Decyzja wykonawcza 2016/2295 zmieniająca decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady
Dz.U.UE.L.2016.344.83
Akt jednorazowyDECYZJA WYKONAWCZA KOMISJI (UE) 2016/2295
z dnia 16 grudnia 2016 r.
zmieniająca decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady
(Tekst mający znaczenie dla EOG)
(Dz.U.UE L z dnia 17 grudnia 2016 r.)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 1 , w szczególności jej art. 25 ust. 6,
po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych,
a także mając na uwadze, co następuje:
(1) W wyroku z dnia 6 października 2015 r. w sprawie C-362/14 Maximillian Schrems przeciwko Data Protection Commissioner 2 , Trybunał Sprawiedliwości Unii Europejskiej stwierdził, że przyjmując art. 3 decyzji 2000/520/WE 3 , Komisja przekroczyła granice kompetencji przyznanych jej w art. 25 ust. 6 dyrektywy 95/46/WE w związku z Kartą Praw Podstawowych Unii Europejskiej, oraz uznał art. 3 tej decyzji za nieważny.
(2) W art. 3 ust. 1 akapit pierwszy decyzji 2000/520/WE określono restrykcyjne warunki, na jakich krajowe organy nadzorcze mogą podjąć decyzję o zawieszeniu przepływu danych do organizacji w USA, która złożyła zaświadczenie o przestrzeganiu zasad, niezależnie od ustaleń Komisji dotyczących odpowiedniej ochrony danych osobowych.
(3) W wyroku w sprawie Schrems Trybunał Sprawiedliwości wyjaśnił, że krajowe organy nadzorcze są nadal właściwe do sprawowania kontroli nad przekazywaniem danych osobowych do państwa trzeciego, które było przedmiotem decyzji Komisji w sprawie odpowiedniej ochrony danych osobowych, i że kompetencje Komisji nie umożliwiają jej ograniczenia kompetencji krajowych organów nadzorczych przyznanych im na mocy art. 28 dyrektywy 95/46/WE. Zgodnie z tym artykułem organy te posiadają w szczególności: uprawnienia dochodzeniowe, takie jak prawo gromadzenia wszelkich informacji potrzebnych do wykonywania ich funkcji nadzorczych, skuteczne uprawnienia interwencyjne, takie jak prawo nakładania czasowego lub ostatecznego zakazu przetwarzania danych, a także prawo pozywania 4 .
(4) W wyroku w sprawie Schrems Trybunał Sprawiedliwości przypomniał, że zgodnie z art. 25 ust. 6 akapit drugi dyrektywy 95/46/WE państwa członkowskie i ich organy muszą podejmować środki niezbędne w celu zapewnienia zgodności z aktami instytucji unijnych, ponieważ co do zasady przyjmuje się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do czasu ich uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia ich nieważności w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem.
(5) W rezultacie decyzja w sprawie odpowiedniej ochrony danych osobowych przyjęta przez Komisję na podstawie art. 25 ust. 6 dyrektywy 95/46/WE jest wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych, w zakresie, w jakim skutkuje ona upoważnieniem do przekazywania danych osobowych z określonych państw członkowskich do państwa trzeciego objętego tą decyzją 5 . Z tego wynika, że krajowe organy nadzorcze nie mogą przyjmować środków sprzecznych z decyzją Komisji w sprawie odpowiedniej ochrony danych osobowych, takich jak akty uznające tę decyzję za nieważną lub akty zmierzające do stwierdzenia w sposób wiążący, że państwo trzecie, którego dotyczy decyzja, nie zapewnia odpowiedniego stopnia ochrony. Jak wyjaśniono w wyroku w sprawie Schrems, nic nie stoi na przeszkodzie, aby krajowy organ nadzorczy rozpatrzył skargę danej osoby, dotyczącą stopnia ochrony danych osobowych zapewnianej przez państwo trzecie będące przedmiotem decyzji Komisji w sprawie odpowiedniej ochrony danych osobowych, a w przypadku gdy uzna tę skargę za zasadną, zwrócił się do sądów krajowych, aby - jeśli podzielają wątpliwości tego organu co do ważności decyzji Komisji - wystąpiły z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w celu zbadania ważności tej decyzji 6 .
(6) Decyzje Komisji 2000/518/WE 7 , 2002/2/WE 8 , 2003/490/WE 9 , 2003/821/WE 10 , 2004/411/WE 11 , 2008/393/WE 12 , 2010/146/UE 13 , 2010/625/UE 14 , 2011/61/UE 15 oraz decyzje wykonawcze Komisji 2012/484/UE 16 i 2013/65/UE 17 , będące decyzjami w sprawie odpowiedniej ochrony danych osobowych, zawierają ograniczenie uprawnień krajowych organów nadzorczych porównywalne z przepisem art. 3 ust. 1 akapit pierwszy decyzji 2000/520/WE, który Trybunał Sprawiedliwości uznał za nieważny.
(7) W świetle wyroku w sprawie Schrems i zgodnie z art. 266 Traktatu należy zatem zastąpić w wymienionych decyzjach przepisy ograniczające uprawnienia krajowych organów nadzorczych.
(8) W wyroku w sprawie Schrems Trybunał Sprawiedliwości wyjaśnił ponadto, że w związku z tym, że poziom ochrony zapewniony w państwie trzecim może zmieniać się w czasie, do Komisji należy, po przyjęciu decyzji na podstawie art. 25 ust. 6 dyrektywy 95/46/WE, okresowe badanie, czy przy uwzględnieniu stanu faktycznego i prawnego ustalenia poczynione co do odpowiedniego stopnia ochrony zapewnionego przez dane państwo trzecie są nadal zasadne 18 . W świetle ustaleń wyroku dotyczących dostępu organów publicznych do danych osobowych należy również monitorować przepisy i praktykę regulujące taki dostęp.
(9) Z tego względu w przypadku państw, w odniesieniu do których Komisja przyjęła decyzję w sprawie odpowiedniej ochrony danych osobowych, będzie ona na bieżąco monitorować zmiany zarówno przepisów, jak i praktyki, które mogłyby wpłynąć na funkcjonowanie takich decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych.
(10) Aby ułatwić skuteczne monitorowanie funkcjonowania obowiązujących decyzji w sprawie odpowiedniej ochrony danych osobowych, państwa członkowskie powinny informować Komisję o istotnych działaniach podejmowanych przez krajowe organy nadzorcze.
(11) Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, utworzona na mocy art. 29 dyrektywy 95/46/WE, przedstawiła swoją opinię, która została uwzględniona przy przygotowaniu niniejszej decyzji.
(12) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 31 ust. 1 dyrektywy 95/46/WE.
(13) Należy zatem odpowiednio zmienić decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ: