DECIZIA CJUE PRONUNȚATĂ ÎN CAUZA C-311/18
De Mugurel Olariu, RPD protectie date
În data de 16 iulie, Curtea de Justiție a Uniunii Europene – în continuare CJUE, s-a pronunțat în cauza C-311/181, avand ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de High Court (Înalta Curte) Irlanda, prin decizia din 4 mai 2018, primită de Curte la 9 mai 2018 – în procedura sa, formulată de Data Protection Commissioner împotriva Facebook Ireland Ltd, Maximillian Schrems, în legătură cu o plângere formulată de acesta privind transferal datelor sale cu caracter personal de către Facebook Ireland la Facebook Inc. în Statele Unite. La soluționarea cauzei, au mai participat și The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope., precum și Irlanda, Guvernele Belgiei, Cehiei, Germaniei, Olandei, Austriei, Poloniei, Portugaliei, Regatului Unit, Parlamentul European, Comisia Europeană și CEPD.
Înalta Curte din Irlanda a suspendat cauza și a decis să adreseze instanței supranaționale a UE nu mai puțin de 11 întrebări preliminare, unele cu câte două variante2. Cererea de decizie preliminară privește în esență:
– interpretarea articolului 3 alineatul (2) prima liniuță, a articolelor 25 și 26, precum și a articolului 28 alineatul (3) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10), interpretate în lumina articolului 4 alineatul (2) TUE și a articolelor 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”);
– interpretarea și validitatea Deciziei 2010/87/UE a Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele stabilite în țări terțe în temeiul Directivei 95/46 (JO 2010, L 39, p. 5), astfel cum a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016 (JO 2016, L 344, p. 100) (denumită în continuare „Decizia Clauzele standard”), precum și
– interpretarea și validitatea Deciziei de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UESUA (JO 2016, L 207, p. 1, denumită în continuare „Decizia Scutul de confidențialitate”)
Decizia este deosebit de importantă pentru materia protecției datelor, datorită faptului că a invalidat Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA. Facem precizarea că, în temeiul deciziei invalidate menționate, transferurile de date cu caracter personal efectuate dintre UE și SUA, ulterior emiterii și publicării hotărârii CJUE, nu mai pot fi efectuate. Cu toate acestea, în privința posibilității de a fi efectuate transferuri de date, în temeiul art. 49 raportat la art.45 alin. (3) sau art.46 din RGPD, CJUE a apreciat că:
În ceea ce privește aspectul dacă efectele acestei decizii trebuie menținute în scopul de a evita crearea unui vid juridic (a se vedea in acest sens Hotărarea din 28 aprilie 2016, Borealis Polyolefine și alții, C191/14, C192/14, C295/14, C389/14 și C391/14-C393/14, EU:C:2016:311, punctul 106), trebuie să se observe că, indiferent de situație, având în vedere articolul 49 din RGPD, anularea unei decizii privind caracterul adecvat al nivelului de protecție precum Decizia Scutul de confidențialitate nu este susceptibilă de a crea un asemenea vid juridic. Astfel, articolul menționat stabilește în mod precis condițiile în care pot avea loc transferuri de date cu caracter personal către țări terțe în absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 45 alineatul (3) din regulamentul respectiv sau a unor garanții adecvate în conformitate cu articolul 46 din același regulament3.
Astfel, CJUE a analizat, atât conținutul Deciziei privind Scutul de confidențialitate (se creea posibilitatea accesării și stocării datelor personale prin programe de supraveghere ale autorităților publice americane pentru scopuri de securitate națională, aplicarea legii și alte scopuri de interes public), cât și aspectele practice pentru Nivelul de protecție adecvat (nerespectarea principiului proporționalității și lipsa posibilității de a exercita căi legale în fața unei instanțe judecătorești independente și imparțiale pentru a avea acces la date cu caracter personal care îi privesc sau de a obține rectificarea sau ștergerea unor astfel de date), pe care le-a considerat inadecvate din perspectiva RGPD și Cartei drepturilor fundamentale ale UE. Redăm în continuare, câteva din considerentele determinante ale hotărârii CJUE, pe cele două problematici:
Cu privire la conținutul Deciziei Scutul de confidențialitate:
Având în vedere caracterul său general, derogarea care figurează la punctul I.5. din anexa II la Decizia Scutul de confidențialitate face astfel posibile unele ingerințe, intemeiate pe cerințe privind securitatea națională și interesul public sau pe legislația internă a Statelor Unite, în drepturile fundamentale ale persoanelor ale căror date cu caracter personal sunt sau ar putea fi transferate din Uniune către Statele Unite (a se vedea prin analogie, în ceea ce privește Decizia 2000/520, Hotărarea din 6 octombrie 2015, Schrems, C362/14, EU:C:2015:650, punctul 87). Mai precis și astfel cum se constată în Decizia Scutul de confidențialitate, asemenea ingerințe pot rezulta din accesul la datele cu caracter personal transferate din Uniune către Statele Unite și din utilizarea acestor date de către autoritățile publice americane, în cadrul programelor de supraveghere PRISM și UPSTREAM intemeiate pe articolul 702 din FISA, precum și în temeiul O. E. 12333. In acest context, Comisia a evaluat, în considerentele (67)-(135) ale Deciziei Scutul de confidențialitate, limitările și garanțiile disponibile in legislația SUA, în special la articolul 702 din FISA, în O. E. 12333 și in PPD-28, in ceea ce privește accesul și utilizarea datelor cu caracter personal transferate în temeiul Scutului de confidențialitate Uniunea Europeană-Statele Unite de către autoritățile publice americane pentru scopuri de securitate națională, aplicarea legii și alte scopuri de interes public.4
Cu privire la constatarea referitoare la nivelul de protecție adecvat:
Prin urmare, rezultă că nici articolul 702 din FISA, nici O. E. 12333 coroborate cu PPD-28 nu corespund cerințelor minime aferente, în dreptul Uniunii, principiului proporționalității, astfel încat nu se poate considera că programele de supraveghere intemeiate pe aceste dispoziții sunt limitate la strictul necesar. In aceste condiții, limitările protecției datelor cu caracter personal care decurg din reglementarea internă a Statelor Unite privind accesul și utilizarea de către autoritățile publice americane a unor astfel de date transferate din Uniune către Statele Unite și pe care Comisia le-a evaluat in Decizia Scutul de confidențialitate nu sunt circumscrise astfel încat să indeplinească cerințe în esență echivalente cu cele prevăzute, în dreptul Uniunii, la articolul 52 alineatul (1) a doua teză din cartă.5
Potrivit unei jurisprudențe constante, existența însăși a unui control jurisdicțional efectiv destinat să asigure respectarea dispozițiilor dreptului Uniunii este inerentă existenței unui stat de drept. Astfel, o reglementare care nu prevede nicio posibilitate a justițiabilului de a exercita căi legale pentru a avea acces la date cu caracter personal care il privesc sau pentru a obține rectificarea sau ștergerea unor astfel de date nu respectă substanța dreptului fundamental la o protecție jurisdicțională efectivă, astfel cum este consacrat la articolul 47 din cartă (Hotărarea din 6 octombrie 2015, Schrems, C362/14, EU:C:2015:650, punctul 95 și jurisprudența citată). In acest scop, articolul 45 alineatul (2) litera (a) din RGPD impune Comisiei, in cadrul evaluării sale privind caracterul adecvat al nivelului de protecție asigurat de o țară terță, să țină seama în special „(de) reparații(le) efective pe cale administrativă și judiciară pentru persoanele vizate ale căror date cu caracter personal sunt transferate”. Considerentul (104) al RGPD subliniază în această privință că țara terță „ar trebui să asigure o supraveghere efectivă independentă in materie de protecție a datelor și să prevadă mecanisme de cooperare cu autoritățile statelor membre de protecție a datelor” și precizează că „persoanele vizate ar trebui să beneficieze de drepturi efective și opozabile și de reparații efective pe cale administrativă și judiciară”.6
Pe de altă parte, în ceea ce privește atat programele de supraveghere intemeiate pe articolul 702 din FISA, cat și cele intemeiate pe O. E. 12333, la punctele 181 și 182 din prezenta hotărare s-a arătat că nici PPD-28, nici O. E. 12333 nu conferă persoanelor vizate drepturi opozabile autorităților americane în fața instanțelor judecătorești, astfel incat aceste persoane nu dispun de un drept la o cale de atac eficientă.7 In consecință, mecanismul de tip Ombudsman prevăzut de Decizia Scutul de confidențialitate nu furnizează o cale de atac în fața unui organ care oferă persoanelor ale căror date sunt transferate către Statele Unite garanții în esență echivalente cu cele prevăzute la articolul 47 din cartă.8
Prin urmare, prin faptul că a constatat, la articolul 1 alineatul (1) din Decizia Scutul de confidențialitate, că Statele Unite garantează un nivel adecvat de protecție a datelor cu caracter personal transferate din Uniune către organizații din această țară terță in temeiul Scutului de confidențialitate Uniunea Europeană-Statele Unite, Comisia a incălcat cerințele care rezultă din articolul 45 alineatul (1) din RGPD, interpretat in lumina articolelor 7, 8 și 47 din cartă. Rezultă că articolul 1 din Decizia Scutul de confidențialitate este incompatibil cu articolul 45 alineatul (1) din RGPD, interpretat in lumina articolelor 7, 8 și 47 din cartă, și că, pentru acest motiv, este nevalid. Intrucat articolul 1 din Decizia Scutul de confidențialitate este indisociabil de articolele 2-6 șI de anexele la aceasta, nevaliditatea sa are drept efect afectarea validității deciziei menționate in ansamblul său. Avand in vedere toate considerațiile care precedă, trebuie să se concluzioneze că Decizia Scutul de confidențialitate este nevalidă.9
La nivel european – CEPD a adoptat la data de 17 iulie 2020, o Declarație cu privire la Decizia analizată10, precum și o serie de clarificări, la data de 23.07.2020, sub forma unor posibile 12 Întrebări frecvente și răspunsuri11.
Evident că și la nivel național – ANSPDCP a semnalat apariția Deciziei CJUE prezentată12, la data de 20.07.2020, fiind preluat șI tradus în limba română13, la data de 28.07.2020, documentul CEPD privind Întrebările frecvente și răspunsurile la acestea.
–––––––––––––––––––––-
1 A se vedea la http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=RO&mode=lst&dir=&occ=first&part=1&cid=10304093
2 Pentru forma integrală, a se vedea considerentul 68 al hotărârii.
3 Considerentul 202 al hotărârii.
4 Considerentele 165 și 166 ale hotărârii.
5 Considerentele 184 și 185 ale hotărârii.
6 Considerentele 187 și 188 ale hotărârii.
7 Considerentul 192 al hotărârii.
8 Considerentul 197 al hotărârii.
9 Considerentele 198 – 202 ale hotărârii.
10 A se vedea la https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_20200717_cjeujudgmentc-311_18_en.pdf
11 A se vedea la https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf
12 A se vedea la https://www.dataprotection.ro/?page=Comunicat_20_07_20&lang=ro
13 A se vedea la https://www.dataprotection.ro/servlet/ViewDocument?id=1931