Съдът на ЕС обявява за невалидно решението на Комисията, с което се констатира, че САЩ гарантират достатъчна степен на защита на прехвърляните лични данни
OT 11:27:01 06-10-2015
ZR1126OT.004
ЕС - лични данни - съд - решение
Съдът на ЕС обявява за невалидно решението на Комисията, с което се констатира, че САЩ гарантират достатъчна степен на защита на прехвърляните лични данни
Люксембург, 6 октомври /БТА/
Съдът на ЕС обяви за невалидно решението на Комисията, с което се констатира, че САЩ гарантират достатъчна степен на защита на прехвърляните лични данни, съобщи пресслужбата на съда.
Тъй като единствено Съдът е компетентен да обяви акт на Съюза за невалиден, сезираните с искане национални надзорни органи могат - дори при наличие на решение на Комисията, с което се констатира, че трета страна предоставя достатъчна степен на защита на личните данни - да проверят дали прехвърлянето на данните на определено лице към тази страна отговаря на изискванията на законодателството на Съюза относно защитата на тези данни и също като засегнатото лице могат да сезират националните юрисдикции с цел последните да отправят преюдициално запитване, за да се провери валидността на решението
Съгласно директивата за обработването на лични данни прехвърлянето им към трета страна по принцип може да се извърши само ако въпросната страна гарантира достатъчна степен на защита на тези данни. Съгласно същата директива Комисията може да констатира, че предвид вътрешното законодателство или международните споразумения, дадена трета страна гарантира достатъчна степен за защита. Накрая в директивата се предвижда, че всяка държава членка определя един или повече публични органи, които да отговарят за наблюдението на прилагането на нейната територия на националните разпоредби, приети въз основа на директивата ("националните надзорни органи").
1 Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).
2 Решение 2000/520/ЕО на Комисията от 26 юли 2000 година съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за "сфера на неприкосновеност на личния живот" и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ (ОВ L 215, стр. 7; Специално издание на български език, 2007 г., глава 16, том 1, стр. 64).
3 Схемата за сфера на неприкосновеност на личния живот включва поредица от принципи относно защитата на личните данни, към които американските предприятия могат да се присъединят доброволно.
Г-н Maximilian Schrems е австрийски граждани и ползва Facebook от 2008 г. Също както при другите пребиваващи в Съюза абонати предоставените от г-н Schrems данни на Facebook изцяло или частично се прехвърлят от ирландското дъщерно дружество на Facebook върху разположени на територията на САЩ сървъри, където се обработват. Г-н Schrems подава жалба до ирландския надзорен орган, тъй като счита, че предвид направените през 2013 г. разкрития от г-н Едуард Сноудън относно дейността на разузнавателните служби на САЩ (по-специално National Security Agency или "NSA") правото и практиките на САЩ не предоставят достатъчна защита срещу наблюдението от страна на публичните органи на прехвърляните към тази страна данни. Ирландският орган отхвърля жалбата по-специално с довода, че в решението си от 26 юли 2000 г.2 Комисията е приела, че в рамките на т.нар. схема за "сфера на неприкосновеност на личния живот"3 САЩ гарантират достатъчна степен на защита на прехвърляните лични данни.
High Court of Ireland (Върховен съд, Ирландия) е сезиран със случая и иска да се установи дали посоченото решение на Комисията е пречка съответният национален надзорен орган
www.curia.europa.eu
да проведе разследване по жалба, в която се твърди, че определена трета страна не гарантира достатъчна степен за защита, и при необходимост да преустанови оспорваното прехвърляне на данни.
В днешното си решение Съдът приема, че наличието на решение на Комисията, с което се констатира, че дадена трета страна гарантира достатъчна степен за защита на прехвърляните лични данни, не може да отнеме, нито дори да намали правомощията, с които разполагат националните надзорни органи по силата на Хартата на основните права на Европейския съюз и директивата. В това отношение Съдът обръща внимание на гарантираното от Хартата право на защита на личните данни и на функциите, с които са натоварени националните надзорни органи по силата на Хартата.
Съдът най-напред приема, че никоя разпоредба от директивата не възпрепятства националните органи да упражняват контрол върху прехвърлянето на лични данни към трети страни, по отношение на които има решение на Комисията. Така дори при наличие на решение на Комисията, националните надзорни органи, до които е отправено искане, трябва да могат напълно независимо да проверят дали прехвърлянето на лични данни на определено лице към трета страна отговаря на въведените с директивата изисквания. Същевременно Съдът припомня, че единствено той е компетентен да установи невалидността на акт на Съюза, какъвто е решението на Комисията. Ето защо, когато според националният орган или сезиралото го лице съответното решение на Комисията е невалидно, органът или лицето трябва да имат възможност да сезира националните юрисдикции, така че и ако последните имат съмнения относно валидността на решението на Комисията да отправят преюдициално запитване до Съда. Следователно Съдът последен трябва да реши дали съответното решение на Комисията е валидно или не.
Съдът извършва проверка на валидността на решението на Комисията от 26 юли 2000 г. В това отношение Съдът припомня, че Комисията е била длъжна да констатира, че по силата на вътрешното си законодателство или на международните си споразумения САЩ ефективно гарантират степен на защита на основните права, която по същество е равностойна на гарантираната в Съюза по силата на директивата, разглеждана във връзка с Хартата. Съдът посочва, че Комисията не прави такава констатация, а само анализира схемата за сфера на неприкосновеност.
Така, без да е необходимо Съдът да проверява дали посочената схема гарантира степен на защита, която по същество е равностойна на гарантираната в Съюза, Съдът констатира, че схемата се прилага само за присъединилите се към нея американски предприятия, като самите публични органи на САЩ не са длъжни да я съблюдават. Освен това изискванията, свързани с националната сигурност, с обществения интерес и със спазването на законодателството на САЩ се ползват с предимство пред схемата за сфера на неприкосновеност, така че американските предприятия са длъжни без ограничения да се отклоняват от предвидените в тази схема правила за защита, когато последните влизат в противоречие с въпросните изисквания. По този начин американската схема за сфера на неприкосновеност прави възможна намесата на американските публични органи в упражняването на основите права на лицата, като при това в решението на Комисията не се установява в САЩ да са налице правила предназначени за ограничаване на евентуалната намеса, нито пък ефективна правна защита срещу такава намеса.
Съдът приема, че в подкрепа на този анализ на схемата са двете съобщения на Комисията4, от които по-специално е видно, че властите в САЩ са можели да имат достъп до прехвърляните лични данни от държавите членки към тази страна и да ги обработват по начин, който е несъвместим по-специално с целта на прехвърлянето им и който надхвърля
4 Съобщение на Комисията до Европейския парламент и Съвета, озаглавено "Възстановяване на доверието в обмена на данни между ЕС и САЩ" (COM(2013) 846 окончателен, 27 ноември 2013 г.) и Съобщение на Комисията до Европейския парламент и Съвета относно функционирането на "сферата на неприкосновеност на личния живот" ("Safe Harbour") от гледна точка на гражданите на ЕС и дружествата, установени в ЕС (COM(2013) 847 окончателен, 27 ноември 2013 г.).
www.curia.europa.eu строго необходимото и пропорционалното за защитата на националната сигурност. Комисията също така констатира, че засегнатите лица не разполагат със средства за защита по административен или съдебен път, чрез които по-специално да получат достъп и при необходимост поправка или заличаване на засягащите ги данни.
Що се отнася до въпроса за степента на защита, която по същество е равностойна на гарантираните в Съюза основни права и свободи, Съдът установява, че съгласно правото на Съюза не е ограничена до строго необходимото правна уредба, която общо разрешава съхраняването на всички лични данни на всички лица, чиито данни са били прехвърлени от Съюза към САЩ, без да въвежда никакво разграничаване, ограничаване или изключение с оглед на преследваната цел и без да предвижда обективни критерии, позволяващи да се ограничи достъпът на публичните органи до данните и тяхното последващо използване. Съдът добавя, че правна уредба, осигуряваща общ достъп на публичните органи до съдържанието на електронни съобщения, трябва да се счита за засягаща същественото съдържание на основното право на зачитане на личния живот.
Съдът също така посочва, че правна уредба, в която не се предвижда никаква възможност правният субект да използва правни средства за защита, за да получи достъп до засягащи го лични данни или да поправи или заличи такива данни, засяга същественото съдържание на основното право на ефективна съдебна защита, като наличието на тази възможност е неделимо свързано със съществуването на правовата държава.
Накрая, Съдът констатира, че решението на Комисията от 26 юли 2000 г. лишава националните надзорни органи от правомощията, с които разполагат в случай, че лице поставя под въпрос съвместимостта на решението със защитата на личния живот и на основните права и свободи на лицата. Съдът счита, че Комисията не е имала право да ограничава по този начин правомощията на националните надзорни органи.
Въз основа на всички тези съображения Съдът обявява решението на Комисията от 26 юли 2000 г. за невалидно. В резултат на настоящото решение ирландският надзорен орган трябва да разгледа жалбата на г-н Schrems с цялата дължима грижа и след като приключи разследването си трябва да реши дали въз основа на директивата да спре прехвърлянето на данните на европейските абонати на Facebook към САЩ, тъй като тази страна не предоставя достатъчна степен на защита на личните данни.
ЗАБЕЛЕЖКА: Преюдициалното запитване позволява на юрисдикциите на държавите членки, в рамките на спор, с който са сезирани, да се обърнат към Съда с въпрос относно тълкуването на правото на Съюза или валидността на акт на Съюза. Съдът не решава националния спор. Националната юрисдикция трябва да се произнесе по делото в съответствие с решението на Съда. Това решение обвързва по същия начин останалите национални юрисдикции, когато са сезирани с подобен въпрос.
Неофициален документ, предназначен за медиите, който не обвързва Съда.
Пълният текст на съдебното решение е публикуван на уебсайта CURIA в деня на обявяването.
За допълнителна информация се свържете с Илияна Пальова (+352) 4303 3708
Кадри от обявяването на решението са достъпни на "Europe by Satellite" (+32) 2 2964106
/ЦР/
ZR1126OT.004
ЕС - лични данни - съд - решение
Съдът на ЕС обявява за невалидно решението на Комисията, с което се констатира, че САЩ гарантират достатъчна степен на защита на прехвърляните лични данни
Люксембург, 6 октомври /БТА/
Съдът на ЕС обяви за невалидно решението на Комисията, с което се констатира, че САЩ гарантират достатъчна степен на защита на прехвърляните лични данни, съобщи пресслужбата на съда.
Тъй като единствено Съдът е компетентен да обяви акт на Съюза за невалиден, сезираните с искане национални надзорни органи могат - дори при наличие на решение на Комисията, с което се констатира, че трета страна предоставя достатъчна степен на защита на личните данни - да проверят дали прехвърлянето на данните на определено лице към тази страна отговаря на изискванията на законодателството на Съюза относно защитата на тези данни и също като засегнатото лице могат да сезират националните юрисдикции с цел последните да отправят преюдициално запитване, за да се провери валидността на решението
Съгласно директивата за обработването на лични данни прехвърлянето им към трета страна по принцип може да се извърши само ако въпросната страна гарантира достатъчна степен на защита на тези данни. Съгласно същата директива Комисията може да констатира, че предвид вътрешното законодателство или международните споразумения, дадена трета страна гарантира достатъчна степен за защита. Накрая в директивата се предвижда, че всяка държава членка определя един или повече публични органи, които да отговарят за наблюдението на прилагането на нейната територия на националните разпоредби, приети въз основа на директивата ("националните надзорни органи").
1 Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).
2 Решение 2000/520/ЕО на Комисията от 26 юли 2000 година съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за "сфера на неприкосновеност на личния живот" и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ (ОВ L 215, стр. 7; Специално издание на български език, 2007 г., глава 16, том 1, стр. 64).
3 Схемата за сфера на неприкосновеност на личния живот включва поредица от принципи относно защитата на личните данни, към които американските предприятия могат да се присъединят доброволно.
Г-н Maximilian Schrems е австрийски граждани и ползва Facebook от 2008 г. Също както при другите пребиваващи в Съюза абонати предоставените от г-н Schrems данни на Facebook изцяло или частично се прехвърлят от ирландското дъщерно дружество на Facebook върху разположени на територията на САЩ сървъри, където се обработват. Г-н Schrems подава жалба до ирландския надзорен орган, тъй като счита, че предвид направените през 2013 г. разкрития от г-н Едуард Сноудън относно дейността на разузнавателните служби на САЩ (по-специално National Security Agency или "NSA") правото и практиките на САЩ не предоставят достатъчна защита срещу наблюдението от страна на публичните органи на прехвърляните към тази страна данни. Ирландският орган отхвърля жалбата по-специално с довода, че в решението си от 26 юли 2000 г.2 Комисията е приела, че в рамките на т.нар. схема за "сфера на неприкосновеност на личния живот"3 САЩ гарантират достатъчна степен на защита на прехвърляните лични данни.
High Court of Ireland (Върховен съд, Ирландия) е сезиран със случая и иска да се установи дали посоченото решение на Комисията е пречка съответният национален надзорен орган
www.curia.europa.eu
да проведе разследване по жалба, в която се твърди, че определена трета страна не гарантира достатъчна степен за защита, и при необходимост да преустанови оспорваното прехвърляне на данни.
В днешното си решение Съдът приема, че наличието на решение на Комисията, с което се констатира, че дадена трета страна гарантира достатъчна степен за защита на прехвърляните лични данни, не може да отнеме, нито дори да намали правомощията, с които разполагат националните надзорни органи по силата на Хартата на основните права на Европейския съюз и директивата. В това отношение Съдът обръща внимание на гарантираното от Хартата право на защита на личните данни и на функциите, с които са натоварени националните надзорни органи по силата на Хартата.
Съдът най-напред приема, че никоя разпоредба от директивата не възпрепятства националните органи да упражняват контрол върху прехвърлянето на лични данни към трети страни, по отношение на които има решение на Комисията. Така дори при наличие на решение на Комисията, националните надзорни органи, до които е отправено искане, трябва да могат напълно независимо да проверят дали прехвърлянето на лични данни на определено лице към трета страна отговаря на въведените с директивата изисквания. Същевременно Съдът припомня, че единствено той е компетентен да установи невалидността на акт на Съюза, какъвто е решението на Комисията. Ето защо, когато според националният орган или сезиралото го лице съответното решение на Комисията е невалидно, органът или лицето трябва да имат възможност да сезира националните юрисдикции, така че и ако последните имат съмнения относно валидността на решението на Комисията да отправят преюдициално запитване до Съда. Следователно Съдът последен трябва да реши дали съответното решение на Комисията е валидно или не.
Съдът извършва проверка на валидността на решението на Комисията от 26 юли 2000 г. В това отношение Съдът припомня, че Комисията е била длъжна да констатира, че по силата на вътрешното си законодателство или на международните си споразумения САЩ ефективно гарантират степен на защита на основните права, която по същество е равностойна на гарантираната в Съюза по силата на директивата, разглеждана във връзка с Хартата. Съдът посочва, че Комисията не прави такава констатация, а само анализира схемата за сфера на неприкосновеност.
Така, без да е необходимо Съдът да проверява дали посочената схема гарантира степен на защита, която по същество е равностойна на гарантираната в Съюза, Съдът констатира, че схемата се прилага само за присъединилите се към нея американски предприятия, като самите публични органи на САЩ не са длъжни да я съблюдават. Освен това изискванията, свързани с националната сигурност, с обществения интерес и със спазването на законодателството на САЩ се ползват с предимство пред схемата за сфера на неприкосновеност, така че американските предприятия са длъжни без ограничения да се отклоняват от предвидените в тази схема правила за защита, когато последните влизат в противоречие с въпросните изисквания. По този начин американската схема за сфера на неприкосновеност прави възможна намесата на американските публични органи в упражняването на основите права на лицата, като при това в решението на Комисията не се установява в САЩ да са налице правила предназначени за ограничаване на евентуалната намеса, нито пък ефективна правна защита срещу такава намеса.
Съдът приема, че в подкрепа на този анализ на схемата са двете съобщения на Комисията4, от които по-специално е видно, че властите в САЩ са можели да имат достъп до прехвърляните лични данни от държавите членки към тази страна и да ги обработват по начин, който е несъвместим по-специално с целта на прехвърлянето им и който надхвърля
4 Съобщение на Комисията до Европейския парламент и Съвета, озаглавено "Възстановяване на доверието в обмена на данни между ЕС и САЩ" (COM(2013) 846 окончателен, 27 ноември 2013 г.) и Съобщение на Комисията до Европейския парламент и Съвета относно функционирането на "сферата на неприкосновеност на личния живот" ("Safe Harbour") от гледна точка на гражданите на ЕС и дружествата, установени в ЕС (COM(2013) 847 окончателен, 27 ноември 2013 г.).
www.curia.europa.eu строго необходимото и пропорционалното за защитата на националната сигурност. Комисията също така констатира, че засегнатите лица не разполагат със средства за защита по административен или съдебен път, чрез които по-специално да получат достъп и при необходимост поправка или заличаване на засягащите ги данни.
Що се отнася до въпроса за степента на защита, която по същество е равностойна на гарантираните в Съюза основни права и свободи, Съдът установява, че съгласно правото на Съюза не е ограничена до строго необходимото правна уредба, която общо разрешава съхраняването на всички лични данни на всички лица, чиито данни са били прехвърлени от Съюза към САЩ, без да въвежда никакво разграничаване, ограничаване или изключение с оглед на преследваната цел и без да предвижда обективни критерии, позволяващи да се ограничи достъпът на публичните органи до данните и тяхното последващо използване. Съдът добавя, че правна уредба, осигуряваща общ достъп на публичните органи до съдържанието на електронни съобщения, трябва да се счита за засягаща същественото съдържание на основното право на зачитане на личния живот.
Съдът също така посочва, че правна уредба, в която не се предвижда никаква възможност правният субект да използва правни средства за защита, за да получи достъп до засягащи го лични данни или да поправи или заличи такива данни, засяга същественото съдържание на основното право на ефективна съдебна защита, като наличието на тази възможност е неделимо свързано със съществуването на правовата държава.
Накрая, Съдът констатира, че решението на Комисията от 26 юли 2000 г. лишава националните надзорни органи от правомощията, с които разполагат в случай, че лице поставя под въпрос съвместимостта на решението със защитата на личния живот и на основните права и свободи на лицата. Съдът счита, че Комисията не е имала право да ограничава по този начин правомощията на националните надзорни органи.
Въз основа на всички тези съображения Съдът обявява решението на Комисията от 26 юли 2000 г. за невалидно. В резултат на настоящото решение ирландският надзорен орган трябва да разгледа жалбата на г-н Schrems с цялата дължима грижа и след като приключи разследването си трябва да реши дали въз основа на директивата да спре прехвърлянето на данните на европейските абонати на Facebook към САЩ, тъй като тази страна не предоставя достатъчна степен на защита на личните данни.
ЗАБЕЛЕЖКА: Преюдициалното запитване позволява на юрисдикциите на държавите членки, в рамките на спор, с който са сезирани, да се обърнат към Съда с въпрос относно тълкуването на правото на Съюза или валидността на акт на Съюза. Съдът не решава националния спор. Националната юрисдикция трябва да се произнесе по делото в съответствие с решението на Съда. Това решение обвързва по същия начин останалите национални юрисдикции, когато са сезирани с подобен въпрос.
Неофициален документ, предназначен за медиите, който не обвързва Съда.
Пълният текст на съдебното решение е публикуван на уебсайта CURIA в деня на обявяването.
За допълнителна информация се свържете с Илияна Пальова (+352) 4303 3708
Кадри от обявяването на решението са достъпни на "Europe by Satellite" (+32) 2 2964106
/ЦР/
EUR 1.9558
USD 1.7284
CHF 1.8677