Návrh na začatie prejudiciálneho konania, ktorý podal Cour d’appel de Bruxelles (Belgicko) 10. decembra 2025 – État belge/Autorité de protection des données

(Vec C-804/25, Autorité de protection des données)

(C/2026/2199)

Jazyk konania: francúzština

Predkladajúci vnútroštátny súd

Cour d’appel de Bruxelles

Účastníci vnútroštátneho konania

Odvolateľ: État belge

Odporca: Autorité de protection des données

Ďalší účastníci konania: JC, Accidental Americans Association of Belgium (AAAB)

Prejudiciálne otázky

Je so zreteľom na článok 96 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR) (1) medzinárodná dohoda uzavretá členským štátom pred 24. májom 2016, ktorá zahŕňa prenos osobných údajov do tretej krajiny, v súlade s právom Únie v podobe, v akej bolo uplatniteľné pred 24. májom 2016, a konkrétnejšie s článkom 6 ods. 1 písm. b), c) a e) smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (2), prípadne v spojení s článkami 7, 8 a 52 Charty základných práv, pokiaľ táto dohoda stanovuje na daňové účely a s cieľom zabezpečiť dodržiavanie medzinárodných daňových pravidiel a plnenie povinností vyplývajúcich z amerického zákona FATCA zameraného na boj proti daňovým únikom štátnych príslušníkov USA automatický prenos informácií týkajúcich sa finančných účtov všetkých štátnych príslušníkov tohto štátu [informácie, ktoré v praxi zahŕňajú najmä meno, adresu, daňové identifikačné číslo (DIČ) pridelené majiteľovi účtu štátom jeho bydliska, dátum narodenia, číslo účtu, zostatok alebo hodnotu na účte na konci príslušného kalendárneho roka alebo iného vhodného vykazovaného obdobia, určité údaje v prípade účtu cenných papierov, vkladového účtu alebo iného typu účtu] do tejto tretej krajiny v súlade s pravidlami dôvernosti, bez predchádzajúceho výberu účtov, ktoré predstavujú riziko daňových únikov, bez akéhokoľvek časového obmedzenia uchovávania údajov ustanoveného v tejto dohode, a ak prahová hodnota 50 000 USD ustanovená v prílohe I podlieha voľnej úvahe finančných inštitúcií?

2.	Môže byť takáto dohoda odôvodnená na základe článku 26 ods. 1 písm. d) vyššie uvedenej smernice 95/46/ES, ak príslušná tretia krajina nezaručuje účinnú reciprocitu?

Má sa článok 26 ods. 2 vyššie uvedenej smernice 95/46/ES v spojení s článkami 7, 8 a 52 Charty základných práv vykladať v tom zmysle, že primerané záruky uvedené v tomto ustanovení

—	sa týkajú najmä uvedenia obdobia uchovávania údajov v zmysle článku 6 ods. 1 písm. e) smernice a práv na informácie uvedených v článkoch 10 a 11?

—	zahŕňajú vymedzenie rozsahu obmedzenia práva na súkromie a práva na ochranu osobných údajov?

—	musia byť v zmluve výslovne uvedené, ak sa v zmluve stanovuje prenos osobných údajov?

Ak je odpoveď na celú tretiu otázku alebo jej časť kladná, je so zreteľom na článok 96 GDPR medzinárodná dohoda uzavretá členským štátom pred 24. májom 2016, ktorá zahŕňa prenos osobných údajov do tretej krajiny, v súlade s právom Únie v podobe, v akej bolo uplatniteľné pred 24. májom 2016, a konkrétne s článkom 26 ods. 2 vyššie uvedenej smernice 95/46/ES, prípadne v spojení s článkami 7, 8 a 52 Charty základných práv, ak výslovne nestanovuje primerané záruky uvedené v tomto ustanovení?

Ak je odpoveď na prvú a/alebo druhú, a/alebo štvrtú otázku kladná, musí prenos osobných údajov uskutočnený podľa tejto medzinárodnej dohody napriek tomu od 24. mája 2018 spĺňať ustanovenia GDPR, pokiaľ ide o záležitosti, ktoré nie sú výslovne uvedené alebo vylúčené touto dohodou, a to najmä jeho článok 5 ods. 2 a články 12, 14, 24 a 35?

6.	Nesie dôkazné bremeno v prípade podmienok stanovených v článku 96 GDPR prevádzkovateľ?

Má sa článok 96 GDPR, samostatne alebo v spojení s článkom 4 ods. 3 Zmluvy o Európskej únii, článkom 351 Zmluvy o fungovaní Európskej únie a článkami 7, 8 a 52 Charty základných práv vykladať v tom zmysle, že členské štáty sú povinné vyvinúť maximálne úsilie na zmenu, nahradenie alebo zrušenie medzinárodných zmlúv, ktorých sú zmluvnými stranami a ktoré nie sú v súlade s ustanoveniami tohto nariadenia?

Môže sa členský štát, ktorý do roku 2025 nevyvinul maximálne úsilie na zmenu, nahradenie alebo zrušenie medzinárodnej zmluvy, ktorej je zmluvnou stranou a ktorá nie je v súlade s ustanoveniami GDPR, odvolávať na článok 96 tohto nariadenia, aby odôvodnil konanie, ktoré nie je v súlade s týmto nariadením?

V prípade zápornej odpovede na prvú, druhú alebo štvrtú otázku:

a)	musí vnútroštátny súd takúto dohodu zrušiť z vlastného podnetu?

b)	mal by vnútroštátny súd overiť súlad takejto dohody s GDPR?

9.	V prípade zápornej odpovede na prvú, druhú alebo štvrtú otázku a kladnej odpovede na ôsmu otázku pod písmenom b), je medzinárodná dohoda opísaná v prvej otázke v súlade s GDPR, konkrétne s článkom 5 ods. 1 písm. b) a c), prípadne v spojení s článkami 7, 8 a 52 Charty základných práv?

10.

Predstavuje vykonávacie rozhodnutie Komisie (EÚ) 2023/1795 z 10. júla 2023 o primeranej úrovni ochrany osobných údajov na základe rámca pre ochranu osobných údajov medzi EÚ a USA (3) rozhodnutie o primeranosti v zmysle článku 45 ods. 3 GDPR, pokiaľ ide o sporné prenosy údajov, ktoré sa uskutočňujú na daňové účely?

11.

V prípade zápornej odpovede na prvú, druhú alebo štvrtú otázku a kladnej odpovede na ôsmu otázku pod písmenom b), má sa článok 46 GDPR vykladať v tom zmysle, že

—

v ňom uvedené primerané záruky zahŕňajú všetky alebo niektoré z týchto prvkov:

1.	vymedzenie základných pojmov (vrátane týchto pojmov: „osobné údaje“, „spracúvanie osobných údajov“, „prevádzkovateľ“, „sprostredkovateľ“, „príjemca“ a „citlivé údaje“);

2.	základné zásady ochrany údajov [vrátane zásad „obmedzenia účelu“, „presnosti a minimalizácie“ (alebo proporcionality), časového obmedzenia uchovávania údajov];

3.	práva dotknutých osôb (najmä právo na informácie, právo na prístup, právo na opravu, právo na vymazanie, právo na obmedzenie alebo právo namietať, právo nebyť predmetom automatizovaného individuálneho rozhodovania v zmysle článku 22 GDPR, ako aj spôsoby uplatňovania týchto práv);

4.	obmedzenie ďalšieho prenosu a zdieľania údajov;

5.	účinné prostriedky nápravy;

6.	kontrolné mechanizmy a

7.	zásada zodpovednosti?

—	musia byť tieto záruky výslovne uvedené v právne záväznom nástroji uvedenom v článku 46 ods. 2 písm. a) GDPR?

—	ak existuje zmluva upravujúca prenos osobných údajov do tretích krajín, je záväzným právnym nástrojom len táto zmluva alebo môže zahŕňať aj jej vnútroštátny nástroj na prebratie?

12.

V prípade zápornej odpovede na prvú, druhú alebo štvrtú otázku a kladnej odpovede na ôsmu otázku pod písmenom b):

má sa článok 49 ods. 1 písm. d) GDPR vykladať tak, že povoľuje alebo že zakazuje medzinárodnú dohodu zahŕňajúcu prenos osobných údajov do tretej krajiny, ktorá na daňové účely stanovuje automatický prenos finančných informácií všetkých štátnych príslušníkov tohto štátu (ako je uvedené v prvej otázke) do tejto tretej krajiny?

b)	Je úroveň reciprocity výmeny údajov relevantným kritériom na určenie odpovede na túto otázku?

13.

V prípade zápornej odpovede na prvú, druhú alebo štvrtú otázku a kladnej odpovede na ôsmu otázku pod písmenom b):

a)	môžu byť „informácie“, na ktoré sa vzťahuje výnimka z poskytovania informácií stanovená v článku 14 ods. 5 písm. a) GDPR, poskytnuté poskytovateľmi, ktorí údaje získali priamo od dotknutej osoby?

b)	kto v tomto prípade nesie dôkazné bremeno, že informácie boli oznámené, najmä vzhľadom na článok 5 ods. 1 písm. a) a článok 5 ods. 2 GDPR?

(1) Ú. v. EÚ L 119, 2016, s. 1.

(2) Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355.

(3) Ú. v. EÚ L 231, 2023, s. 118.