ROZSUDEK SOUDNÍHO DVORA (velkého senátu)

6. října 2015 ( * )

„Řízení o předběžné otázce — Osobní údaje — Ochrana fyzických osob v souvislosti se zpracováním těchto údajů — Listina základních práv Evropské unie — Články 7, 8 a 47 — Směrnice 95/46/ES — Články 25 a 28 — Předávání osobních údajů třetím zemím — Rozhodnutí 2000/520/ES — Předávání osobních údajů do Spojených států — Neodpovídající úroveň ochrany — Platnost — Stížnost fyzické osoby, jejíž osobní údaje byly předány z Evropské unie do Spojených států — Pravomoci vnitrostátních orgánů dozoru“

Ve věci C‑362/14,

jejímž předmětem je žádost o rozhodnutí o předběžné otázce na základě článku 267 SFEU, podaná rozhodnutím High Court (Vrchní soud, Irsko) ze dne 17. července 2014, došlým Soudnímu dvoru dne 25. července 2014, v řízení

Maximillian Schrems

proti

Data Protection Commissioner,

za přítomnosti:

Digital Rights Ireland Ltd,

SOUDNÍ DVŮR (velký senát),

ve složení V. Skouris, předseda, K. Lenaerts, místopředseda, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (zpravodaj) a S. Rodin, K. Jürimäe, předsedové senátů, A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen a C. Lycourgos, soudci,

generální advokát: Y. Bot,

vedoucí soudní kanceláře: L. Hewlett, vrchní rada,

s přihlédnutím k písemné části řízení a po jednání konaném dne 24. března 2015,

s ohledem na vyjádření předložená:

za M. Schremse N. Traversem, SC, P. O’Sheaem, BL, a G. Ruddenem, solicitor, jakož i H. Hofmannem, Rechtsanwalt,

za Data Protection Commissioner P. McDermottem, BL, S. More-O’Ferrall a D. Youngem, solicitors,

za Digital Rights Ireland Ltd F. Crehanem, BL, jakož i S. McGarrem a E. McGarrem, solicitors,

za Irsko A. Joycem a B. Counihanem, jakož i E. Creedon, jako zmocněnci, ve spolupráci s D. Fennellym, BL,

za belgickou vládu J.-C. Halleuxem a C. Pochet, jako zmocněnci,

za českou vládu M. Smolkem a J. Vláčilem, jako zmocněnci,

za italskou vládu G. Palmieri, jako zmocněnkyní, ve spolupráci s P. Gentilim, avvocato dello Stato,

za rakouskou vládu G. Hessem a G. Kunnertem, jako zmocněnci,

za polskou vládu M. Kamejsza a M. Pawlickou, jakož i B. Majczynou, jako zmocněnci,

za slovinskou vládu A. Grum a V. Klemenc, jako zmocněnkyněmi,

za vládu Spojeného království L. Christiem a J. Beeko, jako zmocněnci, ve spolupráci s J. Holmesem, barrister,

za Evropský parlament D. Moorem a A. Caiolou, jakož i M. Penčevou, jako zmocněnci,

za Evropskou komisi B. Schimou, B. Martenczukem a B. Smuldersem, jakož i J. Vondung, jako zmocněnci,

za Evropského inspektora ochrany údajů (EIOÚ) C. Dockseyem, A. Buchtou a V. Pérez Asinarim, jako zmocněnci,

po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 23. září 2015,

vydává tento

Rozsudek

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 25 odst. 6 a článku 28 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, s. 31; Zvl. vyd. 13/15, s. 355), ve znění nařízení Evropského parlamentu a Rady (ES) č. 1882/2003 ze dne 29. září 2003 (Úř. věst. L 284, s. 1; Zvl. vyd. 01/04, s. 447, dále jen „směrnice 95/46“), z hlediska článků 7, 8 a 47 Listiny základních práv Evropské unie (dále jen „Listina“), jakož i v zásadě platnosti rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice 95/46 o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu Spojených států (Úř. věst. L 215, s. 7; Zvl. vyd. 16/01, s. 119).

2

Tato žádost byla předložena v rámci sporu mezi M. Schremsem a Data Protection Commissioner (Komisař pro ochranu údajů, dále jen „Komisař“) ve věci odmítnutí ze strany posledně zmíněného prošetřit stížnost podanou M. Schremsem z důvodu, že společnost Facebook Ireland Ltd (dále jen „Facebook Ireland“) předává osobní údaje o svých uživatelích do Spojených států a tyto údaje uchovává na serverech umístěných v této zemi.

Právní rámec

Směrnice 95/46

3

Body 2, 10, 56, 57, 60, 62 a 63 odůvodnění směrnice 95/46 znějí takto:

„(2)

[...] systémy zpracování údajů slouží lidem; [...] musí bez ohledu na státní občanství nebo bydliště fyzických osob dodržovat základní svobody a práva těchto osob, zejména právo na soukromí, a přispívat k […] dobrý[m] životní[m] podmín[kám] jednotlivců;

[…]

(10)

[...] předmětem vnitrostátních právních předpisů o zpracování osobních údajů je chránit základní práva a svobody, zejména právo na soukromí [uznané] v článku 8 Evropské úmluvy o ochraně lidských práv a základních svobod [podepsané v Římě dne 4. listopadu 1950] i v obecných zásadách práva Společenství; […] z tohoto důvodu sblížení těchto právních předpisů nesmí vést k oslabení ochrany, kterou zajišťují, ale musí mít naopak za cíl zajištění vysoké úrovně ochrany ve Společenství;

[…]

(56)

[...] přeshraniční toky osobních údajů jsou nezbytné pro rozvoj mezinárodního obchodu; [...] ochrana osob zaručená ve Společenství touto směrnicí není v rozporu s předáváním osobních údajů do třetích zemí zajišťujících odpovídající úroveň ochrany; [...] odpovídající úroveň ochrany poskytovanou třetími zeměmi je třeba hodnotit z hlediska všech okolností souvisejících s předáním nebo předáváním;

(57)

[...] v případě, kdy třetí země naopak neposkytuje odpovídající úroveň ochrany, musí být předávání osobních údajů do této země zakázáno;

[…]

(60)

[...] v každém případě mohou být předání do třetích zemí uskutečňován[a] pouze při úplném dodržování předpisů přijatých členskými státy k provedení této směrnice, a zejména jejího článku 8;

[…]

(62)

[...] zřízení orgánů dozoru v členských státech vykonávajících zcela nezávisle své úkoly je zásadním prvkem ochrany osob v souvislosti se zpracováním osobních údajů;

(63)

[...] tyto orgány musejí být vybaveny nezbytnými prostředky pro plnění svých úkolů, včetně pravomocí provádět šetření a zasahovat, zejména pokud jsou těmto orgánům podány stížnosti, nebo pravomoci obrátit se na soud; [...]“

4

Články 1, 2, 25, 26, 28 a 31 směrnice 95/46 stanoví:

„Článek 1

Předmět směrnice

1.   Členské státy zajišťují v souladu s touto směrnicí ochranu základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů.

[...]

Článek 2

Definice

Pro účely této směrnice se rozumí:

a)

‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné osobě (subjekt údajů); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity;

b)

‚zpracováním osobních údajů‘ (‚zpracování‘) jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace;

[...]

d)

‚správcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů; jsou-li účel a prostředky zpracování určeny právními a správními předpisy na úrovni jednotlivých států či Společenství, je možné určit správce nebo zvláštní kritéria pro jeho určení právem jednotlivých států nebo Společenství;

[...]

Článek 25

Zásady

1.   Členské státy stanoví, že k předávání osobních údajů, které jsou předmětem zpracování nebo které mají být předmětem zpracování po předání, do třetích zemí může dojít, aniž by tím bylo dotčeno dodržování vnitrostátních předpisů přijatých na základě ostatních ustanovení této směrnice, pouze pokud dotyčná třetí země zajistí odpovídající úroveň ochrany.

2.   Odpovídající úroveň ochrany poskytovaná třetí zemí se posoudí s ohledem na všechny okolnosti související s předáním nebo předáváním údajů; zejména se přihlédne k povaze údajů, účelu a trvání předpokládaného či předpokládaných zpracování, zemi původu a zemi konečného určení, právním předpisům, obecným nebo zvláštním, platným v dotčené třetí zemi, jakož i profesním pravidlům a bezpečnostním opatřením, která jsou ve třetí zemi dodržována.

3.   Členské státy a Komise se vzájemně informují o případech, kdy se domnívají, že některá třetí země nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2.

4.   Pokud Komise zjistí, postupem podle čl. 31 odst. 2, že třetí země nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku, přijmou členské státy opatření nezbytná pro zamezení jakémukoli předávání údajů stejného druhu do dotčené třetí země.

5.   Ve vhodný okamžik Komise zahájí jednání s cílem napravit stav vyplývající ze zjištění podle odstavce 4.

6.   Postupem podle čl. 31 odst. 2 Komise může konstatovat, že třetí země zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků sjednaných zejména na závěr jednání uvedených v odstavci 5 s cílem zajistit ochranu soukromí a základních práv a svobod osob.

Členské státy přijmou opatření nezbytná pro dosažení souladu s rozhodnutím Komise.

Článek 26

Výjimky

1.   Odchylně od článku 25 a s výhradou opačných ustanovení jejich vnitrostátního práva upravujících zvláštní případy členské státy stanoví, že předání nebo předávání osobních údajů do třetí země, která nezajišťuje odpovídající úroveň ochrany ve smyslu čl. 25 odst. 2, může být provedeno za podmínky, že:

a)

subjekt údajů nepochybně udělil svůj souhlas s předpokládaným předáním; nebo

b)

předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro splnění předsmluvních opatření přijatých na žádost subjektu údajů; nebo

c)

předání je nezbytné pro uzavření nebo plnění smlouvy, která byla uzavřena nebo která má být uzavřena v zájmu subjektu údajů mezi správcem a třetí osobou; nebo

d)

předání je nezbytné nebo se stává právně závazným pro zachování důležitého veřejného zájmu nebo pro zjištění, výkon nebo obranu právních nároků před soudem; nebo

e)

předání je nezbytné pro ochranu životně důležitých zájmů subjektu údajů; nebo

f)

k předání dochází z veřejného rejstříku, který je na základě právních předpisů určen pro informování veřejnosti a je přístupný veřejnosti nebo jakékoli osobě, která osvědčí svůj právní zájem, pokud jsou v daném případě splněny právní podmínky tohoto přístupu.

2.   Aniž je tím dotčen odstavec 1, může členský stát povolit předání nebo předávání osobních údajů do třetí země, která nezajišťuje odpovídající úroveň ochrany ve smyslu čl. 25 odst. 2, pokud správce poskytne dostatečná ochranná opatření pro ochranu soukromí a základních práv a svobod osob, jakož i pro výkon odpovídajících práv; tato ochranná opatření mohou zejména vyplývat z vhodných smluvních doložek.

3.   Členský stát informuje Komisi a ostatní členské státy o povoleních, která udělí podle odstavce 2.

Pokud jiný členský stát nebo Komise podají námitky a řádně je odůvodní z hlediska ochrany soukromí a základních lidských práv a svobod, přijme Komise vhodná opatření postupem podle čl. 31 odst. [2].

Členské státy přijmou opatření nezbytná pro dosažení souladu s rozhodnutím Komise.

[...]

Článek 28

Orgán dozoru

1.   Každý členský stát pověří jeden nebo několik orgánů veřejné moci na svém území dohledem nad dodržováním předpisů přijatých členskými státy na základě této směrnice.

Tyto orgány plní úkoly, kterými jsou pověřeny, zcela nezávisle.

2.   Každý členský stát zajistí, aby orgány dozoru byly konzultovány při vypracovávání správních opatření nebo předpisů týkajících se ochrany práv a svobod osob v souvislosti se zpracováním osobních údajů.

3.   Každý orgán dozoru má zejména:

pravomoci provádět šetření, jako například pravomoc přístupu k údajům, které jsou předmětem zpracování, a shromažďovat veškeré informace nezbytné pro splnění svého úkolu dozoru;

pravomoci účinně zasáhnout, jako například zaujmout stanovisko před zahájením zpracování v souladu s článkem 20 a zajistit vhodné zveřejnění těchto stanovisek nebo pravomoc nařídit blokování, výmaz nebo zničení údajů nebo dočasně nebo trvale zakázat zpracování nebo pravomoc zaslat správci upozornění či napomenutí nebo pravomoc obrátit se na parlament členského státu či na jiné politické orgány;

pravomoc obrátit se na soud v případě porušení vnitrostátních předpisů přijatých k provedení této směrnice nebo pravomoc oznámit tato porušení soudním orgánům.

Proti rozhodnutím orgánu dozoru, která dala vzniknout stížnostem, je možné využít opravný prostředek k soudu.

4.   Na orgán dozoru se může obrátit jakákoli osoba nebo sdružení zastupující tuto osobu se žádostí týkající se ochrany svých práv a svobod v souvislosti se zpracováním osobních údajů. Dotčená osoba je informována o způsobu vyřízení své žádosti.

Na orgán dozoru se může zejména obrátit kdokoli s žádostí o ověření přípustnosti zpracování, pokud se uplatní vnitrostátní předpisy přijaté na základě článku 13 této směrnice. Osoba je za každých okolností informována, zda k ověření došlo.

[...]

6.   Nezávisle na vnitrostátním právu, které se použije na dané zpracování, je orgán dozoru oprávněn vykonávat na území vlastního členského státu pravomoci, které mu byly uděleny v souladu s odstavcem 3. Každý orgán může být vyzván, aby vykonával své pravomoci na žádost orgánu jiného členského státu.

[...]

Článek 31

[...]

2.   Odkazuje-li se na tento článek, použijí se články 4 a 7 rozhodnutí [Rady] 1999/468/ES [ze dne 28. června 1999 o postupech pro výkon prováděcích pravomocí svěřených Komisi (Úř. věst. L 184, s. 23)] s ohledem na článek 8 zmíněného rozhodnutí.

[...]“

Rozhodnutí 2000/520

5

Rozhodnutí 2000/520 bylo Komisí přijato na základě čl. 25 odst. 6 směrnice 95/46.

6

Body 2, 5 a 8 odůvodnění tohoto rozhodnutí mají následující znění:

„(2)

Komise může dospět ke zjištění, že třetí země zajišťuje odpovídající úroveň ochrany. V tomto případě lze osobní údaje z členských států předávat, aniž by bylo nezbytné poskytnutí dalších záruk.

[…]

(5)

Odpovídající úrovně ochrany při předávání údajů ze Společenství do Spojených států je podle tohoto rozhodnutí dosaženo tehdy, jestliže organizace dodržují zásady ‚bezpečného přístavu‘ pro ochranu osobních údajů předávaných z členského státu do Spojených států (dále jen ‚zásady‘) a často kladených otázek (Frequently Asked Questions, dále jen ‚FAQ‘), které představují pokyny pro provádění těchto zásad vydaných vládou Spojených států dne 21. července 2000. Organizace dále musí zveřejnit své zásady pro ochranu soukromí a podléhat pravomoci Federální obchodní komise (Federal Trade Commission, FTC) podle článku 5 zákona Federal Trade Commission Act, který zakazuje nekalé nebo klamavé jednání či praktiky v obchodě nebo související s obchodem, nebo jiného na základě zákona vytvořeného orgánu, který účinně zajistí dodržování zásad prováděných v souladu s FAQ.

[…]

(8)

V zájmu průhlednosti a proto, aby příslušné orgány v členských státech zajistily ochranu fyzických osob v souvislosti se zpracováním jejich osobních údajů, je nezbytné uvést v tomto rozhodnutí výjimečné okolnosti, za nichž může být odůvodněno pozastavení určitých toků údajů bez ohledu na zjištění odpovídající úrovně ochrany.“

7

Články 1 až 4 rozhodnutí 2000/520 zní takto:

„Článek 1

1.   Pro účely čl. 25 odst. 2 směrnice 95/46/ES se pro všechny činnosti spadající do oblasti působnosti zmíněné směrnice má za to, že ‚zásady bezpečného přístavu‘ (dále jen ‚zásady‘) uvedené v příloze I tohoto rozhodnutí a prováděné podle pokynů obsažených v často kladených otázkách (dále jen ‚FAQ‘) vydaných Ministerstvem obchodu Spojených států dne 21. července 2000, jak jsou uvedeny v příloze II tohoto rozhodnutí, zajišťují odpovídající úroveň ochrany osobních údajů předávaných ze Společenství organizacím usazeným ve Spojených státech, s ohledem na následující dokumenty vydané Ministerstvem obchodu Spojených států:

a)

přehled mechanismů pro prosazování zásad bezpečného přístavu uvedený v příloze III;

b)

memorandum o náhradách škod způsobených porušením soukromí a o výslovném zmocnění podle práva Spojených států uvedené v příloze IV;

c)

dopis Federal Trade Commission uvedený v příloze V;

d)

dopis Ministerstva dopravy Spojených států uvedený v příloze VI.

2.   Při každém předání údajů musí být splněny následující podmínky:

a)

organizace přijímající údaje se jednoznačně a veřejně zavázala dodržovat zásady prováděné v souladu s FAQ a

b)

tato organizace podléhá zákonným pravomocím orgánu veřejné správy Spojených států, který je uveden v příloze VII tohoto rozhodnutí a který je oprávněn vyšetřovat stížnosti a v případě nedodržení zásad prováděných v souladu s FAQ poskytnout nápravu proti nekalým nebo klamavým praktikám, jakož i náhradu škody fyzickým osobám bez ohledu na zemi bydliště nebo jejich státní příslušnost.

3.   Podmínky uvedené v odstavci 2 se považují za splněné každou organizací, která sama osvědčuje, že přijímá zásady prováděné v souladu s FAQ, dnem, kterým tato organizace oznámí Ministerstvu obchodu Spojených států (nebo jeho zmocněnci) veřejné vyhlášení svého závazku uvedeného v odst. 2 písm. a) a název orgánu veřejné správy uvedeného v odst. 2 písm. b).

Článek 2

Toto rozhodnutí se vztahuje výlučně na odpovídající úroveň ochrany zajišťovanou ve Spojených státech podle zásad prováděných v souladu s FAQ s cílem splnit požadavky čl. 25 odst. 1 směrnice 95/46/ES a nedotýká se uplatňování ostatních ustanovení zmíněné směrnice, kter[á] se vztahují na zpracování osobních údajů v členských státech, zejména článku 4 zmíněné směrnice.

Článek 3

1.   Aniž jsou dotčeny pravomoci příslušných orgánů členských států přijímat opatření, která zajišťují, aby byla dodržována vnitrostátní ustanovení přijatá k provedení jiných ustanovení směrnice 95/46/ES než článku 25, mohou tyto orgány vykonávat své stávající pravomoci, aby zastavily toky údajů vůči organizaci, která sama osvědčila, že přistoupila k zásadám prováděným v souladu s FAQ s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů v těchto případech:

a)

pokud orgán veřejné správy Spojených států uvedený v příloze VII tohoto rozhodnutí nebo nezávislý odvolací orgán ve smyslu písmene a) zásady provádění uvedené v příloze I tohoto rozhodnutí zjistí, že tato organizace porušuje zásady prováděné v souladu s FAQ; nebo

b)

pokud je velmi pravděpodobné, že zásady jsou porušovány; pokud se lze důvodně domnívat, že příslušný výkonný orgán včas nepřijal nebo nepřijme přiměřená opatření nezbytná pro vyřešení sporné věci; pokud by pokračování v předávání údajů vyvolalo bezprostřední riziko vzniku vážné újmy subjektům údajů a pokud příslušné orgány členského státu za daných okolností přiměřeně usilují o informování organizace a poskytly jí možnost zaujmout stanovisko.

Pozastavení předávání údajů skončí, jakmile je zajištěno dodržování zásad prováděných v souladu s FAQ a jakmile jsou o tom informovány dotčené příslušné orgány ve Společenství.

2.   Členské státy neprodleně uvědomí Komisi o přijetí opatření podle odstavce 1.

3.   Členské státy a Komise se rovněž vzájemně informují o případech, kdy opatření přijatá subjekty pověřenými zajištěním toho, aby byly dodržovány zásady prováděné v souladu s FAQ ve Spojených státech, nejsou dostatečná.

4.   Pokud informace shromážděné podle odstavců 1, 2 a 3 prokáží, že kterýkoli subjekt pověřený zajištěním toho, aby byly dodržovány zásady prováděné v souladu s FAQ ve Spojených státech, neplní účinně svou úlohu, uvědomí o tom Komise Ministerstvo obchodu Spojených států, a bude-li třeba, předloží návrh opatření postupem podle článku 31 směrnice 95/46/ES s cílem zrušit toto rozhodnutí, pozastavit je nebo omezit jeho působnost.

Článek 4

1.   Toto rozhodnutí lze kdykoli upravit s ohledem na zkušenosti s jeho uplatňováním nebo jestliže úroveň ochrany poskytovaná zásadami a FAQ bude převýšena požadavky kladenými právem Spojených států. Komise zhodnotí v každém případě provádění tohoto rozhodnutí na základě dostupných informací tři roky po jeho oznámení členským státům a veškeré významné poznatky sdělí výboru zřízenému článkem 31 směrnice 95/46/ES a zejména sdělí veškeré důkazy, které by mohly mít vliv na hodnocení, prováděné podle článku 1 tohoto rozhodnutí, zda poskytují odpovídající úroveň ochrany ve smyslu článku 25 směrnice 95/46/ES, a veškeré důkazy, že se toto rozhodnutí uplatňuje diskriminačním způsobem.

2.   Komise předloží, je-li to nezbytné, návrhy opatření postupem podle článku 31 směrnice 95/46/ES.“

8

Příloha I rozhodnutí 2000/520 zní takto:

„Zásady ‚bezpečného přístavu‘ pro ochranu osobních údajů

vydané Ministerstvem obchodu Spojených států dne 21. července 2000

[...]

[...] ministerstvo obchodu v rámci své zákonné pravomoci pěstovat, podporovat a rozvíjet mezinárodní obchod [vydává] tento dokument a často kladené otázky (dále jen ‚zásady‘). Tyto zásady byly vyvinuty na základě konzultací s představiteli průmyslu a široké veřejnosti za účelem usnadnění obchodu mezi Spojenými státy a Evropskou unií. Jsou určeny výlučně organizacím ve Spojených státech, které získávají osobní údaje z Evropské unie, aby mohly splnit požadavky ‚bezpečného přístavu‘ a z něj vyplývající domněnku ‚odpovídající‘ ochrany údajů. Vzhledem k tomu, že tyto zásady byly vytvořeny výhradně k tomuto zvláštnímu účelu, může být jejich využití pro jiné účely nevhodné. [...]

Rozhodnutí organizací splnit požadavky ‚bezpečného přístavu‘ je zcela dobrovolné a organizace mohou tyto požadavky splnit různými způsoby.[...]

Dodržování těchto zásad může být omezeno: a) v rozsahu nezbytném pro splnění požadavků bezpečnosti státu, veřejného zájmu nebo prosazování zákonů; b) zákonem, správním nařízením nebo judikaturou, které vytvářejí protichůdné závazky, nebo výslovným zmocněním za předpokladu, že při výkonu takového zmocnění může organizace prokázat, že nedodržení zásad je omezeno na rozsah nezbytný pro dodržení nadřazených oprávněných zájmů, jimž má takové zmocnění sloužit; nebo c) jestliže směrnice nebo právo členského státu umožňují výjimky nebo odchylky, pokud se takové výjimky nebo odchylky uplatňují ve srovnatelných souvislostech. V souladu s cílem zvýšit ochranu soukromí by organizace měly usilovat o úplné a transparentní uplatňování těchto zásad, včetně toho, že uvedou, v jakých případech se výjimky ze zásad povolené podle písmene b) budou v jejich programu na ochranu soukromí uplatňovat pravidelně. Z téhož důvodu se očekává, že pokud podle těchto zásad nebo práva Spojených států existuje možnost volby, organizace zvolí pokud možno vyšší úroveň ochrany.

[...]“

9

Příloha II rozhodnutí 2000/520 zní takto:

„Často kladené otázky (Frequently asked questions, FAQ)

[...]

FAQ 6 – Vlastní osvědčení

Ot.:

Jakým způsobem organizace sama osvědčí, že přijímá zásady ‚bezpečného přístavu‘?

Odp.:

Výhody plynoucí z ‚bezpečného přístavu‘ jsou zajištěny ode dne, ve kterém organizace sama osvědčí Ministerstvu obchodu Spojených států (nebo jeho zmocněnci), že přijímá tyto zásady v souladu s níže uvedenými pokyny.

Za účelem vlastního osvědčení o přijetí zásad ‚bezpečného přístavu‘ poskytne organizace Ministerstvu obchodu Spojených států (nebo jeho zmocněnci) dopis podepsaný vedoucím pracovníkem jménem organizace, v němž musí být uvedeny alespoň následující informace:

1.

název organizace, poštovní adresa, e-mailová adresa, číslo telefonu a faxu;

2.

popis činnosti organizace v souvislosti s osobními údaji přijímanými z EU;

3.

popis ustanovení na ochranu soukromí u dané organizace uplatňovaných pro takové osobní údaje, obsahující: a) údaj o tom, kde jsou tato ustanovení přístupná k nahlédnutí veřejnosti, b) datum, kdy nabyla účinnosti, c) kontaktní místo pro vyřizování stížností, žádostí o přístup k informacím a dalších záležitostí vyplývajících z ‚bezpečného přístavu‘, d) konkrétní orgán zřízený zákonem, který je příslušný projednávat stížnosti na organizaci ohledně případných nekalých nebo klamavých praktik a porušení předpisů na ochranu soukromí (a který je uveden v příloze k zásadám ‚bezpečného přístavu‘), e) název případných programů na ochranu soukromí, jichž se organizace účastní, f) způsob ověřování (např. vnitřní, prostřednictvím třetí osoby) a [...] g) nezávislé odvolací řízení, v rámci něhož lze vyšetřit nevyřešené stížnosti.

Pokud si organizace přeje rozšířit výhody plynoucí z ‚bezpečného přístavu‘ na údaje o lidských zdrojích předávané z EU pro využití v rámci zaměstnaneckých vztahů, může tak učinit, jestliže existuje orgán zřízený zákonem, který je příslušný projednávat stížnosti na organizaci ohledně těchto údajů o lidských zdrojích a který je uveden v příloze k zásadám.[...]

Ministerstvo (nebo jeho zmocněnec) povede seznam všech organizací, které vydají takové osvědčení, a kterým tak náleží výhody ‚bezpečného přístavu‘, a bude takovýto seznam aktualizovat na základě každoročních dopisů obsahujících osvědčení a oznámení a přijatých podle FAQ 11. [...]

[...]

FAQ 11 – Řešení sporů a prosazování

Ot.:

Jak se v praxi provádějí požadavky na řešení sporů obsažené v zásadě prosazování a jak se řeší soustavné nedodržování zásad ‚bezpečného přístavu‘ ze strany organizace?

Odp.:

Zásada prosazování stanoví, jakým způsobem se vynucuje dodržování zásad ‚bezpečného přístavu‘. Jak splnit požadavky bodu b) této zásady je uvedeno ve FAQ o ověřování (FAQ 7). Tato FAQ 11 se věnuje bodům a) a c), které oba vyžadují nezávislé odvolací mechanismy. Tyto mechanismy mohou mít různou podobu, avšak musí splňovat požadavky zásady prosazování. Organizace mohou tyto požadavky splnit některým z těchto způsobů: (1) dodržováním programů na ochranu soukromí vytvořených v soukromém sektoru, které do svých pravidel zahrnují zásady ‚bezpečného přístavu‘ a které obsahují účinný donucovací mechanismus, jak je popsán v zásadě prosazování; (2) podřízením se orgánům dozoru vytvořeným na základě zákona nebo nařízení, které zajišťují vyřizování individuálních stížností a řešení sporů; nebo (3) závazkem spolupracovat s orgány pro ochranu údajů nacházejícími se v Evropské unii nebo s jejich zmocněnými zástupci. Zde vyjmenované možnosti představují příklady a výčet není vyčerpávající. Soukromý sektor může vytvořit jiné donucovací mechanismy, pokud splňují požadavky zásady prosazování a těchto FAQ. Je třeba si povšimnout, že požadavky zásady prosazování doplňují požadavky uvedené v odstavci 3 úvodu k zásadám ‚bezpečného přístavu‘, podle kterých musí být samoregulační opatření vynutitelná podle článku 5 Federal Trade Commission Act nebo podobného zákona.

Odvolací mechanismy

Spotřebitelé by měli být povzbuzováni k tomu, aby vznášeli případné stížnosti u příslušných organizací předtím, než se obrátí na nezávislé odvolací orgány. [...]

[...]

Činnost FTC

FTC se zavázala přednostně projednávat žádosti přijaté od soukromých samoregulačních organizací jako např. BBBOnline nebo TRUSTe a od členských států EU týkající se stížností na nedodržování zásad ‚bezpečného přístavu‘ a rozhodovat, zda bylo porušeno ustanovení oddílu 5 FTC Act, který zakazuje nekalé nebo klamavé jednání či praktiky v obchodě. [...]

[…]“

10

V příloze IV rozhodnutí 2000/520 se uvádí:

„Náhrada škody při narušení soukromí, právní zmocnění, fúze a převzetí podle práva Spojených států

Tento dokument je reakcí na žádost Evropské komise o objasnění práva Spojených států týkajícího se a) nároků na náhradu škody při narušení soukromí, b) ‚výslovných zmocnění‘ v právu Spojených států pro využívání osobních informací způsobem neslučitelným se zásadami ‚bezpečného přístavu‘, a c) vlivu fúzí a převzetí na závazky převzaté podle zásad ‚bezpečného přístavu‘.

[...]

B. Výslovná právní zmocnění

Zásady ‚bezpečného přístavu‘ obsahují výjimku, pokud na základě zákona, nařízení nebo soudcovského práva vzniknou ‚navzájem si odporující závazky nebo výslovná zmocnění, avšak pouze za předpokladu, že při výkonu takového zmocnění může organizace prokázat, že nedodržení zásad je omezeno na rozsah nezbytný pro splnění nadřazených oprávněných zájmů podporovaných takovým zmocněním‘. Je však jasné, že tam, kde právo Spojených států ukládá závazek odporující zásadám ‚bezpečného přístavu‘, je organizace ve Spojených státech povinna dodržovat toto právo bez ohledu na to, zda se účastní ‚bezpečného přístavu‘, nebo nikoli. Pokud jde o výslovná zmocnění, tak zatímco zásady ‚bezpečného přístavu‘ mají za cíl překlenout rozdíly mezi úpravami ochrany soukromí v právním systému Spojených států a v evropském systému, musíme respektovat zákonodárné výhradní pravomoci našich zvolených zákonodárců. Tyto omezené výjimky z přísného dodržování zásad ‚bezpečného přístavu‘ se snaží vytvořit rovnováhu, a tak vyhovět oprávněným zájmům obou stran.

Výjimka je omezena na případy výslovných zmocnění. Proto musí v těchto mezních situacích příslušný zákon, nařízení nebo soudní rozhodnutí organizaci řídící se zásadami ‚bezpečného přístavu‘ k určitému jednání pozitivně zmocnit. Jinými slovy, výjimka se neuplatní tam, kde právo mlčí. Výjimka se navíc uplatní pouze tehdy, jestliže je toto výslovné zmocnění v rozporu s dodržováním zásad ‚bezpečného přístavu‘. A i potom je výjimka ‚omezena na rozsah nezbytný pro splnění nadřazených oprávněných zájmů podporovaných takovým zmocněním‘. Tak například v situaci, kdy právo společnost pouze zmocňuje k poskytování osobních informací orgánům veřejné správy, se výjimka neuplatní. Naopak v případě, kdy právo společnost výslovně zmocňuje k poskytování osobních informací orgánům veřejné správy bez souhlasu fyzické osoby, představuje to ‚výslovné zmocnění‘ jednat způsobem, který je v rozporu se zásadami ‚bezpečného přístavu‘. Alternativně by do výjimky spadaly specifické výjimky z výslovných požadavků na učinění odpovídajícího oznámení a získání souhlasu (protože by byly rovnocenné se specifickým zmocněním prozradit informace, aniž by to bylo oznámeno a byl k tomu získán souhlas). Například zákon, který by zmocňoval lékaře k poskytování lékařských záznamů o svých pacientech úředníkům zdravotnického úřadu bez předchozího souhlasu pacientů, by mohl povolovat výjimku ze zásady oznamovací povinnosti a možnosti volby. Toto zmocnění by však nedovolovalo lékaři poskytnout stejné lékařské záznamy zdravotnickým zařízením nebo komerčním laboratořím pro výzkum léčiv, protože by to překračovalo rámec účelů schválených právem, a tedy rámec výjimky […]. U příslušného právního zmocnění se může jednat o ‚samostatné‘ zmocnění učinit s osobními informacemi určité konkrétní úkony, ale jak ukazují níže uvedené příklady, spíše půjde o výjimku z šíře zasahujícího zákona, který zakazuje shromažďování, používání nebo zpřístupňování osobních informací.

[...]“

Sdělení COM(2013) 846 final

11

Dne 27. listopadu 2013 přijala Komise sdělení Evropskému parlamentu a Radě, nadepsané „Obnovení důvěry v toky údajů mezi EU a USA“ [COM(2013) 846 final, dále jen „sdělení COM(2013) 846 final“]. K tomuto sdělení byla přiložena „zpráva spolupředsedů EU ad hoc pracovní skupiny EU-USA o ochraně osobních údajů“(„Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection“), jež byla opatřena též datem 27. listopadu 2013. Podle jejího bodu 1 byla tato zpráva vypracována ve spolupráci se Spojenými státy v důsledku odhalení existence několika programů pro sledování zahrnujících rozsáhlé shromažďování a zpracovávání osobních údajů v této zemi. Uvedená zpráva obsahovala zejména podrobný rozbor právního řádu Spojených států, pokud jde zvláště o právní základy opravňující existenci programů pro sledování, jakož i shromažďování a zpracovávání osobních údajů orgány Spojených států.

12

V bodě 1 sdělení COM(2013) 846 final Komise uvedla, že „[o]bchodními výměnami se zabývá rozhodnutí [2000/520]“, přičemž dodala, že „[t]oto rozhodnutí poskytuje právní základ pro předávání osobních údajů z EU společnostem usazeným v USA, které přijímají zásady bezpečného přístavu“. V tomtéž bodě 1 Komise dále zdůraznila, že toky osobních údajů nabývají stále více na důležitosti, jež je spojena zejména s rozvojem digitální ekonomiky, jenž ve skutečnosti „vede […] k exponenciálnímu růstu činností zpracování údajů z hlediska kvantity, kvality, rozmanitosti i povahy“.

13

V bodě 2 tohoto sdělení poukázala Komise na to, že „rostou […] obavy ohledně úrovně ochrany osobních údajů občanů [Unie] předaných v rámci systému bezpečného přístavu do USA“ a že „[v]zhledem k dobrovolné a deklaratorní povaze tohoto systému se pozornost stále více zaostřuje na jeho transparentnost a prosazování“.

14

V témže bodě 2 Komise dále uvedla, že „orgány Spojených států mohou mít přístup k osobním údajům občanů [Unie] zaslaným do USA podle zásad bezpečného přístavu a dále je zpracovávat způsobem, který je neslučitelný s důvody, pro které byly tyto údaje v [Unii] původně shromážděny, a s účelem, pro který byly do USA předány“, a že „[v]ětšina amerických internetových společností, kterých se zřejmě […] programy [pro sledování] přímo týkají, vlastní osvědčení systému bezpečného přístavu“.

15

V bodě 3.2 sdělení COM(2013) 846 final poukázala Komise na řadu slabých míst v uplatňování rozhodnutí 2000/520. V tomto bodu nejprve uvedla, že americké společnosti s vlastním osvědčením nedodržují zásady uvedené v čl. 1 odst. 1 rozhodnutí 2000/520 (dále jen „zásady bezpečného přístavu“) a že zlepšení, jež by měla být v tomto rozhodnutí učiněna, by se měla týkat „strukturálních nedostatků souvisejících s transparentností a prosazováním, věcných zásad bezpečného přístavu i výjimky z důvodů národní bezpečnosti“. Komise dále poukázala na to, že „[b]ezpečný přístav také funguje jako cesta pro předávání osobních údajů občanů EU z [Unie] do USA společnostmi, které jsou povinny vydávat údaje zpravodajským službám Spojených států podle programů Spojených států pro shromažďování zpravodajských informací“.

16

Komise v tomto bodě 3.2 na závěr uvedla, že sice „[v]zhledem k nalezeným slabinám nelze ve stávajícím provádění systému bezpečného přístavu pokračovat, [j]eho zrušení by však mělo negativní dopad na zájmy členských společností v [Unii] a v USA“. Konečně v tomtéž bodě 3.2 Komise dodala, že, bude „naléhavě jednat s orgány Spojených států, aby s nimi diskutovala o zjištěných nedostatcích“.

Sdělení Komise COM(2013) 847 final

17

Rovněž dne 27. listopadu 2013 přijala Komise sdělení Evropskému parlamentu a Radě o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU [COM(2013) 847 final, dále jen „sdělení COM(2013) 847 final“]. Jak vyplývá z jeho bodu 1, vycházelo toto sdělení zejména z informací získaných v rámci ad hoc pracovní skupiny Evropská unie – Spojené státy a z obou zpráv Komise o posouzení zveřejněných v letech 2002 a 2004.

18

Bod 1 tohoto sdělení uvádí, že fungování rozhodnutí 2000/520 „vychází ze závazků a vlastního osvědčení společností, které zásady ‚bezpečného přístavu‘ přijaly, a dodává, že „podpis těchto [ujednání] je dobrovolný, avšak pravidla jsou pro ty, kdo je podepíší, závazná“.

19

Dále z bodu 2.2 sdělení COM(2013) 847 final vyplývá, že dne 26. září 2013 osvědčilo přijetí zásad bezpečného přístavu 3246 společností náležejících do mnohých odvětví průmyslu a služeb. Tyto společnosti poskytovaly převážně služby na vnitřním trhu EU, zejména v internetovém odvětví, a některé z těchto společností byly pobočky některých firem z EU ve Spojených státech. Některé z těchto společností zpracovávaly údaje zaměstnanců v Evropě předané do Spojených států pro účely zaměstnaneckých vztahů.

20

V tomtéž bodě 2.2 Komise zdůraznila, že „[j]akýkoli nedostatek v průhlednosti nebo prosazování na straně Spojených států vede k přenesení odpovědnosti na evropské orgány pro ochranu údajů a na společnosti, které systém využívají“.

21

Zejména z bodů 3 až 5 a 8 sdělení COM(2013) 847 final vyplývá, že značný počet společností, které osvědčily přijetí zásad „bezpečného přístavu“, v praxi nedodržoval nebo ne zcela dodržoval zásady bezpečného přístavu.

22

Kromě toho v bodě 7 téhož sdělení Komise uvedla, že „se zdá, že všechny společnosti zapojené do programu PRISM [program rozsáhlého shromažďování informací], které poskytují orgánům Spojených států přístup k údajům uchovávaným a zpracovávaným v USA, mají osvědčení o dodržování zásad ‚bezpečného přístavu‘ “ a že to ze systému „bezpečného přístavu“„učinilo jednu z cest, jejichž prostřednictvím mají orgány zpravodajství Spojených států přístup k shromažďování osobních údajů původně zpracovávaných v [Unii]“. Komise v této souvislosti v bodě 7.1 uvedeného sdělení konstatovala, že „řada právních základů v rámci amerického práva umožňuje rozsáhlé shromažďování a zpracování osobních údajů, které jsou uchovávány nebo jinak zpracovávány společnostmi ve Spojených státech“, a že „[r]ozsáhlost těchto programů může vést k tomu, že údaje předané podle zásad ‚bezpečného přístavu‘ budou zpřístupněny a dále zpracovány americkými orgány nad rámec toho, co je nezbytně nutné a přiměřené pro ochranu bezpečnosti státu, jak to předpokládá výjimka stanovená v rozhodnutí [2000/520]“.

23

V bodě 7.2 sdělení COM(2013) 847 final, nadepsaném „Omezení a možnosti nápravy“, Komise zdůraznila, že „záruky, jež poskytuje právo Spojených států, jsou převážně dostupné americkým občanům nebo osobám, které mají ve Spojených státech legální bydliště“, a že „[m]imoto subjekty údajů z [Unie] nebo USA nemají možnost získat přístup k údajům, které se jich týkají, možnost opravy či výmazu údajů nebo možnost správní či soudní nápravy ve vztahu k shromažďování a dalšímu zpracování jejich osobních údajů, k němuž dochází v rámci programů USA pro sledování“.

24

Podle bodu 8 sdělení COM(2013) 847 final patřily mezi společnosti, které osvědčily přijetí zásad „bezpečného přístavu“, „[i]nternetové společnosti, jako je Google, Facebook, Microsoft, Apple či Yahoo“, které „mají v Evropě stovky milionů klientů“ a předávají osobní údaje ke zpracování ve Spojených státech.

25

Komise v tomtéž bodě 8 na závěr uvedla, že „[d]alší závažné otázky ohledně práv Evropanů na trvalou ochranu údajů v případě, že jsou jejich údaje předány do USA, vyvolává rozsáhlý přístup zpravodajských agentur k údajům předávaným do Spojených států společnostmi, které osvědčily přijetí zásad ‚bezpečného přístavu‘ “.

Spor v původním řízení a předběžné otázky

26

Maximillian Schrems, rakouský státní příslušník s bydlištěm v Rakousku, je uživatelem sociální sítě Facebook (dále jen „Facebook“) od roku 2008.

27

Každá osoba s bydlištěm na území Unie, která si přeje užívat Facebook, musí při registraci uzavřít smlouvu se společností Facebook Ireland, jež je dceřinou společností společnosti Facebook Inc., která je usazena ve Spojených státech. Osobní údaje klientů společnosti Facebook Ireland, kteří mají bydliště na území Unie, jsou zcela nebo zčásti přenášeny na servery náležející společnosti Facebook Inc. umístěné na území Spojených států, kde jsou zpracovávány.

28

Dne 25. června 2013 podal M. Schrems ke Komisaři stížnost, v níž se v podstatě domáhal, aby Komisař využil svých zákonných pravomocí k tomu, aby společnosti Facebook Ireland zakázal předávat jeho osobní údaje do Spojených států. V stížnosti tvrdil, že právní předpisy a praxe platné v této zemi nezajišťují dostatečnou ochranu osobních údajů uchovávaných na jejím území před sledováním prováděným v této zemi orgány veřejné moci. M. Schrems se v tomto ohledu odvolával na zjištění učiněná Edwardem Snowdenem ohledně činností zpravodajských služeb Spojených států, konkrétně činností National Security Agency (dále jen „NSA“).

29

Vzhledem k tomu, že Komisař byl názoru, že není povinen vyšetřit skutečnosti tvrzené M. Schremsem v jeho stížnosti, zamítl tuto stížnost jako neopodstatněnou. Komisař měl totiž za to, že neexistují důkazy, že by NSA skutečně využila možnosti přístupu k osobním údajům dotyčného. Komisař dodal, že výtky vznesené M. Schremsem v jeho stížnosti nemohou být účelně uplatněny, neboť jakákoli otázka týkající se odpovídající ochrany osobních údajů ve Spojených státech musí být vyřešena v souladu s rozhodnutím 2000/520, a že Komise v tomto rozhodnutí konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany.

30

M. Schrems podal proti rozhodnutí dotčenému v původním řízení žalobu k High Court (Vrchní soud). Po posouzení důkazů předložených účastníky původního řízení dospěl tento soud k závěru, že elektronické sledování a zachycování osobních údajů předávaných z Unie do Spojených států slouží nutným a nezbytným cílům, které jsou ve veřejném zájmu. Uvedený soud nicméně dodal, že zjištění učiněná E. Snowdenem prokázala, že se NSA a další federální orgány dopustily „značných přešlapů“.

31

Podle téhož soudu nemají unijní občané žádné účinné právo být vyslechnuti. Dohled nad činnostmi zpravodajských služeb je prováděn v rámci tajného a nekontradiktorního řízení. Jakmile jsou osobní údaje předány do Spojených států, NSA a další federální orgány, jako např. Federal Bureau of Investigation (FBI), mohou získat přístup k těmto údajům v rámci jimi prováděného rozsáhlého a nediferencovaného sledování a zachycování.

32

High Court (Vrchní soud) shledal, že irské právo zakazuje předávání osobních údajů mimo území tohoto státu, s výjimkou případů, kdy dotyčná třetí země zajišťuje odpovídající úroveň ochrany soukromí, jakož i základních práv a svobod. Význam práv na respektování soukromého života a nedotknutelnosti obydlí, zaručených irskou ústavou, podle tohoto soudu vyžaduje, aby jakýkoli zásah do těchto práv byl přiměřený a v souladu se zákonnými požadavky.

33

Masivní a nediferencovaný přístup k osobním údajům je přitom podle uvedeného soudu zjevně v rozporu se zásadou proporcionality a se základními hodnotami chráněnými irskou ústavou. K tomu, aby zachycování elektronických komunikací mohlo být považováno za slučitelné s touto ústavou, musí být předložen důkaz, že toto zachycování je cílené, že sledování určitých osob nebo skupin osob je objektivně odůvodněné v zájmu bezpečnosti státu nebo potírání trestné činnosti a že existují odpovídající a ověřitelné záruky. High Court (Vrchní soud) je názoru, že kdyby věc v původním řízení měla být rozhodnuta výlučně na základě irského práva, bylo by tedy třeba konstatovat, že vzhledem k vážným pochybnostem o tom, že Spojené státy zajištují odpovídající úroveň ochrany osobních údajů, měl Komisař provést šetření ohledně skutečností uvedených M. Schremsem v jeho stížnosti, a tuto stížnost zamítl neprávem.

34

High Court (Vrchní soud) má však za to, že se projednávaná věc týká uplatňování unijního práva ve smyslu článku 51 Listiny, takže legalita rozhodnutí dotčeného v původním řízení musí být posuzována z hlediska unijního práva. Podle tohoto soudu nesplňuje rozhodnutí 2000/520 požadavky vyplývající z článků 7 a 8 Listiny a ze zásad vytýčených Soudním dvorem v rozsudku Digital Rights Ireland a další (C‑293/12 a C‑594/12EU:C:2014:238). Právo na respektování soukromého života zaručené článkem 7 Listiny a základními hodnotami společnými tradicím členských států by bylo zbaveno veškeré podstaty, kdyby orgány veřejné moci byly oprávněny k nahodilému a globálnímu přístupu k elektronickým komunikacím bez jakéhokoli objektivního odůvodnění založeného na důvodech bezpečnosti státu nebo předcházení trestným činům, které se konkrétně vážou k dotyčným osobám, a aniž by tyto praktiky byly doprovázeny odpovídajícími a ověřitelnými zárukami.

35

High Court (Vrchní soud) dále poukazuje na to, že M. Schrems v rámci své žaloby zpochybňuje ve skutečnosti legalitu režimu „bezpečného přístavu“ zavedeného rozhodnutím 2000/520, z něhož vychází rozhodnutí dotčené v původním řízení. I když M. Schrems formálně nezpochybnil platnost směrnice 95/46 ani rozhodnutí 2000/520, vyvstává podle tohoto soudu otázka, zda byl Komisař z důvodu čl. 25 odst. 6 této směrnice vázán zjištěním učiněným Komisí v uvedeném rozhodnutí, podle něhož Spojené státy zajišťují odpovídající úroveň ochrany, nebo zda článek 8 Listiny opravňoval Komisaře k tomu, aby se od tohoto zjištění případně odchýlil.

36

Za těchto podmínek se High Court (Vrchní soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1)

Je s ohledem na články 7, 8 a 47 Listiny, aniž je dotčen čl. 25 odst. 6 směrnice 95/46, úřední osoba – která je nezávislá a byla zákonem pověřena uplatňováním a prosazováním právních předpisů o ochraně osobních údajů – při posuzování stížnosti, která jí byla podána a podle které dochází k předávání osobních údajů do třetí země (v tomto případě do Spojených států amerických), jejíž právní předpisy a praxe údajně nezajišťují odpovídající ochranu pro subjekty údajů, absolutně vázána opačným zjištěním Unie obsaženým v rozhodnutí 2000/520?

2)

Nebo v opačném případě může či musí tato úřední osoba provést ve věci vlastní šetření s ohledem na vývoj faktické situace, ke kterému došlo od prvotního zveřejnění rozhodnutí Komise?“

K předběžným otázkám

37

Podstatou předběžných otázek předkládajícího soudu, které je třeba zkoumat společně, je to, zda a v jakém rozsahu musí být čl. 25 odst. 6 směrnice 95/46, ve spojení s články 7, 8 a 47 Listiny, vykládán v tom smyslu, že takové rozhodnutí přijaté na základě tohoto ustanovení, jako je rozhodnutí 2000/520, kterým Komise konstatuje, že třetí země zajišťuje odpovídající úroveň ochrany, brání tomu, aby orgán dozoru členského státu ve smyslu článku 28 této směrnice mohl posoudit žádost osoby týkající se ochrany jejích práv a svobod v souvislosti se zpracováním osobních údajů, které se jí týkají a které byly předány z členského státu do této třetí země, pokud tato osoba tvrdí, že právo a praxe platné v této zemi nezajišťují odpovídající úroveň ochrany.

K pravomocem vnitrostátních orgánů dozoru ve smyslu článku 28 směrnice 95/46 v případě rozhodnutí Komise přijatého na základě čl. 25 odst. 6 této směrnice

38

Na úvod je třeba připomenout, že ustanovení směrnice 95/46 musí být v rozsahu, v němž upravují zpracování osobních údajů, které může představovat zásah do základních svobod, a zejména práva na soukromí, nutně vykládána ve světle základních práv zaručených Listinou (viz rozsudky Österreichischer Rundfunk a další, C‑465/00, C‑138/01 a C‑139/01EU:C:2003:294, bod 68; Google Spain a Google, C‑131/12EU:C:2014:317, bod 68, jakož i Ryneš, C‑212/13EU:C:2014:2428, bod 29).

39

Z článku 1 i z bodů 2 a 10 odůvodnění směrnice 95/46 vyplývá, že předmětem této směrnice je nejen zajištění účinné a úplné ochrany základních práv a svobod fyzických osob, zejména základního práva na soukromí, v souvislosti se zpracováním osobních údajů, ale i zajištění vysoké úrovně ochrany těchto základních práv a svobod fyzických osob. Významná úloha jak základního práva na respektování soukromého života zaručeného článkem 7 Listiny, tak základního práva na ochranu osobních údajů zaručeného článkem 8 Listiny je navíc zdůrazněna v judikatuře Soudního dvora (viz rozsudky Rijkeboer, C‑553/07EU:C:2009:293, bod 47; Digital Rights Ireland a další, C‑293/12 a C‑594/12EU:C:2014:238, bod 53, jakož i Google Spain a Google, C‑131/12EU:C:2014:317, body 53, 6674 a citovaná judikatura).

40

Pokud jde o pravomoci, jimiž jsou nadány vnitrostátní orgány dozoru v souvislosti s předáváním osobních údajů do třetích zemí, je třeba podotknout, že čl. 28 odst. 1 směrnice 95/46 ukládá členským státům povinnost zřídit jeden nebo několik orgánů veřejné moci, jež zcela nezávisle dohlížejí na dodržování unijních pravidel na ochranu fyzických osob v souvislosti se zpracováním osobních údajů. Tento požadavek vyplývá rovněž z unijního primárního práva, a především z čl. 8 odst. 3 Listiny a čl. 16 odst. 2 SFEU (v tomto smyslu viz rozsudky Komise v. Rakousko, C‑614/10EU:C:2012:631, bod 36, a Komise v. Maďarsko, C‑288/12EU:C:2014:237, bod 47).

41

Záruka nezávislosti vnitrostátních orgánů dozoru má zajistit účinnost a spolehlivost dohledu nad dodržováním předpisů v oblasti ochrany fyzických osob v souvislosti se zpracováním osobních údajů a musí být vykládána ve světle tohoto cíle. Byla stanovena s cílem posílit ochranu osob a organizací, kterých se týkají rozhodnutí uvedených orgánů. Zřízení nezávislých orgánů dozoru v členských státech tedy představuje, jak uvádí bod 62 odůvodnění směrnice 95/46, zásadní prvek ochrany osob v souvislosti se zpracováním osobních údajů (viz rozsudky Komise v. Německo, C‑518/07EU:C:2010:125, bod 25, jakož i Komise v. Maďarsko, C‑288/12EU:C:2014:237, bod 48 a citovaná judikatura).

42

K zaručení této ochrany musí vnitrostátní orgány dozoru především zajistit spravedlivou rovnováhu mezi dodržováním základního práva na soukromí na straně jedné a zájmy vyžadujícími volný pohyb osobních údajů na straně druhé (v tomto smyslu viz rozsudky Komise v. Německo, C‑518/07EU:C:2010:125, bod 24, a Komise v. Maďarsko, C‑288/12EU:C:2014:237, bod 51).

43

Uvedené orgány disponují k tomuto účelu širokou škálou pravomocí a tyto pravomoci, které jsou demonstrativně vyjmenovány v čl. 28 odst. 3 směrnice 95/46, jsou prostředky nezbytnými k plnění jejich úkolů, jak to zdůrazňuje bod 63 odůvodnění této směrnice. Uvedené orgány jsou tak zejména nadány pravomocemi provádět šetření, jako je například pravomoc shromažďovat veškeré informace nezbytné pro splnění jejich úkolu dozoru, pravomocemi účinně zasáhnout, jako je například pravomoc dočasně nebo trvale zakázat zpracování údajů, nebo též pravomocí obrátit se na soud.

44

Z článku 28 odst. 1 a 6 směrnice 95/46 vpravdě vyplývá, že se pravomoci vnitrostátních orgánů dozoru vztahují na zpracovávání osobních údajů na území členského státu, jemuž tyto orgány podléhají, takže nejsou na základě tohoto článku 28 nadány pravomocemi v souvislosti se zpracováním takových údajů na území třetí země.

45

Předání osobních údajů z členského státu do třetí země však jako takové představuje zpracování osobních údajů ve smyslu čl. 2 písm. b) směrnice 95/46 (v tomto smyslu viz rozsudek Parlament v. Rada a Komise, C‑317/04 a C‑318/04EU:C:2006:346, bod 56), prováděné na území členského státu. Toto ustanovení totiž definuje „zpracování osobních údajů“ jako „jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů“, a jako příklad uvádí „sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění“.

46

Bod 60 odůvodnění směrnice 95/46 uvádí, že předání osobních údajů do třetích zemí mohou být uskutečňována pouze při úplném dodržování předpisů přijatých členskými státy k provedení této směrnice. V tomto ohledu zavedla kapitola IV uvedené směrnice, v níž jsou obsaženy články 25 a 26 této směrnice, režim, jehož cílem je zajistit dohled členských států nad předáváním osobních údajů do třetích zemí. Tento režim je doplňkový ve vztahu k obecnému režimu zavedenému kapitolou II téže směrnice, jež stanoví obecné podmínky pro zákonnost zpracování osobních údajů (v tomto smyslu viz rozsudek Lindqvist, C‑101/01EU:C:2003:596, bod 63).

47

Vzhledem k tomu, že vnitrostátní orgány dozoru jsou v souladu s čl. 8 odst. 3 Listiny a článkem 28 směrnice 95/46 pověřeny dohledem nad dodržováním unijních předpisů týkajících se ochrany fyzických osob v souvislosti se zpracováním osobních údajů, každý z těchto orgánů je tudíž nadán pravomocí ověřit, zda předání osobních údajů z členského státu, kterému tyto orgány podléhají, do třetí země dodržuje požadavky stanovené směrnicí 95/46.

48

Směrnice 95/46 uznává v bodě 56 jejího odůvodnění, že předávání osobních údajů z členských států do třetích zemí je nezbytné pro rozvoj mezinárodního obchodu, zároveň však v čl. 25 odst. 1 zakotvuje zásadu, že k takovému předávání osobních údajů může dojít, pouze pokud tyto třetí země zajistí odpovídající úroveň ochrany.

49

Kromě toho bod 57 odůvodnění uvedené směrnice upřesňuje, že pokud předání osobních údajů do třetích zemí nezajišťuje odpovídající úroveň ochrany, musí být zakázáno.

50

Za účelem dohledu nad předáváním osobních údajů do třetích zemí v závislosti na úrovni ochrany poskytované těmto údajům v každé z těchto zemí ukládá článek 25 směrnice 95/46 řadu povinností členským státům a Komisi. Z tohoto článku především vyplývá, že zjištění, že třetí země zajišťuje či nezajišťuje odpovídající úroveň ochrany, mohou učinit – jak uvedl generální advokát v bodě 86 stanoviska – buď členské státy, nebo Komise.

51

Komise může na základě čl. 25 odst. 6 směrnice 95/46 přijmout rozhodnutí, v němž konstatuje, že třetí země zajišťuje odpovídající úroveň ochrany. Adresáty tohoto rozhodnutí jsou v souladu s druhým pododstavcem tohoto ustanovení členské státy, které musejí přijmout opatření nezbytná pro dosažení souladu s rozhodnutím Komise. Podle čl. 288 čtvrtého pododstavce SFEU je toto rozhodnutí závazné pro všechny členské státy, kterým je určeno, a platí tedy pro všechny jejich orgány (v tomto smyslu viz rozsudky Albako Margarinefabrik, 249/85EU:C:1987:245, bod 17, a Mediaset, C‑69/13EU:C:2014:71, bod 23), v rozsahu, v němž má za účinek povolení předání osobních údajů z členských států do třetí země, na kterou se toto rozhodnutí vztahuje.

52

Je sice pravda, že dokud nebylo rozhodnutí Komise prohlášeno Soudním dvorem za neplatné, nemohou členské státy a jejich orgány, včetně jejich nezávislých orgánů dozoru, přijmout opatření odporující tomuto rozhodnutí, jako např. akty směřující ke zjištění se závazným účinkem, že třetí země, na kterou se vztahuje uvedené rozhodnutí, nezajišťuje odpovídající úroveň ochrany. Aktům unijních orgánů totiž v zásadě svědčí presumpce legality, a tudíž zakládají právní účinky tak dlouho, dokud nejsou vzaty zpět, zrušeny v rámci žaloby na neplatnost nebo prohlášeny za neplatné v návaznosti na žádost o rozhodnutí o předběžné otázce nebo na námitku protiprávnosti (rozsudek Komise v. Řecko, C‑475/01EU:C:2004:585, bod 18 a citovaná judikatura).

53

Nicméně takové rozhodnutí Komise přijaté na základě čl. 25 odst. 6 směrnice 95/46, jako je rozhodnutí 2000/520, nebrání osobám, jejichž osobní údaje byly nebo by mohly být předány do třetí země, aby se obrátily na vnitrostátní orgány dozoru s žádostí ve smyslu čl. 28 odst. 4 této směrnice, týkající se ochrany svých práv a svobod v souvislosti se zpracováním těchto údajů. Stejně tak rozhodnutí takovéto povahy nemůže, jak uvedl generální advokát zejména v bodech 61, 93 a 116 stanoviska, popřít ani omezit pravomoci výslovně přiznané vnitrostátním orgánům dozoru článkem 8 odst. 3 Listiny, jakož i článkem 28 uvedené směrnice.

54

Ani čl. 8 odst. 3 Listiny, ani článek 28 směrnice 95/46 nevyjímají z pravomoci vnitrostátních orgánů dozoru dohled nad předáváním osobních údajů do třetích zemí, na něž se vztahovalo rozhodnutí Komise na základě čl. 25 odst. 6 této směrnice.

55

Konkrétně čl. 28 odst. 4 první pododstavec směrnice 95/46, který stanoví, že na vnitrostátní orgány dozoru se může obrátit „jakákoli osoba [...] se žádostí týkající se ochrany svých práv a svobod v souvislosti se zpracováním osobních údajů“, nestanoví v tomto směru žádnou výjimku pro případ, že by Komise přijala rozhodnutí na základě čl. 25 odst. 6 této směrnice.

56

Kromě toho by bylo v rozporu se systémem zavedeným směrnicí 95/46, jakož i s účelem článků 25 a 28 této směrnice, kdyby účinkem rozhodnutí Komise přijatého na základě čl. 25 odst. 6 uvedené směrnice bylo zabránit tomu, aby vnitrostátní orgán dozoru posoudil žádost určité osoby týkající se ochrany jejích práv a svobod v souvislosti se zpracováním jejích osobních údajů, které byly nebo by mohly být předány z členského státu do třetí země, na kterou se vztahuje toto rozhodnutí.

57

Článek 28 směrnice 95/46 se naopak svou povahou vztahuje na každé zpracování osobních údajů. Tedy i v případě rozhodnutí Komise přijatého na základě čl. 25 odst. 6 této směrnice musí mít vnitrostátní orgány dozoru, na které se obrátí osoba se žádostí týkající se ochrany jejích práv a svobod v souvislosti se zpracováním osobních údajů, jež se jí týkají, možnost zcela nezávisle posoudit, zda předání těchto údajů dodržuje požadavky stanovené uvedenou směrnicí.

58

V opačném případě by bylo osobám, jejichž osobní údaje byly nebo by mohly být předány do dotyčné třetí země, upřeno právo – zaručené čl. 8 odst. 1 a 3 Listiny – obrátit se na vnitrostátní orgány dozoru se žádostí za účelem ochrany svých základních práv (viz obdobně rozsudek Digital Rights Ireland a další, C‑293/12 a C‑594/12EU:C:2014:238, bod 68).

59

Žádost ve smyslu čl. 28 odst. 4 směrnice 95/46, v níž osoba, jejíž osobní údaje byly nebo by mohly být předány do třetí země, tvrdí – stejně jako ve věci v původním řízení – že právo a praxe platné v této zemi nezajišťují navzdory zjištění učiněnému Komisí v rozhodnutí přijatém na základě čl. 25 odst. 6 této směrnice odpovídající úroveň ochrany, musí být chápána v tom smyslu, že se v podstatě týká slučitelnosti tohoto rozhodnutí s ochranou soukromí a základních práv a svobod osob.

60

V této souvislosti je třeba připomenout, že podle ustálené judikatury Soudního dvora je Unie unií práva, v níž akty jejích orgánů podléhají přezkumu jejich souladu zejména se Smlouvami, obecnými právními zásadami a základními právy (v tomto smyslu viz rozsudky Komise a další v. Kadi, C‑584/10 P, C‑593/10 P a C‑595/10 PEU:C:2013:518, bod 66; Inuit Tapiriit Kanatami a další v. Parlament a Rada, C‑583/11 PEU:C:2013:625, bod 91, jakož i Telefónica v. Komise, C‑274/12 PEU:C:2013:852, bod 56). Rozhodnutí Komise přijatá na základě čl. 25 odst. 6 směrnice 95/46 tudíž nemohou tomuto přezkumu uniknout.

61

Rozhodnout o neplatnosti takového unijního aktu, jako je rozhodnutí Komise přijaté na základě čl. 25 odst. 6 směrnice 95/46, však může pouze Soudní dvůr; cílem výlučné povahy této pravomoci je zaručit právní jistotu prostřednictvím zajištění jednotného uplatňování unijního práva (viz rozsudky Melki a Abdeli, C‑188/10 a C‑189/10EU:C:2010:363, bod 54, jakož i CIVAD, C‑533/10EU:C:2012:347, bod 40).

62

Vnitrostátní soudy jsou sice oprávněny přezkoumat platnost takového unijního aktu, jako je rozhodnutí Komise přijaté na základě čl. 25 odst. 6 směrnice 95/46, nemají však pravomoc k tomu, aby samy konstatovaly neplatnost takového aktu (v tomto smyslu viz rozsudky Foto‑Frost, 314/85EU:C:1987:452, body 1520, jakož i IATA a ELFAA, C‑344/04EU:C:2006:10, bod 27). Tím spíše nejsou vnitrostátní orgány dozoru oprávněny k tomu, aby při posuzování žádosti ve smyslu čl. 28 odst. 4 této směrnice, týkající se slučitelnosti rozhodnutí Komise přijatého na základě čl. 25 odst. 6 uvedené směrnice s ochranou soukromí a základních práv a svobod osob, samy konstatovaly neplatnost takovéhoto rozhodnutí.

63

Vzhledem k těmto úvahám musí uvedený orgán posoudit tuto žádost s veškerou náležitou péčí v případě, že se osoba, jejíž osobní údaje byly nebo by mohly být předány do třetí země, na kterou se vztahuje rozhodnutí Komise na základě čl. 25 odst. 6 směrnice 95/46, obrátí na vnitrostátní orgán dozoru se žádostí týkající se ochrany svých práv a svobod v souvislosti se zpracováním těchto údajů a v rámci této žádosti zpochybní, jako ve věci v původním řízení, slučitelnost tohoto rozhodnutí s ochranou soukromí a základních práv a svobod osob.

64

Dospěje-li uvedený orgán k závěru, že skutečnosti uplatněné na podporu takovéto žádosti jsou neopodstatněné, a z tohoto důvodu uvedenou žádost zamítne, osoba, která tuto žádost podala, musí mít podle čl. 28 odst. 3 druhého pododstavce směrnice 95/46 ve spojení s článkem 47 Listiny právo na přístup k prostředkům nápravy před soudem, které jí umožní napadnout toto rozhodnutí nepříznivě zasahující do jejího právního postavení před vnitrostátními soudy. S ohledem na judikaturu citovanou v bodech 61 a 62 tohoto rozsudku platí, že mají-li vnitrostátní soudy za to, že jeden nebo více důvodů neplatnosti unijního aktu uvedených účastníky řízení nebo popřípadě uplatněných bez návrhu jsou opodstatněné, musí přerušit řízení a předložit Soudnímu dvoru žádost o rozhodnutí o předběžné otázce směřující k posouzení platnosti (v tomto smyslu viz rozsudek T & L Sugars a Sidul Açúcares v. Komise, C‑456/13 PEU:C:2015:284, bod 48 a citovaná judikatura).

65

Má-li uvedený orgán v opačném případě za to, že výtky uplatněné osobou, která se na něj obrátila se žádostí týkající se ochrany svých práv a svobod v souvislosti se zpracováním svých osobních údajů, jsou opodstatněné, musí mít tento orgán v souladu s čl. 28 odst. 3 prvním pododstavcem třetí odrážkou směrnice 95/46, ve spojení zejména s čl. 8 odst. 3 Listiny, možnost obrátit se na soud. V tomto ohledu přísluší vnitrostátnímu normotvůrci, aby stanovil procesní prostředky, které by dotyčnému vnitrostátnímu orgánu dozoru umožnily uplatnit výtky, jež považuje za opodstatněné, před vnitrostátními soudy, aby tyto soudy v případě, že sdílejí pochybnosti vyjádřené tímto orgánem ohledně platnosti rozhodnutí Komise, předložily žádost o rozhodnutí o předběžné otázce za účelem přezkumu platnosti tohoto rozhodnutí.

66

Vzhledem k předchozím úvahám je třeba na položené otázky odpovědět tak, že čl. 25 odst. 6 směrnice 95/46 ve spojení s články 7, 8 a 47 Listiny musí být vykládán v tom smyslu, že takové rozhodnutí přijaté na základě tohoto ustanovení, jako je rozhodnutí 2000/520, v němž Komise konstatuje, že třetí země zajišťuje odpovídající úroveň ochrany, nebrání tomu, aby orgán dozoru členského státu ve smyslu článku 28 této směrnice posoudil žádost osoby týkající se ochrany jejích práv a svobod v souvislosti se zpracováním osobních údajů, které se jí týkají a které byly předány z členského státu do této třetí země, pokud tato osoba tvrdí, že právo a praxe platné v této zemi nezajišťují odpovídající úroveň ochrany.

K platnosti rozhodnutí 2000/520

67

Jak vyplývá z vysvětlení předkládajícího soudu k položeným otázkám, M. Schrems v původním řízení tvrdí, že právo a praxe platné ve Spojených státech nezajišťují odpovídající úroveň ochrany ve smyslu článku 25 směrnice 95/46. Jak poukázal generální advokát v bodech 123 a 124 stanoviska, M. Schrems má ohledně platnosti rozhodnutí 2000/520 pochybnosti, které patrně sdílí v zásadě i předkládající soud. Za takovýchto okolností je s ohledem na zjištění učiněná v bodech 60 až 63 tohoto rozsudku a za účelem podání vyčerpávající odpovědi uvedenému soudu třeba přezkoumat, zda je toto rozhodnutí v souladu s požadavky plynoucími z této směrnice vykládané ve světle Listiny.

K požadavkům plynoucím z čl. 25 odst. 6 směrnice 95/46

68

Jak již bylo uvedeno v bodech 48 a 49 tohoto rozsudku, čl. 25 odst. 1 směrnice 95/46 zakazuje předávání osobních údajů do třetí země, která nezajišťuje odpovídající úroveň ochrany.

69

Článek 25 odst. 6 první pododstavec této směrnice však pro účely dohledu nad tímto předáváním stanoví, že Komise „může konstatovat, že třetí země zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků [...] s cílem zajistit ochranu soukromí a základních práv a svobod osob“.

70

Článek 25 odst. 2 směrnice 95/46 ani žádné jiné ustanovení této směrnice vpravdě neobsahují definici pojmu „odpovídající úroveň ochrany“. Konkrétně čl. 25 odst. 2 uvedené směrnice pouze stanoví, že odpovídající úroveň ochrany poskytovaná třetí zemí „se posoudí s ohledem na všechny okolnosti související s předáním nebo předáváním údajů“, a podává demonstrativní výčet okolností, k nimž se má při tomto posouzení přihlédnout.

71

Nicméně jak vyplývá ze samotného znění čl. 25 odst. 6 směrnice 95/46, toto ustanovení vyžaduje, aby třetí země „zajistila“ odpovídající úroveň ochrany na základě svých vnitrostátních předpisů nebo mezinárodních závazků. Dále podle téhož ustanovení se odpovídající úroveň ochrany zajišťovaná třetí zemí posuzuje „s cílem zajistit ochranu soukromí a základních práv a svobod osob“.

72

Článek 25 odst. 6 směrnice 95/46 tedy provádí výslovný závazek ochrany osobních údajů stanovený v čl. 8 odst. 1 Listiny a jeho cílem je, jak uvedl generální advokát v bodě 139 stanoviska, trvale zajistit vysokou úroveň této ochrany v případě předávání osobních údajů do třetí země.

73

Výraz „odpovídající“ obsažený v čl. 25 odst. 6 směrnice 95/46 sice znamená, že nelze vyžadovat, aby třetí země zajišťovala stejnou úroveň ochrany, jako je úroveň zajištěná v unijním právním řádu. Jak uvedl generální advokát v bodě 141 stanoviska, výraz „odpovídající úroveň ochrany“ však musí být chápán v tom smyslu, že vyžaduje, aby tato třetí země skutečně zajišťovala na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků takovou úroveň ochrany základních práv a svobod, jaká je rovnocenná úrovni zaručené v rámci Unie na základě směrnice 95/46 vykládané ve světle Listiny. Pokud by totiž takovýto požadavek chyběl, byl by popřen cíl zmíněný v předchozím bodě tohoto rozsudku. Kromě toho by vysoká úroveň ochrany zaručená směrnicí 95/46 vykládanou ve světle Listiny mohla být snadno obcházena prostřednictvím předání osobních údajů z Unie do třetích zemí s cílem jejich zpracování v těchto zemích.

74

Z výslovného znění čl. 25 odst. 6 směrnice 95/46 vyplývá, že odpovídající úroveň ochrany musí zajišťovat právní řád třetí země, na kterou se vztahuje rozhodnutí Komise. I když se prostředky, které tato třetí země využívá v tomto směru k zajištění takovéto úrovně ochrany, mohou lišit od prostředků zavedených v rámci Unie s cílem zaručit dodržování požadavků plynoucích z této směrnice, vykládané ve světle Listiny, musí se přesto tyto prostředky v praxi ukázat jako účinné k zajištění ochrany, která je v zásadě rovnocenná ochraně zaručené v rámci Unie.

75

Za těchto podmínek je Komise při přezkumu úrovně ochrany poskytované třetí zemí povinna posoudit obsah pravidel platných v této zemi, které vyplývají z vnitrostátních předpisů nebo mezinárodních závazků této země, jakož i praxi směřující k zajištění dodržování těchto pravidel, přičemž musí Komise podle čl. 25 odst. 2 směrnice 95/46 přihlédnout ke všem okolnostem souvisejícím s předáním osobních údajů do třetí země.

76

Stejně tak s ohledem na skutečnost, že se úroveň ochrany zajišťovaná třetí zemí může vyvíjet, je na Komisi, aby po přijetí rozhodnutí na základě čl. 25 odst. 6 směrnice 95/46 pravidelně ověřovala, zda zjištění ohledně odpovídající úrovně ochrany zajišťované dotyčnou třetí zemí je stále skutkově a právně podložené. Takové ověřování je každopádně závazné tehdy, když některé indicie vyvolávají v tomto ohledu určité pochybnosti.

77

Jak uvedl generální advokát v bodech 134 a 135 stanoviska, musí být navíc při přezkumu platnosti rozhodnutí Komise přijatého na základě čl. 25 odst. 6 směrnice 95/46 přihlédnuto též k okolnostem, které nastaly po přijetí tohoto rozhodnutí.

78

V této souvislosti je třeba uvést, že s ohledem na významnou úlohu ochrany osobních údajů z hlediska základního práva na respektování soukromého života a na značný počet osob, jejichž základní práva mohou být porušena v případě předání osobních údajů do třetí země, jež nezajišťuje odpovídající úroveň ochrany, je posuzovací pravomoc Komise ohledně odpovídající úrovně ochrany zajišťované třetí zemí omezena, takže přezkum požadavků plynoucích z článku 25 směrnice 95/46 vykládaného ve světle Listiny musí být striktní (viz obdobně rozsudek Digital Rights Ireland a další, C‑293/12 a C‑594/12EU:C:2014:238, body 4748).

K článku 1 rozhodnutí 2000/520

79

Komise v čl. 1 odst. 1 rozhodnutí 2000/520 shledala, že zásady uvedené v příloze I tohoto rozhodnutí a prováděné podle pokynů obsažených ve FAQ, jak jsou uvedeny v příloze II tohoto rozhodnutí, zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím usazeným ve Spojených státech. Z tohoto ustanovení vyplývá, že jak uvedené zásady, tak FAQ byly vydány Ministerstvem obchodu Spojených států.

80

K přijetí zásad „bezpečného přístavu“ určitou organizací dochází na základě systému vlastního osvědčení, jak vyplývá z čl. 1 odst. 2 a 3 tohoto rozhodnutí, ve spojení s FAQ 6 obsaženou v příloze II uvedeného rozhodnutí.

81

Použití systému vlastního osvědčení třetí zemí sice není samo o sobě v rozporu s požadavkem stanoveným v čl. 25 odst. 6 směrnice 95/46, podle něhož musí dotyčná třetí země zajišťovat odpovídající úroveň ochrany „na základě […] vnitrostátních předpisů nebo […] mezinárodních závazků“ této země, avšak spolehlivost takovéhoto systému z hlediska uvedeného požadavku spočívá převážně na zavedení účinných mechanismů odhalování a dozoru, jež v praxi umožňují identifikovat a sankcionovat případné porušení pravidel zajišťujících ochranu základních práv, zejména práva na respektování soukromého života a práva na ochranu osobních údajů.

82

V projednávané věci jsou zásady bezpečného přístavu podle přílohy I druhého pododstavce rozhodnutí 2000/520 „určeny výlučně organizacím ve Spojených státech, které získávají osobní údaje z Evropské unie, aby mohly splnit požadavky ‚bezpečného přístavu‘ a z něj vyplývající domněnku ‚odpovídající‘ ochrany údajů“. Tyto zásady tudíž platí pouze pro organizace ve Spojených státech s vlastním osvědčením, které získávají osobní údaje z Unie, aniž se vyžaduje, aby veřejné orgány Spojených států podléhaly těmto zásadám.

83

Kromě toho podle článku 2 rozhodnutí 2000/520 se toto rozhodnutí „vztahuje výlučně na odpovídající úroveň ochrany zajišťovanou ve Spojených státech podle zásad [bezpečného přístavu] prováděných v souladu s FAQ s cílem splnit požadavky čl. 25 odst. 1 směrnice [95/46]“, avšak neobsahuje dostatečná zjištění ohledně opatření, prostřednictvím kterých Spojené státy zajišťují odpovídající úroveň ochrany ve smyslu čl. 25 odst. 6 této směrnice na základě svých vnitrostátních předpisů nebo mezinárodních závazků.

84

Navíc podle přílohy I čtvrtého pododstavce rozhodnutí 2000/520 může být dodržování těchto zásad omezeno, zejména „v rozsahu nezbytném pro splnění požadavků bezpečnosti státu, veřejného zájmu nebo prosazování zákonů“, jakož i „zákonem, správním nařízením nebo judikaturou, které vytvářejí protichůdné závazky, nebo výslovným zmocněním za předpokladu, že při výkonu takového zmocnění může organizace prokázat, že nedodržení zásad je omezeno na rozsah nezbytný pro dodržení nadřazených oprávněných zájmů, jimž má takové zmocnění sloužit“.

85

V tomto ohledu rozhodnutí 2000/520 v hlavě B přílohy IV zdůrazňuje ohledně omezení, kterým podléhá použitelnost zásad bezpečného přístavu, že „[j]e však jasné, že tam, kde právo Spojených států ukládá závazek odporující zásadám ‚bezpečného přístavu‘, je organizace ve Spojených státech povinna dodržovat toto právo bez ohledu na to, zda se účastní ‚bezpečného přístavu‘, nebo nikoli“.

86

Rozhodnutí 2000/520 tak zakotvuje přednost „požadavk[ů] bezpečnosti státu, veřejného zájmu nebo prosazování zákonů“ před zásadami ‚bezpečného přístavu‘, tj. přednost, podle níž jsou organizace ve Spojených státech s vlastním osvědčením, které získávají osobní údaje z Unie, povinny bez jakéhokoli omezení neuplatnit tyto zásady, pokud jsou v rozporu s těmito požadavky, a tudíž se ukážou jako s nimi neslučitelné.

87

Vzhledem k obecnosti odchylky obsažené v příloze I čtvrtém pododstavci rozhodnutí 2000/520 umožňuje tato odchylka zásahy do základních práv osob, jejichž osobní údaje jsou nebo by mohly být předávány z Unie do Spojených států, jež se opírají o požadavky související s bezpečností státu a veřejným zájmem nebo o vnitrostátní předpisy Spojených států. V tomto ohledu není k prokázání existence zásahu do základního práva na respektování soukromého života důležité, zda dotyčné informace o soukromém životě představují citlivé údaje nebo zda dotyčné osoby utrpěly z důvodu tohoto zásahu případné nepříznivé následky (rozsudek Digital Rights Ireland a další, C‑293/12 a C‑594/12EU:C:2014:238, bod 33 a citovaná judikatura).

88

Rozhodnutí 2000/520 navíc neobsahuje žádné zjištění ohledně existence pravidel státního charakteru ve Spojených státech, jež mají omezit případné zásahy do základních práv osob, jejichž osobní údaje jsou předávány z Unie do Spojených států, tj. zásahy, jež by státní subjekty této země byly oprávněny činit v případě, že sledují takové legitimní cíle, jako je bezpečnost státu.

89

K tomu nutno dodat, že se rozhodnutí 2000/520 nezmiňuje o existenci účinné právní ochrany před zásahy tohoto druhu. Jak uvedl generální advokát v bodech 204 až 206 stanoviska, mechanismy soukromého rozhodčího řízení a řízení u Federal Trade Commission, jejíž pravomoci, popsané zejména v FAQ 11 obsažené v příloze II tohoto rozhodnutí, jsou omezeny na obchodní spory, se týkají dodržování zásad bezpečného přístavu ze strany amerických společností a nelze je uplatnit ve sporech týkajících se legality zásahů do základních práv plynoucích z opatření státního původu.

90

Kromě toho je výše uvedený rozbor rozhodnutí 2000/520 podpořen posouzením situace plynoucí z uplatňování tohoto rozhodnutí, které provedla sama Komise. Konkrétně v bodech 2 a 3.2 sdělení COM(2013) 846 final, jakož i v bodech 7.1, 7.2 a 8 sdělení COM(2013) 847 final, jejichž znění je uvedeno v bodech 13 až 16 a v bodech 22, 23 a 25 tohoto rozsudku, Komise totiž konstatovala, že orgány Spojených států měly přístup k osobním údajům předaným z členských států do Spojených států a mohly tyto údaje zpracovat způsobem, který není v souladu zejména s cíli jejich předání a překračuje meze toho, co je nezbytně nutné a přiměřené pro ochranu bezpečnosti státu. Komise stejně tak konstatovala, že subjekty údajů nemají k dispozici žádné správní nebo soudní procesní prostředky, jež by umožňovaly zejména získat přístup k údajům, které se jich týkají, a případně dosáhnout jejich opravy nebo výmazu.

91

Pokud jde o úroveň ochrany základních práva a svobod zaručenou v rámci Unie, unijní právní předpisy obsahující zásah do základních práv zaručených články 7 a 8 Listiny musí podle ustálené judikatury Soudního dvora stanovit jasná a přesná pravidla pro rozsah a použití dotčeného opatření, která stanoví minimální požadavky, tak aby osoby, o jejichž osobní údaje se jedná, měly dostatečné záruky umožňující účinně chránit své údaje proti riziku zneužití a proti jakémukoli neoprávněnému přístupu k těmto údajům a jejich protiprávnímu využívání. Potřeba takových záruk je o to významnější v případě, kdy jsou osobní údaje zpracovávány automaticky a existuje značné riziko neoprávněného přístupu k těmto údajům (rozsudek Digital Rights Ireland a další, C‑293/12 a C‑594/12EU:C:2014:238, body 5455 a citovaná judikatura).

92

Dále je především třeba podotknout, že ochrana základního práva na respektování soukromého života na unijní úrovni vyžaduje, aby výjimky z ochrany osobních údajů a její omezení byly činěny v mezích toho, co je naprosto nezbytné (rozsudek Digital Rights Ireland a další, C‑293/12 a C‑594/12EU:C:2014:238, bod 52 a citovaná judikatura).

93

Na naprosto nezbytné se tedy neomezuje taková právní úprava, která globálně dovoluje uchovávání všech osobních údajů všech osob, jejichž osobní údaje byly předány z Unie do Spojených států bez jakéhokoli rozlišení, omezení nebo výjimky činěných v závislosti na sledovaném cíli a bez stanovení objektivního kritéria umožňujícího vymezit přístup veřejných orgánů k údajům a jejich následné využití pro konkrétní účely, striktně omezené a způsobilé odůvodnit zásah způsobený jak přístupem k těmto údajům, tak jejich využíváním [v tomto smyslu viz směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES (Úř. věst. L 105, s. 54) rozsudek Digital Rights Ireland a další, C‑293/12 a C‑594/12EU:C:2014:238, body 5761].

94

Konkrétně právní úprava, která veřejným orgánům umožňuje globální přístup k obsahu elektronických komunikací, musí být považována za zasahující do podstaty základního práva na respektování soukromého života zaručeného článkem 7 Listiny (v tomto smyslu viz rozsudek Digital Rights Ireland a další, C‑293/12 a C‑594/12EU:C:2014:238, bod 39).

95

Stejně tak právní úprava, která nestanoví procesním subjektům žádnou možnost využít právních prostředků s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů, nerespektuje podstatu základního práva na účinnou právní ochranu zakotveného v článku 47 Listiny. Článek 47 první pododstavec Listiny totiž vyžaduje, aby každý, jehož práva a svobody zaručené právem Unie byly porušeny, měl za podmínek stanovených tímto článkem právo na účinné prostředky nápravy před soudem. V tomto ohledu je samotná existence účinného soudního přezkumu určeného k zajištění dodržování ustanovení unijního práva inherentní existenci právního státu (v tomto smyslu viz rozsudky Les Verts v. Parlament, 294/83EU:C:1986:166, bod 23; Johnston, 222/84EU:C:1986:206, body 1819; Heylens a další, 222/86EU:C:1987:442, bod 14, jakož i UGT‑Rioja a další, C‑428/06 až C‑434/06EU:C:2008:488, bod 80).

96

Jak bylo konstatováno zejména v bodech 71, 73 a 74 rozsudku v projednávané věci, přijetí rozhodnutí Komisí na základě čl. 25 odst. 6 směrnice 95/46 vyžaduje, aby tento orgán s náležitým odůvodněním konstatoval, že dotyčná třetí země skutečně zajišťuje na základě svých vnitrostátních předpisů nebo mezinárodních závazků takovou úroveň ochrany základních práv, jaká je v zásadě rovnocenná úrovni zaručené v unijním právním řádu, jež vyplývá zejména z předchozích bodů tohoto rozsudku.

97

Je však třeba podotknout, že Komise v rozhodnutí 2000/520 neuvedla, že Spojené státy skutečně „zajišťují“ odpovídající úroveň ochrany na základě svých vnitrostátních předpisů nebo mezinárodních závazků.

98

,Je tudíž třeba dospět k závěru, aniž je třeba zkoumat obsah zásad bezpečného přístavu, že článek 1 tohoto rozhodnutí je v rozporu s požadavky stanovenými v čl. 25 odst. 6 směrnice 95/46 vykládaném ve světle Listiny, a že je tudíž neplatný.

K článku 3 rozhodnutí 2000/520

99

Z úvah vylíčených v bodech 53, 57 a 63 tohoto rozsudku vyplývá, že s ohledem na článek 28 směrnice 95/46 ve spojení zejména s článkem 8 Listiny musí mít vnitrostátní orgány dozoru možnost zcela nezávisle posoudit jakoukoli žádost týkající se ochrany práv a svobod určité osoby v souvislosti se zpracováním osobních údajů, které se jí týkají. To platí zejména tehdy, když v rámci takovéto žádosti uvedená osoba vznese pochybnosti ohledně slučitelnosti rozhodnutí Komise přijatého na základě čl. 25 odst. 6 této směrnice s ochranou soukromí a základních práv a svobod osob.

100

Článek 3 odst. 1 první pododstavec rozhodnutí 2000/520 však stanoví zvláštní právní úpravu pravomocí, jimiž jsou nadány vnitrostátní orgány dozoru ve vztahu ke zjištění učiněnému Komisí ohledně odpovídající úrovně ochrany ve smyslu článku 25 směrnice 95/46.

101

Podle tohoto ustanovení mohou uvedené orgány, „[a]niž jsou dotčeny [jejich] pravomoci přijímat opatření, která zajišťují, aby byla dodržována vnitrostátní ustanovení přijatá k provedení jiných ustanovení směrnice [95/46] než článku 25, […] zastavi[t] toky údajů vůči organizaci, která sama osvědčila, že přistoupila k zásadám [stanoveným rozhodnutím 2000/520]“, při dodržení restriktivních podmínek stanovujících vysoký práh zásahu. I když toto ustanovení nezasahuje do pravomocí uvedených orgánů k přijetí opatření s cílem zajistit dodržování vnitrostátních předpisů přijatých k provedení této směrnice, vylučuje naproti tomu možnost uvedených orgánů přijmout opatření k zajištění dodržování článku 25 téže směrnice.

102

Článek 3 odst. 1 první pododstavec rozhodnutí 2000/520 musí být tedy chápán v tom smyslu, že upírá vnitrostátním orgánům dozoru pravomoci, které pro ně vyplývají z článku 28 směrnice 95/46, v případě, že osoba v rámci žádosti podané na základě tohoto ustanovení tvrdí skutečnosti, které mohou zpochybnit slučitelnost rozhodnutí Komise, v němž bylo na základě čl. 25 odst. 6 této směrnice konstatováno, že třetí země zajišťuje odpovídající úroveň ochrany, s ochranou soukromí a základních práv a svobod osob.

103

Prováděcí pravomoc, kterou unijní normotvůrce přiznal Komisi v čl. 25 odst. 6 směrnice 95/46, přitom tomuto orgánu nesvěřuje pravomoc omezit pravomoci vnitrostátních orgánů dozoru uvedené v předchozím bodě tohoto rozsudku.

104

Za těchto podmínek je třeba konstatovat, že přijetím článku 3 rozhodnutí 2000/520 překročila Komise pravomoc, kterou jí přiznává čl. 25 odst. 6 směrnice 95/46, vykládaný ve světle Listiny, a že tento článek je tudíž neplatný.

105

Vzhledem k tomu, že články 1 a 3 rozhodnutí 2000/520 jsou neoddělitelně spjaty s články 2 a 4, jakož i s přílohami tohoto rozhodnutí, vede jejich neplatnost k tomu, že je dotčena platnost tohoto rozhodnutí jako celku.

106

Vzhledem ke všem výše uvedeným úvahám je třeba dospět k závěru, že rozhodnutí 2000/520 je neplatné.

K nákladům řízení

107

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

 

Z těchto důvodů Soudní dvůr (velký senát) rozhodl takto:

 

1)

Článek 25 odst. 6 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, ve znění nařízení Evropského parlamentu a Rady (ES) č. 1882/2003 ze dne 29. září 2003, ve spojení s články 7, 8 a 47 Listiny základních práv Evropské unie musí být vykládán v tom smyslu, že takové rozhodnutí přijaté na základě tohoto ustanovení, jako je rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice 95/46 o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu Spojených států, v němž Evropská komise konstatuje, že třetí země zajišťuje odpovídající úroveň ochrany, nebrání tomu, aby orgán dozoru členského státu ve smyslu článku 28 této směrnice, ve znění změn, posoudil žádost osoby týkající se ochrany jejích práv a svobod v souvislosti se zpracováním osobních údajů, které se jí týkají a které byly předány z členského státu do této třetí země, pokud tato osoba tvrdí, že právo a praxe platné v této zemi nezajišťují odpovídající úroveň ochrany.

 

2)

Rozhodnutí 2000/520 je neplatné.

 

Podpisy.


( * )   Jednací jazyk: angličtina.

  翻译: