosti vnútroštátnemu parlamentu alebo iným politickým inštitúciám,

právomocou zaoberať sa právnymi postupmi tam, kde sa porušili vnútroštátne ustanovenia prijaté v súlade s touto smernicou alebo dať tieto porušenia do pozornosti súdnych orgánov.

Proti rozhodnutiam dozorného orgánu, ktoré vznesú žalobcovia, je možné odvolať sa prostredníctvom súdov [Rozhodnutia dozorného orgánu spôsobujúce ujmu možno napadnúť žalobou na súde – neoficiálny preklad].

4.   Každý dozorný orgán si vypočuje nároky uplatňované každou osobou alebo každou asociáciou predstavujúcou túto osobu, týkajúce sa ochrany jeho práv a slobôd vzhľadom na spracovanie osobných údajov. Príslušná osoba je informovaná o výsledku žaloby [žiadosti – neoficiálny preklad].

Každý dozorný orgán si vypočuje najmä nároky na kontrolu zákonnosti spracovania údajov, uplatnené každou osobou, keď sa uplatňujú vnútroštátne ustanovenia prijaté v súlade s článkom 13 tejto smernice. Táto osoba je v každom prípade informovaná o tom, že sa kontrola uskutočnila.

6.   Každý kontrolný orgán je kompetentný, bez ohľadu na príslušné vnútroštátne právo uplatniteľné na spracovanie, vykonávať na území svojho členského štátu právomoci jemu udelené v súlade s odsekom 3. Každý orgán môže byť požiadaný orgánom iného členského štátu, aby uplatnil svoje právomoci.

Článok 31

2.   V prípade odkazu na tento článok sa uplatňujú články 4 a 7 rozhodnutia [Rady] 1999/468/ES [z 28. júna 1999, ktorým sa ustanovujú postupy pre výkon vykonávacích právomocí prenesených na Komisiu (Ú. v. ES L 184, s. 23; Mim. vyd. 01/003, s. 124] so zreteľom na ustanovenia jeho článku 8.

…“

Rozhodnutie 2000/520

5

Rozhodnutie 2000/520 prijala Komisia na základe článku 25 ods. 6 smernice 95/46.

6

Odôvodnenia 2, 5 a 8 tohto rozhodnutia znejú:

„(2)

Komisia môže dospieť k záveru, že určitá tretia krajina zaručuje primeranú úroveň ochrany. V takom prípade je prenos osobných údajov z členských štátov možný bez toho, že by boli potrebné ďalšie záruky.

(5)

Primeraná úroveň ochrany prenosu údajov zo spoločenstva do Spojených štátov uznávaná podľa tohto rozhodnutia by mala byť dosiahnutá vtedy, ak organizácie spĺňajú zásady ‚bezpečného prístavu‘ vo vzťahu k ochrane osobných údajov prenášaných z určitého členského štátu do Spojených štátov (ďalej len ‚zásady‘) a často kladené otázky (‚frequently asked questions‘, ďalej len ‚FAQ‘) poskytujúce usmernenie pre vykonávanie zásad, ktoré vydala vláda Spojených štátov 21. júla 2000. Okrem toho by organizácie mali zverejniť svoje príslušné stratégie v oblasti ochrany súkromia a mali by podliehať jurisdikcii Federálnej obchodnej komisie (FTC – Federal Trade Commission) podľa oddielu 5 zákona o Federálnej obchodnej komisii, ktorý zakazuje nekalé alebo klamlivé konanie alebo praktiky v rámci obchodovania alebo ovplyvňujúce obchodovanie, alebo by mali podliehať inému štatutárnemu orgánu, ktorý účinne zabezpečí súlad so zásadami vykonávanými v súlade s FAQ.

(8)

V záujme transparentnosti a s cieľom zabezpečenia schopnosti príslušných orgánov v členských štátoch zaručiť ochranu jednotlivcov v súvislosti so spracúvaním ich osobných údajov je potrebné, aby sa v tomto rozhodnutí presne vymedzili mimoriadne okolnosti, za ktorých by malo byť opodstatnené pozastavenie tokov určitých informácií, a to bez ohľadu na to, či Komisia dospela k záveru, že v danej krajine je zabezpečená primeraná úroveň ochrany.“

7

Podľa článkov 1 až 4 rozhodnutia 2000/520:

„Článok 1

1.   Na účely článku 25 ods. 2 smernice 95/46/ES sa vo vzťahu ku všetkým aktivitám spadajúcim do rámca pôsobnosti uvedenej smernice ‚zásady bezpečného prístavu [vo vzťahu k ochrane osobných údajov]‘ (ďalej len ‚zásady‘), tak ako sú uvedené v prílohe I k tomuto rozhodnutiu, vykonávané v súlade s usmernením vyplývajúcim z často kladených otázok (ďalej len ‚FAQ‘) vydaných Ministerstvom obchodu USA 21. júla 2000 tak, ako sú uvedené v prílohe II k tomuto rozhodnutiu považujú za také, ktoré zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných zo spoločenstva do organizácií so sídlom v Spojených štátoch, pričom sa zohľadňujú nasledujúce dokumenty vydané Ministerstvom obchodu USA:

a)

prehľad presadzovania zásad bezpečného prístavu uvedený v prílohe III;

b)

memorandum týkajúce sa náhrad škôd za porušenie súkromia a výslovného oprávnenia v rámci práva USA uvedené v prílohe IV;

c)

list Federálnej obchodnej komisie uvedený v prílohe V;

d)

list Ministerstva dopravy USA uvedený v prílohe VI;

2.   Vo vzťahu ku každému prenosu údajov sa musia splniť nasledujúce podmienky:

a)

organizácia, ktorej sa poskytujú údaje, sa jednoznačne a verejným vyhlásením zaviaže dodržiavať zásady vykonávané v súlade s FAQ a

b)

v prípade nedodržiavania zásad vykonávaných v súlade s FAQ podlieha daná organizácia zákonným právomociam niektorého zo štátnych orgánov v Spojených štátoch uvedených v prílohe VII k tomuto rozhodnutiu, ktorý je oprávnený vyšetrovať sťažnosti a zabezpečovať nápravu v prípade nekalých alebo klamlivých praktík, ako aj zabezpečovať odškodnenie jednotlivcov bez ohľadu na to, v akej krajine majú trvalý pobyt alebo akú majú štátnu príslušnosť.

3.   Podmienky uvedené v odseku 2 sa považujú za splnené vo vzťahu ku každej organizácii, ktorá osvedčí svoje dodržiavanie zásad vykonávaných v súlade s FAQ odo dňa, kedy daná organizácia oznámi Ministerstvu obchodu USA (alebo jeho zástupcovi) svoje verejné vyhlásenie o záväzku uvedenom v odseku 2 písm. a) a totožnosť štátneho orgánu uvedeného v odseku 2 písm. b).

Článok 2

Toto rozhodnutie sa týka len primeranosti ochrany poskytovanej v Spojených štátoch podľa zásad vykonávaných v súlade s FAQ s cieľom splnenia požiadaviek článku 25 ods. 1 smernice 95/46/ES a nie je ním dotknuté uplatňovanie iných ustanovení uvedenej smernice, ktoré sa vzťahujú na spracúvanie osobných údajov v rámci členských štátov, najmä článku 4 tejto smernice.

Článok 3

1.   Bez toho, aby tým boli dotknuté ich právomoci prijímať opatrenia na zabezpečenie súladu s vnútroštátnymi právnymi normami prijatými podľa ustanovení iných ako článok 25 smernice 95/46/ES, môžu príslušné orgány v členských štátoch vykonávať svoje existujúce právomoci týkajúce sa pozastavenia tokov údajov do organizácie, ktorá osvedčila svoje dodržiavanie zásad vykonávaných v súlade s FAQ, aby tak chránili jednotlivcov v súvislosti so spracúvaním ich osobných údajov v prípadoch, keď:

a)

štátny orgán v Spojených štátoch uvedený v prílohe VII k tomuto rozhodnutiu alebo nezávislý opravný mechanizmus v zmysle písmena a) zásady vymáhania výkonu uvedenej v prílohe I k tomuto rozhodnutiu zistí, že daná organizácia porušuje zásady vykonávané v súlade s FAQ; alebo

b)

je veľká pravdepodobnosť, že sa porušujú zásady; existuje reálny dôvod na domnienku, že príslušný mechanizmus na vymáhanie výkonu neprijíma alebo neprijme primerané a včasné opatrenia na urovnanie určitého prípadu; pokračujúci prenos údajov by mal za následok bezprostredné riziko vážneho poškodenia dotknutých osôb, ktoré sú predmetom údajov; a príslušné orgány v danom členskom štáte vyvinuli podľa okolností primerané úsilie na to, aby o tom informovali dotknutú organizáciu a poskytli jej možnosť odpovedať.

Pozastavenie tokov údajov do určitej organizácie sa ukončí, akonáhle sa zabezpečí dodržiavanie zásad vykonávaných v súlade s FAQ a len čo sú o tom informované dotknuté príslušné orgány v spoločenstve.

2.   V prípade, že sa prijmú opatrenia na základe odseku 1, členské štáty o tom bezodkladne informujú Komisiu.

3.   Členské štáty a Komisia sa tiež navzájom informujú o prípadoch, kedy konanie orgánov zodpovedných za vymáhanie výkonu zásad vykonávaných v súlade s FAQ v Spojených štátoch nezabezpečuje takéto dodržiavanie.

4.   Ak informácie zhromaždené podľa odsekov 1, 2 a 3 poskytujú dôkazy o tom, že určitý orgán zodpovedný za dodržiavanie zásad vykonávaných v súlade s FAQ v Spojených štátoch nevykonáva účinne svoju úlohu, Komisia o tom informuje Ministerstvo obchodu USA a v prípade potreby predloží návrh opatrení v súlade s postupom uvedeným v článku 31 smernice 95/46/ES s cieľom zrušiť alebo pozastaviť účinnosť tohto rozhodnutia alebo obmedziť rozsah jeho pôsobnosti.

Článok 4

1.   Toto rozhodnutie je možné kedykoľvek upraviť na základe skúseností s jeho vykonávaním a/alebo vtedy, ak úroveň ochrany poskytovanú zásadami a FAQ predstihnú požiadavky právnych predpisov USA.

Komisia v každom prípade posúdi vykonávanie tohto rozhodnutia na základe dostupných informácií tri roky po jeho oznámení členským štátom a podá správu o príslušných zisteniach výboru ustanovenému podľa článku 31 smernice 95/46/ES, vrátane akýchkoľvek dôkazov, ktoré by mohli mať vplyv na hodnotenie, podľa ktorého ustanovenia uvedené v článku 1 tohto rozhodnutia poskytujú primeranú ochranu v zmysle článku 25 smernice 95/46/ES a akýchkoľvek dôkazov svedčiacich o tom, že toto rozhodnutie sa vykonáva diskriminačným spôsobom.

2.   Komisia v prípade potreby predloží návrh opatrení v súlade s postupom uvedeným v článku 31 smernice 95/46/ES.“

8

Príloha I rozhodnutia 2000/520 znie:

„ZÁSADY ‚BEZPEČNÉHO PRÍSTAVU‘ [TÝKAJÚCE SA OCHRANY SÚKROMIA – neoficiálny preklad]

vydané Ministerstvom obchodu USA 21. júla 2000

… vydáva Ministerstvo obchodu z titulu svojej zákonnej právomoci tento dokument [(‚zásady‘)] a často kladené otázky [(‚FAQ‘)] zamerané na podporu, zvýšenie úrovne a rozvoj medzinárodného obchodu. Tieto zásady boli vypracované na základe porád so zástupcami podnikateľskej sféry a verejnosti s cieľom uľahčenia obchodu medzi Spojenými štátmi a Európskou úniou. Sú určené výlučne na to, aby ich využívali organizácie v USA, ktoré získavajú osobné údaje z Európskej únie a ktoré chcú splniť kritériá bezpečného prístavu a z nich vyplývajúci predpoklad ‚primeranej úrovne‘ ochrany osobných údajov. Keďže zásady boli vypracované výlučne na tento osobitný účel, ich použitie na iné účely môže byť nevhodné…

Rozhodnutie organizácií splniť kritériá ‚bezpečného prístavu‘ je úplne dobrovoľné a organizácie ich môžu spĺňať rôznym spôsobom…

Dodržiavanie týchto zásad môže byť obmedzené: a) na mieru potrebnú na splnenie požiadaviek národnej bezpečnosti, verejného záujmu alebo vymáhania práva; b) zákonmi, nariadeniami vlády alebo precedenčným právom, ktoré ustanovujú protichodné povinnosti alebo výslovné oprávnenia, za predpokladu, že pri vykonávaní každého takéhoto oprávnenia môže organizácia preukázať, že jej nedodržiavanie zásad je obmedzené do tej miery, ktorá je potrebná na splnenie vyššie stojacich legitímnych záujmov vyplývajúcich z takéhoto oprávnenia; alebo c) ak účinok určitej smernice v rámci právnych predpisov členského štátu umožňuje výnimky alebo odchýlky, za predpokladu, že takéto výnimky alebo odchýlky sa uplatňujú v porovnateľných súvislostiach. Sledujúc cieľ zvyšovania ochrany súkromia by sa organizácie mali snažiť vykonávať tieto zásady v úplnosti a transparentne, čo tiež znamená, že by v rámci svojich stratégií ochrany súkromia mali uviesť, v akých prípadoch sa budú pravidelne uplatňovať výnimky zo zásad povolené na základe vyššie uvedeného písmena b). Z tých istých dôvodov sa predpokladá, že tam, kde je v súlade so zásadami a/alebo s právom USA možná voľba medzi určitými alternatívami, si organizácie podľa možnosti zvolia vyššiu úroveň ochrany.

…“

9

Príloha II rozhodnutia 2000/520 stanovuje:

„ČASTO KLADENÉ OTÁZKY (FAQ – Frequently Asked Questions)

FAQ 6 – Osvedčenie vydávané samotnou organizáciou

Otázka: Akým spôsobom organizácia osvedčuje, že dodržiava zásady bezpečného prístavu?

Odpoveď: Výhody vyplývajúce zo štatútu bezpečného prístavu sú zabezpečené odo dňa, kedy určitá organizácia sama poskytne ministerstvu obchodu (alebo jeho zástupcovi) v súlade s nižšie uvedeným usmernením osvedčenie, že dodržiava zásady.

S cieľom poskytnutia osvedčenia o svojom dodržiavaní zásad ‚bezpečného prístavu‘ môže organizácia poslať Ministerstvu obchodu (alebo jeho zástupcovi) list podpísaný vedúcim pracovníkom spoločnosti v mene danej organizácie pripájajúcej sa k systému bezpečného prístavu, ktorý obsahuje prinajmenšom nasledujúce informácie:

1.

názov organizácie, poštovú adresu, e‑mailovú adresu, telefónne a faxové čísla;

2.

opis činnosti danej organizácie s ohľadom na osobné informácie získavané od EÚ a

3.

opis stratégie danej organizácie v oblasti ochrany súkromia vo vzťahu k takýmto osobným informáciám, vrátane: a) miesta, kde je stratégia v oblasti ochrany súkromia dostupná na nahliadnutie pre verejnosť, b) dňa, kedy nadobúda účinnosť vykonávanie tejto stratégie, c) kontaktného orgánu pre vybavovanie sťažností, žiadostí o prístup a akýchkoľvek iných záležitostí vyplývajúcich z uplatňovania systému bezpečného prístavu, d) osobitného štatutárneho orgánu, v ktorého právomoci je vypočutie sťažností voči danej organizácii, čo sa týka možných nekalých alebo klamlivých praktík a porušení zákonov alebo iných právnych predpisov upravujúcich ochranu súkromia (a ktorý je uvedený v zozname pripojenom k zásadám), e) názvu akéhokoľvek programu v oblasti ochrany súkromia, ktorého je daná organizácia členom, f) spôsobu overovania (napr. vnútri podniku, treťou stranou)…, a g) nezávislého opravného mechanizmu, ktorý je dostupný s cieľom vyšetrovania nevyriešených sťažností.

Tam, kde má organizácia záujem o to, aby výhody vyplývajúce zo štatútu bezpečného prístavu zahrňovali informácie v oblasti ľudských zdrojov prenášané z EÚ na využitie v súvislosti s pracovnoprávnymi vzťahmi, môže tak urobiť, ak existuje štatutárny orgán s právomocou vypočúvať sťažnosti voči danej organizácii vyplývajúce z informácií týkajúcich sa ľudských zdrojov, ktorý je uvedený v zozname pripojenom k zásadám…

Ministerstvo obchodu (alebo jeho zástupca) bude udržiavať zoznam všetkých organizácií, ktoré podajú takýto list, ktorým si zabezpečujú dostupnosť výhod vyplývajúcich zo štatútu bezpečného prístavu a bude každoročne aktualizovať takýto zoznam na základe listov a oznámení obdržaných podľa FAQ 11…

FAQ 11 – Riešenie sporov a vymáhanie výkonu

Otázka: Ako by sa mali vykonávať požiadavky zásady vymáhania výkonu týkajúce sa riešenia sporov a ako sa bude postupovať v prípade, že určitá organizácia sústavne nedodržiava zásady?

Odpoveď: Zásada vymáhania výkonu ustanovuje požiadavky na vymáhanie výkonu zásad bezpečného prístavu. To, ako sa majú splniť požiadavky bodu b) tejto zásady, je stanovené vo FAQ týkajúcej sa overovania (FAQ 7). Táto FAQ 11 sa týka bodov a) a c), ktoré oba požadujú nezávislé opravné mechanizmy. Tieto mechanizmy môžu mať rôznu formu, avšak musia spĺňať požiadavky zásady vymáhania výkonu. Organizácie môžu splniť tieto požiadavky nasledujúcim spôsobom: (1) dodržiavaním programov ochrany súkromia vypracovaných súkromným sektorom, ktoré začleňujú do svojich pravidiel zásady bezpečného prístavu a ktoré zahrňujú účinné mechanizmy vymáhania výkonu toho druhu, ktorý je opísaný v zásade vymáhania výkonu; (2) podrobením sa zákonným alebo regulačným dozorným orgánom, ktoré zabezpečujú vybavovanie individuálnych sťažností a riešenie sporov; alebo (3) tým, že sa zaviažu spolupracovať s orgánmi na ochranu údajov sídliacimi v Európskej únii alebo s ich oprávnenými zástupcami. Vymenovanie vyššie uvedených spôsobov má ilustratívny a nie obmedzujúci charakter. Súkromný sektor môže vypracovať iné mechanizmy na zabezpečenie vymáhania výkonu, pokiaľ tieto mechanizmy budú spĺňať požiadavky zásady vymáhania výkonu a FAQs. Treba upozorniť na to, že požiadavky zásady vymáhania výkonu sú dodatočnými požiadavkami k požiadavkám ustanoveným v odseku 3 úvodu k zásadám, podľa ktorých samoregulačné pravidlá musia byť vymáhateľné podľa článku 5 zákona o Federálnej obchodnej komisii alebo podľa podobného právneho predpisu.

Opravné mechanizmy

Jednotlivci by mali byť podporovaní v tom, aby pred tým, než sa obrátia na nezávislé opravné mechanizmy, podávali svoje sťažnosti na príslušné organizácie…

Činnosť Federálnej obchodnej komisie (FTC – Federal Trade Commission)

Federálna obchodná Komisia sa zaviazala prioritne posudzovať žiadosti o rozhodnutie obdržané od súkromných organizácií uplatňujúcich samoreguláciu, ako napríklad BBOnline a TRUSTe, a od členských štátov EÚ sťažujúcich sa na nedodržiavanie zásad ‚bezpečného prístavu‘ s cieľom zistiť, či bol porušený oddiel 5 zákona FTC zakazujúci nekalé alebo klamlivé konanie alebo praktiky v rámci obchodovania…

…“

10

Podľa prílohy IV rozhodnutia 2000/520:

„Náhrady škôd za porušenie súkromia, zákonné oprávnenia a koncentrácie a akvizície v rámci právnych predpisov USA

Táto príloha je reakciou na požiadavku Európskej komisie v zmysle objasnenia práva USA vo vzťahu k a) nárokom na náhradu škody za porušenie súkromia, b) ‚výslovným oprávneniam‘ v rámci práva USA týkajúcich sa využívania osobných informácií spôsobom nezlučiteľným so zásadami ‚bezpečného prístavu‘ a c) dopadu koncentrácií a akvizícií na záväzky prijaté v súlade so zásadami ‚bezpečného prístavu‘.

B. Explicitné zákonné oprávnenia

Zásady bezpečného prístavu obsahujú výnimku tam, kde právna norma, nariadenie alebo precedenčné právo zakladajú ‚konfliktné povinnosti alebo explicitné oprávnenia, za predpokladu, že pri výkone takéhoto oprávnenia môže organizácia preukázať, že jej nedodržiavanie zásad je obmedzené do miery potrebnej na splnenie vyššie stojacich legitímnych záujmov podporovaných takýmto oprávnením.‘ Je zrejmé, že tam, kde právo USA ukladá konfliktné povinnosti, organizácie v USA, či už sú účastníkmi systému bezpečného prístavu alebo nie, musia dodržiavať toto právo. Čo sa týka explicitných oprávnení, napriek tomu, že zásady bezpečného prístavu sú zamerané na preklenutie rozdielov medzi režimami ochrany súkromia v USA a v Európe, je potrebné sa podriadiť výsadným právomociam volených zákonodarcov. Obmedzená výnimka z prísneho dodržiavania zásad bezpečného prístavu predstavuje snahu o udržanie rovnováhy pri uspokojovaní legitímnych záujmov na oboch stranách.

Daná výnimka je obmedzená na prípady, kedy existuje explicitná oprávnenie. To znamená, že základnou podmienkou je, že relevantná právna norma, nariadenie alebo rozhodnutie súdu musia potvrdiť oprávnenie organizácií zúčastnených na programe bezpečného prístavu správať sa určitým konkrétnym spôsobom… Inými slovami, výnimka by sa neuplatňovala tam, kde právo mlčí. Navyše, výnimka by sa uplatňovala len vtedy, keby explicitné oprávnenie bolo v rozpore s dodržiavaním zásad ‚bezpečného prístavu‘. Dokonca aj vtedy je výnimka ‚obmedzená na mieru potrebnú na splnenie vyššie stojacich legitímnych záujmov podporovaných takýmto oprávnením.‘ Na ilustráciu – tam, kde zákon jednoducho oprávňuje určitú spoločnosť poskytovať osobné informácie vládnym orgánom, výnimka by sa neuplatňovala. Naopak, tam, kde zákon osobitne oprávňuje určitú spoločnosť, aby poskytovala osobné informácie vládnym orgánom bez súhlasu jednotlivca, predstavovalo by to ‚explicitné oprávnenie‘ konať spôsobom, ktorý je v rozpore so zásadami bezpečného prístavu. Iná možnosť je, že osobitné výnimky z afirmatívnych požiadaviek poskytovať oznámenie a súhlas by spadali pod danú výnimku (pretože by to bolo rovnocenné osobitnému oprávneniu poskytovať informácie bez oznámenia a súhlasu). Napríklad, právna norma, ktorá oprávňuje lekárov poskytovať lekárske záznamy ich pacientov úradníkom v oblasti zdravotníctva bez predchádzajúceho súhlasu pacientov by mohla povoľovať výnimku zo zásad oznamovania a možnosti voľby. Takéto oprávnenie by neumožňovalo lekárovi poskytovať tie isté lekárske záznamy zdravotníckym organizáciám alebo komerčným farmaceutickým výskumným laboratóriám, čo by presahovalo rozsah pôsobenia účelov povolených zákonom a teda by to presahovalo rozsah pôsobenia danej výnimky… Právna norma, o ktorej sa tu hovorí, môže predstavovať ‚samostatné‘ oprávnenie vykonávať osobitné veci s osobnými informáciami, ale ako ukazujú príklady uvedené nižšie, je to pravdepodobne výnimka zo širšieho práva ustanovujúceho zhromažďovanie, využívanie alebo poskytovanie osobných informácií.

…“

Oznámenie COM(2013) 846 final

11

Dňa 27. novembra 2013 Komisia prijala oznámenie Komisie Európskemu parlamentu a Rade nazvané „Obnovenie dôvery v toky údajov medzi EÚ a USA“ [COM(2013) 846 final, ďalej len „oznámenie COM(2013) 846 final“]. K tomuto oznámeniu bola pripojená správa, rovnako z 27. novembra 2013, obsahujúca zistenia spolupredsedov EÚ pracovnej skupiny ad hoc EÚ – USA pre ochranu údajov“ („Report on the Findings by the EU Co‑chairs of the ad hoc EU‑US Working Group on Data Protection“). Táto správa bola vypracovaná, ako poznamenáva jej bod 1, v spolupráci so Spojenými štátmi americkými v nadväznosti na odhalenie, že v tejto krajine existujú viaceré programy sledovania zahŕňajúce rozsiahle zhromažďovanie a spracovanie osobných údajov. Táto správa obsahovala najmä podrobnú analýzu právneho poriadku Spojených štátov, pokiaľ ide konkrétne o právne základy oprávňujúce existenciu programov sledovania, ako aj zhromažďovanie a spracovanie osobných údajov americkými orgánmi.

12

V bode 1 oznámenia COM(2013) 846 final Komisia spresnila, že „obchodné výmeny sú predmetom rozhodnutia [2000/520]… a doplnila, že „toto rozhodnutie poskytuje právny základ na prenosy osobných údajov z EÚ do spoločností zriadených v USA, ktoré podporujú zásady „bezpečného prístavu“. Okrem toho v tom istom bode 1 Komisia zdôraznila narastajúci význam toku osobných údajov, súvisiaci najmä s rozvojom digitálnej ekonomiky, ktorý „viedol k prudkému nárastu množstva, kvality, rôznorodosti a charakteru činností spracovania údajov“.

13

V bode 2 tohto oznámenia Komisia uvádza, že „aj tak… narastajú obavy týkajúce sa úrovne ochrany osobných údajov občanov [Únie] prenášaných do USA v rámci systému bezpečného prístavu“ a že „dobrovoľná a deklaratórna povaha tohto systému zaostrila pozornosť na jeho transparentnosť a presadzovanie“.

14

Okrem toho v tom istom bode 2 uviedla, že „k osobným údajom občanov [Únie] odosielaným do USA v rámci programu bezpečného prístavu môžu orgány USA pristupovať a ďalej ich spracúvať spôsobom, ktorý nie je v súlade s dôvodmi, na základe ktorých boli pôvodne v [Únii] zhromaždené, a účelmi, na ktoré boli prenesené do USA“ a že „väčšina internetových spoločností z USA, ktorých sa… programy [sledovania] priamejšie dotýkajú, je certifikovaná v rámci systému bezpečného prístavu“.

15

V bode 3.2 oznámenia COM(2013) 846 final Komisia poukázala na existenciu niekoľkých slabých miest, pokiaľ ide o vykonanie rozhodnutia 2000/520. Na jednej strane poukazuje na skutočnosť, že americké certifikované podniky nedodržiavali zásady uvedené v článku 1 ods. 1 rozhodnutia 2000/520 (ďalej len „zásady bezpečného prístavu“) a že sa mali vykonať zlepšenia tohto rozhodnutia, pokiaľ ide o „štrukturálne nedostatky súvisiace s transparentnosťou a kontrolou vykonania, základné zásady systému bezpečného prístavu a fungovanie výnimky na základe národnej bezpečnosti“. Na druhej strane uviedla, že „bezpečný prístav funguje aj ako kanál na prenos osobných údajov občanov EÚ z [Únie] do USA spoločnosťami, ktoré musia poskytovať údaje spravodajským agentúram USA v rámci programov spravodajských služieb USA na zhromažďovanie informácií“.

16

Komisia v tom istom bode 3.2 dospela k záveru, že „vzhľadom na zistené nedostatky sa systém bezpečného prístavu nemôže ďalej vykonávať súčasným spôsobom… jeho zrušenie by však nepriaznivo ovplyvnilo záujmy členských spoločností v [Únii] a v USA“. Nakoniec, tiež v bode 3.2, Komisia doplnila, že zamýšľala „začať bezodkladne diskutovať s orgánmi USA o zistených nedostatkoch“.

Oznámenie COM(2013) 847 final

17

V ten istý deň 27. novembra 2013 Komisia prijala oznámenie Komisie Európskemu parlamentu a Rade o fungovaní systému bezpečného prístavu z pohľadu občanov EÚ a spoločností usadených v EÚ [COM(2013) 847 final, ďalej len „oznámenie COM(2013) 847 final“]). Ako vyplýva z jeho bodu 1, toto oznámenie bolo založené najmä na informáciách získaných v ad hoc pracovnej skupine Európska únia – Spojené štáty a nadväzovalo na dve hodnotiace správy Komisie uverejnené v rokoch 2002 a 2004.

18

Bod 1 tohto oznámenia spresňuje, že fungovanie rozhodnutia 2000/520 „sa spolieha na záväzky a samocertifikáciu spoločností, ktoré ho dodržiavajú“ a dopĺňa, že „prihlásenie sa k tomuto systému je dobrovoľné, ale [že] pre tých, ktorí sa prihlásia, sú pravidlá povinné“.

19

Okrem toho z bodu 2.2 oznámenia COM(2013) 847 final vyplýva, že k 26. septembru 2013 bolo certifikovaných 3246 podnikov z mnohých oblastí hospodárstva a služieb. Tieto podniky poskytovali hlavne služby na vnútornom trhu Únie, osobitne v odvetví internetu, a časť z nich boli podniky Únie, ktoré mali dcérske spoločnosti v Spojených štátoch. Niektoré z týchto podnikov spracúvali údaje o svojich zamestnancoch pracujúcich v Európe, ktoré boli prenesené do tejto krajiny na účely riadenia ľudských zdrojov.

20

V tom istom bode 2.2 Komisia zdôraznila, že „akákoľvek trhlina v transparentnosti alebo [vo vykonaní] na strane USA [mala] za následok presun zodpovednosti na európske orgány pre ochranu osobných údajov a na spoločnosti, ktoré využívajú tento systém“.

21

Najmä z bodov 3 až 5 a 8 oznámenia COM(2013) 847 final vyplýva, že značné množstvo certifikovaných spoločností v praxi nedodržiavalo alebo nedodržiavalo úplne zásady bezpečného prístavu.

22

Okrem toho v bode 7 tohto oznámenia Komisia poukázala na to, že „všetky spoločnosti, ktoré sa zúčastňujú programu PRISM [rozsiahly program na zhromažďovanie spravodajských informácií] a umožňujú orgánom USA prístup k údajom uloženým a spracúvaným v USA, majú certifikát pre systém bezpečného prístavu“ a že „tým sa systém bezpečného prístavu stal jedným z kanálov, cez ktorý majú spravodajské orgány USA prístup k zhromažďovaniu osobných údajov pôvodne spracovaných v [Únii]“. V tejto súvislosti Komisia v bode 7.1 tohto oznámenia konštatovala, že „niekoľkými právnymi základmi podľa právnych predpisov USA umožňuje rozsiahle zhromažďovanie a spracúvanie osobných údajov uchovávaných alebo inak spracúvaných spoločnosťami so sídlom v USA“ a že „plošná povaha týchto programov môže viesť k tomu, že orgány USA budú mať prístup k údajom prenášaným v rámci systému bezpečného prístavu a ďalej ich spracúvať nad rámec toho, čo je nevyhnutne primerané a potrebné na ochranu národnej bezpečnosti, ako to predpokladá výnimka stanovená v rozhodnutí [2000/520]“.

23

V bode 7.2 oznámenia COM(2013) 847 final nazvanom „Obmedzenia a možnosti nápravy“ Komisia zdôraznila, že „záruky poskytované podľa právnych predpisov USA sú väčšinou k dispozícii pre občanov alebo osoby s riadnym pobytom v USA“ a že „okrem toho neexistujú žiadne príležitosti pre dotknuté osoby z [Únie] alebo USA na získanie prístupu, opravu alebo vymazanie údajov, príležitosti na administratívnu alebo súdnu nápravu, pokiaľ ide o zhromažďovanie a ďalšie spracovanie ich osobných údajov, ku ktorému dochádza v rámci programov sledovania USA“.

24

Podľa bodu 8 oznámenia COM(2013) 847 final sa medzi certifikovanými spoločnosťami nachádzali „webové spoločnosti ako Google, Facebook, Microsoft, Apple a Yahoo“, ktoré „majú v Európe stovky miliónov klientov“ a „prenášajú do USA osobné údaje na ich spracovanie“.

25

V tom istom bode 8 Komisia dospela k záveru, že „rozsiahly prístup spravodajských agentúr k údajom prenášaným do USA spoločnosťami certifikovanými v systéme bezpečného prístavu vyvoláva… závažné otázky týkajúce sa kontinuity práv Európanov na ochranu údajov pri prenose ich údajov do USA“.

Spor vo veci samej a prejudiciálne otázky

26

Pán Schrems, rakúsky štátny príslušník s bydliskom v Rakúsku, je používateľom sociálnej siete Facebook (ďalej len „Facebook“) od roku 2008.

27

Každý, kto má bydlisko na území Únie a chce používať Facebook, musí v rámci svojej registrácie uzavrieť zmluvu so spoločnosťou Facebook Ireland, dcérskou spoločnosťou Facebook Inc., ktorá má sídlo v Spojených štátoch. Osobné údaje klientov spoločnosti Facebook s bydliskom na území Únie sa v celom rozsahu alebo sčasti prenášajú na servery patriace spoločnosti Facebook Inc., ktoré sa nachádzajú na území Spojených štátov, kde sa spracúvajú.

28

Pán Schrems predložil 25. júna 2013 komisárovi sťažnosť, v ktorej od neho v podstate žiadal, aby uplatnil svoju štatutárnu právomoc a zakázal spoločnosti Facebook Ireland prenos jeho osobných údajov do Spojených štátov. Uviedol, že platné právo a prax v tejto krajine nezabezpečujú dostatočnú ochranu osobných údajov uchovávaných na ich území pred činnosťami sledovania, ktoré tam vykonávali orgány verejnej moci. Pán Schrems v tejto súvislosti odkazoval na odhalenia pána Edwarda Snowdena týkajúce sa činností informačných služieb Spojených štátov, najmä National Security Agency (ďalej len „NSA“).

29

Komisár, ktorý sa domnieval, že nemal povinnosť vyšetriť skutočnosti namietané pánom Schremsom v jeho sťažnosti, túto zamietol ako nedôvodnú. Dospel totiž k záveru, že neexistovali dôkazy, že NSA sa dostala k jeho osobným údajom. Komisár doplnil, že výhrady vznesené pánom Schremsom v jeho sťažnosti nemohli byť užitočne uplatnené, pretože všetky otázky týkajúce sa primeranosti ochrany osobných údajov v Spojených štátoch musia byť riešené v súlade s rozhodnutím 2000/520 a že v tomto rozhodnutí Komisia konštatovala, že Spojené štáty americké zabezpečujú primeranú úroveň ochrany.

30

Pán Schrems podal proti rozhodnutiu dotknutému vo veci samej žalobu na High Court (Vyšší súd). Tento súd po preskúmaní dôkazov predložených účastníkmi konania vo veci samej konštatoval, že elektronické sledovanie a zaznamenávanie osobných údajov prenášaných z Únie do Spojených štátov zodpovedalo potrebným a nevyhnutným cieľom verejného záujmu. Tento súd však doplnil, že zistenia pána Snowdena ukázali, že NSA a iné federálne úrady sa dopustili „značného prekročenia právomoci“.

31

Podľa toho istého súdu totiž občania Únie nemajú nijaké skutočné právo byť vypočutí. Dohľad nad činnosťami spravodajských služieb sa vykonáva v rámci konania, ktoré je tajné a nekontradiktórne. Ak sú už osobné údaje zaslané do Spojených štátov, NSA a ostatné federálne úrady, ako napríklad Federal Bureau of Investigation (FBI), môžu mať prístup k týmto údajom v rámci masového a nediferencovaného sledovania a zaznamenávania.

32

High Court konštatoval, že írske právo zakazuje prenos osobných údajov mimo národného územia okrem prípadov, keď dotknutá tretia krajina zaručuje primeranú úroveň ochrany súkromia a základných práv a slobôd. Význam práva na súkromie a na nedotknuteľnosť obydlia zaručených írskou Ústavou vyžaduje, aby každý zásah do týchto práv bol primeraný a v súlade s požiadavkami stanovenými zákonom.

33

Masový a nediferencovaný prístup k osobným údajom je zjavne v rozpore so zásadou proporcionality a základnými hodnotami chránenými írskou Ústavou. Aby sa zaznamenávanie elektronickej komunikácie mohlo považovať za v súlade s touto Ústavou, bolo by potrebné preukázať, že toto zaznamenávanie má cielený charakter, že sledovanie určitých osôb alebo určitých skupín osôb je objektívne odôvodnené v záujme národnej bezpečnosti alebo boja proti trestnej činnosti a že existujú primerané a overiteľné záruky. Podľa High Court ak by sa tak spor vo veci mal posúdiť výlučne podľa írskeho práva, malo by sa konštatovať, že vzhľadom na existenciu vážnej pochybnosti, pokiaľ ide o to, či Spojené štáty americké zaručujú primeranú úroveň ochrany osobných údajov, komisár mal vyšetriť skutočnosti uvedené pánom Schremsom v jeho sťažnosti a že ju nesprávne zamietol.

34

High Court však konštatuje, že táto vec sa týka vykonávania práva Únie v zmysle článku 51 Charty, takže zákonnosť rozhodnutia dotknutého vo veci samej by sa mala posúdiť z hľadiska práva Únie. Podľa tohto súdu rozhodnutie 2000/520 nespĺňa požiadavky vyplývajúce tak z článkov 7 a 8 Charty, ako aj zo zásad uvedených Súdnym dvorom v rozsudku Digital Rights Ireland a i. (C‑293/12 a C‑594/12, EU:C:2014:238). Právo na rešpektovanie súkromného života zaručené článkom 7 Charty a základnými hodnotami spoločnými pre tradície členských štátov by bolo zásadne ohrozené, ak by orgány verejnej moci mohli náhodne a všeobecne získať prístup k elektronickej komunikácii bez toho, aby museli uviesť objektívne odôvodnenie založené na dôvodoch národnej bezpečnosti alebo predchádzania trestnej činnosti, ktoré špecificky súvisia s dotknutými jednotlivcami, a to bez akejkoľvek primeranej a overiteľnej záruky.

35

High Court okrem toho uvádza, že pán Schrems v rámci svojej žaloby v skutočnosti napáda zákonnosť „systému bezpečného prístavu“ zavedeného rozhodnutím 2000/520, z ktorého vychádza rozhodnutie dotknuté vo veci samej. Preto hoci pán Schrems formálne nenapadol platnosť smernice 95/46 ani rozhodnutia 2000/520, vzniká podľa tohto súdu otázka, či vzhľadom na článok 25 ods. 6 tejto smernice bol komisár viazaný konštatovaním Európskej komisie uvedeným v tomto rozhodnutí, podľa ktorého Spojené štáty americké zabezpečujú primeranú úroveň ochrany alebo či článok 8 Charty oprávňoval komisára prípadne neuznať takéto konštatovanie.

36

Za týchto podmienok High Court rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

„1.

Je nezávislý komisár poverený uplatňovaním právnej úpravy o ochrane údajov pri posudzovaní sťažnosti, ktorá mu bola predložená a ktorá sa týka toho, že osobné údaje sa prenášajú do tretej krajiny (v tomto prípade do Spojených štátov amerických), ktorej zákony a prax podľa sťažovateľa údajne neposkytujú dotknutej osobe primeranú ochranu, absolútne viazaný konštatovaním Únie uvedeným v rozhodnutí 2000/520, ktoré znie v opačnom zmysle, a to vzhľadom na články 7, 8 a 47 Charty a bez toho, aby bol dotknutý článok 25 ods. 6 smernice 95/46?

2.

V opačnom prípade môže alebo musí [komisár] vykonať vlastné vyšetrovanie vzhľadom na vývoj skutkových okolností, ku ktorému došlo odvtedy, ako bolo rozhodnutie Komisie prvýkrát uverejnené?“

O prejudiciálnych otázkach

37

Svojimi prejudiciálnymi otázkami, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či a v akom rozsahu sa článok 25 ods. 6 smernice 95/46 v spojení s článkami 7, 8 a 47 Charty má vykladať v tom zmysle, že rozhodnutie prijaté podľa tohto ustanovenia, akým je rozhodnutie 2000/520, ktorým Komisia konštatuje, že tretia krajina zaručuje primeranú úroveň ochrany, bráni tomu, aby dozorný orgán členského štátu v zmysle článku 28 tejto smernice mohol preskúmať žiadosť osoby týkajúcu sa ochrany jej práv a slobôd pri spracovaní osobných údajov, ktoré sa jej týkajú a ktoré boli prenesené z členského štátu do tejto tretej krajiny, ak táto osoba tvrdí, že platné právo a prax v tejto krajine nezabezpečujú primeranú úroveň ochrany.

O právomociach vnútroštátnych dozorných orgánov v zmysle článku 28 smernice 95/46 v prípade rozhodnutia Komisie prijatého na základe článku 25 ods. 6 tejto smernice

38

Na úvod treba pripomenúť, že ustanovenia smernice 95/46 sa majú v rozsahu, v akom upravujú spracovanie osobných údajov, ktoré môže viesť k porušeniu základných slobôd a predovšetkým práva na rešpektovanie súkromného života, nevyhnutne vykladať s prihliadnutím na základné práva zaručené Chartou (pozri rozsudky Österreichischer Rundfunk a i., C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, bod 68; Google Spain a Google, C‑131/12, EU:C:2014:317, bod 68, ako aj Ryneš, C‑212/13, EU:C:2014:2428, bod 29).

39

Z článku 1, ako aj z odôvodnení 2 a 10 smernice 95/46 vyplýva, že jej cieľom je zabezpečiť nielen účinnú a úplnú ochranu slobôd a základných práv fyzických osôb, najmä základné právo na rešpektovanie súkromného života vo vzťahu k spracovávaniu osobných údajov, ale tiež vysokú úroveň ochrany týchto slobôd a základných práv. Význam základného práva na rešpektovanie súkromného života zaručeného článkom 7 Charty, ako aj základného práva na ochranu osobných údajov, zaručeného jej článkom 8, okrem toho zdôrazňuje judikatúra Súdneho dvora (pozri rozsudky Rijkeboer, C‑553/07, EU:C:2009:293, bod 47; Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, bod 53, ako aj Google Spain a Google, C‑131/12, EU:C:2014:317, body, 53, 66 a 74 a citovanú judikatúru).

40

Pokiaľ ide o právomoci, ktorými disponujú vnútroštátne dozorné orgány vo vzťahu k prenosom osobných údajov do tretích krajín, treba uviesť, že článok 28 ods. 1 smernice 95/46 ukladá členským štátom povinnosť zriadiť jeden alebo viac orgánov verejnej moci zodpovedných za nezávislé monitorovanie uplatňovania pravidiel Únie týkajúcich sa ochrany fyzických osôb pri spracovaní takýchto údajov. Táto požiadavka vyplýva tiež z primárneho práva Únie, najmä z článku 8 ods. 3 Charty a článku 16 ods. 2 ZFEÚ (pozri v tomto zmysle rozsudky Komisia/Rakúsko, C‑614/10, EU:C:2012:631, bod 36, a Komisia/MaďarskoC‑288/12, EU:C:2014:237, bod 47).

41

Záruka nezávislosti vnútroštátnych dozorných orgánov má zabezpečiť účinnosť a spoľahlivosť dohľadu nad dodržiavaním právnych predpisov v oblasti ochrany fyzických osôb pri spracovaní osobných údajov a musí byť vykladaná vo svetle tohto cieľa. Bola stanovená s cieľom posilniť ochranu osôb a organizácií, ktorých sa týkajú rozhodnutia týchto orgánov. Zriadenie nezávislých dozorných orgánov v členských štátoch tak predstavuje, ako sa uvádza v odôvodnení 62 smernice 95/46, základný prvok rešpektovania ochrany osôb v súvislosti so spracovaním osobných údajov (pozri rozsudky Komisia/Nemecko, C‑518/07, EU:C:2010:125, bod 25, ako aj Komisia/MaďarskoC‑288/12, EU:C:2014:237, bod 48 a citovanú judikatúru).

42

S cieľom zaručiť túto ochranu musia dozorné orgány najmä zabezpečiť spravodlivú rovnováhu medzi rešpektovaním základného práva na rešpektovanie súkromného života na jednej strane a záujmami, ktoré sleduje voľný pohyb osobných údajov na druhej strane (pozri v tomto zmysle rozsudky Komisia/Nemecko, C‑518/07, EU:C:2010:125, bod 24, a Komisia/MaďarskoC‑288/12, EU:C:2014:237, bod 51).

43

Tieto orgány disponujú na tento účel veľkým rozsahom právomocí a tieto právomoci, ktoré sú demonštratívne vymenované v článku 28 ods. 3 smernice 95/46, predstavujú nevyhnutné prostriedky na vykonávanie ich povinností, ako to zdôrazňuje odôvodnenie 63 tejto smernice. Tieto orgány majú najmä vyšetrovacie právomoci, akým je právo zbierať všetky nevyhnutné informácie pre plnenie ich kontrolných povinností, efektívne právomoci intervencie, ako je napríklad uvalenie dočasného alebo úplného zákazu na spracovanie údajov, alebo tiež právomoc obrátiť sa na súdne orgány.

44

Iste, z článku 28 ods. 1 a 6 smernice 95/46 vyplýva, že právomoci vnútroštátnych dozorných orgánov sa týkajú spracovania osobných údajov vykonaných na území členského štátu, ktorému tieto orgány podliehajú, takže nemajú právomoci na základe tohto článku 28 vo vzťahu k spracovaniu takýchto údajov vykonanému na území tretej krajiny.

45

Činnosť spočívajúca v prenose osobných údajov z členského štátu do tretej krajiny však ako taká predstavuje spracovanie osobných údajov v zmysle článku 2 písm. b) smernice 95/46 (pozri v tomto zmysle rozsudok Parlament/Rada a Komisia, C‑317/04 a C‑318/04, EU:C:2006:346, bod 56) vykonané na území členského štátu. Toto ustanovenie totiž definuje „spracovanie osobných údajov“ ako „akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie“, a cituje ako príklady „odhalenie prenosom, šírenie alebo sprístupnenie iným spôsobom“.

46

Odôvodnenie 60 smernice 95/46 spresňuje, že transfery osobných údajov do tretích krajín možno vykonať iba v úplnom súlade s ustanoveniami prijatými členskými štátmi podľa tejto smernice. V tejto súvislosti kapitola IV tejto smernice, v ktorej sa nachádzajú jej články 25 a 26, zaviedla režim, ktorého cieľom je zaručiť dohľad členských štátov nad prenosmi osobných údajov do tretích krajín. Tento režim dopĺňa všeobecný režim zavedený v kapitole II tej istej smernice upravujúci všeobecné nariadenia týkajúce sa zákonnosti spracovania osobných údajov (pozri v tomto zmysle rozsudok Lindqvist, C‑101/01, EU:C:2003:596, bod 63).

47

Keďže vnútroštátne dozorné orgány sú v súlade s článkom 8 ods. 3 Charty a s článkom 28 smernice 95/46 poverené kontrolou dodržiavania pravidiel Únie o ochrane fyzických osôb pri spracovaní osobných údajov, každý z nich má právomoc overiť, či prenos osobných údajov z členského štátu, ktorému podlieha, do tretej krajiny spĺňa požiadavky stanovené smernicou 95/46.

48

Smernica 95/46 vo svojom odôvodnení 56 stanovuje, že prenosy osobných údajov z členských štátov do tretích krajín sú nevyhnutné na expanziu medzinárodného obchodu, vo svojom článku 25 ods. 1 však upravuje zásadu, že takéto prenosy sa môžu uskutočniť iba vtedy, ak tieto tretie krajiny zaisťujú primeranú úroveň ochrany.

49

Okrem toho odôvodnenie 57 uvedenej smernice spresňuje, že transfery osobných údajov do tretej krajiny, ktorá nezaisťuje primeranú úroveň ochrany, sa musia zakázať.

50

S cieľom kontrolovať prenosy osobných údajov do tretích krajín v závislosti od úrovne ochrany priznanej týmto údajom v každej z týchto krajín článok 25 smernice 95/46 ukladá členským štátom a Komisii sériu povinností. Z tohto článku najmä vyplýva, že ku konštatovaniu, že tretia krajina zaisťuje alebo nezaisťuje primeranú úroveň ochrany, môžu, ako uviedol generálny advokát v bode 86 svojich návrhov, dospieť buď členské štáty, alebo k nemu môže dospieť Komisia.

51

Komisia môže na základe článku 25 ods. 6 smernice 95/46 prijať rozhodnutie, ktorým sa konštatuje, že tretia krajina zaisťuje primeranú úroveň ochrany. Adresátom takéhoto rozhodnutia sú v súlade s druhým pododsekom tohto ustanovenia členské štáty, ktoré musia prijať opatrenia potrebné na dosiahnutie súladu s týmto rozhodnutím. Podľa článku 288 štvrtého odseku ZFEÚ je záväzné pre všetky členské štáty, ktoré sú jeho adresátmi, a teda aj pre všetky ich orgány (pozri v tomto zmysle rozsudky Albako Margarinefabrik, 249/85, EU:C:1987:245, bod 17, a Mediaset, C‑69/13, EU:C:2014:71, bod 23) v rozsahu, v akom má za následok, že oprávňuje prenosy osobných údajov z členských štátov do tretej krajiny, ktorá je ním dotknutá.

52

Preto pokiaľ rozhodnutie Komisie nebolo vyhlásené za neplatné Súdnym dvorom, členské štáty a ich orgány, medzi ktoré patria ich nezávislé dozorné orgány, nepochybne nemôžu prijať opatrenia v rozpore s týmto rozhodnutím, akým sú akty, ktorými sa záväzne konštatuje, že tretia krajina dotknutá uvedeným rozhodnutím nezaisťuje primeranú úroveň ochrany. Akty inštitúcií Únie totiž v zásade požívajú prezumpciu zákonnosti a majú z tohto dôvodu právne účinky dovtedy, kým neboli derogované, zrušené v konaní o žalobe o neplatnosť alebo vyhlásené za neplatné v nadväznosti na návrh na začatie prejudiciálneho konania alebo námietku nezákonnosti (rozsudok Komisia/Grécko, C‑475/01, EU:C:2004:585, bod 18 a citovaná judikatúra).

53

Rozhodnutie Komisie prijaté podľa článku 25 ods. 6 smernice 95/46, akým je rozhodnutie 2000/520, však nemôže brániť osobám, ktorých osobné údaje boli alebo by mohli byť prenesené do tretej krajiny, podať na vnútroštátne dozorné orgány žiadosť v zmysle článku 28 ods. 4 tejto smernice týkajúcu sa ochrany ich práv a slobôd pri spracovaní týchto údajov. Rovnako rozhodnutie tejto povahy nemôže, ako uviedol generálny advokát najmä v bodoch 61, 93 a 116 svojich návrhov, vylúčiť ani obmedziť právomoci výslovne priznané vnútroštátnym dozorným orgánom podľa článku 8 ods. 3 Charty, ako aj článku 28 uvedenej smernice.

54

Ani článok 8 ods. 3 Charty, ani článok 28 smernice 95/46 nevylučujú z právomoci vnútroštátnych dozorných orgánov kontrolu prenosov osobných údajov do tretích krajín, ktoré boli predmetom rozhodnutia Komisie podľa článku 25 ods. 6 tejto smernice.

55

Osobitne článok 28 ods. 4 prvý pododsek smernice 95/46, ktorý stanovuje, že vnútroštátne dozorné orgány si „vypočujú nároky uplatňované každou osobou… týkajúce sa ochrany [jej] práv a slobôd vzhľadom na spracovanie osobných údajov“, neupravuje nijakú výnimku v tomto ohľade za predpokladu, že Komisia by prijala rozhodnutie podľa článku 25 ods. 6 tejto smernice.

56

Okrem toho by bolo v rozpore so systémom zavedeným smernicou 95/46, ako aj s účelom jej článkov 25 a 28, ak by rozhodnutie Komisie prijaté podľa článku 25 ods. 6 uvedenej smernice bránilo vnútroštátnemu dozornému orgánu preskúmať žiadosť osoby týkajúcu sa ochrany jej práv a slobôd pri spracovaní jej osobných údajov, ktoré boli alebo by mohli byť prenesené z členského štátu do tretej krajiny dotknutej týmto rozhodnutím.

57

Naopak článok 28 smernice 95/46 sa svojou povahou uplatňuje na každé spracovanie osobných údajov. Tak aj v prípade existencie rozhodnutia Komisie prijatého podľa článku 25 ods. 6 tejto smernice vnútroštátne dozorné orgány, na ktoré sa obrátila osoba so žiadosťou týkajúcou sa ochrany jej práv a slobôd pri spracovaní osobných údajov, ktoré sa jej týkajú, musia mať možnosť nezávisle preskúmať, či prenos týchto údajov spĺňa požiadavky stanovené uvedenou smernicou.

58

Ak by to bolo inak, osoby, ktorých osobné údaje boli alebo by mohli byť prenesené do dotknutej tretej krajiny, by boli zbavené práva zaručeného článkom 8 ods. 1 a 3 Charty podať na vnútroštátne dozorné orgány žiadosť na účely ochrany ich základných práv (pozri analogicky rozsudok Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, bod 68).

59

Žiadosť v zmysle článku 28 ods. 4 smernice 95/46, ktorou osoba, ktorej osobné údaje boli alebo by mohli byť prenesené do tretej krajiny, uvádza, ako vo veci samej, že právo a prax tejto krajiny nezaisťujú, napriek tomu, čo konštatovala Komisia v rozhodnutí prijatom podľa článku 25 ods. 6 tejto smernice, primeranú úroveň ochrany, treba vnímať v podstate ako týkajúcu sa zlučiteľnosti tohto rozhodnutia s ochranou súkromia a slobôd a základných práv osôb.

60

V tejto súvislosti treba pripomenúť ustálenú judikatúru Súdneho dvora, podľa ktorej je Únia právnou úniou, v ktorej jej inštitúcie podliehajú preskúmaniu súladu všetkých ich aktov najmä so Zmluvami, všeobecnými zásadami práva, ako aj základnými právami (pozri v tomto zmysle rozsudky Komisia a i./Kadi, C‑584/10 P, C‑593/10 P a C‑595/10 P, EU:C:2013:518, bod 66; Inuit Tapiriit Kanatami a i./Parlament a Rada, C‑583/11 P, EU:C:2013:625, bod 91, ako aj Telefónica/Komisia, C‑274/12 P, EU:C:2013:852, bod 56). Rozhodnutia Komisie prijaté podľa článku 25 ods. 6 smernice 95/46 teda nemôžu tejto kontrole uniknúť.

61

Rovnako platí, že Súdny dvor je výlučne príslušný na konštatovanie neplatnosti aktu Únie, akým je rozhodnutie Komisie prijaté podľa článku 25 ods. 6 smernice 95/46, pričom výlučná povaha tejto právomoci má za cieľ zaručiť právnu istotu zabezpečením jednotného uplatnenia práva Únie (pozri rozsudky Melki a Abdeli, C‑188/10 a C‑189/10, EU:C:2010:363, bod 54, ako aj CIVAD, C‑533/10, EU:C:2012:347, bod 40).

62

Hoci vnútroštátne súdy majú nepochybne právo preskúmať platnosť aktu Únie, akým je rozhodnutie Komisie prijaté podľa článku 25 ods. 6 smernice 95/46, nemajú napriek tomu právomoc samy určiť neplatnosť takéhoto aktu (pozri v tomto zmysle rozsudky Foto‑Frost, 314/85, EU:C:1987:452, body 1520, ako aj IATA a ELFAA, C‑344/04, EU:C:2006:10, bod 27). A fortiori vnútroštátne dozorné orgány pri skúmaní žiadosti v zmysle článku 28 ods. 4 tejto smernice týkajúcej sa zlučiteľnosti rozhodnutia Komisie prijatého podľa článku 25 ods. 6 uvedenej smernice s ochranou súkromia a slobôd a základných práv osôb nemajú právo samy určiť neplatnosť takéhoto rozhodnutia.

63

Vzhľadom na tieto zistenia ak osoba, ktorej osobné údaje boli alebo by mohli byť prenesené do tretej krajiny, ktorá je predmetom rozhodnutia Komisie podľa článku 25 ods. 6 smernice 95/46, podá na vnútroštátny dozorný orgán žiadosť týkajúcu sa ochrany jej práv a slobôd pri spracovaní týchto údajov a spochybňuje v rámci tejto žiadosti, ako je vo veci samej, zlučiteľnosť tohto rozhodnutia s ochranou súkromia a slobôd a základných práv osôb, je úlohou tohto orgánu preskúmať túto žiadosť so všetkou náležitou starostlivosťou, ktorá sa vyžaduje.

64

Za predpokladu, že uvedený orgán dospeje k záveru, že skutočnosti uvedené na podporu takejto žiadosti sú nedôvodné a túto žiadosť z tohto dôvodu odmietne, osoba, ktorá ju podala, musí mať, ako vyplýva z článku 28 ods. 3 druhého pododseku smernice 95/46 v spojení s článkom 47 Charty, možnosť podať súdne prostriedky nápravy, ktoré jej umožnia spochybniť takéto rozhodnutie, ktoré jej spôsobuje ujmu, na vnútroštátnych súdoch. Vzhľadom na judikatúru citovanú v bodoch 61 a 62 tohto rozsudku sú tieto súdy povinné prerušiť konanie a predložiť Súdnemu dvoru návrh na začatie prejudiciálneho konania o posúdenie platnosti, pokiaľ sa domnievajú, že jeden alebo viaceré dôvody neplatnosti uvedené účastníkmi konania, prípadne vznesené z úradnej moci, sú dôvodné (pozri v tomto zmysle rozsudok T & L Sugars a Sidul Açúcares/Komisia, C‑456/13 P, EU:C:2015:284, bod 48 a citovanú judikatúru).

65

Za opačného predpokladu, keď uvedený orgán považuje výhrady vznesené osobou, ktorá podala žiadosť týkajúcu sa ochrany jej práv a slobôd pri spracovaní jej osobných údajov, za dôvodné, ten istý orgán musí v súlade s článkom 28 ods. 3 prvým pododsekom treťou zarážkou smernice 95/46 v spojení najmä s článkom 8 ods. 3 Charty mať možnosť obrátiť sa na súdne orgány. V tomto ohľade je úlohou vnútroštátneho zákonodarcu stanoviť prostriedky nápravy umožňujúce dotknutému vnútroštátnemu dozornému orgánu uplatniť výhrady, ktoré považuje za dôvodné, na vnútroštátnych súdoch, aby tieto podali, ak majú rovnaké pochybnosti ako tento orgán, pokiaľ ide o platnosť rozhodnutia Komisie, návrh na začatie prejudiciálneho konania na účely preskúmania platnosti tohto rozhodnutia.

66

Vzhľadom na vyššie uvedené úvahy treba odpovedať na položené otázky tak, že článok 25 ods. 6 smernice 95/46 v spojení s článkami 7, 8 a 47 Charty sa má vykladať v tom zmysle, že rozhodnutie prijaté podľa tohto ustanovenia, akým je rozhodnutie 2000/520, ktorým Komisia konštatuje, že tretia krajina zaisťuje primeranú úroveň ochrany, nebráni tomu, aby dozorný orgán členského štátu v zmysle článku 28 tejto smernice preskúmal žiadosť osoby v súvislosti s ochranou jej práv a slobôd pri spracovaní osobných údajov, ktoré sa jej týkajú a ktoré boli prenesené z členského štátu do tejto tretej krajiny, ak táto osoba tvrdí, že platné právo a prax v tejto krajine nezaisťujú primeranú úroveň ochrany.

O platnosti rozhodnutia 2000/520

67

Ako vyplýva z vysvetlení vnútroštátneho súdu týkajúcich sa položených otázok, pán Schrems v konaní vo veci samej tvrdí, že právo a prax Spojených štátov nezaisťujú primeranú úroveň ochrany v zmysle článku 25 smernice 95/46. Ako uviedol generálny advokát v bodoch 123 a 124 svojich návrhov, pán Schrems má obavy, s ktorými tento súd zrejme v podstate súhlasí, pokiaľ ide o platnosť rozhodnutia 2000/520. Za týchto okolností vzhľadom na zistenia v bodoch 60 až 63 tohto rozsudku a s cieľom poskytnúť úplnú odpoveď tomuto súdu treba preskúmať, či je toto rozhodnutie v súlade s požiadavkami vyplývajúcimi z tejto smernice v spojení s Chartou.

O požiadavkách vyplývajúcich z článku 25 ods. 6 smernice 95/46

68

Ako sa už uviedlo v bodoch 48 a 49 tohto rozsudku, článok 25 ods. 1 smernice 95/46 zakazuje prenosy osobných údajov do tretej krajiny, ktorá nezaisťuje primeranú úroveň ochrany.

69

Na účely kontroly takýchto prenosov však článok 25 ods. 6 prvý pododsek tejto smernice stanovuje, že Komisia „môže konštatovať… že tretia krajina zaisťuje adekvátnu úroveň ochrany v rámci znenia odseku 2 tohto článku, z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala…, na ochranu súkromného života a slobôd a základných práv osôb“.

70

Iste, ani článok 25 ods. 2 smernice 95/46, ani nijaké iné jej ustanovenie neobsahujú definíciu pojmu „primeraná úroveň ochrany“. Osobitne článok 25 ods. 2 tejto smernice iba uvádza, že adekvátnosť úrovne ochrany, ktorú poskytuje tretia krajina, „sa hodnotí vzhľadom na všetky okolnosti týkajúce sa operácie prenosu údajov alebo komplexu operácií prenosu údajov“ a demonštratívne vymenúva okolnosti, ktoré treba zohľadniť pri tomto posúdení.

71

Napriek tomu na jednej strane, ako vyplýva zo samotných ustanovení článku 25 ods. 6 smernice 95/46, toto ustanovenie vyžaduje, aby tretia krajina „zaistila“ adekvátnu úroveň ochrany z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd. Na druhej strane tiež podľa tohto ustanovenia sa adekvátnosť ochrany zaistenej treťou krajinou posudzuje s prihliadnutím „na ochranu súkromného života a slobôd a základných práv osôb“.

72

Článok 25 ods. 6 smernice 95/46 tak vykonáva výslovný záväzok ochrany osobných údajov, stanovený v článku 8 ods. 1 Charty, a má za cieľ zabezpečiť, ako uvádza generálny advokát v bode 139 svojich návrhov, nepretržitosť vysokej úrovne tejto ochrany v prípade prenosu osobných údajov do tretej krajiny.

73

Termín „adekvátny“ nachádzajúci sa v článku 25 ods. 6 smernice 95/46 v sebe nepochybne zahŕňa, že nemožno požadovať, aby tretia krajina zaisťovala rovnakú úroveň ochrany ako tú, ktorú zaisťuje právny poriadok Únie. Ako uviedol generálny advokát v bode 141 svojich návrhov, výraz „primeraná úroveň ochrany“ však treba chápať v tom zmysle, že vyžaduje, aby táto tretia krajina skutočne zaistila z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, úroveň ochrany slobôd a základných práv, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v rámci Únie podľa smernice 95/46 v spojení s Chartou. Ak by totiž takáto požiadavka chýbala, cieľ uvedený v predchádzajúcom bode tohto rozsudku by nebol dodržaný. Okrem toho vysokú úroveň ochrany zaručenú smernicou 95/46 v spojení s Chartou by bolo možné jednoducho obísť prenosmi osobných údajov z Únie do tretích krajín na účely ich spracovania v týchto krajinách.

74

Z výslovného znenia článku 25 ods. 6 smernice 95/46 vyplýva, že je to právny poriadok tretej krajiny dotknutej rozhodnutím Komisie, ktorý musí zaručiť primeranú úroveň ochrany. Aj keď prostriedky, ktoré v tomto ohľade použije táto tretia krajina na zabezpečenie takejto úrovne ochrany, môžu byť rozdielne od tých, ktoré sa zaviedli v rámci Únie s cieľom zabezpečiť dodržanie požiadaviek vyplývajúcich z tejto smernice v spojení s Chartou, tieto prostriedky musia byť v praxi efektívne s cieľom zaručiť ochranu, ktorá je v podstate rovnocenná úrovni zaručenej v rámci Únie.

75

Za týchto podmienok pri skúmaní úrovne ochrany ponúkanej treťou krajinou musí Komisia posúdiť obsah pravidiel uplatniteľných v tejto krajine, ktoré vyplývajú z vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, ako aj prax smerujúcu k zabezpečeniu dodržiavania týchto pravidiel, pričom táto inštitúcia musí v súlade s článkom 25 ods. 2 smernice 95/46 zohľadniť všetky okolnosti týkajúce sa prenosu osobných údajov do tretej krajiny.

76

Rovnako vzhľadom na skutočnosť, že úroveň ochrany zaručená treťou krajinou sa môže vyvíjať, je úlohou Komisie po prijatí rozhodnutia podľa článku 25 ods. 6 smernice 95/46 pravidelne preskúmať, či zistenie týkajúce sa primeranej úrovne ochrany zaručenej dotknutou treťou krajinou je stále skutkovo a právne odôvodnené. Takéto overenie je v každom prípade potrebné, ak z indícií vyplývajú pochybnosti v tomto ohľade.

77

Okrem toho, ako uviedol generálny advokát v bodoch 134 a 135 svojich návrhov, pri skúmaní platnosti rozhodnutia Komisie prijatého podľa článku 25 ods. 6 smernice 95/46 treba tiež zohľadniť okolnosti, ku ktorým došlo po prijatí tohto rozhodnutia.

78

V tomto ohľade treba konštatovať, že vzhľadom na dôležitú úlohu, ktorú na jednej strane zohráva ochrana osobných údajov so zreteľom na základné právo rešpektovania súkromného života a na druhej strane významné množstvo osôb, ktorých základné práva môžu byť porušené v prípade prenosu osobných údajov do tretej krajiny, ktorá nezaisťuje primeranú úroveň ochrany, je voľná úvaha Komisie, pokiaľ ide o úroveň ochrany zaistenú treťou krajinou, obmedzená, takže treba pristúpiť k prísnemu preskúmaniu požiadaviek vyplývajúcich z článku 25 smernice 95/46 v spojení s Chartou (pozri analogicky rozsudok Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, body 4748).

O článku 1 rozhodnutia 2000/520

79

Komisia v článku 1 ods. 1 rozhodnutia 2000/520 uviedla, že zásady uvedené v jeho prílohe I, vykonávané v súlade s usmernením vyplývajúcim z FAQ, ako sú uvedené v prílohe II k tomuto rozhodnutiu, zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných z Únie do organizácií so sídlom v Spojených štátoch. Z tohto ustanovenia vyplýva, že tak tieto zásady, ako aj tieto FAQ boli uverejnené Ministerstvom obchodu USA.

80

Pristúpenie organizácie k zásadám bezpečného prístavu sa uskutočňuje na základe systému samocertifikácie, ako vyplýva z článku 1 ods. 2 a 3 tohto rozhodnutia v spojení s FAQ 6 nachádzajúcou sa v prílohe II uvedeného rozhodnutia.

81

Aj keď využitie systému samocertifikácie treťou krajinou nie je samo osebe v rozpore s požiadavkou uvedenou v článku 25 ods. 6 smernice 95/46, podľa ktorej tretia krajina musí zaistiť primeranú úroveň ochrany „z dôvodu vnútroštátneho práva alebo medzinárodných dohôd“ tejto krajiny, dôveryhodnosť takéhoto systému vzhľadom na túto požiadavku spočíva najmä na zavedení efektívnych mechanizmov odhalenia a dozoru, ktoré umožnia v praxi identifikovať a potrestať prípadné porušenia pravidiel zaisťujúcich ochranu základných práv, najmä práva na rešpektovanie súkromného života, ako aj práva na ochranu osobných údajov.

82

V predmetnej veci sú zásady bezpečného prístavu podľa prílohy I druhého odseku rozhodnutia 2000/520 „určené výlučne na to, aby ich využívali organizácie v USA, ktoré získavajú osobné údaje z Európskej únie a ktoré chcú splniť kritériá bezpečného prístavu a z nich vyplývajúci predpoklad ‚primeranej úrovne‘ ochrany osobných údajov“. Tieto zásady sú preto výlučne uplatniteľné na americké samocertifikované organizácie, ktoré získali osobné údaje z Únie bez toho, aby sa vyžadovalo, že americké orgány verejnej moci budú podliehať týmto zásadám.

83

Okrem toho podľa článku 2 rozhodnutia 2000/520 sa toto rozhodnutie „týka len primeranosti ochrany poskytovanej v Spojených štátoch podľa zásad [systému bezpečného prístavu] vykonávaných v súlade s FAQ s cieľom splnenia požiadaviek článku 25 ods. 1 smernice [95/46]“, pričom neobsahuje dostatočné zistenia, pokiaľ ide o opatrenia, ktorými Spojené štáty americké zaisťujú primeranú úroveň ochrany v zmysle článku 25 ods. 6 tejto smernice z dôvodu svojho vnútroštátneho práva alebo svojich medzinárodných dohôd, ktoré podpísali.

84

Navyše podľa prílohy I štvrtého odseku rozhodnutia 2000/520 dodržiavanie týchto zásad môže byť obmedzené najmä požiadavkami „národnej bezpečnosti, verejného záujmu alebo vymáhania práva [Spojených štátov]“, ako aj „zákonmi, nariadeniami vlády alebo precedenčným právom, ktoré ustanovujú protichodné povinnosti alebo výslovné oprávnenia, za predpokladu, že pri vykonávaní každého takéhoto oprávnenia môže organizácia preukázať, že jej nedodržiavanie zásad je obmedzené do tej miery, ktorá je potrebná na splnenie vyššie stojacich legitímnych záujmov vyplývajúcich z takéhoto oprávnenia“.

85

V tejto súvislosti v časti B prílohy IV rozhodnutie 2000/520 zdôrazňuje, pokiaľ ide o obmedzenia, ktorým podlieha dodržiavanie zásady bezpečného prístavu, že „je zrejmé, že tam, kde právo USA ukladá konfliktné povinnosti, organizácie v USA, či už sú účastníkmi systému bezpečného prístavu alebo nie, musia dodržiavať toto právo“.

86

Rozhodnutie 2000/520 tak priznáva prednosť „požiadavkám národnej bezpečnosti, verejného záujmu alebo vymáhania práva Spojených štátov“ pred zásadami bezpečného prístavu, teda prednosť, podľa ktorej americké samocertifikované organizácie, ktoré získali osobné údaje z Únie, sú povinné bez akéhokoľvek obmedzenia neuplatniť tieto zásady, ak sú v rozpore s týmito požiadavkami, a teda s nimi nezlučiteľné.

87

Vzhľadom na všeobecnú povahu odchýlky uvedenej v prílohe I štvrtom odseku rozhodnutia 2000/520 tak táto odchýlka umožňuje zasahovanie založené na požiadavkách týkajúcich sa národnej bezpečnosti, verejného záujmu alebo vnútroštátneho práva Spojených štátov, a to do základných práv osôb, ktorých osobné údaje sú alebo by mohli byť prenesené z Únie do Spojených štátov. V tomto ohľade na účely zistenia existencie zásahu do základného práva na rešpektovanie súkromného života nezáleží na tom, či majú dotknuté informácie týkajúce sa súkromného života citlivú povahu alebo či pre dotknuté osoby z dôvodu tohto zásahu vyplynuli prípadné nepriaznivé následky (rozsudok Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, bod 33 a citovaná judikatúra).

88

Okrem toho rozhodnutie 2000/520 neobsahuje nijaké ustanovenie, čo sa týka existencie pravidiel štátnej povahy v Spojených štátoch, ktorých cieľom by bolo obmedzenie prípadných zásahov do základných práv osôb, ktorých údaje sú prenesené z Únie do Spojených štátov, teda zásady, ktoré by subjekty verejnej moci tejto krajiny boli oprávnené uskutočniť v rámci sledovania legitímnych cieľov, akým je napríklad národná bezpečnosť.

89

K tomu treba doplniť, že rozhodnutie 2000/520 neobsahuje ustanovenia o existencii účinnej právnej ochrany pred zásahmi tohto druhu. Ako uviedol generálny advokát v bodoch 204 až 206 svojich návrhov, mechanizmy súkromnej arbitráže a konania na Federálnej obchodnej komisii, ktorej právomoci opísané najmä v FAQ 11 nachádzajúcej sa v prílohe II tohto rozhodnutia sú obmedzené na spory obchodnej povahy, sa týkajú dodržiavania zásad bezpečného prístavu americkými podnikmi a nemôžu byť vykonané v rámci sporov týkajúcich sa zákonnosti zásahov do základných práv vyplývajúcich z opatrení štátnej povahy.

90

Okrem toho vyššie uvedenú analýzu rozhodnutia 2000/520 podporuje posúdenie, ktoré uskutočnila samotná Komisia, pokiaľ ide o situáciu vyplývajúcu z vykonania tohto rozhodnutia. Osobitne v bodoch 2 a 3.2 oznámenia COM(2013) 846 final, ako aj v bodoch 7.1, 7.2 a 8 oznámenia COM(2013) 847 final, ktorých znenie je uvedené v bodoch 13 až 16, ako aj v bodoch 22, 23 a 25 tohto rozsudku, totiž táto inštitúcia konštatovala, že americké orgány mali prístup k osobným údajom preneseným z členských štátov do Spojených štátov a mohli ich spracovať spôsobom nezlučiteľným najmä s účelom ich prenosu a nad rámec toho, čo bolo prísne nevyhnutné a primerané vzhľadom na národnú bezpečnosť. Komisia rovnako konštatovala, že pre dotknuté osoby neexistovali správne alebo súdne prostriedky nápravy umožňujúce najmä prístup k údajom, ktoré sa ich týkajú, a prípadne dosiahnuť ich opravu alebo ich vymazanie.

91

Pokiaľ ide o úroveň ochrany slobôd a základných práv zaručenú v rámci Únie, jej právna úprava obsahujúca zásah do základných práv zaručených článkami 7 a 8 Charty musí podľa ustálenej judikatúry Súdneho dvora stanoviť jasné a presné pravidlá upravujúce rozsah a uplatnenie opatrenia a stanovujúce minimálne požiadavky spôsobom, aby osoby, ktorých osobné údaje boli dotknuté, mali dostatočné záruky, ktoré umožnia účinne chrániť ich údaje pred rizikami zneužitia, ako aj pred akýmkoľvek nezákonným prístupom a akýmkoľvek nezákonným použitím týchto údajov. Nevyhnutnosť disponovať takými zárukami je o to dôležitejšia v prípade, keď sú osobné údaje spracovávané automaticky a keď existuje značné riziko nezákonného prístupu k týmto údajom (rozsudok Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, body 5455, ako aj citovaná judikatúra).

92

Okrem toho treba najmä uviesť, že ochrana základného práva na rešpektovanie súkromného života na úrovni Únie vyžaduje, aby výnimky a obmedzenia v súvislosti s ochranou osobných údajov nepôsobili nad rámec toho, čo je prísne nevyhnutné (rozsudok Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, bod 52 a citovaná judikatúra).

93

Na prísnu nevyhnutnosť tak nie je obmedzená právna úprava, ktorá všeobecne oprávňuje uchovávanie všetkých osobných údajov každej osoby, ktorej osobné údaje boli prenesené z Únie do Spojených štátov bez toho, aby stanovovala akékoľvek rozlíšenie, obmedzenie alebo výnimku na základe sledovaného cieľa, a bez toho, aby sa stanovilo objektívne kritérium umožňujúce vymedziť prístup orgánov verejnej moci k údajom a ich neskoršie použitie na účely, ktoré sú presné, prísne obmedzené a spôsobilé odôvodniť zásah, ktorý spôsobuje tak prístup, ako aj používanie týchto údajov [pozri v tomto zmysle, pokiaľ ide o smernicu Európskeho parlamentu a Rady 2006/24/ES z 15. marca 2006 o uchovávaní údajov vytvorených alebo spracovaných v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb alebo verejných komunikačných sietí a o zmene a doplnení smernice 2002/58/ES (Ú. v. EÚ L 105, s. 54), rozsudok Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, body 5761].

94

Konkrétne, právnu úpravu umožňujúcu orgánom verejnej moci všeobecný prístup k obsahu elektronických komunikácií treba považovať za právnu úpravu, ktorá zasahuje do podstaty obsahu základného práva na rešpektovanie súkromného života, ako je zaručené článkom 7 Charty (pozri v tomto zmysle rozsudok Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, bod 39).

95

Rovnako právna úprava, ktorá neupravuje nijakú možnosť osoby podliehajúcej súdnej právomoci uplatniť právne prostriedky nápravy, aby mala prístup k osobným údajom, ktoré sa jej týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov, nerešpektuje podstatu obsahu základného práva na účinnú súdnu ochranu, ako je upravené článkom 47 Charty. Článok 47 prvý odsek Charty totiž vyžaduje, aby každý, koho práva a slobody zaručené právom Únie boli porušené, mal za podmienok ustanovených v tomto článku právo na účinný prostriedok nápravy pred súdom. V tejto súvislosti samotná existencia účinného súdneho preskúmavania na účely dodržania ustanovení práva Únie je súčasťou existencie právneho štátu (pozri v tomto zmysle rozsudky Les Verts/Parlament, 294/83, EU:C:1986:166, bod 23; Johnston, 222/84, EU:C:1986:206, body 1819; Heylens a i., 222/86, EU:C:1987:442, bod 14, ako aj UGT‑Rioja a i., C‑428/06 až C‑434/06, EU:C:2008:488, bod 80).

96

Ako sa konštatovalo najmä v bodoch 71, 73 a 74 tohto rozsudku, prijatie rozhodnutia podľa článku 25 ods. 6 smernice 95/46 Komisiou vyžaduje riadne odôvodnené konštatovanie tejto inštitúcie, že dotknutá tretia krajina skutočne zaisťuje z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, úroveň ochrany základných práv, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v právnom poriadku Únie, ako vyplýva najmä z predchádzajúcich bodov tohto rozsudku.

97

Treba však uviesť, že Komisia v rozhodnutí 2000/520 neuviedla, že Spojené štáty americké skutočne „zaisťujú“ primeranú úroveň ochrany z dôvodu svojho vnútroštátneho práva alebo svojich medzinárodných dohôd, ktoré podpísali.

98

V dôsledku toho a bez toho, aby bolo potrebné preskúmať zásady bezpečného prístavu, pokiaľ ide o ich obsah, treba dospieť k záveru, že článok 1 tohto rozhodnutia je v rozpore s požiadavkami stanovenými v článku 25 ods. 6 smernice 95/46 v spojení s Chartou a je preto neplatný.

O článku 3 rozhodnutia 2000/520

99

Z úvah vysvetlených v bodoch 53, 57 a 63 tohto rozsudku vyplýva, že vzhľadom na článok 28 smernice 95/46 v spojení najmä s článkom 8 Charty vnútroštátne dozorné orgány musia mať možnosť nezávisle preskúmať každú žiadosť týkajúcu sa ochrany práv a slobôd osoby pri spracovaní osobných údajov, ktoré sa jej týkajú. Platí to osobitne vtedy, ak v rámci takejto žiadosti uvedená osoba vznesie pochybnosti, pokiaľ ide o zlučiteľnosť rozhodnutia Komisie prijatého podľa článku 25 ods. 6 tejto smernice s ochranou súkromia a slobôd a základných práv osôb.

100

Článok 3 ods. 1 prvý pododsek rozhodnutia 2000/520 napriek tomu stanovuje špeciálnu právnu úpravu, pokiaľ ide o právomoci, ktorými disponujú vnútroštátne dozorné orgány v súvislosti s konštatovaním Komisie vo veci primeranej úrovne ochrany v zmysle článku 25 smernice 95/46.

101

Podľa tohto ustanovenia tieto orgány môžu „bez toho, aby tým boli dotknuté ich právomoci prijímať opatrenia na zabezpečenie súladu s vnútroštátnymi právnymi normami prijatými podľa ustanovení iných ako článok 25 smernice [95/46]… vykonávať svoje existujúce právomoci týkajúce sa pozastavenia tokov údajov do organizácie, ktorá osvedčila svoje dodržiavanie zásad [podľa rozhodnutia 2000/520]“ za reštriktívnych podmienok, ktoré stanovujú vyšší prah intervencie. Aj keď toto ustanovenie nezasahuje do právomocí uvedených orgánov prijať opatrenia, ktoré majú zabezpečiť dodržiavanie vnútroštátnych ustanovení prijatých podľa tejto smernice, vylučuje naopak možnosť uvedených orgánov prijať opatrenia smerujúce k zabezpečeniu dodržiavania článku 25 tej istej smernice.

102

Článok 3 ods. 1 prvý pododsek rozhodnutia 2000/520 treba preto chápať tak, že zbavuje vnútroštátne dozorné orgány právomocí, ktoré im vyplývajú z článku 28 smernice 95/46 v prípade, keď osoba uvedie v rámci žiadosti podľa tohto ustanovenia skutočnosti spôsobilé spochybniť zlučiteľnosť rozhodnutia Komisie, ktoré na základe článku 25 ods. 6 tejto smernice konštatovalo, že tretia krajina zaisťuje primeranú úroveň ochrany, s ochranou súkromného života a slobôd a základných práv osôb.

103

Vykonávacia právomoc priznaná Komisii normotvorcom Únie v článku 25 ods. 6 smernice 95/46 však nepriznáva tejto inštitúcii právomoc obmedziť právomoci vnútroštátnych dozorných orgánov uvedené v predchádzajúcom bode tohto rozsudku.

104

Za týchto podmienok treba konštatovať, že prijatím článku 3 rozhodnutia 2000/520 Komisia prekročila právomoc, ktorá jej bola priznaná v článku 25 ods. 6 smernice 95/46 v spojení s Chartou, a že z tohto dôvodu je tento článok neplatný.

105

Vzhľadom na to, že články 1 a 3 rozhodnutia 2000/520 sú neoddeliteľné od článkov 2 a 4, ako aj od jeho príloh, ich neplatnosť má za následok neplatnosť celého rozhodnutia.

106

Vzhľadom na vyššie uvedené úvahy treba dospieť k záveru, že rozhodnutie 2000/520 je neplatné.

O trovách

107

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

 

Z týchto dôvodov Súdny dvor (veľká komora) rozhodol takto:

 

1.

Článok 25 ods. 6 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, zmenenej a doplnenej nariadením (ES) č. 1882/2003 Európskeho parlamentu a Rady z 29. septembra 2003, v spojení s článkami 7, 8 a 47 Charty základných práv Európskej únie sa má vykladať v tom zmysle, že rozhodnutie prijaté podľa tohto ustanovenia, akým je rozhodnutie Komisie 2000/520/ES z 26. júla 2000 v súlade so smernicou 95/46 o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu Spojených štátov amerických, ktorým Európska komisia konštatuje, že tretia krajina zaisťuje primeranú úroveň ochrany, nebráni tomu, aby dozorný orgán členského štátu v zmysle článku 28 tejto smernice v znení zmien a doplnení preskúmal žiadosť osoby v súvislosti s ochranou jej práv a slobôd pri spracovaní osobných údajov, ktoré sa jej týkajú a ktoré boli prenesené z členského štátu do tejto tretej krajiny, ak táto osoba tvrdí, že platné právo a prax v tejto krajine nezaisťujú primeranú úroveň ochrany.

 

2.

Rozhodnutie 2000/520 je neplatné.

 

Podpisy


( * )   Jazyk konania: angličtina.

Top