Trybunał Sprawiedliwości Unii Europejskiej  w wyroku z 6 października 2015 uznał nieważność decyzji Komisji stwierdzającej, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony przekazywanych danych osobowych.

Podczas gdy Trybunał jest jedynym organem właściwym do stwierdzenia nieważności aktu Unii, to krajowe organy nadzorcze, do których została wniesiona skarga, mogą - nawet w przypadku, gdy Komisja wydała decyzję stwierdzającą, że państwo trzecie zapewnia właściwy stopień ochrony danych osobowych - zbadać, czy przekazanie danych danej osoby do tego państwa spełnia wymogi prawodawstwa Unii dotyczącego ochrony tych danych, a także wnieść skargę do sądów krajowych, na tej samej podstawie co osoba, której dane są przekazywane, aby sądy te zwróciły się z pytaniem prejudycjalnym w celu zbadania ważności tej decyzji.

Dyrektywa o przetwarzaniu danych osobowych¹ stanowi, że przekazywanie tego rodzaju danych do państwa trzeciego może nastąpić co do zasady tylko wtedy, gdy dane państwo trzecie zapewni odpowiedni stopień ochrony tych danych. Zgodnie z dyrektywą Komisja może stwierdzić, że państwo trzecie - poprzez swe ustawodawstwo krajowe lub zobowiązania międzynarodowe - zapewnia odpowiedni stopień ochrony. Wreszcie dyrektywa stanowi, że każde państwo członkowskie wyznacza jeden lub kilka organów publicznych odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów krajowych przyjętych na podstawie dyrektywy („krajowe organy nadzorcze”).

Maximillian Schrems, obywatel austriacki, korzysta z Facebooka od 2008 r. Tak jak w przypadku innych użytkowników zamieszkałych w Unii, dane zamieszczane przez M. Schremsa na Facebooku są przekazywane, w całości lub w części, z irlandzkiego oddziału Facebooka do serwerów znajdujących się na terytorium USA, gdzie są one przetwarzane. M. Schrems wniósł skargę do irlandzkiego organu nadzorczego stwierdzając, że w świetle informacji podanych do wiadomości w 2013 r. przez Edwarda Snowdena na temat działalności służ specjalnych USA (w szczególności National Security Agency lub „NSA”), prawo i praktyka USA nie zapewniają żadnej rzeczywistej ochrony przed kontrolowaniem przez organy publiczne danych przekazywanych do tego państwa. Organ irlandzki oddalił skargę w szczególności z tego względu, że w decyzji z dnia 26 lipca 2000 r.². Komisja stwierdziła, że w ramach systemu zwanego „bezpieczną przystanią”³ USA zapewniają odpowiedni stopień ochrony przekazywanych danych osobowych.

High Court of Ireland (wysoki trybunał sądownictwa irlandzkiego), przed którym zawisł spór, zmierza do ustalenia, czy ta decyzja Komisji uniemożliwia krajowemu organowi nadzorczemu prowadzenie dochodzenia w sprawie skargi dotyczącej nieodpowiedniego stopnia ochrony i, w stosownym przypadku, zawieszenie podważanego przekazywania danych.

W ogłoszonym dzisiaj wyroku Trybunał orzekł, że istnienie decyzji Komisji stwierdzającej, że państwo trzecie zapewnia odpowiedni stopień ochrony przekazywanych danych osobowych, nie może zniweczyć, ani nawet ograniczyć, uprawnień, jakie przysługują krajowym organom nadzorczym na mocy Karty praw podstawowych Unii Europejskiej i dyrektywy. Trybunał podkreślił w tym zakresie prawo do ochrony danych osobowych gwarantowane w Karcie, a także misję, jaką pełnią krajowe organy nadzorcze na mocy wspomnianej Karty.

Trybunał stwierdził najpierw, że żaden przepis dyrektywy nie uniemożliwia krajowym organom nadzorczym kontrolowania przekazywania danych osobowych do państw trzecich, w odniesieniu do których Komisja wydała decyzję. Tak więc, nawet w przypadku gdy istnieje decyzja Komisji, krajowe organy nadzorcze, do których została wniesiona skarga, muszą mieć możliwość zbadania w sposób całkowicie niezależny, czy przekazywanie danych dotyczących danej osoby do państwa trzeciego spełnia wymogi ustanowione w dyrektywie. Niemniej jednak Trybunał przypomniał, że jest jedynym organem właściwym do stwierdzenia nieważności aktu Unii, takiego jak decyzja Komisji. W konsekwencji, w przypadku gdy organ krajowy lub osoba, która wniosła skargę do organu krajowego, twierdzi, że decyzja Komisji jest nieważna, organ ten lub ta osoba muszą mieć możliwość zwrócenia się do sądów krajowych, aby sądy te, jeśli także mają wątpliwości co do ważności decyzji Komisji, mogły zwrócić się do Trybunału Sprawiedliwości z pytaniem prejudycjalnym. Tak więc ostatecznie to Trybunał orzeka, czy decyzja Komisji jest ważna, czy też nieważna.

Tymczasem, bez konieczności zbadania przez Trybunał, czy system ten zapewnia stopień ochrony zasadniczo równoważny do stopnia ochrony gwarantowanego w ramach Unii, Trybunał stwierdził, że system ten ma zastosowanie wyłącznie do przedsiębiorstw amerykańskich, które do niego przystąpiły i że nie podlegają mu same organy publiczne. Poza tym wymogi dotyczące bezpieczeństwa narodowego, interesu publicznego i przestrzegania ustaw USA mają przewagę nad systemem bezpiecznej przystani w ten sposób, że przedsiębiorstwa amerykańskie są zobowiązane do odstąpienia od stosowania bez ograniczeń zasad ochrony przewidzianych w tym systemie, jeśli stoją one w sprzeczności z takimi wymogami.

Amerykański system bezpiecznej przystani umożliwia zatem ingerencję amerykańskich organów publicznych w prawa podstawowe osób, przy czym w decyzji Komisji nie wskazano ani na istnienie w USA przepisów mających na celu ograniczenie tych możliwych ingerencji ani na istnienie skutecznej ochrony prawnej przed tymi ingerencjami.

Trybunał stwierdził, że ta analiza systemu jest poparta dwoma komunikatami Komisji⁴, z których wynika miedzy innymi, że organy USA mogą uzyskać dostęp do danych osobowych przekazywanych z państw członkowskich do tego państwa i je przetwarzać w sposób niezgodny w szczególności z celami ich przekazywania i wykraczając poza to, co jest ściśle niezbędne i proporcjonalne do zapewnienia ochrony bezpieczeństwa narodowego. Podobnie, Komisja stwierdziła, że osoby, których dane są przekazywane, nie dysponują administracyjnymi lub sądowymi środkami prawnymi umożliwiającymi w szczególności uzyskanie dostępu do dotyczących ich danych i, w stosownym przypadku, skorygowanie lub usunięcie ich.

W odniesieniu do stopnia ochrony zasadniczo równoważnego do wolności i praw gwarantowanych w ramach Unii Trybunał orzekł, że w prawie Unii uregulowanie nie jest ograniczone do tego, co jest ściśle niezbędne, ponieważ pozwala w ogólny sposób na przechowywane wszelkich danych osobowych wszystkich osób, których dane są przekazywane z Unii do USA, bez dokonywania jakiegokolwiek rozróżnienia, ograniczenia lub wyjątku w oparciu o zamierzony cel i bez określenia obiektywnych kryteriów w celu wytyczenia granic dostępu organów publicznych do danych i ich późniejszego wykorzystywania. Trybunał dodał, że uregulowanie pozwalające organom publicznym na uzyskanie dostępu w sposób ogólny do treści wiadomości elektronicznych należy uznać za naruszające zasadniczą istotę podstawowego prawa do poszanowania życia prywatnego.

Podobnie, Trybunał orzekł, że uregulowanie, które nie przewiduje żadnej możliwości skorzystania przez jednostkę ze środków prawnych w celu uzyskania dostępu do dotyczących jej danych osobowych lub spowodowania korekty lub usunięcia tego rodzaju danych, narusza zasadniczą istotę prawa podstawowego do skutecznej ochrony sądowej, przy czym taka możliwość jest ściśle związana z istnieniem państwa prawa.

Wreszcie Trybunał orzekł, że decyzja Komisji z dnia 26 lipca 2000 r. pozbawia krajowe organy nadzorcze ich uprawnień w przypadku, gdy jednostka podważa zgodność decyzji z ochroną życia prywatnego oraz wolności i praw podstawowych osób. Trybunał stwierdził, że Komisja nie miała kompetencji do ograniczenia w ten sposób uprawnień krajowych organów nadzorczych.

Ze wszystkich tych powodów Trybunał stwierdził, że decyzja Komisji z dnia 26 lipca 2000 r. jest nieważna. W następstwie wydania tego wyroku irlandzki organ nadzorczy jest zobowiązany do zbadania skargi M. Schremsa z wszelką wymaganą starannością i - po przeprowadzeniu dochodzenia - do wydania decyzji, czy należy zawiesić, na mocy dyrektywy, przekazywanie danych europejskich użytkowników Facebooka do USA z tego względu, że państwo to nie zapewnia odpowiedniego stopnia ochrony danych osobowych.

UWAGA: Odesłanie prejudycjalne pozwala sądom państw członkowskich, w ramach rozpatrywanego przez nie sporu, zwrócić się do Trybunału z pytaniem o wykładnię prawa Unii lub o ocenę ważności aktu Unii. Trybunał nie rozpoznaje sporu krajowego. Do sądu krajowego należy rozstrzygnięcie sprawy zgodnie z orzeczeniem Trybunału. Orzeczenie to wiąże w ten sam sposób inne sądy krajowe, które spotkają się z podobnym problemem.

¹ Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.L 281, s. 31).

² Decyzja 2000/520/WE Komisji z dnia 26 lipca 2000 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (Dz.U. 2000, L 215, s. 7).

³ System „bezpiecznej przystani” obejmuje szereg zasad dotyczących ochrony danych osobowych , do przestrzegania których przedsiębiorstwa amerykańskie mogą dobrowolnie się zobowiązać.

⁴ Komunikat Komisji do Parlamentu Europejskiego i Rady zatytułowany „Odbudowa zaufania do przepływów danych między Unią Europejską a Stanami Zjednoczonymi” (COM(2013) 846 final, 27 listopada 2013 r.) i komunikat Komisji do Parlamentu Europejskiego i Rady w sprawie funkcjonowania zasad bezpiecznego transferu danych osobowych z punktu widzenia obywateli UE i przedsiębiorstw z siedzibą w UE (COM(2013) 847 final, 27 listopada 2013 r).