Smernica o spracovaní osobných údajov[1] stanovuje, že prenos takýchto údajov do tretej krajiny sa môže v zásade uskutočniť iba vtedy, ak dotknutá tretia krajina zaisťuje týmto údajom primeranú úroveň ochrany. Rovnako podľa tejto smernice môže Komisia konštatovať, že tretia krajina zaisťuje z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, primeranú úroveň ochrany. Nakoniec smernica upravuje, že každý členský štát určí jeden alebo viac orgánov verejnej moci zodpovedných za monitorovanie uplatňovania vnútroštátnych ustanovení prijatých na základe smernice na jeho území („vnútroštátne dozorné orgány“).

Maximillian Schrems, rakúsky štátny príslušník, používa Facebook od roku 2008. Ako u všetkých používateľov s bydliskom v Únii, aj údaje poskytnuté pánom Schremsom spoločnosti Facebook sa prenášajú sčasti alebo v celom rozsahu z írskej dcérskej spoločnosti Facebook na servery, ktoré sa nachádzajú na území Spojených štátov, kde sa spracúvajú. Pán Schrems predložil írskemu dozornému orgánu sťažnosť, v ktorej uviedol, že vzhľadom na odhalenia Edwarda Snowdena v roku 2013 týkajúce sa činností informačných služieb Spojených štátov (osobitne National Security Agency alebo „NSA“) právo a prax Spojených štátov nezabezpečujú dostatočnú ochranu údajov prenesených do tejto krajiny pred činnosťami sledovania orgánov verejnej moci. Írsky orgán zamietol sťažnosť najmä z dôvodu, že vo svojom rozhodnutí z 26. júla 2000[2] Komisia uviedla, že v rámci režimu nazývaného „bezpečný prístav“[3] Spojené štáty zaisťujú preneseným osobným údajom primeranú úroveň ochrany.

High Court of Ireland (Vyšší súd Írska), ktorý o veci rozhoduje, sa pýta, či toto rozhodnutie Komisie bráni tomu, aby vnútroštátny dozorný orgán preskúmal sťažnosť, v ktorej sa uvádza, že tretia krajina nezaisťuje primeranú úroveň ochrany, a prípadne zastavil spochybnený prenos údajov.

Vo svojom dnešnom rozhodnutí Súdny dvor uvádza, že existencia rozhodnutia Komisie, ktoré konštatuje, že tretia krajina zaisťuje preneseným osobným údajom primeranú úroveň ochrany, nemôže vylúčiť ani obmedziť právomoci, ktorými disponujú vnútroštátne dozorné orgány podľa Charty základných práv Európskej únie a smernice. Súdny dvor v tejto súvislosti zdôrazňuje právo na ochranu osobných údajov zaručené Chartou, ako aj úlohu, ktorou sú poverené vnútroštátne dozorné orgány podľa tej istej Charty.

Súdny dvor sa domnieva, že žiadne ustanovenie smernice nebráni vnútroštátnym orgánom kontrolovať prenosy osobných údajov do tretích krajín, ktoré boli predmetom rozhodnutia Komisie. Takto aj v prípade existencie rozhodnutia Komisie vnútroštátne dozorné orgány, na ktoré sa podala žiadosť, musia mať možnosť nezávisle preskúmať, či prenos údajov osoby do tretej krajiny spĺňa požiadavky stanovené smernicou. Súdny dvor však pripomína, že je výlučne príslušný na konštatovanie neplatnosti aktu Únie, akým je rozhodnutie Komisie. V dôsledku toho ak sa vnútroštátny orgán alebo osoba, ktorá sa obrátila na vnútroštátny orgán, domnieva, že rozhodnutie Komisie je neplatné, tento orgán alebo táto osoba musí mať možnosť obrátiť sa na vnútroštátne súdne orgány, aby v prípade, že by tieto tiež mali pochybnosti o platnosti rozhodnutia Komisie, mohli postúpiť vec Súdnemu dvoru. Súdnemu dvoru teda patrí úloha definitívne rozhodnúť, či je rozhodnutie Komisie platné alebo nie.

Súdny dvor teda preskúmava platnosť rozhodnutia Komisie z 26. júla 2000. V tomto ohľade Súdny dvor pripomína, že Komisia mala povinnosť konštatovať, že Spojené štáty skutočne zaisťujú z dôvodu svojho vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísali, úroveň ochrany základných práv, ktorá je v podstate rovnocenná úrovni zaručenej v rámci Únie podľa smernice v spojení s Chartou. Súdny dvor uvádza, že Komisia takéto konštatovanie nevykonala, ale že preskúmala len režim bezpečného prístavu.

Bez toho, aby Súdny dvor musel overiť, či tento režim zaisťuje úroveň ochrany, ktorá je v podstate rovnocenná úrovni zaručenej v rámci Únie, Súdny dvor uvádza, že sa uplatňuje iba na americké podniky, ktoré k nemu pristúpia, pričom samotné orgány verejnej moci Spojených štátov mu nepodliehajú. Okrem toho požiadavky týkajúce sa národnej bezpečnosti, verejného záujmu alebo vymáhania práva Spojených štátov majú prednosť pred režimom bezpečného prístavu a americké podniky sú povinné bez akéhokoľvek obmedzenia neuplatniť pravidlá ochrany stanovené týmto režimom, ak sú v rozpore s takýmito požiadavkami. Americký režim bezpečného prístavu tak umožňuje zásahy zo strany amerických orgánov verejnej moci do základných práv osôb, pričom rozhodnutie Komisie neobsahuje nijaké ustanovenie, čo sa týka existencie pravidiel, ktorých cieľom by bolo obmedzenie týchto prípadných zásahov, v Spojených štátoch alebo existencie účinnej právnej ochrany proti týmto zásahom.

Súdny dvor sa domnieva, že túto analýzu režimu podporujú dve oznámenia Komisie[4], z ktorých najmä vyplýva, že orgány Spojených štátov mali prístup k osobným údajom preneseným z členských štátov do tejto krajiny a mohli ich spracovať spôsobom nezlučiteľným najmä s účelom ich prenosu a nad rámec toho, čo bolo prísne nevyhnutné a primerané vzhľadom na národnú bezpečnosť. Rovnako Komisia konštatovala, že pre dotknuté osoby neexistovali správne alebo súdne prostriedky nápravy umožňujúce najmä prístup k údajom, ktoré sa ich týkajú, a prípadne dosiahnuť ich opravu alebo ich vymazanie.

Pokiaľ ide o úroveň ochrany, ktorá je v podstate rovnocenná so slobodami a základnými právami zaručenými v rámci Únie, Súdny dvor konštatuje, že v práve Únie nie je na prísnu nevyhnutnosť obmedzená právna úprava, ktorá všeobecne oprávňuje uchovávanie všetkých osobných údajov každej osoby, ktorej údaje sú prenesené z Únie do Spojených štátov, bez toho, aby stanovovala akékoľvek rozlíšenie, obmedzenie alebo výnimku na základe sledovaného cieľa, a bez toho, aby sa stanovilo objektívne kritérium umožňujúce vymedziť prístup orgánov verejnej moci k údajom a ich neskoršie použitie. Súdny dvor dopĺňa, že právnu úpravu umožňujúcu orgánom verejnej moci všeobecný prístup k obsahu elektronických komunikácií treba považovať za právnu úpravu, ktorá zasahuje do podstaty obsahu základného práva na rešpektovanie súkromného života.

Súdny dvor rovnako uvádza, že právna úprava, ktorá neupravuje nijakú možnosť osoby podliehajúcej súdnej právomoci uplatniť právne prostriedky nápravy, aby mala prístup k osobným údajom, ktoré sa jej týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov, zasahuje podstatu obsahu základného práva na účinnú súdnu ochranu, pričom takáto možnosť je súčasťou existencie právneho štátu.

Nakoniec Súdny dvor konštatuje, že rozhodnutie Komisie z 26. júla 2000 zbavuje vnútroštátne dozorné orgány ich právomocí v prípade, keď osoba spochybní zlučiteľnosť rozhodnutia s ochranou súkromného života a slobôd a základných práv osôb. Súdny dvor sa domnieva, že Komisia nemala právomoc obmedziť právomoci vnútroštátnych dozorných orgánov.

Zo všetkých týchto dôvodov Súdny dvor vyhlasuje rozhodnutie Komisie z 26. júla 2000 za neplatné. Tento rozsudok má za následok, že írsky dozorný orgán je povinný preskúmať sťažnosť pána Schremsa so všetkou náležitou starostlivosťou, ktorá sa vyžaduje, a že je jeho úlohou po skončení svojho vyšetrovania rozhodnúť, či je podľa smernice potrebné zastaviť prenos údajov európskych používateľov Facebooku do Spojených štátov z dôvodu, že táto krajina nezaisťuje primeranú úroveň ochrany osobných údajov.

________________________________
[1] Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, s. 31; Mim. vyd. 13/015, s. 355).
[2] Rozhodnutie Komisie 2000/520/ES z 26. júla 2000 v súlade so smernicou 95/46 o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (Ú. v. ES L 215, s. 7; Mim. vyd. 16/001, s. 119).
[3] Režim bezpečného prístavu zahŕňa sériu zásad týkajúcich sa ochrany osobných údajov, ku ktorým môžu americké podniky dobrovoľne pristúpiť.
[4] Oznámenie Komisie Európskemu parlamentu a Rade nazvané „Obnovenie dôvery v toky údajov medzi EÚ a USA“ [COM(2013) 846 final, 27. november 2013] a oznámenie Komisie Európskemu parlamentu a Rade o fungovaní systému bezpečného prístavu z pohľadu občanov EÚ a spoločností usadených v EÚ [COM(2013) 847 final, 27. november 2013].

Zdroj:
Súdny dvor Európskej únie
TLAČOVÉ KOMUNIKÉ č. 117/15, 6. októbra 2015
Rozsudok vo veci C-362/14
Maximillian Schrems/Data Protection Commissioner
Neoficiálny dokument pre potreby médií, ktorý nezaväzuje Súdny dvor.
Úplné znenie rozsudku sa uverejňuje na internetovej stránke CURIA v deň vyhlásenia rozsudku.

© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk