Решение 2000/520 на Европейската комисия е недействително поради нарушаване на чл. 7, 8 и 47 от Хартата на основните права на ЕС и поради превишаване на правомощията на Комисията по Директива 95/46/ЕО.

 

Директива 95/46/ЕО трябва да се тълкува в смисъл, че приетото въз основа на нея решение, каквото е Решение 2000/520 на Комисията от 26 юли 2000г., с което ЕК констатира, че трета страна гарантира достатъчна степен на защита, не е пречка надзорен орган на държава членка да разгледа жалбата на лице, отнасяща се до защита на неговите права и свободи при обработването на лични данни, които се прехвърлят от тази държава към трета страна, ако лицето твърди, че действащите в момента право и практики в тази трета страна не гарантират достатъчна степен на защита.

Като приема, че Комисията е превишила предоставените й правомощия, както и с оглед на нарушаването в Решение 2000/520 на изискванията, произтичащи от чл. 7, 8 и 47 от Хартата на основните права, Съдът на ЕС постановява, че решението на Европейската комисия по чл. 25, ал. 6 от Директива 95/46/ЕО относно наличието на достатъчна степен на защита на личните данни в САЩ за целите на предоставянето на лични данни към тази страна е невалидно.

 

1.    Факти по главното производство

Г-н Schrems е пребиваващ в Австрия гражданин на тази държава и е потребител на социалната мрежа Facebook. Всяко лице на територията на Европейския съюз(ЕС), което иска да използва Facebook, е поставено в положение при регистрацията си да сключи договор с Facebook Ireland, дъщерно дружество на Facebook Inc., чието седалище е в САЩ. Личните данни на пребиваващите на територията на Съюза потребители на Facebook Ireland изцяло или частично се прехвърлят към разположени на територията на САЩ сървъри на Facebook Inc., където се обработват.

На 25 юни 2013г. г-н Schrems подава жалба до Комисаря за защита на личните данни[1] (наричан по-нататък „Комисарят“), с която иска от него да упражни своите правомощия и да забрани на Facebook Ireland да прехвърля личните му данни към САЩ. Жалбоподателят твърди, че действащите в момента право и практики в тази страна не гарантират достатъчна степен на защита на съхраняваните на територията й лични данни. В това отношение г-н Schrems се позовава на направените от г-н Едуард Сноудън разкрития относно дейността на разузнавателните служби на САЩ и по-специално, дейността на National Security Agency (наричана по-нататък „NSA“). Комисарят счита, че не е длъжен да проведе разследване по жалбата на г-н Schrems и я отхвърля като неоснователна, защото няма доказателства, от които да е видно, че NSA е имала достъп до личните данни на жалбоподателя. Комисарят посочва още, че твърденията на г-н Shrems са неотносими, тъй като всеки въпрос относно достатъчния характер на защитата на личните данни в САЩ следва да се решава в съответствие с Решение 2000/520[2], в което Европейската комисия е констатирала, че Съединените американски щати гарантират достатъчна степен на защита.

Г-н Schrems подава жалба срещу решението на Комисаря за защита на личните данни до Върховния съд на Ирландия[3]. Сезиранията съд приема, че казусът следва да бъде разгледан и решен според правото на ЕС, с оглед на което решава да отправи преюдициално запитване до Съда на ЕС. Висшата юрисдикция на Ирландия констатира, че електронното наблюдение и прихващането на лични данни, прехвърляни от ЕС към САЩ, обслужват необходими и наложителни цели от обществен интерес, но добавя, че направените от г-н Сноудън разкрития свидетелстват за „значителна степен на прекомерност“ в дейтвията на NSA и други федерални органи.

В своето запитване Върховният съд отбелязва, че ирландското право забранява прехвърлянето на лични данни извън националната територия, освен ако съответната третата страна не гарантира достатъчна степен на защита на личния живот и на основните права и свободи. Ирландската конституция изисква всяка намеса, засягаща личния живот и правото на неприкосновеност на жилището, да бъде пропорционална и в съответствие с предвидените законови изисквания. Висшата юрисдикция на Ирландия посочва още, че масовият и несистематизиран достъп на федерални органи в САЩ до лични данни е в противоречие с принципа на пропорционалност[4] и с основните ценности, заложени в ирландската конституция. За да отговаря на принципа на пропорционалност, този достъп до лични данни трябва да е обоснован от интерес на националната сигурност или борба с престъпността, като бъде доказано, че са налице необходимите гаранции. Върховният съд отбелязва наред с това, че ако делото се решава по вътрешното право на Ирландия, то Комисарят по защита на личните данни следва да проведе разследване по жалбата на г-н Schrems.

Отправеното от Върховният съд на Ирландия запитване има за непосредствен предмет изясняването на това, дали предвид на чл. 25, параграф 6 от Директива 95/46/ЕО[5] компетентните по защита на личните данни национални органи са ограничени от Решение на 2000/520 на Европейската комисия да се произнасят по жалби за нарушаване на гарантираните от чл. 7, 8 и 47 от Хартата на ЕС основни права при трансфера на лични данни към САЩ. На второ място висшата юрисдикция на Ирландия иска изясняване на това, доколко националните органи могат да пристъпват към проверка на наличието на достатъчна степен за защита на личните данни в трета страна, ако е налице решение на комисията за съществуването на такава по чл. 25, параграф 6 от Директивата?

По същество в своето запитване  Върховният съд на Ирландия поставя под въпрос съответствието на Решение 2000/520 с чл. 7 и 8 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“), които се отнасят до зачитане на личния и семейния живот[6] и до защитата на личните данни[7]. В частност запитващата юрисдикция поставя проблема, доколко правото на зачитане на личния живот би било лишено от смисъл, ако на публичните власти бъде позволено да имат всеобхватен достъп до лични данни, без да е необходимо обосноваването и доказването на конкретни нужди, свързани със защитата на националната сигурност или превенцията на престъпления и без тези практики да са съпроводени с подходящи гаранции за сигурност на данните.

2.    Решение на Съда на ЕС

На първо място Съдът на ЕС констатира, че разпоредбите на Директива 95/46, свързани с обработката на лични данни, трябва да се тълкуват с оглед на основните права, гарантирани в Хартата и в частност на чл. 7 и 8, гарантиращи неприкосновеността на личния живот и защитата на личните данни.

Съдът посочва също, че съгласно разпоредбите на Директива 95/46 държавите членки са обвързани да учредят един или повече публични органи, които при условия на независимост[8] да осъществяват контрол по спазването на правото на ЕС относно защитата на физически лица при обработването на личните им данни. Тези национални органи следва да разполагат с правомощия по разследване[9], с правомощия за намеса[10] и с правомощия да водят съдебни производства. Тези правомощия се отнасят до обработването на лични данни на територията на държавата-членка, в която функционира съответния орган. В същото време в едно от съображенията към гореспоменатата Директива е уточнено, че прехвърлянето на лични данни към трети страни може да се извършва единствено при пълно спазване на разпоредбите, приети от държавите-членки по нейното приложение. Във връзка с това съображение и в съответствие със съдържанието на гореспоменатия чл. 8 от Хартата, националните надзорни органи разполагат с правомощия да проверяват дали прехвърлянето на данни от държавата членка към трета страна отговаря на изискванията на Директива 95/46.

Съдът на ЕС приема, че прехвърлянето на лични данни от ЕС към трети страни е нужно за развитието на международната търговия, но същевременно подчертава, че според изискванията на Директивата, то може да се извършва само, ако третите страни гарантират достатъчна степен на защита на тези данни. Както отбелязва генералния адвокат, „констатацията относно това дали дадена трета страна гарантира достатъчна степен на защита може да се извърши или от държавите-членки, или от Комисията. Следователно става въпрос за споделена компетентност“. Доколкото Европейската комисия е упражнила правомощията, произтичащи от чл. 25, параграф 6 от Директивата и е определила, че в дадена трета страна има достатъчна степен на защита, държавите членки са обвързани от това решение и техните компетентни органи не могат да приемат актове в противен смисъл.

Същевременно Съдът определя, че наличието на решение по чл. 25, параграф 6 от Директива 95/46 не може да ограничава националните компетентни органи да упражняват правомощията по защита на личните данни в случаи на трансфер на такива данни към трети страни, произтичащи от чл. 28, параграф 4 от Директивата и от чл. 8, параграф 3 на Хартата на основните права на ЕС. Противното според Съда би лишило лицата от гарантираните им основни права. В тази връзка висшата юрисдикция на ЕС напомня още, че Европейският съюз е основан на върховенството на правото и актовете на неговите институции са обект на контрол за съответствие с Договорите, с общите принципи на правото, както и с основните права. Поради установеният ред на съдебен контрол над актовете на институциите на ЕС, Съдът на ЕС разполага с изключителното правомощие да се произнася относно тяхната действителност. С оглед на това, в случаите в които се повдига въпросът за съответствието на решения по чл. 25, параграф 6 на Комисията с основните изисквания за защита на личните данни в правото на ЕС, на физическите лица следва да бъдат гарантирани правни средства за защита пред националните надзорни органи за защита на личните данни и пред съд, за да се позволи упражняването на правото им по чл. 47 от Хартата и за да се гарантира осъществяването на ефективен контрол за законност над актовете на Комисията.

В порядъка на така изложените аргументи Съдът на ЕС приема, че Директива 95/46/ЕО трябва да се тълкува в смисъл, че приетото въз основа на нея решение, каквото е Решение 2000/520 на Комисията от 26 юли 2000г., с което ЕК констатира, че трета страна гарантира достатъчна степен на защита, не е пречка надзорен орган на държава членка да разгледа жалбата на лице, отнасяща се до защита на неговите права и свободи при обработването на лични данни, които се прехвърлят от тази държава към трета страна, ако лицето твърди, че дестващите в момента право и практики в тази трета страна не гарантират достатъчна степен на защита.

На втори план в своето решение, висшата юрисдикция на Съюза пристъпва към проверка на действителността на Решение 2000/520, която г-н Schrems оспорва с аргументи, чиято релевантност се споделя от запитващата юрисдикция. За да прецени дали гореспоменатото решение съответства на Директива 95/46, Съдът първо изяснява точното съдържание на понятието „достатъчна степен на защита“. Като стъпва на заключенията на Генералният адвокат висшата юрисдикция на ЕС определя, че „достатъчна степен на защита“ трябва да се разбира в смисъл, че съответната трета страна следва ефективно да гарантира по силата на вътрешното си законодателство и международните споразумения, с които е обвързана, степен на защита на личните данни, равностойна с гарантираната в ЕС по силата на Директива 95/46 и Хартата на основните права.

Съдът посочва още, че Комисията трябва периодично да проверява дали направената констатация относно достатъчната степен на защита на личните данни в трета страна продължава да е релевантна, като взема предвид и обстоятелства, настъпили след приемане на първоначалното решение по чл. 25, параграф 6 от Директивата. Предвид на значимостта на основните права, свързани с разглежданата проблематика и с оглед на повишения риск от нарушаване на тези права поради големия брой лица, за които се предоставят лични данни към третата страна, Съдът приема, че правото на Европейската комисия да преценява достатъчния характер на защитата в трети страни е ограничено и съответно пристъпва към подробна проверка на спазването на изискванията, произтичащи от Директива 95/46 в Решение 2000/520.

При обстойния анализ на спорното решение висшата юрисдикция на ЕС стига до заключението, че то не съдържа достатъчно констатации относно мерките, с които Съединените американски щати гарантират равностойна степен на защита на личните данни. Също така решението не съдържа каквато и да било констатации относно наличието в САЩ на правила, предназначени да ограничават намесата на публични органи, засягаща личните данни на лицата. Съдът на ЕС поставя акцент върху това, че прилагането на установените в САЩ гаранции за защита на личните данни в частния сектор може да бъде ограничено по съображения за защита на националната сигурност, обществения интерес или правоприлагането, като в случаите, когато лични данни са предоставени на частни оператори в САЩ, те могат да бъдат предадени на публичните органи и да бъдат обработват по начин, който не отговаря на изискванията на Директива 95/46/ЕО. Съдът установява също, че засегнатите физически лица не разполагат със средства за защита по административен или съдебен път, чрез които да получат достъп до засягащите ги данни и при необходимост да искат данните да бъдат поправени или заличени.

Висшата юрисдикция на ЕС подчертава, че правото на Съюза изисква в случаите на намеса в полето на неприкосновеност на личния живот и на защита на личните данни, да се прилагат ясни и точни правила, които уреждат обхвата и приложението на съответната мярка, както и да са установят минимални изисквания, така че лицата, чиито лични данни са засегнати да разполагат с достатъчно гаранции срещу риск от злоупотреба, както и срещу всякакъв незаконен достъп или използване на тези данни. Съдът на ЕС посочва още, че зачитането на личния живот като основно право, гарантирано с чл. 7 от Хартата, и в частност защитата на лични, следва да се ограничават само в строго необходими случаи. Според Съда не се вписва в границите на тези изисквания национална уредба, която позволява общото съхраняване на всички данни за всички лица, без да въвежда никакво разграничение или изключение с оглед на преследваната цел и без да предвижда обективни критерии, позволяващи ограничаването на достъпа на публичните органи до тези данни и използването им за цели, различни от тези, за които са събрани. Не е съвместима с изискванията за защита на основните права правна уредба, която осигурява общ достъп на публичните органи до съдържанието на електронните съобщения. Подобно положение следва да се счита за засягащо същественото съдържание на основното право на зачитане на личния живот, гарантирано в чл. 7 от Хартата на основните права на ЕС. Несъвместима с чл. 47 от Хартата и със съществуването на правовата държава е и правна уредба, която не предвижда никакви правни средства за защита, позволяващи на лицата да получат достъп до засягащи ги данни или да искат заличаването им в случай на противоправно третиране на тези данни.

Друго съществено несъответствие на Решение 2000/520 с Директива 95/46 според Съда на ЕС е свързано с предвидената в него специфична правна уредба на правомощията, с които разполагат националните надзорни органи с оглед извършена от Комисията констатация във връзка с достатъчната степен на защита по смисъла на Директивата. Според висшата юрисдикция на Съюза чл. 3, параграф 1 от Решението лишава националните органи от правомощията, които те черпят от чл. 28 от Директива 95/46/ЕО в случаи, когато се претендира нарушаване на правата на защита на личните данни при трансфер на такива данни към САЩ. В същото време предоставените на Комисията изпълнителни правомощия по прилагането на Директивата не включват възможността за налагане на подобно ограничение.

Като приема, че Комисията е превишила предоставените й правомощия, както и с оглед на нарушаването в Решение 2000/520 на изискванията, произтичащи от чл. 7, 8 и 47 от Хартата на основните права, Съдът на ЕС постановява, че решението на Европейската комисия по чл. 25, ал. 6 от Директива 95/46/ЕО относно наличието на достатъчна степен на защита на личните данни в САЩ за целите на предоставянето на лични данни към тази страна е невалидно.

 

[1] Data Protection Commissioner.

[2] OB L 215, 25.8.2000 г., специално българско издание: глава 16 том 001 стр. 64 – 105.

[3] High Court.

[4] Според принципа на пропорционалност следва да се използват такива мерки и средства за постигане на поставените цели, които да не надвишават необходимото и достатъчно за постигането на въпросните цели.

[5] Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, OB L 281, 23.11.1995г., глава 13 том 017 стр. 10 – 29.

[6]  Според чл. 7 от Хартата: „Всеки има право на зачитане на неговия личен и семеен живот, на неговото жилище и тайната на неговите съобщения“.

[7] Според чл. 8 от Хартата: „1. Всеки има право на защита на неговите лични данни.

2. Тези данни трябва да бъдат обработвани добросъвестно, за точно определени цели и въз основа на съгласието на заинтересованото лице или по силата на друго предвидено от закона легитимно основание. Всеки има право на достъп до събраните данни, отнасящи се до него, както и правото да изисква поправянето им.

3. Спазването на тези правила подлежи на контрол от независим орган“.

[8] Независимостта на националните надзорни органи трябва да осигури ефективност и надеждност на надзора за спазване на разпоредбите в областта на защитата на физическите лица при обработване на лични данни.

[9] Да имат гарантираната възможност да събират цялата информация, необходима за изпълнението на функциите по надзора.

[10] Да имат правомощието да въведат временна или окончателна забрана върху обработването на данни.