Neprístupný dokument, nutné prihlásenie
Input:

Súdny dvor vyhlásil rozhodnutie vo veci Schrems vs Data Protection Commisioner

13.8.2018, Zdroj: www.curia.europa.eu (http://www.curia.europa.eu)

ROZSUDOK SÚDNEHO DVORA (veľká komora)

zo 6. októbra 2015 (*)

„Návrh na začatie prejudiciálneho konania – Osobné údaje – Ochrana fyzických osôb pri spracovaní týchto údajov – Charta základných práv Európskej únie – Články 7, 8 a 47 – Smernica 95/46/ES – Články 25 a 28 – Prenos osobných údajov do tretích krajín – Rozhodnutie 2000/520/ES – Prenos osobných údajov do Spojených štátov – Neprimeraná úroveň ochrany – Platnosť – Sťažnosť fyzickej osoby, ktorej osobné údaje boli prenesené z Európskej únie do Spojených štátov – Právomoci vnútroštátnych dozorných orgánov“

Vo veci C‑362/14,

ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím High Court (Írsko) zo 17. júla 2014 a doručený Súdnemu dvoru 25. júla 2014, ktorý súvisí s konaním:

Maximillian Schrems

proti

Data Protection Commissioner,

za účasti:

Digital Rights Ireland Ltd,

SÚDNY DVOR (veľká komora),

v zložení: predseda V. Skouris, podpredseda K. Lenaerts, predsedovia komôr A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (spravodajca), S. Rodin, K. Jürimäe, sudcovia A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen a C. Lycourgos,

generálny advokát: Y. Bot,

tajomník: L. Hewlett, hlavná referentka,

so zreteľom na písomnú časť konania a po pojednávaní z 24. marca 2015,

so zreteľom na pripomienky, ktoré predložili:

      –  M. Schrems, v zastúpení: N. Travers, SC, P. O’Shea, BL, G. Rudden, solicitor, a H. Hofmann, Rechtsanwalt,

      –  Data Protection Commissioner, v zastúpení: P. McDermott, BL, S. More O’Ferrall a D. Young, solicitors,

      –  Digital Rights Ireland Ltd, v zastúpení: F. Crehan, BL, S. McGarr a E. McGarr, solicitors,

      –  Írsko, v zastúpení: A. Joyce, B. Counihan a E. Creedon, splnomocnení zástupcovia, za právnej pomoci D. Fennelly, BL,

      –  belgická vláda, v zastúpení: J.‑C. Halleux a C. Pochet, splnomocnení zástupcovia,

      –  česká vláda, v zastúpení: M. Smolek a J. Vláčil, splnomocnení zástupcovia,

      –  talianska vláda, v zastúpení: G. Palmieri, splnomocnená zástupkyňa, za právnej pomoci P. Gentili, avvocato dello Stato,

      –  rakúska vláda, v zastúpení: G. Hesse a G. Kunnert, splnomocnení zástupcovia,

      –  poľská vláda, v zastúpení: M. Kamejsza, M. Pawlicka a B. Majczyna, splnomocnení zástupcovia,

      –  slovinská vláda, v zastúpení: A. Grum a V. Klemenc, splnomocnené zástupkyne,

      –  vláda Spojeného kráľovstva, v zastúpení: L. Christie a J. Beeko, splnomocnení zástupcovia, za právnej pomoci J. Holmes, barrister,

      –  Európsky parlament, v zastúpení: D. Moore, A. Caiola a M. Penčeva, splnomocnení zástupcovia,

      –  Európska komisia, v zastúpení: B. Schima, B. Martenczuk, B. Smulders a J. Vondung, splnomocnení zástupcovia,

      –  Európsky dozorný úradník pre ochranu údajov (EDPS), v zastúpení: C. Docksey, A. Buchta a V. Pérez Asinari, splnomocnení zástupcovia,

po vypočutí návrhov generálneho advokáta na pojednávaní 23. septembra 2015,

vyhlásil tento

Rozsudok

      1  Návrh na začatie prejudiciálneho konania sa týka výkladu článku 25 ods. 6 a článku 28 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, s. 31; Mim. vyd. 13/015, s. 355), zmenenej a doplnenej nariadením (ES) č. 1882/2003 Európskeho parlamentu a Rady z 29. septembra 2003 (Ú. v. EÚ L 284, s. 1; Mim. vyd. 01/004, s. 447), z hľadiska článkov 7, 8 a 47 Charty základných práv Európskej únie (ďalej len „Charta“), ako aj v podstate platnosti rozhodnutia Komisie 2000/520/ES z 26. júla 2000 v súlade so smernicou 95/46 o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (Ú. v. ES L 215, s. 7; Mim. vyd. 16/001, s. 119).

      2  Tento návrh bol podaný v rámci sporu medzi pánom Schremsom a Data Protection Commissioner (komisár pre ochranu údajov, ďalej len „komisár“) vo veci jeho odmietnutia vyšetriť sťažnosť podanú pánom Schremsom z dôvodu, že Facebook Ireland Ltd (ďalej len „Facebook Ireland“) zasiela do Spojených štátov osobné údaje svojich používateľov a uchováva ich na serveroch umiestnených v tejto krajine.

 Právny rámec

 Smernica 95/46

      3  Odôvodnenia 2, 10, 56, 57, 60, 62 a 63 smernice 95/46 znejú:

„(2) … systémy spracovania údajov sú určené na to, aby slúžili človeku;… tieto systémy musia, nech je akákoľvek štátna príslušnosť fyzických osôb a ich bydlisko, rešpektovať ich základné práva a slobody, najmä právo na súkromie, a prispievať k… blahobytu jednotlivcov;

(10) … cieľom vnútroštátnych právnych predpisov o spracovaní osobných údajov je chrániť základné práva a slobody, najmä právo na súkromie, čo sa rešpektuje tak v článku 8 Európskeho dohovoru na ochranu ľudských práv a základných slobôd [podpísaného v Ríme 4. novembra 1950], ako aj vo všeobecných zásadách práva spoločenstva;… z toho dôvodu aproximácia týchto právnych predpisov nesmie mať za následok zníženie ochrany, ktorú poskytujú, ale naopak musí sa snažiť zabezpečiť vysokú úroveň ochrany v spoločenstve;

(56) … pohyb tokov osobných údajov cez hranice je nevyhnutný pre expanziu medzinárodného obchodu;… ochrana jednotlivcov zaručená v spoločenstve touto smernicou nie je prekážkou transferov osobných údajov do tretích krajín, ktoré zaistia adekvátnu úroveň ochrany;… adekvátnosť úrovne ochrany, ktorú poskytuje tretia krajina, musí byť ohodnotená z hľadiska všetkých okolností, ktoré sa týkajú operácie transferu alebo zostavy transferových operácií;

(57) … na druhej strane, transfer osobných údajov do tretej krajiny, ktorá nezaisťuje adekvátnu úroveň ochrany, sa musí zakázať;

(60) … v každom prípade, transfery do tretích krajín možno vykonať iba v úplnom súlade s ustanoveniami prijatými členskými štátmi podľa tejto smernice a najmä podľa jej článku 8;

(62) … zriadenie dozorných úradov v členských štátoch, ktoré vykonávajú svoje funkcie s úplnou nezávislosťou, je nevyhnutným komponentom ochrany jednotlivcov v súvislosti so spracovaním osobných údajov;

(63) … takéto orgány musia mať nevyhnutné prostriedky pre vykonávanie svojich povinností, vrátane právomoci vyšetrovania a intervencie, najmä v prípadoch sťažností od jednotlivcov a právomoci zúčastniť sa na súdnom pojednávaní…“

      4  Články 1, 2, 25, 26, 28 a 31 smernice 95/46 stanovujú:

„Článok 1

Predmet smernice

          1.  V súlade s touto smernicou členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov.

Článok 2

Definície

Na účely tejto smernice:

          a)  ‚osobné údaje‘ znamenajú akúkoľvek informáciu, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby (‚údajového subjektu‘); identifikovateľná osoba je osoba, ktorú možno identifikovať, priamo alebo nepriamo, najmä pomocou overenia identifikačného čísla alebo jedného alebo viacerých faktorov špecifických pre jeho fyzickú, fyziologickú, duševnú, hospodársku, kultúrnu alebo sociálnu identitu,

          b)  ‚spracovanie osobných údajov‘ (‚spracovanie‘) znamená akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, odhalenie prenosom, šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie,

          d)  ‚kontrolór‘ znamená fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov; tam, kde sú účely a prostriedky spracovania stanovené vnútroštátnymi zákonmi a nariadeniami, alebo zákonmi a nariadeniami spoločenstva, ten, kto spracovanie riadi, alebo konkrétne kritériá pre jeho menovanie môžu byť navrhnuté na základe vnútroštátneho práva alebo práva spoločenstva,

Článok 25

Princípy

          1.  Členské štáty zabezpečia, aby sa prenos osobných údajov, ktoré sa spracovávajú alebo sú určené na spracovanie po prenose do tretej krajiny mohol urobiť len, bez toho, aby boli dotknuté vnútroštátne ustanovenia prijaté v súlade s ostatnými ustanoveniami tejto smernice, ak príslušná tretia krajina zaistí adekvátnu úroveň ochrany.

          2.  Adekvátnosť úrovne ochrany, ktorú poskytuje tretia krajina, sa hodnotí vzhľadom na všetky okolnosti týkajúce sa operácie prenosu údajov alebo komplexu operácií prenosu údajov; zvláštna pozornosť sa venuje charakteru údajov, účelu a trvaniu navrhnutej operácie alebo operácií spracovania, krajine pôvodu a krajine konečného určenia, právnym normám aj všeobecným aj sektorovým, platným v príslušnej tretej krajine a profesionálnym predpisom a bezpečnostným opatreniam, ktorým táto krajina vyhovuje.

          3.  Členské štáty a Komisia sa navzájom informujú o prípadoch, keď sa domnievajú, že tretia krajina nezabezpečuje adekvátnu úroveň ochrany v rámci znenia odseku 2.

          4.  Ak Komisia zistí [konštatuje – neoficiálny preklad], podľa postupu uvedeného v článku 31 ods. 2, že tretia krajina nezaisťuje adekvátnu úroveň ochrany v rámci znenia odseku 2 tohto článku, členské štáty podniknú nevyhnutné opatrenia na ochranu a prenos [na zamedzenie akéhokoľvek prenosu – neoficiálny preklad] údajov tohto istého typu do príslušnej tretej krajiny.

          5.  Vo vhodnom čase Komisia začne vyjednávať s cieľom napravenia stavu vzniknutého z vykonaných zistení [stavu vyplývajúceho z konštatovania, ku ktorému dospela – neoficiálny preklad] v súlade s odsekom 4.

          6.  Komisia môže zistiť [konštatovať – neoficiálny preklad], podľa postupu uvedeného v článku 31 ods. 2, že tretia krajina zaisťuje adekvátnu úroveň ochrany v rámci znenia odseku 2 tohto článku, z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, najmä na základe záverov jednaní uvedených v odseku 5, na ochranu súkromného života a osobných práv a slobôd [slobôd a základných práv osôb – neoficiálny preklad].

Členské štáty prijmú opatrenia potrebné na dosiahnutie súladu s rozhodnutím Komisie.

Článok 26

Odchýlky

          1.  Odchylne od článku 25 a s výnimkou, keď sú inak zabezpečené vnútroštátnym právom riadiacim konkrétne situácie, zabezpečia členské štáty, že sa môže uskutočniť prenos alebo súbor prenosov osobných údajov do tretej krajiny, ktorá nezaistí adekvátnu úroveň ochrany v rámci znenia článku 25 ods. 2 za predpokladu, že:

             a)  osoba pracujúca s údajmi dala jednoznačne súhlas na navrhnutý prenos; alebo

             b)  prenos je nevyhnutný pre plnenie zmluvy medzi osobou pracujúcou s údajmi a kontrolórom alebo pre zavedenie predbežných zmluvných opatrení uskutočnených v súlade s požiadavkou osoby pracujúcej s údajmi; alebo

             c)  prenos je nevyhnutný pre uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme osoby pracujúcej s údajmi medzi kontrolórom a treťou stranou; alebo

             d)  prenos je nevyhnutný alebo právne požadovaný z dôvodu dôležitého verejného záujmu, alebo pre zriadenie, výkon a obranu právnych nárokov; alebo

             e)  prenos je nevyhnutný, aby sa ochránili dôležité záujmy osoby pracujúcej s údajmi; alebo

             f)  prenos sa robí z registra, ktorý je podľa zákona alebo predpisov určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadnutie verejnosti alebo každej osobe, ktorá môže preukázať legitímny záujem, do tej miery, že sa v konkrétnom prípade splnia podmienky stanovené príslušným zákonom.

          2.  Bez toho, aby boli dotknuté ustanovenia odseku 1, môže členský štát schváliť prenos alebo súbor prenosov osobných údajov do tretej krajiny, ktorá nezaistí adekvátnu úroveň ochrany v rámci znenia článku 25 ods. 2 vtedy, keď kontrolór uvádza záruky s ohľadom na ochranu súkromia a základných práv a slobôd jednotlivcov a pokiaľ ide o uplatnenie príslušných práv; takéto záruky môžu vyplývať najmä z príslušných zmluvných klauzúl.

          3.  Členský štát informuje Komisiu a ostatné členské štáty o povoleniach, ktoré zaručuje v súlade s odsekom 2.

Ak členský štát alebo Komisia namieta proti odôvodneným dôvodom zahŕňajúcim ochranu súkromia a osobných práv a slobôd [slobôd a základných práv osôb – neoficiálny preklad], Komisia uskutoční príslušné opatrenia podľa postupu uvedeného v článku 31 ods. 2.

Členské štáty prijmú opatrenia potrebné na dosiahnutie súladu s rozhodnutím Komisie.

Článok 28

Dozorný orgán

          1.  Každý členský štát zabezpečí, aby jeden alebo viac štátnych orgánov bolo zodpovedných za monitorovanie uplatňovania ustanovení v rámci jeho územia, prijatých členskými štátmi v súlade s touto smernicou.

Tieto orgány konajú s úplnou nezávislosťou vo vykonávaní im zverených funkcií.

          2.  Každý členský štát zabezpečí, že s dozornými orgánmi sa budú konzultovať návrhy administratívnych opatrení alebo predpisov týkajúcich sa osobných práv a slobôd [slobôd a základných práv osôb – neoficiálny preklad] týkajúcich sa spracovania osobných údajov.

          3.  Každý [dozorný orgán – neoficiálny preklad] je zabezpečený najmä:

           –  vyšetrovacími právomocami, ako sú práva prístupu k údajom, tvoriacich záležitosť subjektu operácií spracovania [ktoré sú predmetom spracovania – neoficiálny preklad] a práva zbierať všetky nevyhnutné informácie pre plnenie jeho kontrolných povinností,

           –  efektívnymi právomocami intervencie, ako sú napríklad doručenie stanovísk pred vykonaním operácii spracovania podľa článku 20 a zabezpečenie príslušného zverejnenia takýchto stanovísk, nariadenie zablokovania, vymazania alebo zničenia údajov, uvalenie dočasného alebo úplného zákazu na spracovanie, upozornenie alebo pripomenutie kontrolórovi, alebo oznámenie záležitosti vnútroštátnemu parlamentu alebo iným politickým inštitúciám,

           –  právomocou zaoberať sa právnymi postupmi tam, kde sa porušili vnútroštátne ustanovenia prijaté v súlade s touto smernicou alebo dať tieto porušenia do pozornosti súdnych orgánov.

Proti rozhodnutiam dozorného orgánu, ktoré vznesú žalobcovia, je možné odvolať sa prostredníctvom súdov [Rozhodnutia dozorného orgánu spôsobujúce ujmu možno napadnúť žalobou na súde – neoficiálny preklad].

          4.  Každý dozorný orgán si vypočuje nároky uplatňované každou osobou alebo každou asociáciou predstavujúcou túto osobu, týkajúce sa ochrany jeho práv a slobôd vzhľadom na spracovanie osobných údajov. Príslušná osoba je informovaná o výsledku žaloby [žiadosti – neoficiálny preklad].

Každý dozorný orgán si vypočuje najmä nároky na kontrolu zákonnosti spracovania údajov, uplatnené každou osobou, keď sa uplatňujú vnútroštátne ustanovenia prijaté v súlade s článkom 13 tejto smernice. Táto osoba je v každom prípade informovaná o tom, že sa kontrola uskutočnila.

          6.  Každý kontrolný orgán je kompetentný, bez ohľadu na príslušné vnútroštátne právo uplatniteľné na spracovanie, vykonávať na území svojho členského štátu právomoci jemu udelené v súlade s odsekom 3. Každý orgán môže byť požiadaný orgánom iného členského štátu, aby uplatnil svoje právomoci.

Článok 31

          2.  V prípade odkazu na tento článok sa uplatňujú články 4 a 7 rozhodnutia [Rady] 1999/468/ES [z 28. júna 1999, ktorým sa ustanovujú postupy pre výkon vykonávacích právomocí prenesených na Komisiu (Ú. v. ES L 184, s. 23; Mim. vyd. 01/003, s. 124] so zreteľom na ustanovenia jeho článku 8.

…“

 Rozhodnutie 2000/520

      5  Rozhodnutie 2000/520 prijala Komisia na základe článku 25 ods. 6 smernice 95/46.

      6  Odôvodnenia 2, 5 a 8 tohto rozhodnutia znejú:

„(2) Komisia môže dospieť k záveru, že určitá tretia krajina zaručuje primeranú úroveň ochrany. V takom prípade je prenos osobných údajov z členských štátov možný bez toho, že by boli potrebné ďalšie záruky.

(5) Primeraná úroveň ochrany prenosu údajov zo spoločenstva do Spojených štátov uznávaná podľa tohto rozhodnutia by mala byť dosiahnutá vtedy, ak organizácie spĺňajú zásady ‚bezpečného prístavu‘ vo vzťahu k ochrane osobných údajov prenášaných z určitého členského štátu do Spojených štátov (ďalej len ‚zásady‘) a často kladené otázky (‚frequently asked questions‘, ďalej len ‚FAQ‘) poskytujúce usmernenie pre vykonávanie zásad, ktoré vydala vláda Spojených štátov 21. júla 2000. Okrem toho by organizácie mali zverejniť svoje príslušné stratégie v oblasti ochrany súkromia a mali by podliehať jurisdikcii Federálnej obchodnej komisie (FTC – Federal Trade Commission) podľa oddielu 5 zákona o Federálnej obchodnej komisii, ktorý zakazuje nekalé alebo klamlivé konanie alebo praktiky v rámci obchodovania alebo ovplyvňujúce obchodovanie, alebo by mali podliehať inému štatutárnemu orgánu, ktorý účinne zabezpečí súlad so zásadami vykonávanými v súlade s FAQ.

(8) V záujme transparentnosti a s cieľom zabezpečenia schopnosti príslušných orgánov v členských štátoch zaručiť ochranu jednotlivcov v súvislosti so spracúvaním ich osobných údajov je potrebné, aby sa v tomto rozhodnutí presne vymedzili mimoriadne okolnosti, za ktorých by malo byť opodstatnené pozastavenie tokov určitých informácií, a to bez ohľadu na to, či Komisia dospela k záveru, že v danej krajine je zabezpečená primeraná úroveň ochrany.“

7 Podľa článkov 1 až 4 rozhodnutia 2000/520:

Článok 1

          1.  Na účely článku 25 ods. 2 smernice 95/46/ES sa vo vzťahu ku všetkým aktivitám spadajúcim do rámca pôsobnosti uvedenej smernice ‚zásady bezpečného prístavu [vo vzťahu k ochrane osobných údajov]‘ (ďalej len ‚zásady‘), tak ako sú uvedené v prílohe I k tomuto rozhodnutiu, vykonávané v súlade s usmernením vyplývajúcim z často kladených otázok (ďalej len ‚FAQ‘) vydaných Ministerstvom obchodu USA 21. júla 2000 tak, ako sú uvedené v prílohe II k tomuto rozhodnutiu považujú za také, ktoré zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných zo spoločenstva do organizácií so sídlom v Spojených štátoch, pričom sa zohľadňujú nasledujúce dokumenty vydané Ministerstvom obchodu USA:

             a)  prehľad presadzovania zásad bezpečného prístavu uvedený v prílohe III;

             b)  memorandum týkajúce sa náhrad škôd za porušenie súkromia a výslovného oprávnenia v rámci práva USA uvedené v prílohe IV;

             c)  list Federálnej obchodnej komisie uvedený v prílohe V;

             d)  list Ministerstva dopravy USA uvedený v prílohe VI;

          2.  Vo vzťahu ku každému prenosu údajov sa musia splniť nasledujúce podmienky:

             a)  organizácia, ktorej sa poskytujú údaje, sa jednoznačne a verejným vyhlásením zaviaže dodržiavať zásady vykonávané v súlade s FAQ a

             b)  v prípade nedodržiavania zásad vykonávaných v súlade s FAQ podlieha daná organizácia zákonným právomociam niektorého zo štátnych orgánov v Spojených štátoch uvedených v prílohe VII k tomuto rozhodnutiu, ktorý je oprávnený vyšetrovať sťažnosti a zabezpečovať nápravu v prípade nekalých alebo klamlivých praktík, ako aj zabezpečovať odškodnenie jednotlivcov bez ohľadu na to, v akej krajine majú trvalý pobyt alebo akú majú štátnu príslušnosť.

          3.  Podmienky uvedené v odseku 2 sa považujú za splnené vo vzťahu ku každej organizácii, ktorá osvedčí svoje dodržiavanie zásad vykonávaných v súlade s FAQ odo dňa, kedy daná organizácia oznámi Ministerstvu obchodu USA (alebo jeho zástupcovi) svoje verejné vyhlásenie o záväzku uvedenom v odseku 2 písm. a) a totožnosť štátneho orgánu uvedeného v odseku 2 písm. b).

Článok 2

Toto rozhodnutie sa týka len primeranosti ochrany poskytovanej v Spojených štátoch podľa zásad vykonávaných v súlade s FAQ s cieľom splnenia požiadaviek článku 25 ods. 1 smernice 95/46/ES a nie je ním dotknuté uplatňovanie iných ustanovení uvedenej smernice, ktoré sa vzťahujú na spracúvanie osobných údajov v rámci členských štátov, najmä článku 4 tejto smernice.

Článok 3

          1.  Bez toho, aby tým boli dotknuté ich právomoci prijímať opatrenia na zabezpečenie súladu s vnútroštátnymi právnymi normami prijatými podľa ustanovení iných ako článok 25 smernice 95/46/ES, môžu príslušné orgány v členských štátoch vykonávať svoje existujúce právomoci týkajúce sa pozastavenia tokov údajov do organizácie, ktorá osvedčila svoje dodržiavanie zásad vykonávaných v súlade s FAQ, aby tak chránili jednotlivcov v súvislosti so spracúvaním ich osobných údajov v prípadoch, keď:

             a)  štátny orgán v Spojených štátoch uvedený v prílohe VII k tomuto rozhodnutiu alebo nezávislý opravný mechanizmus v zmysle písmena a) zásady vymáhania výkonu uvedenej v prílohe I k tomuto rozhodnutiu zistí, že daná organizácia porušuje zásady vykonávané v súlade s FAQ; alebo

             b)  je veľká pravdepodobnosť, že sa porušujú zásady; existuje reálny dôvod na domnienku, že príslušný mechanizmus na vymáhanie výkonu neprijíma alebo neprijme primerané a včasné opatrenia na urovnanie určitého prípadu; pokračujúci prenos údajov by mal za následok bezprostredné riziko vážneho poškodenia dotknutých osôb, ktoré sú predmetom údajov; a príslušné orgány v danom členskom štáte vyvinuli podľa okolností primerané úsilie na to, aby o tom informovali dotknutú organizáciu a poskytli jej možnosť odpovedať.

Pozastavenie tokov údajov do určitej organizácie sa ukončí, akonáhle sa zabezpečí dodržiavanie zásad vykonávaných v súlade s FAQ a len čo sú o tom informované dotknuté príslušné orgány v spoločenstve.

          2.  V prípade, že sa prijmú opatrenia na základe odseku 1, členské štáty o tom bezodkladne informujú Komisiu.

          3.  Členské štáty a Komisia sa tiež navzájom informujú o prípadoch, kedy konanie orgánov zodpovedných za vymáhanie výkonu zásad vykonávaných v súlade s FAQ v Spojených štátoch nezabezpečuje takéto dodržiavanie.

          4.  Ak informácie zhromaždené podľa odsekov 1, 2 a 3 poskytujú dôkazy o tom, že určitý orgán zodpovedný za dodržiavanie zásad vykonávaných v súlade s FAQ v Spojených štátoch nevykonáva účinne svoju úlohu, Komisia o tom informuje Ministerstvo obchodu USA a v prípade potreby predloží návrh opatrení v súlade s postupom uvedeným v článku 31 smernice 95/46/ES s cieľom zrušiť alebo pozastaviť účinnosť tohto rozhodnutia alebo obmedziť rozsah jeho pôsobnosti.

Článok 4

          1.  Toto rozhodnutie je možné kedykoľvek upraviť na základe skúseností s jeho vykonávaním a/alebo vtedy, ak úroveň ochrany poskytovanú zásadami a FAQ predstihnú požiadavky právnych predpisov USA.

Komisia v každom prípade posúdi vykonávanie tohto rozhodnutia na základe dostupných informácií tri roky po jeho oznámení členským štátom a podá správu o príslušných zisteniach výboru ustanovenému podľa článku 31 smernice 95/46/ES, vrátane akýchkoľvek dôkazov, ktoré by mohli mať vplyv na hodnotenie, podľa ktorého ustanovenia uvedené v článku 1 tohto rozhodnutia poskytujú primeranú ochranu v zmysle článku 25 smernice 95/46/ES a akýchkoľvek dôkazov svedčiacich o tom, že toto rozhodnutie sa vykonáva diskriminačným spôsobom.

          2.  Komisia v prípade potreby predloží návrh opatrení v súlade s postupom uvedeným v článku 31 smernice 95/46/ES.“

      8  Príloha I rozhodnutia 2000/520 znie:

„ZÁSADY ‚BEZPEČNÉHO PRÍSTAVU‘ [TÝKAJÚCE SA OCHRANY SÚKROMIA – neoficiálny preklad]

vydané Ministerstvom obchodu USA 21. júla 2000

… vydáva Ministerstvo obchodu z titulu svojej zákonnej právomoci tento dokument [(‚zásady‘)] a často kladené otázky [(‚FAQ‘)] zamerané na podporu, zvýšenie úrovne a rozvoj medzinárodného obchodu. Tieto zásady boli vypracované na základe porád so zástupcami podnikateľskej sféry a verejnosti s cieľom uľahčenia obchodu medzi Spojenými štátmi a Európskou úniou. Sú určené výlučne na to, aby ich využívali organizácie v USA, ktoré získavajú osobné údaje z Európskej únie a ktoré chcú splniť kritériá bezpečného prístavu a z nich vyplývajúci predpoklad ‚primeranej úrovne‘ ochrany osobných údajov. Keďže zásady boli vypracované výlučne na tento osobitný účel, ich použitie na iné účely môže byť nevhodné…

Rozhodnutie organizácií splniť kritériá ‚bezpečného prístavu‘ je úplne dobrovoľné a organizácie ich môžu spĺňať rôznym spôsobom…

Dodržiavanie týchto zásad môže byť obmedzené: a) na mieru potrebnú na splnenie požiadaviek národnej bezpečnosti, verejného záujmu alebo vymáhania práva; b) zákonmi, nariadeniami vlády alebo precedenčným právom, ktoré ustanovujú protichodné povinnosti alebo výslovné oprávnenia, za predpokladu, že pri vykonávaní každého takéhoto oprávnenia môže organizácia preukázať, že jej nedodržiavanie zásad je obmedzené do tej miery, ktorá je potrebná na splnenie vyššie stojacich legitímnych záujmov vyplývajúcich z takéhoto oprávnenia; alebo c) ak účinok určitej smernice v rámci právnych predpisov členského štátu umožňuje výnimky alebo odchýlky, za predpokladu, že takéto výnimky alebo odchýlky sa uplatňujú v porovnateľných súvislostiach. Sledujúc cieľ zvyšovania ochrany súkromia by sa organizácie mali snažiť vykonávať tieto zásady v úplnosti a transparentne, čo tiež znamená, že by v rámci svojich stratégií ochrany súkromia mali uviesť, v akých prípadoch sa budú pravidelne uplatňovať výnimky zo zásad povolené na základe vyššie uvedeného písmena b). Z tých istých dôvodov sa predpokladá, že tam, kde je v súlade so zásadami a/alebo s právom USA možná voľba medzi určitými alternatívami, si organizácie podľa možnosti zvolia vyššiu úroveň ochrany.

…“

      9  Príloha II rozhodnutia 2000/520 stanovuje:

„ČASTO KLADENÉ OTÁZKY (FAQ – Frequently Asked Questions)

FAQ 6 – Osvedčenie vydávané samotnou organizáciou

Otázka: Akým spôsobom organizácia osvedčuje, že dodržiava zásady bezpečného prístavu?

Odpoveď: Výhody vyplývajúce zo štatútu bezpečného prístavu sú zabezpečené odo dňa, kedy určitá organizácia sama poskytne ministerstvu obchodu (alebo jeho zástupcovi) v súlade s nižšie uvedeným usmernením osvedčenie, že dodržiava zásady.

S cieľom poskytnutia osvedčenia o svojom dodržiavaní zásad ‚bezpečného prístavu‘ môže organizácia poslať Ministerstvu obchodu (alebo jeho zástupcovi) list podpísaný vedúcim pracovníkom spoločnosti v mene danej organizácie pripájajúcej sa k systému bezpečného prístavu, ktorý obsahuje prinajmenšom nasledujúce informácie:

          1.  názov organizácie, poštovú adresu, e‑mailovú adresu, telefónne a faxové čísla;

          2.  opis činnosti danej organizácie s ohľadom na osobné informácie získavané od EÚ a

          3.  opis stratégie danej organizácie v oblasti ochrany súkromia vo vzťahu k takýmto osobným informáciám, vrátane: a) miesta, kde je stratégia v oblasti ochrany súkromia dostupná na nahliadnutie pre verejnosť, b) dňa, kedy nadobúda účinnosť vykonávanie tejto stratégie, c) kontaktného orgánu pre vybavovanie sťažností, žiadostí o prístup a akýchkoľvek iných záležitostí vyplývajúcich z uplatňovania systému bezpečného prístavu, d) osobitného štatutárneho orgánu, v ktorého právomoci je vypočutie sťažností voči danej organizácii, čo sa týka možných nekalých alebo klamlivých praktík a porušení zákonov alebo iných právnych predpisov upravujúcich ochranu súkromia (a ktorý je uvedený v zozname pripojenom k zásadám), e) názvu akéhokoľvek programu v oblasti ochrany súkromia, ktorého je daná organizácia členom, f) spôsobu overovania (napr. vnútri podniku, treťou stranou)…, a g) nezávislého opravného mechanizmu, ktorý je dostupný s cieľom vyšetrovania nevyriešených sťažností.

Tam, kde má organizácia záujem o to, aby výhody vyplývajúce zo štatútu bezpečného prístavu zahrňovali informácie v oblasti ľudských zdrojov prenášané z EÚ na využitie v súvislosti s pracovnoprávnymi vzťahmi, môže tak urobiť, ak existuje štatutárny orgán s právomocou vypočúvať sťažnosti voči danej organizácii vyplývajúce z informácií týkajúcich sa ľudských zdrojov, ktorý je uvedený v zozname pripojenom k zásadám…

Ministerstvo obchodu (alebo jeho zástupca) bude udržiavať zoznam všetkých organizácií, ktoré podajú takýto list, ktorým si zabezpečujú dostupnosť výhod vyplývajúcich zo štatútu bezpečného prístavu a bude každoročne aktualizovať takýto zoznam na základe listov a oznámení obdržaných podľa FAQ 11…

FAQ 11 – Riešenie sporov a vymáhanie výkonu

Otázka: Ako by sa mali vykonávať požiadavky zásady vymáhania výkonu týkajúce sa riešenia sporov a ako sa bude postupovať v prípade, že určitá organizácia sústavne nedodržiava zásady?

Odpoveď: Zásada vymáhania výkonu ustanovuje požiadavky na vymáhanie výkonu zásad bezpečného prístavu. To, ako sa majú splniť požiadavky bodu b) tejto zásady, je stanovené vo FAQ týkajúcej sa overovania (FAQ 7). Táto FAQ 11 sa týka bodov a) a c), ktoré oba požadujú nezávislé opravné mechanizmy. Tieto mechanizmy môžu mať rôznu formu, avšak musia spĺňať požiadavky zásady vymáhania výkonu. Organizácie môžu splniť tieto požiadavky nasledujúcim spôsobom: (1) dodržiavaním programov ochrany súkromia vypracovaných súkromným sektorom, ktoré začleňujú do svojich pravidiel zásady bezpečného prístavu a ktoré zahrňujú účinné mechanizmy vymáhania výkonu toho druhu, ktorý je opísaný v zásade vymáhania výkonu; (2) podrobením sa zákonným alebo regulačným dozorným orgánom, ktoré zabezpečujú vybavovanie individuálnych sťažností a riešenie sporov; alebo (3) tým, že sa zaviažu spolupracovať s orgánmi na ochranu údajov sídliacimi v Európskej únii alebo s ich oprávnenými zástupcami. Vymenovanie vyššie uvedených spôsobov má ilustratívny a nie obmedzujúci charakter. Súkromný sektor môže vypracovať iné mechanizmy na zabezpečenie vymáhania výkonu, pokiaľ tieto mechanizmy budú spĺňať požiadavky zásady vymáhania výkonu a FAQs. Treba upozorniť na to, že požiadavky zásady vymáhania výkonu sú dodatočnými požiadavkami k požiadavkám ustanoveným v odseku 3 úvodu k zásadám, podľa ktorých samoregulačné pravidlá musia byť vymáhateľné podľa článku 5 zákona o Federálnej obchodnej komisii alebo podľa podobného právneho predpisu.

Opravné mechanizmy

Jednotlivci by mali byť podporovaní v tom, aby pred tým, než sa obrátia na nezávislé opravné mechanizmy, podávali svoje sťažnosti na príslušné organizácie…

Činnosť Federálnej obchodnej komisie (FTC – Federal Trade Commission)

Federálna obchodná Komisia sa zaviazala prioritne posudzovať žiadosti o rozhodnutie obdržané od súkromných organizácií uplatňujúcich samoreguláciu, ako napríklad BBOnline a TRUSTe, a od členských štátov EÚ sťažujúcich sa na nedodržiavanie zásad ‚bezpečného prístavu‘ s cieľom zistiť, či bol porušený oddiel 5 zákona FTC zakazujúci nekalé alebo klamlivé konanie alebo praktiky v rámci obchodovania…

…“

         10  Podľa prílohy IV rozhodnutia 2000/520:

„Náhrady škôd za porušenie súkromia, zákonné oprávnenia a koncentrácie a akvizície v rámci právnych predpisov USA

Táto príloha je reakciou na požiadavku Európskej komisie v zmysle objasnenia práva USA vo vzťahu k a) nárokom na náhradu škody za porušenie súkromia, b) ‚výslovným oprávneniam‘ v rámci práva USA týkajúcich sa využívania osobných informácií spôsobom nezlučiteľným so zásadami ‚bezpečného prístavu‘ a c) dopadu koncentrácií a akvizícií na záväzky prijaté v súlade so zásadami ‚bezpečného prístavu‘.

B. Explicitné zákonné oprávnenia

Zásady bezpečného prístavu obsahujú výnimku tam, kde právna norma, nariadenie alebo precedenčné právo zakladajú ‚konfliktné povinnosti alebo explicitné oprávnenia, za predpokladu, že pri výkone takéhoto oprávnenia môže organizácia preukázať, že jej nedodržiavanie zásad je obmedzené do miery potrebnej na splnenie vyššie stojacich legitímnych záujmov podporovaných takýmto oprávnením.‘ Je zrejmé, že tam, kde právo USA ukladá konfliktné povinnosti, organizácie v USA, či už sú účastníkmi systému bezpečného prístavu alebo nie, musia dodržiavať toto právo. Čo sa týka explicitných oprávnení, napriek tomu, že zásady bezpečného prístavu sú zamerané na preklenutie rozdielov medzi režimami ochrany súkromia v USA a v Európe, je potrebné sa podriadiť výsadným právomociam volených zákonodarcov. Obmedzená výnimka z prísneho dodržiavania zásad bezpečného prístavu predstavuje snahu o udržanie rovnováhy pri uspokojovaní legitímnych záujmov na oboch stranách.

Daná výnimka je obmedzená na prípady, kedy existuje explicitná oprávnenie. To znamená, že základnou podmienkou je, že relevantná právna norma, nariadenie alebo rozhodnutie súdu musia potvrdiť oprávnenie organizácií zúčastnených na programe bezpečného prístavu správať sa určitým konkrétnym spôsobom… Inými slovami, výnimka by sa neuplatňovala tam, kde právo mlčí. Navyše, výnimka by sa uplatňovala len vtedy, keby explicitné oprávnenie bolo v rozpore s dodržiavaním zásad ‚bezpečného prístavu‘. Dokonca aj vtedy je výnimka ‚obmedzená na mieru potrebnú na splnenie vyššie stojacich legitímnych záujmov podporovaných takýmto oprávnením.‘ Na ilustráciu – tam, kde zákon jednoducho oprávňuje určitú spoločnosť poskytovať osobné informácie vládnym orgánom, výnimka by sa neuplatňovala. Naopak, tam, kde zákon osobitne oprávňuje určitú spoločnosť, aby poskytovala osobné informácie vládnym orgánom bez súhlasu jednotlivca, predstavovalo by to ‚explicitné oprávnenie‘ konať spôsobom, ktorý je v rozpore so zásadami bezpečného prístavu. Iná možnosť je, že osobitné výnimky z afirmatívnych požiadaviek poskytovať oznámenie a súhlas by spadali pod danú výnimku (pretože by to bolo rovnocenné osobitnému oprávneniu poskytovať informácie bez oznámenia a súhlasu). Napríklad, právna norma, ktorá oprávňuje lekárov poskytovať lekárske záznamy ich pacientov úradníkom v oblasti zdravotníctva bez predchádzajúceho súhlasu pacientov by mohla povoľovať výnimku zo zásad oznamovania a možnosti voľby. Takéto oprávnenie by neumožňovalo lekárovi poskytovať tie isté lekárske záznamy zdravotníckym organizáciám alebo komerčným farmaceutickým výskumným laboratóriám, čo by presahovalo rozsah pôsobenia účelov povolených zákonom a teda by to presahovalo rozsah pôsobenia danej výnimky… Právna norma, o ktorej sa tu hovorí, môže predstavovať ‚samostatné‘ oprávnenie vykonávať osobitné veci s osobnými informáciami, ale ako ukazujú príklady uvedené nižšie, je to pravdepodobne výnimka zo širšieho práva ustanovujúceho zhromažďovanie, využívanie alebo poskytovanie osobných informácií.

…“

 Oznámenie COM(2013) 846 final

    11  Dňa 27. novembra 2013 Komisia prijala oznámenie Komisie Európskemu parlamentu a Rade nazvané „Obnovenie dôvery v toky údajov medzi EÚ a USA“ [COM(2013) 846 final, ďalej len „oznámenie COM(2013) 846 final“]. K tomuto oznámeniu bola pripojená správa, rovnako z 27. novembra 2013, obsahujúca zistenia spolupredsedov EÚ pracovnej skupiny ad hoc EÚ – USA pre ochranu údajov“ („Report on the Findings by the EU Co‑chairs of the ad hoc EU‑US Working Group on Data Protection“). Táto správa bola vypracovaná, ako poznamenáva jej bod 1, v spolupráci so Spojenými štátmi americkými v nadväznosti na odhalenie, že v tejto krajine existujú viaceré programy sledovania zahŕňajúce rozsiahle zhromažďovanie a spracovanie osobných údajov. Táto správa obsahovala najmä podrobnú analýzu právneho poriadku Spojených štátov, pokiaľ ide konkrétne o právne základy oprávňujúce existenciu programov sledovania, ako aj zhromažďovanie a spracovanie osobných údajov americkými orgánmi.

    12  V bode 1 oznámenia COM(2013) 846 final Komisia spresnila, že „obchodné výmeny sú predmetom rozhodnutia [2000/520]… a doplnila, že „toto rozhodnutie poskytuje právny základ na prenosy osobných údajov z EÚ do spoločností zriadených v USA, ktoré podporujú zásady „bezpečného prístavu“. Okrem toho v tom istom bode 1 Komisia zdôraznila narastajúci význam toku osobných údajov, súvisiaci najmä s rozvojom digitálnej ekonomiky, ktorý „viedol k prudkému nárastu množstva, kvality, rôznorodosti a charakteru činností spracovania údajov“.

    13  V bode 2 tohto oznámenia Komisia uvádza, že „aj tak… narastajú obavy týkajúce sa úrovne ochrany osobných údajov občanov [Únie] prenášaných do USA v rámci systému bezpečného prístavu“ a že „dobrovoľná a deklaratórna povaha tohto systému zaostrila pozornosť na jeho transparentnosť a presadzovanie“.

    14  Okrem toho v tom istom bode 2 uviedla, že „k osobným údajom občanov [Únie] odosielaným do USA v rámci programu bezpečného prístavu môžu orgány USA pristupovať a ďalej ich spracúvať spôsobom, ktorý nie je v súlade s dôvodmi, na základe ktorých boli pôvodne v [Únii] zhromaždené, a účelmi, na ktoré boli prenesené do USA“ a že „väčšina internetových spoločností z USA, ktorých sa… programy [sledovania] priamejšie dotýkajú, je certifikovaná v rámci systému bezpečného prístavu“.

    15  V bode 3.2 oznámenia COM(2013) 846 final Komisia poukázala na existenciu niekoľkých slabých miest, pokiaľ ide o vykonanie rozhodnutia 2000/520. Na jednej strane poukazuje na skutočnosť, že americké certifikované podniky nedodržiavali zásady uvedené v článku 1 ods. 1 rozhodnutia 2000/520 (ďalej len „zásady bezpečného prístavu“) a že sa mali vykonať zlepšenia tohto rozhodnutia, pokiaľ ide o „štrukturálne nedostatky súvisiace s transparentnosťou a kontrolou vykonania, základné zásady systému bezpečného prístavu a fungovanie výnimky na základe národnej bezpečnosti“. Na druhej strane uviedla, že „bezpečný prístav funguje aj ako kanál na prenos osobných údajov občanov EÚ z [Únie] do USA spoločnosťami, ktoré musia poskytovať údaje spravodajským agentúram USA v rámci programov spravodajských služieb USA na zhromažďovanie informácií“.

    16  Komisia v tom istom bode 3.2 dospela k záveru, že „vzhľadom na zistené nedostatky sa systém bezpečného prístavu nemôže ďalej vykonávať súčasným spôsobom… jeho zrušenie by však nepriaznivo ovplyvnilo záujmy členských spoločností v [Únii] a v USA“. Nakoniec, tiež v bode 3.2, Komisia doplnila, že zamýšľala „začať bezodkladne diskutovať s orgánmi USA o zistených nedostatkoch“.

 Oznámenie COM(2013) 847 final

    17  V ten istý deň 27. novembra 2013 Komisia prijala oznámenie Komisie Európskemu parlamentu a Rade o fungovaní systému bezpečného prístavu z pohľadu občanov EÚ a spoločností usadených v EÚ [COM(2013) 847 final, ďalej len „oznámenie COM(2013) 847 final“]). Ako vyplýva z jeho bodu 1, toto oznámenie bolo založené najmä na informáciách získaných v ad hoc pracovnej skupine Európska únia – Spojené štáty a nadväzovalo na dve hodnotiace správy Komisie uverejnené v rokoch 2002 a 2004.

    18  Bod 1 tohto oznámenia spresňuje, že fungovanie rozhodnutia 2000/520 „sa spolieha na záväzky a samocertifikáciu spoločností, ktoré ho dodržiavajú“ a dopĺňa, že „prihlásenie sa k tomuto systému je dobrovoľné, ale [že] pre tých, ktorí sa prihlásia, sú pravidlá povinné“.

    19  Okrem toho z bodu 2.2 oznámenia COM(2013) 847 final vyplýva, že k 26. septembru 2013 bolo certifikovaných 3 246 podnikov z mnohých oblastí hospodárstva a služieb. Tieto podniky poskytovali hlavne služby na vnútornom trhu Únie, osobitne v odvetví internetu, a časť z nich boli podniky Únie, ktoré mali dcérske spoločnosti v Spojených štátoch. Niektoré z týchto podnikov spracúvali údaje o svojich zamestnancoch pracujúcich v Európe, ktoré boli prenesené do tejto krajiny na účely riadenia ľudských zdrojov.

    20  V tom istom bode 2.2 Komisia zdôraznila, že „akákoľvek trhlina v transparentnosti alebo [vo vykonaní] na strane USA [mala] za následok presun zodpovednosti na európske orgány pre ochranu osobných údajov a na spoločnosti, ktoré využívajú tento systém“.

    21  Najmä z bodov 3 až 5 a 8 oznámenia COM(2013) 847 final vyplýva, že značné množstvo certifikovaných spoločností v praxi nedodržiavalo alebo nedodržiavalo úplne zásady bezpečného prístavu.

    22  Okrem toho v bode 7 tohto oznámenia Komisia poukázala na to, že „všetky spoločnosti, ktoré sa zúčastňujú programu PRISM [rozsiahly program na zhromažďovanie spravodajských informácií] a umožňujú orgánom USA prístup k údajom uloženým a spracúvaným v USA, majú certifikát pre systém bezpečného prístavu“ a že „tým sa systém bezpečného prístavu stal jedným z kanálov, cez ktorý majú spravodajské orgány USA prístup k zhromažďovaniu osobných údajov pôvodne spracovaných v [Únii]“. V tejto súvislosti Komisia v bode 7.1 tohto oznámenia konštatovala, že „niekoľkými právnymi základmi podľa právnych predpisov USA umožňuje rozsiahle zhromažďovanie a spracúvanie osobných údajov uchovávaných alebo inak spracúvaných spoločnosťami so sídlom v USA“ a že „plošná povaha týchto programov môže viesť k tomu, že orgány USA budú mať prístup k údajom prenášaným v rámci systému bezpečného prístavu a ďalej ich spracúvať nad rámec toho, čo je nevyhnutne primerané a potrebné na ochranu národnej bezpečnosti, ako to predpokladá výnimka stanovená v rozhodnutí [2000/520]“.

    23  V bode 7.2 oznámenia COM(2013) 847 final nazvanom „Obmedzenia a možnosti nápravy“ Komisia zdôraznila, že „záruky poskytované podľa právnych predpisov USA sú väčšinou k dispozícii pre občanov alebo osoby s riadnym pobytom v USA“ a že „okrem toho neexistujú žiadne príležitosti pre dotknuté osoby z [Únie] alebo USA na získanie prístupu, opravu alebo vymazanie údajov, príležitosti na administratívnu alebo súdnu nápravu, pokiaľ ide o zhromažďovanie a ďalšie spracovanie ich osobných údajov, ku ktorému dochádza v rámci programov sledovania USA“.

    24  Podľa bodu 8 oznámenia COM(2013) 847 final sa medzi certifikovanými spoločnosťami nachádzali „webové spoločnosti ako Google, Facebook, Microsoft, Apple a Yahoo“, ktoré „majú v Európe stovky miliónov klientov“ a „prenášajú do USA osobné údaje na ich spracovanie“.

    25  V tom istom bode 8 Komisia dospela k záveru, že „rozsiahly prístup spravodajských agentúr k údajom prenášaným do USA spoločnosťami certifikovanými v systéme bezpečného prístavu vyvoláva… závažné otázky týkajúce sa kontinuity práv Európanov na ochranu údajov pri prenose ich údajov do USA“.

Spor vo veci samej a prejudiciálne otázky

    26  Pán Schrems, rakúsky štátny príslušník s bydliskom v Rakúsku, je používateľom sociálnej siete Facebook (ďalej len „Facebook“) od roku 2008.

    27  Každý, kto má bydlisko na území Únie a chce používať Facebook, musí v rámci svojej registrácie uzavrieť zmluvu so spoločnosťou Facebook Ireland, dcérskou spoločnosťou Facebook Inc., ktorá má sídlo v Spojených štátoch. Osobné údaje klientov spoločnosti Facebook s bydliskom na území Únie sa v celom rozsahu alebo sčasti prenášajú na servery patriace spoločnosti Facebook Inc., ktoré sa nachádzajú na území Spojených štátov, kde sa spracúvajú.

    28  Pán Schrems predložil 25. júna 2013 komisárovi sťažnosť, v ktorej od neho v podstate žiadal, aby uplatnil svoju štatutárnu právomoc a zakázal spoločnosti Facebook Ireland prenos jeho osobných údajov do Spojených štátov. Uviedol, že platné právo a prax v tejto krajine nezabezpečujú dostatočnú ochranu osobných údajov uchovávaných na ich území pred činnosťami sledovania, ktoré tam vykonávali orgány verejnej moci. Pán Schrems v tejto súvislosti odkazoval na odhalenia pána Edwarda Snowdena týkajúce sa činností informačných služieb Spojených štátov, najmä National Security Agency (ďalej len „NSA“).

    29  Komisár, ktorý sa domnieval, že nemal povinnosť vyšetriť skutočnosti namietané pánom Schremsom v jeho sťažnosti, túto zamietol ako nedôvodnú. Dospel totiž k záveru, že neexistovali dôkazy, že NSA sa dostala k jeho osobným údajom. Komisár doplnil, že výhrady vznesené pánom Schremsom v jeho sťažnosti nemohli byť užitočne uplatnené, pretože všetky otázky týkajúce sa primeranosti ochrany osobných údajov v Spojených štátoch musia byť riešené v súlade s rozhodnutím 2000/520 a že v tomto rozhodnutí Komisia konštatovala, že Spojené štáty americké zabezpečujú primeranú úroveň ochrany.

    30  Pán Schrems podal proti rozhodnutiu dotknutému vo veci samej žalobu na High Court (Vyšší súd). Tento súd po preskúmaní dôkazov predložených účastníkmi konania vo veci samej konštatoval, že elektronické sledovanie a zaznamenávanie osobných údajov prenášaných z Únie do Spojených štátov zodpovedalo potrebným a nevyhnutným cieľom verejného záujmu. Tento súd však doplnil, že zistenia pána Snowdena ukázali, že NSA a iné federálne úrady sa dopustili „značného prekročenia právomoci“.

    31  Podľa toho istého súdu totiž občania Únie nemajú nijaké skutočné právo byť vypočutí. Dohľad nad činnosťami spravodajských služieb sa vykonáva v rámci konania, ktoré je tajné a nekontradiktórne. Ak sú už osobné údaje zaslané do Spojených štátov, NSA a ostatné federálne úrady, ako napríklad Federal Bureau of Investigation (FBI), môžu mať prístup k týmto údajom v rámci masového a nediferencovaného sledovania a zaznamenávania.

    32  High Court konštatoval, že írske právo zakazuje prenos osobných údajov mimo národného územia okrem prípadov, keď dotknutá tretia krajina zaručuje primeranú úroveň ochrany súkromia a základných práv a slobôd. Význam práva na súkromie a na nedotknuteľnosť obydlia zaručených írskou Ústavou vyžaduje, aby každý zásah do týchto práv bol primeraný a v súlade s požiadavkami stanovenými zákonom.

    33  Masový a nediferencovaný prístup k osobným údajom je zjavne v rozpore so zásadou proporcionality a základnými hodnotami chránenými írskou Ústavou. Aby sa zaznamenávanie elektronickej komunikácie mohlo považovať za v súlade s touto Ústavou, bolo by potrebné preukázať, že toto zaznamenávanie má cielený charakter, že sledovanie určitých osôb alebo určitých skupín osôb je objektívne odôvodnené v záujme národnej bezpečnosti alebo boja proti trestnej činnosti a že existujú primerané a overiteľné záruky. Podľa High Court ak by sa tak spor vo veci mal posúdiť výlučne podľa írskeho práva, malo by sa konštatovať, že vzhľadom na existenciu vážnej pochybnosti, pokiaľ ide o to, či Spojené štáty americké zaručujú primeranú úroveň ochrany osobných údajov, komisár mal vyšetriť skutočnosti uvedené pánom Schremsom v jeho sťažnosti a že ju nesprávne zamietol.

    34  High Court však konštatuje, že táto vec sa týka vykonávania práva Únie v zmysle článku 51 Charty, takže zákonnosť rozhodnutia dotknutého vo veci samej by sa mala posúdiť z hľadiska práva Únie. Podľa tohto súdu rozhodnutie 2000/520 nespĺňa požiadavky vyplývajúce tak z článkov 7 a 8 Charty, ako aj zo zásad uvedených Súdnym dvorom v rozsudku Digital Rights Ireland a i. (C‑293/12 a C‑594/12, EU:C:2014:238). Právo na rešpektovanie súkromného života zaručené článkom 7 Charty a základnými hodnotami spoločnými pre tradície členských štátov by bolo zásadne ohrozené, ak by orgány verejnej moci mohli náhodne a všeobecne získať prístup k elektronickej komunikácii bez toho, aby museli uviesť objektívne odôvodnenie založené na dôvodoch národnej bezpečnosti alebo predchádzania trestnej činnosti, ktoré špecificky súvisia s dotknutými jednotlivcami, a to bez akejkoľvek primeranej a overiteľnej záruky.

    35  High Court okrem toho uvádza, že pán Schrems v rámci svojej žaloby v skutočnosti napáda zákonnosť „systému bezpečného prístavu“ zavedeného rozhodnutím 2000/520, z ktorého vychádza rozhodnutie dotknuté vo veci samej. Preto hoci pán Schrems formálne nenapadol platnosť smernice 95/46 ani rozhodnutia 2000/520, vzniká podľa tohto súdu otázka, či vzhľadom na článok 25 ods. 6 tejto smernice bol komisár viazaný konštatovaním Európskej komisie uvedeným v tomto rozhodnutí, podľa ktorého Spojené štáty americké zabezpečujú primeranú úroveň ochrany alebo či článok 8 Charty oprávňoval komisára prípadne neuznať takéto konštatovanie.

    36  Za týchto podmienok High Court rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

        „1.  Je nezávislý komisár poverený uplatňovaním právnej úpravy o ochrane údajov pri posudzovaní sťažnosti, ktorá mu bola predložená a ktorá sa týka toho, že osobné údaje sa prenášajú do tretej krajiny (v tomto prípade do Spojených štátov amerických), ktorej zákony a prax podľa sťažovateľa údajne neposkytujú dotknutej osobe primeranú ochranu, absolútne viazaný konštatovaním Únie uvedeným v rozhodnutí 2000/520, ktoré znie v opačnom zmysle, a to vzhľadom na články 7, 8 a 47 Charty a bez toho, aby bol dotknutý článok 25 ods. 6 smernice 95/46?

          2.  V opačnom prípade môže alebo musí [komisár] vykonať vlastné vyšetrovanie vzhľadom na vývoj skutkových okolností, ku ktorému došlo odvtedy, ako bolo rozhodnutie Komisie prvýkrát uverejnené?“

O prejudiciálnych otázkach

    37  Svojimi prejudiciálnymi otázkami, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či a v akom rozsahu sa článok 25 ods. 6 smernice 95/46 v spojení s článkami 7, 8 a 47 Charty má vykladať v tom zmysle, že rozhodnutie prijaté podľa tohto ustanovenia, akým je rozhodnutie 2000/520, ktorým Komisia konštatuje, že tretia krajina zaručuje primeranú úroveň ochrany, bráni tomu, aby dozorný orgán členského štátu v zmysle článku 28 tejto smernice mohol preskúmať žiadosť osoby týkajúcu sa ochrany jej práv a slobôd pri spracovaní osobných údajov, ktoré sa jej týkajú a ktoré boli prenesené z členského štátu do tejto tretej krajiny, ak táto osoba tvrdí, že platné právo a prax v tejto krajine nezabezpečujú primeranú úroveň ochrany.

 O právomociach vnútroštátnych dozorných orgánov v zmysle článku 28 smernice 95/46 v prípade rozhodnutia Komisie prijatého na základe článku 25 ods. 6 tejto smernice

    38  Na úvod treba pripomenúť, že ustanovenia smernice 95/46 sa majú v rozsahu, v akom upravujú spracovanie osobných údajov, ktoré môže viesť k porušeniu základných slobôd a predovšetkým práva na rešpektovanie súkromného života, nevyhnutne vykladať s prihliadnutím na základné práva zaručené Chartou (pozri rozsudky Österreichischer Rundfunk a i., C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, bod 68; Google Spain a Google, C‑131/12, EU:C:2014:317, bod 68, ako aj Ryneš, C‑212/13, EU:C:2014:2428, bod 29).

    39  Z článku 1, ako aj z odôvodnení 2 a 10 smernice 95/46 vyplýva, že jej cieľom je zabezpečiť nielen účinnú a úplnú ochranu slobôd a základných práv fyzických osôb, najmä základné právo na rešpektovanie súkromného života vo vzťahu k spracovávaniu osobných údajov, ale tiež vysokú úroveň ochrany týchto slobôd a základných práv. Význam základného práva na rešpektovanie súkromného života zaručeného článkom 7 Charty, ako aj základného práva na ochranu osobných údajov, zaručeného jej článkom 8, okrem toho zdôrazňuje judikatúra Súdneho dvora (pozri rozsudky Rijkeboer, C‑553/07, EU:C:2009:293, bod 47; Digital Rights Ireland a i., C‑293/12 a C‑594/12, EU:C:2014:238, bod 53, ako aj Google Spain a Google, C‑131/12, EU:C:2014:317, body, 53, 66 a 74 a citovanú judikatúru).

    40  Pokiaľ ide o právomoci, ktorými disponujú vnútroštátne dozorné orgány vo vzťahu k prenosom osobných údajov do tretích krajín, treba uviesť, že

 
 Váš názor
Čo by ste zmenili na tomto portáli?
 Úspešne odoslané
Input: