CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020
ECLI:EU:C:2020:559
Cuvinte-cheie
Facebook, transfer de date către SUA, Privacy Shield, Scutul de Confidențialitate UE-SUA, domeniu de aplicare material al RGPD, căi de atac împotriva prelucrărilor de date cu caracter personal de către autoritățile americane, NSA, FBI, CIA, transferuri de date cu caracter personal în scopuri comerciale către țări terțe, decizie privind caracterul adecvat al nivelului de protecție, transferuri în baza unor garanții adecvate, aprecierea caracterului adecvat al nivelului de protecție asigurat în țara terță, clauze standard de protecție pentru transferul de date cu caracter personal către țări terțe, drepturi și libertăți fundamentale, programe de supraveghere, activități străine de spionaj, securitate națională, suspendarea sau interzicerea transferurilor
Litigiul principal
Domnul Schrems, resortisant austriac cu reședința în Austria, este utilizator al rețelei sociale Facebook (denumită în continuare „Facebook”) din anul 2008 (pct. 50). Datele cu caracter personal ale utilizatorilor Facebook care au reședința pe teritoriul Uniunii sunt, în tot sau în parte, transferate către servere care aparțin Facebook Inc., situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări (pct. 51).
În cursul anului 2013, domnul Schrems a sesizat Autoritatea privind protecția datelor din Irlanda pentru a interzice societății Facebook Ireland să transfere datele sale cu caracter personal către Statele Unite, susținând că dreptul și practicile în vigoare în această țară nu garantau o protecție suficientă a datelor cu caracter personal stocate pe teritoriul său împotriva activităților de supraveghere desfășurate în acest stat de autoritățile publice. Plângerea menționată a fost respinsă în special pentru motivul că în Decizia 2000/520 Comisia constatase că Statele Unite asigurau un nivel de protecție adecvat (pct. 51).
Te-ar putea interesa și:
Domnul Schrems a contestat în instanță decizia autorității de supraveghere prin intermediul căreia i-a fost respinsă plângerea. Instanța a sesizat Curtea cu o cerere de decizie preliminară privind interpretarea și validitatea Deciziei 2000/520. Prin Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650), Curtea a declarat această decizie ca fiind nevalidă (pct. 52-53). Ca urmare a acestei hotărâri a CJUE, instanța de trimitere a anulat respingerea plângerii domnului Schrems și a trimis‑o autorității de supraveghere din Irlanda spre examinare (pct. 53-54).
În cursul anului 2015, domnul Schrems a reformulat plângerea, arătând faptul că dreptul american impune societății Facebook Inc. să pună datele cu caracter personal care îi sunt transferate la dispoziția autorităților americane, precum National Security Agency (NSA) și Federal Bureau of Investigation (FBI). El a susținut că aceste date personale sunt utilizate în cadrul diferitelor programe de supraveghere într-un mod incompatibil cu art. 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene. În consecință, domnul Schrems a susținut că Decizia Clauzele standard nu poate justifica transferul datelor menționate către Statele Unite și a solicitat autorității de supraveghere să interzică sau să suspende transferul datelor sale cu caracter personal către Facebook Inc (pct. 55).
În anul 2016, autoritatea de supraveghere din Irlanda a publicat un „proiect de decizie” în care a rezumat concluziile preliminare în investigația desfășurată cu privire la Facebook Inc. Prin aceste concluzii preliminare, autoritatea a arătat, în primul rând, faptul că datele cu caracter personal ale cetățenilor Uniunii transferate către Statele Unite riscă să fie consultate și prelucrate de autoritățile americane într‑un mod incompatibil cu articolele 7 și 8 din cartă și, în al doilea rând, faptul că dreptul Statelor Unite nu oferă cetățenilor Uniunii căi de atac compatibile cu articolul 47 din cartă (pct. 55).
La 31 mai 2016, Autoritatea de supraveghere din Irlanda a sesizat High Court (Înalta Curte) pentru ca aceasta din urmă să sesizeze CJUE cu privire validitatea Deciziei clauzelor standard. (pct. 56)
La 4 mai 2018, High Court (Înalta Curte) a sesizat CJUE cu o trimitere preliminară, anexând o hotărâre cu rezultatul examinării probelor prezentate în fața sa în cadrul procedurii naționale, procedură la care participase guvernul american (pct. 58). Pe baza constatărilor din hotărâre, instanța consideră că Statele Unite efectuează o prelucrare de date în masă, fără a asigura o protecție în esență echivalentă cu cea garantată de articolele 7 și 8 din cartă (pct. 64). Mai mult, instanța arată și faptul că cetățenii Uniunii nu au căi de atac eficiente împotriva supravegherii în Statele Unite (pct. 64). În opinia sa, Ombudsmanul pentru Scutul de confidențialitate nu constituie o instanță judecătorească, în sensul articolului 47 din cartă, dreptul american nu asigură cetățenilor Uniunii un nivel de protecție în esență echivalent cu cel garantat de dreptul fundamental consacrat la acest articol (pct. 64).
Întrebările preliminare
Instanța națională a suspendat judecarea cauzei și a adresat Curții de Justiție 11 întrebări preliminare prin care a solicitat, în esență, interpretarea validității Deciziei Clauzelor Standard și ale Deciziei privind Scutul de Confidențialitate din perspectiva legislației privind protecția datelor personale privită în lumina art. 7, 8 și 47 din Cartea drepturilor Fundamentale a Uniunii Europene. În concret, instanța a întrebat Curtea de Justiție în ce măsură aceste două instrumente juridice (Decizia Clauzelor Standard și Decizia privind Scutul de Confidențialitate) asigură o protecție adecvată a datelor cetățenilor Uniunii Europene și a drepturilor și libertăților fundamentale în contextul supravegherii realizate de guvernul terț prin serviciile sale secrete.
Hotărârea și argumentele Curții de Justiție
Curtea de Justiție a considerat că trebuie să se răspundă la întrebările preliminare în raport cu dispozițiile RGPD, iar nu cu cele ale Directivei 95/46. (art. 79).
Cu privire la prima întrebare preliminară, CJUE a răspuns că un transfer internațional de date personale efectuat în scop comercial intră în domeniul de aplicare al RGPD chiar dacă în cursul sau în urma transferului menționat, datele respective sunt susceptibile de a fi prelucrate de autoritățile țării terțe în cauză în scopuri de siguranță publică, de apărare și de securitate a statului. (pct. 89). Pentru a ajunge la această concluzie, CJUE a reținut, printre alte argumente, faptul că excepțiile privind aplicabilitatea RGPD – art. 2, sunt de strictă interpretare. (pct. 84).
***
Cu privire la a doua, a treia și a șasea întrebare, Curtea de Justiție a considerat că instanța de trimitere a solicitat, în esență, a afla ce elemente trebuie luate în considerare pentru a se stabili dacă este asigurat un nivel adecvat de protecție atunci când se utilizează clauze standard de protecție a datelor (pct. 90).
Clauzele standard sunt reglementate la art. 46 RGPD, însă CJUE atrage atenția cu privire la faptul că art. 46 RGPD trebuie interpretat în lumina art. 44 din RGPD care obligă ca orice instrument utilizat pentru transferurile internaționale de date (inclusiv clauzele standard) să aibă un nivel de protecție adecvat al datelor personale. Curtea concluzionează astfel: „în consecință, acest nivel de protecție trebuie să fie garantat indiferent de dispoziția din capitolul menționat în temeiul căreia se efectuează un transfer de date cu caracter personal către o țară terță.” (pct. 92).
În continuare, la pct. 93-101, CJUE aduce lumină noțiunii de „nivel de protecție adecvat” în situația utilizării clauzelor contractuale standard. În primul rând, CJUE reamintește faptul că țara terță trebuie să asigure un „nivel de protecție” echivalent cu cel garantat de RGPD, interpretat în lumina drepturilor fundamentale garantate de cartă (pct. 94 și pct. 99). Prin urmare, țara terță trebuie să asigure „un nivel de protecție în esență echivalent cu cel garantat în cadrul Uniunii” (pct. 96).
Mai departe, la pct. 102-103, Curtea de Justiție precizează elementele care trebuie luate în considerare pentru a stabili că există un nivel de protecție adecvat, respectiv faptul „că persoanele vizate trebuie să beneficieze de garanții adecvate și să dispună de drepturi opozabile și de căi de atac eficiente”.
Având în vedere că, așa cum a precizat anterior la pct. 92, utilizarea clauzelor standard nu este suficientă dacă țara terță nu prezintă un nivel adecvat de protecție, CJUE subliniază la pct. 104 faptul că este nevoie de o evaluare prealabilă transferului pentru a observa dacă există un nivel adecvat. La această evaluare trebuie să se ia în calcul, în special, stipulațiile contractuale dintre exportatori și importatori, precum și dreptul național al țării terțe în situația unui eventual acces al autorităților publice ale țării terțe menționate la datele cu caracter personal transferate. În concret, CJUE indică faptul că elementele care trebuie luate în calcul corespund celor prevăzute, în mod neexhaustiv, la art. 45 alin. (2) RGPD, ca de exemplu statul de drept, respectarea drepturilor omului și a libertăților fundamentale, existența unor drepturi efective și opozabile ale persoanelor vizate și a unor reparații efective pe cale administrativă și judiciară pentru persoanele vizate ale căror date cu caracter personal sunt transferate, existența și funcționarea eficientă a uneia sau mai multor autorități de supraveghere independente în țara terță sau sub jurisdicția cărora intră o organizație internațională.
***
Cu privire la a opta întrebare, Curtea de Justiție apreciază că instanța dorește să afle dacă o autoritate de supraveghere competentă este obligată să suspende un transfer de date personale întemeiat pe clauze standard în situația în care aceste clauze nu pot fi respectate în țara respectivă, precum și în situația în care protecția datelor personale în temeiul RGPD și al cartei nu poate fi asigurată în țara terță (pct. 106). CJUE răspunde afirmativ la această întrebare, concluzionând faptul că inclusiv „în prezența unei decizii privind caracterul adecvat al nivelului de protecție a Comisiei, autoritatea națională de supraveghere competentă, sesizată de o persoană cu o plângere privind protecția drepturilor și libertăților sale (…) trebuie să poată examina în condiții de independență deplină dacă transferul acestor date respectă cerințele stabilite de RGPD” (pct. 120-121). Pentru a ajunge la această concluzie, Curtea de Justiție învederează, printre altele, faptul că, inclusiv în situația utilizării unor clauze contractuale standard, autoritatea de supraveghere este „totuși obligată să își îndeplinească cu toată diligența necesară sarcina care constă în a asigura respectarea deplină a RGPD” (pct. 112), inclusiv suspendarea sau interzicerea transferurilor (pct. 115), precum și faptul că, inclusiv în situația existenței unei decizii privind caracterul adecvat, persoanele vizate păstrează dreptul de a se adresa autorității cu o plângere privind protecția drepturilor și libertăților lor în ceea ce privește prelucrarea acestor date transferate (pct. 119).
***
Prin intermediul celei de-a șaptea și a unsprezecea întrebare, instanța a solicitat Curții să se pronunțe cu privire la validitatea Deciziei Clauzele standard în raport cu articolele 7, 8 și 47 din cartă (pct. 122). Instanța de trimitere a evidențiat faptul că clauzele standard sunt obligatorii doar pentru părțile la contract și nu sunt opozabile și obligatorii autorităților țărilor în care se realizează transferul (pct. 123), întrucât acestea din urmă nu sunt părți la contract (pct. 125).
Curtea de Justiție a răspuns că „trebuie să se răspundă la a șaptea și la a unsprezecea întrebare că analiza Deciziei Clauzele standard în raport cu articolele 7, 8 și 47 din cartă nu a evidențiat niciun element de natură să afecteze validitatea acestei decizii” (pct. 149). Cu toate acestea, CJUE a reamintit că aceste clauze standard nu sunt suficiente dacă nu există și un nivel adecvat de protecție în țara unde se transferă date (pct. 131-132) având în vedere că acte clauze nu sunt obligatorii pentru autoritățile publice ale țărilor terțe (pct. 132) și că importatorii și exportatorii sunt obligați să „sunt obligați să verifice, în prealabil, respectarea, în țara terță în cauză, a nivelului de protecție impus de dreptul Uniunii” (pct. 142). Aceștia au, de asemenea, obligația de a verifica dacă „dreptul țării terțe de destinație asigură o protecție adecvată, din perspectiva dreptului Uniunii” (pct. 134).
Oricum, în unele cazuri, în viziunea CJUE, ar putea fi „necesară completarea garanțiilor pe care le conțin respectivele clauze standard de protecție a datelor” (pct. 132), precum și adoptarea unor măsuri suplimentare (pct. 133). Mai departe, Curtea arată că dacă se utilizează clauze standard și nu se pot lua măsuri suplimentare pentru a garanta un nivel adecvat de protecție, operatorul sau persoana împuternicită din Uniune sau, în subsidiar, „autoritatea de supraveghere competentă sunt obligați să suspende sau să înceteze transferul de date cu caracter personal către țara terță în cauză” (pct. 135)
***
În ultima parte a hotărârii CJUE a invalidat Decizia privind Scutul de Confidențialitate UE-SUA („Privacy Shield”). În concret, CJUE a considerat că Decizia privind scutul de confidențialitate nu asigură un nivel de protecție a drepturilor fundamentale în esență echivalent cu cel garantat în ordinea juridică a Uniunii (pct. 162). Pentru a se pronunța în sensul invalidării Privacy Shield, CJUE a luat în calcul o serie de factori relevanți. În concret, CJUE a amintit că „accesul la datele cu caracter personal ale unei persoane fizice în vederea stocării sau a utilizării lor afectează dreptul fundamental al acestei persoane la respectarea vieții private, garantat la articolul 7 din cartă” (pct. 170), și a precizat că o astfel de ingerință în viața privată poate rezulta „din accesul la datele cu caracter personal transferate din Uniune către Statele Unite și din utilizarea acestor date de către autoritățile publice americane, în cadrul programelor de supraveghere PRISM și UPSTREAM întemeiate pe articolul 702 din FISA, precum și în temeiul O. E. 12333” (pct. 165). CJUE a reamintit și că, în temeiul art. 52 alin. (1) din cartă, orice restrângere a dreptului la protecția datelor trebuie să fie prevăzută de lege și să respecte substanța acestui drept (pct. 174). În continuare, CJUE a adus în discuție cerința proporționalității, respectiv faptul că „derogările de la protecția datelor cu caracter personal și restrângerile acesteia trebuie să fie efectuate în limitele strictului necesar” (pct. 176).
Un argument reținut de CJUE pentru invalidarea Privacy Shield a fost nerespectarea principiului proporționalității, deoarece „articolul 702 din FISA nu evidențiază în niciun mod existența unor limitări ale abilitării pe care o presupune pentru punerea în aplicare a programelor de supraveghere în scopul informării externe” (pct. 180).
Alt argument reținut de CJUE a fost inexistența unor drepturi opozabile ale cetățenilor Uniunii față de autoritățile americane în fața unei instanțe judecătorești (pct. 180-181), „echivalente cu cele prevăzute la articolul 47 din cartă” (pct. 197) deoarece organismul de tip Ombudsman prevăzut de Decizia Scutul de confidențialitate nu poate fi asimilat unei instanțe de judecată deoarece Ombudsmanul nu poate fi considerat independent față de serviciile de informații în contextul în care acesta este desemnat de Secretarul de Stat și face parte integrantă din Departamentul de Stat al Statelor Unite și „astfel cum a arătat domnul avocat general la punctul 337 din concluziile sale, nicio mențiune potrivit căreia revocarea Ombudsmanului sau anularea numirii sale ar fi însoțite de garanții specifice”. (pct. 195-197).
Cu privire la consecințele invalidării Privacy Shield, CJUE a arătat la pct. 202 faptul că această invalidare nu este susceptibilă de a crea un vid juridic, deoarece RGPD dispune de instrumente alternative pentru a se realiza transferurile de date.
Vrei să te aliniezi la GPPR? Cum te putem ajuta:
- Consultanță și implementare GDPR. Află mai multe aici.
- KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici
[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]