C-518/07
WyrokTSUE2010-03-09CELEX: 62007CJ0518ECLI:EU:C:2010:125
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy art. 28 ust. 1 akapit drugi dyrektywy 95/46/WE należy interpretować w ten sposób, że krajowe organy kontroli właściwe w zakresie przetwarzania danych osobowych w sektorze niepublicznym muszą być całkowicie niezależne od nadzoru państwowego, czy też nadzór państwowy jest z nim zgodny?Ratio decidendi
Trybunał orzekł, że wymóg „całkowitej niezależności” organów kontroli, o którym mowa w art. 28 ust. 1 akapit drugi dyrektywy 95/46/WE, oznacza, że organy te muszą działać obiektywnie i bezstronnie, pozostając poza jakimkolwiek wpływem z zewnątrz, w tym bezpośrednim czy pośrednim wpływem państwa lub krajów związkowych. Cel tej niezależności to zapewnienie skuteczności i pewności kontroli przestrzegania przepisów o ochronie danych osobowych. Nadzór państwowy, nawet jeśli ma na celu kontrolę zgodności z prawem, stwarza ryzyko wpływu politycznego i „przewidywanego posłuszeństwa”, co podważa obiektywność i bezstronność organów kontroli, czyniąc je podatnymi na stronniczość. Taka kontrola jest niezgodna z wymogiem niezależności, który jest kluczowy dla zapewnienia wysokiego poziomu ochrony praw podstawowych i swobodnego przepływu danych.Stan faktyczny
W Niemczech system ochrony danych osobowych rozróżnia przetwarzanie danych przez instytucje publiczne i niepubliczne. Organy kontroli nadzorujące przetwarzanie danych przez instytucje publiczne są odpowiedzialne wyłącznie przed parlamentami i zazwyczaj nie podlegają nadzorowi. Natomiast organy kontroli nadzorujące przetwarzanie danych w sektorze niepublicznym we wszystkich krajach związkowych podlegają nadzorowi państwowemu. Komisja Europejska uznała, że ten nadzór państwowy jest niezgodny z wymogiem „całkowitej niezależności” przewidzianym w art. 28 ust. 1 akapit drugi dyrektywy 95/46/WE.Rozstrzygnięcie
1) Republika Federalna Niemiec, poddając nadzorowi państwowemu organy kontroli właściwe w zakresie przetwarzania danych osobowych przez instytucje niepubliczne i przedsiębiorstwa publiczne działające na konkurencyjnym rynku (öffentlich‑rechtliche Wettbewerbsunternehmen) w niektórych krajach związkowych i dokonując w ten sposób błędnej implementacji wymogu, zgodnie z którym organy te wykonują zadania „całkowicie niezależnie”, uchybiła zobowiązaniom ciążącym na niej na podstawie art. 28 ust. 1 akapit drugi dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
2) Republika Federalna Niemiec zostaje obciążona kosztami poniesionymi przez Komisję Europejską.
3) Europejski Inspektor Ochrony Danych pokryje własne koszty postępowania.Pełny tekst orzeczenia
Sprawa C‑518/07
Komisja Europejska
przeciwko
Republice Federalnej Niemiec
Uchybienie zobowiązaniom państwa członkowskiego – Dyrektywa 95/46/WE – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych i swobodny przepływ tych danych – Artykuł 28 ust. 1 – Krajowe organy kontroli – Niezależność – Nadzór administracyjny nad tymi organami
Streszczenie wyroku
1. Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Krajowe organy
kontroli
(dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 28 ust. 1)
2. Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Krajowe organy
kontroli
(dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 28 ust. 1)
1. Zagwarantowanie niezależności krajowych organów kontroli, o którym mowa w art. 28 ust. 1 akapit drugi dyrektywy 95/46 w sprawie
ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, ma na celu zapewnienie
skuteczności i pewności kontroli przestrzegania przepisów w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i powinno być interpretowane w świetle tego celu. Niezależność została przyjęta nie celem przyznania tym organom
i ich pracownikom szczególnego statusu, lecz celem wzmocnienia ochrony osób i instytucji, których dotyczą decyzje tych organów.
Z tego wynika, że przy wykonywaniu swoich obowiązków organy kontroli powinny działać w sposób obiektywny i bezstronny. W tym
celu powinny pozostawać poza jakimkolwiek wpływem z zewnątrz, w tym bezpośrednim czy pośrednim wpływem państwa czy krajów
związkowych, a nie tylko poza wpływem organów kontrolowanych.
W konsekwencji organy kontroli właściwe w zakresie przetwarzania danych osobowych w sektorze niepublicznym powinny cechować
się niezależnością pozwalającą im na wykonywanie ich zadań bez wpływu z zewnątrz. Ta niezależność wyklucza nie tylko jakikolwiek
wpływ ze strony instytucji kontrolowanych, lecz również jakiekolwiek nakazy i jakikolwiek inny wpływ z zewnątrz, bez względu
na to, czy bezpośredni, czy pośredni, który mógłby podważyć wykonywanie przez te organy ich zadań polegających na ustaleniu
słusznej równowagi pomiędzy ochroną prawa do poszanowania życia prywatnego a swobodą przepływu danych osobowych.
(por. pkt 25, 30)
2. Samo tylko zagrożenie możliwością wpływu politycznego organów nadzoru na decyzje organów kontroli właściwych w zakresie przetwarzania
danych osobowych przewidzianych w art. 28 ust. 1 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania
danych osobowych i swobodnego przepływu tych danych jest wystarczającą przeszkodą w niezależnym wykonywaniu przez nie zadań.
Po pierwsze, może mieć miejsce „przewidywane posłuszeństwo” tych organów kontroli w świetle praktyki decyzyjnej organu nadzoru.
Po drugie, rola strażników prawa do poszanowania życia prywatnego, jaką wypełniają te organy kontroli, wymaga, by ich decyzje,
a tym samym one same, pozostawały poza jakimkolwiek podejrzeniem stronniczości. Kontrola państwowa wykonywana nad krajowymi
organami kontroli właściwymi w zakresie przetwarzania danych osobowych w sektorze niepublicznym jest zatem niezgodna z wymogiem
niezależności.
Państwo członkowskie, poddając nadzorowi państwowemu organy kontroli właściwe w zakresie przetwarzania danych osobowych przez
instytucje niepubliczne i przedsiębiorstwa publiczne działające na konkurencyjnym rynku w niektórych krajach związkowych i dokonując
w ten sposób błędnej implementacji wymogu, zgodnie z którym organy te wykonują zadania „całkowicie niezależnie”, uchybia zobowiązaniom
ciążącym na nim na podstawie art. 28 ust. 1 akapit drugi dyrektywy 95/46.
(por. pkt 36, 37, 56; sentencja)
WYROK TRYBUNAŁU (wielka izba)
z dnia 9 marca 2010 r.(*)
Uchybienie zobowiązaniom państwa członkowskiego – Dyrektywa 95/46/WE – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych i swobodny przepływ tych danych – Artykuł 28 ust. 1 – Krajowe organy kontroli – Niezależność – Nadzór administracyjny nad tymi organami
W sprawie C‑518/07
mającej za przedmiot skargę o stwierdzenie, na podstawie art. 226 WE, uchybienia zobowiązaniom państwa członkowskiego, wniesioną
w dniu 22 listopada 2007 r.,
Komisja Europejska, reprezentowana przez C. Dockseya, C. Ladenburgera oraz H. Krämera, działających w charakterze pełnomocników, z adresem do
doręczeń w Luksemburgu,
strona skarżąca,
popierana przez:
Europejskiego Inspektora Ochrony Danych, reprezentowanego przez H. Hijmansa oraz A. Sciroccę, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu,
interwenient,
przeciwko
Republice Federalnej Niemiec, reprezentowanej przez M. Lummę oraz J. Möllera, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu,
strona pozwana,
TRYBUNAŁ (wielka izba),
w składzie: V. Skouris, prezes, A. Tizzano, J.N. Cunha Rodrigues, K. Lenaerts, J.C. Bonichot i E. Levits, prezesi izb, A. Rosas,
K. Schiemann (sprawozdawca), J.J. Kasel, M. Safjan i D. Šváby, sędziowie,
rzecznik generalny: J. Mazák,
sekretarz: R. Grass,
uwzględniając procedurę pisemną,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 12 listopada 2009 r.,
wydaje następujący
Wyrok
1 W swojej skardze Komisja Wspólnot Europejskich wnosi do Trybunału o stwierdzenie, że Republika Federalna Niemiec, poddając
organy kontroli właściwe w dziedzinie przetwarzania danych osobowych w sektorze niepublicznym w niektórych krajach związkowych
nadzorowi państwowemu i dokonując w związku z tym nieprawidłowej implementacji wymogu „całkowitej niezależności” organów odpowiedzialnych
za zagwarantowanie ochrony tych danych, uchybiła zobowiązaniom ciążącym na niej na mocy art. 28 ust. 1 akapit drugi dyrektywy
95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania
danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31).
Ramy prawne
Uregulowania wspólnotowe
2 Dyrektywa 95/46 została przyjęta na podstawie art. 100a traktatu WE (po zmianie art. 95 WE) i ma na celu harmonizację krajowych
systemów prawnych w zakresie przetwarzania danych osobowych.
3 Motywy 3, 7, 8, 10 i 62 dyrektywy 95/46 mają następujące brzmienie:
„(3) Ustanowienie i funkcjonowanie rynku wewnętrznego, na którym zgodnie z art. 7a traktatu [WE (po zmianie art. 14 WE)], zapewniony
jest swobodny przepływ towarów, osób, usług i kapitału, wymaga nie tylko zapewnienia swobodnego przepływu danych osobowych
z jednego państwa członkowskiego do drugiego, lecz również ochrony praw podstawowych osób fizycznych;
[…]
(7) Różnica w stopniu ochrony praw i wolności jednostek, szczególnie prawa do prywatności, w odniesieniu do przetwarzania danych
osobowych, zapewnionego w poszczególnych państwach członkowskich może uniemożliwiać przesyłanie tych danych z terytorium jednego
państwa członkowskiego do drugiego państwa członkowskiego; różnica ta może zatem stanowić przeszkodę w realizacji szeregu
przedsięwzięć ekonomicznych na poziomie wspólnotowym, zakłócać konkurencję i utrudniać władzom wykonywanie ich obowiązków
wynikających z przepisów prawa wspólnotowego; wspomniana różnica w stopniu ochrony jest wynikiem istnienia wielkiej różnorodności
krajowych przepisów ustawowych, wykonawczych i administracyjnych;
(8) W celu zniesienia przeszkód w przepływie danych osobowych stopień ochrony praw i wolności jednostek w zakresie przetwarzania
tych danych musi być jednakowy we wszystkich państwach członkowskich; cel ten ma żywotne znaczenie dla rynku wewnętrznego,
lecz nie może on być osiągnięty przez same państwa członkowskie, szczególnie mając na uwadze skalę rozbieżności, jakie obecnie
występują między odpowiednimi ustawodawstwami krajowymi oraz potrzebę dokonania koordynacji ustawodawstw państw członkowskich
w celu zapewnienia jednolitej regulacji transgranicznego przepływu danych osobowych, zgodnie z celem rynku wewnętrznego przewidzianego
w art. 7a traktatu; konieczne są wspólnotowe działania na rzecz zbliżenia ustawodawstw;
[…]
(10) Celem krajowych przepisów prawa dotyczących przetwarzania danych osobowych jest ochrona podstawowych praw i wolności, szczególnie
prawa do prywatności, które zostało uznane zarówno w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych
wolności [podpisanej w Rzymie w dniu 4 listopada 1950 r.] oraz w zasadach ogólnych prawa wspólnotowego; z tego powodu zbliżanie
przepisów prawa nie powinno wpłynąć na zmniejszenie ochrony, jaką gwarantują, lecz przeciwnie, musi dążyć do zapewnienia jak
najwyższego stopnia ochrony we Wspólnocie;
[…]
(62) Utworzenie w państwach członkowskich organów nadzorczych [kontroli] wykonujących swoje funkcje w sposób całkowicie niezależny
jest zasadniczym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych”.
4 Artykuł 1 dyrektywy 95/46, zatytułowany „Cel dyrektywy”, jest zredagowany w następujący sposób:
„1. Zgodnie z przepisami niniejszej dyrektywy państwa członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych,
w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych.
2. Państwa członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między państwami członkowskimi
ze względów związanych z ochroną przewidzianą w ust. 1”.
5 Artykuł 28 dyrektywy 95/46, zatytułowany „Organ nadzorczy [kontroli]”, stanowi:
„1. Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania
na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.
Organy te postępują w sposób całkowicie niezależny przy wykonywaniu powierzonych im funkcji.
2. Każde państwo członkowskie wprowadza obowiązek konsultowania się z organami nadzorczymi [kontroli] przy opracowywaniu środków
administracyjnych lub przepisów dotyczących ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych.
3. Każdy organ jest w szczególności wyposażony w:
– uprawnienia dochodzeniowe, jak np. prawo dostępu do danych stanowiących przedmiot operacji przetwarzania danych oraz prawo
gromadzenia wszelkich informacji potrzebnych do wykonywania jego funkcji nadzorczych [kontrolnych],
– skuteczne uprawnienia interwencyjne, jak np. prawo do wyrażania opinii przed przystąpieniem do operacji przetwarzania danych
zgodnie z art. 20, oraz zapewnienia odpowiedniej publikacji swoich opinii, zarządzania blokady, usunięcia lub zniszczenia
danych, nakładania czasowego lub ostatecznego zakazu przetwarzania danych, ostrzegania lub upominania administratora danych,
lub też prawo kierowania sprawy do parlamentów narodowych lub innych instytucji politycznych,
– prawo pozywania w przypadku naruszenia krajowych przepisów przyjętych zgodnie z niniejszą dyrektywą lub powiadomienie organów
sądowych o takim naruszeniu.
Od decyzji organu nadzorczego [kontroli], [z którą wiążą się skutki negatywne] przysługuje odwołanie do właściwego sądu.
4. Każdy organ nadzorczy [kontroli] rozpatruje skargi zgłaszane przez dowolną osobę lub przez stowarzyszenie ją reprezentujące,
odnośnie do ochrony jej praw i wolności w zakresie przetwarzania danych osobowych. Zainteresowana osoba zostanie poinformowana
o wyniku sprawy.
Każdy organ nadzorczy [kontroli] w szczególności rozpatruje skargi dotyczące kontroli legalności przetwarzania danych, zgłaszane
przez dowolną osobę, kiedy mają zastosowanie krajowe przepisy przyjęte zgodnie z art. 13 niniejszej dyrektywy. Osoba ta zostanie
w każdym przypadku poinformowana o przeprowadzeniu kontroli.
5. Każdy organ nadzorczy [kontroli] regularnie sporządza sprawozdanie ze swojej działalności. Sprawozdanie jest podawane do wiadomości
publicznej.
6. Każdy organ nadzorczy [kontroli] jest właściwy, niezależnie od krajowych przepisów dotyczących danego przypadku przetwarzania
danych, do wykonywania na terytorium państwa członkowskiego uprawnień powierzonych mu zgodnie z ust. 3. Do każdego organu
moż[e] […] zwrócić [się] z żądaniem wykonania jego uprawnień […] odpowiedni organ innego państwa członkowskiego.
Organy nadzorcze [kontroli] współpracują ze sobą w zakresie koniecznym do wykonywania swoich obowiązków, zwłaszcza poprzez
wymianę wszelkich przydatnych informacji.
7. Państwa członkowskie [dopełnią starań], aby członkowie kierownictwa i personel organu nadzorczego [kontroli] podlegali obowiązkowi
zachowania tajemnicy zawodowej również po rozwiązaniu stosunku pracy, w odniesieniu do poufnych informacji, do których mają
dostęp”.
6 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku
z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. 2001,
L 8, s. 1) zostało przyjęte na podstawie art. 286 WE. Artykuł 44 ust. 1 i 2 tego rozporządzenia stanowi:
„1. Europejski Inspektor Ochrony Danych [(zwany dalej »EIOD«)] wykonuje swoje obowiązki w sposób całkowicie niezależny.
2. [EIOD] podczas wykonywania swoich obowiązków nie oczekuje i nie przyjmuje instrukcji od nikogo”.
Uregulowania krajowe
7 Prawo niemieckie dokonuje rozróżnienia odnośnie do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zależności
od tego, czy dane przetwarzane są przez instytucje publiczne czy niepubliczne.
8 Organy odpowiedzialne za kontrolę przestrzegania przepisów w tej dziedzinie różnią się bowiem w zależności od tego, czy mamy
do czynienia z instytucjami publicznymi, czy z instytucjami niepublicznymi i przedsiębiorstwami publicznymi działającymi na
konkurencyjnym rynku (öffentlich‑rechtliche Wettbewerbsunternehmen) (zwane dalej łącznie „sektorem niepublicznym”).
9 Przetwarzanie danych osobowych przez instytucje publiczne jest nadzorowane na szczeblu federalnym przez Bundesbeauftragter
für den Datenschutz und die Informationsfreiheit (pełnomocnika federalnego w zakresie ochrony danych i swobody informacyjnej),
a na poziomie krajów związkowych – przez Landesdatenschutzbeauftragte (pełnomocników w zakresie ochrony danych krajów związkowych).
Wszyscy ci pełnomocnicy są odpowiedzialni wyłącznie przed swoimi parlamentami krajowymi i zwykle nie podlegają żadnemu nadzorowi,
instrukcjom czy innym wpływom ze strony instytucji publicznych, które podlegają ich kontroli.
10 Natomiast struktura organów czuwających nad przetwarzaniem tych danych przez sektor niepubliczny różni się w zależności od
kraju związkowego. Jednak wszystkie systemy prawne krajów związkowych charakteryzują się tym, że wyraźnie poddają nadzorowi
państwowemu te organy kontroli.
Postępowanie poprzedzające wniesienie skargi i postępowanie przed Trybunałem
11 Uznając, że poddanie nadzorowi państwowemu organu odpowiedzialnego za kontrolowanie przestrzegania przepisów dotyczących ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych przez sektor niepubliczny, jak ma to miejsce w przypadku wszystkich
niemieckich krajów związkowych, jest niezgodne z art. 28 ust. 1 akapit drugi dyrektywy 95/46, Komisja w dniu 5 lipca 2005 r.
skierowała do Republiki Federalnej Niemiec wezwanie do usunięcia uchybienia. Państwo to odpowiedziało pismem z dnia 12 września
2005 r., w którym stwierdziło, że niemiecki system kontroli w tym zakresie odpowiada wymogom tej dyrektywy. Komisja skierowała
następnie w dniu 12 grudnia 2006 r. do Republiki Federalnej Niemiec uzasadnioną opinię, powtarzając wcześniej sformułowany
zarzut. W odpowiedzi z dnia 14 lutego 2007 r. państwo to potwierdziło swój początkowy punkt widzenia.
12 W tych okolicznościach Komisja postanowiła wnieść niniejszą skargę.
13 Postanowieniem prezesa Trybunału z dnia 14 października 2008 r. EIOD został dopuszczony do sprawy w charakterze interwenienta
na poparcie żądań Komisji.
W przedmiocie skargi
Argumenty stron
14 Niniejszy spór dotyczy dwóch sprzecznych koncepcji wyrażenia „całkowicie niezależny”, zawartego w art. 28 ust. 1 akapit drugi
dyrektywy 95/46, oraz wykonywania zadań organów kontroli w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych, przedstawianych przez Komisję popieraną przez EIOD oraz Republikę Federalną Niemiec.
15 Według Komisji i EIOD, które opierają się na szerszej wykładni wyrażenia „całkowicie niezależny”, wymóg wykonywania zadań
przez organy kontroli w sposób „całkowicie niezależny” należy interpretować w ten sposób, że organ kontroli powinien być wyłączony
spod jakiegokolwiek wpływu, bez względu na to, czy wywieranego przez inne władze, czy poza administracją publiczną. Nadzór
państwowy, jakiemu podlegają organy kontrolujące przestrzeganie przepisów w zakresie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych w sektorze niepublicznym w Niemczech, stanowi tym samym naruszenie tego wymogu.
16 Republika Federalna Niemiec jest za węższą wykładnią wyrażenia „całkowicie niezależny” i podnosi, że art. 28 ust. 1 akapit
drugi dyrektywy 95/46 wymaga niezależności funkcjonalnej organów kontroli w tym sensie, że organy te powinny być niezależne
od sektora niepublicznego podlegającego ich kontroli i że nie powinny być poddane wpływom z zewnątrz. Tymczasem według niej
nadzór państwowy w niemieckich krajach związkowych nie stanowi takiego wpływu zewnętrznego, lecz wewnętrzny mechanizm kontroli
w administracji, wprowadzony przez władze należące do tego samego aparatu administracyjnego co organy kontroli i zobowiązane
jak te ostatnie do wypełniania celów dyrektywy 95/46.
Ocena Trybunału
W przedmiocie zakresu wymogu niezależności organów kontroli
17 Ocena zasadności niniejszej skargi zależy od zakresu wymogu niezależności zawartego w art. 28 ust. 1 akapit drugi dyrektywy
95/46, a tym samym od wykładni tego przepisu. W tym kontekście należy uwzględnić brzmienie tego przepisu, a także cele i systematykę
dyrektywy 95/46.
18 Co się tyczy po pierwsze, brzmienia art. 28 ust. 1 akapit drugi dyrektywy 95/46, to skoro wyrażenie „całkowicie niezależny”
nie jest w niej zdefiniowane, należy uwzględnić jego potoczne rozumienie. W odniesieniu do organu publicznego określenie „niezależny”
oznacza zwykle status, który zapewnia danemu organowi możliwość w pełni swobodnego działania, z wyłączeniem jakichkolwiek
instrukcji czy nacisków.
19 W przeciwieństwie do stanowiska Republiki Federalnej Niemiec nic nie wskazuje na to, że wymóg niezależności dotyczy wyłącznie
stosunku między organami kontroli a instytucjami podlegającymi kontroli. Przeciwnie, pojęcie „niezależny” zostało wzmocnione
przysłówkiem „całkowicie”, co oznacza, że uprawnienia decyzyjne wyłączone są spod jakiegokolwiek wpływu spoza organu kontroli,
bez względu na to, czy pośredniego, czy bezpośredniego.
20 Co się tyczy po drugie, celów dyrektywy 95/46, to z jej motywów 3, 7 i 8 wynika w szczególności, że poprzez harmonizację norm
krajowych chroniących osoby fizyczne w związku z przetwarzaniem danych osobowych dyrektywa ta ma na celu zasadniczo zapewnienie
swobody przepływu takich danych między państwami członkowskimi (zob. podobnie wyrok z dnia 20 maja 2003 r. w sprawach połączonych
C‑465/00, C‑138/01 i C‑139/01 Österreichischer Rundfunk i in., Rec. s. I‑4989, pkt 39, 70), co jest niezbędne dla utworzenia
i funkcjonowania rynku wewnętrznego w rozumieniu art. 14 ust. 2 WE.
21 Tymczasem swobodny przepływ danych osobowych może naruszać prawo do poszanowania życia prywatnego, zapisane między innymi
w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (zob. podobnie wyroki Europejskiego Trybunału
Praw Człowieka: z dnia 16 lutego 2000 r. w sprawie Amann przeciwko Szwajcarii, Recueil des arrêts et décisions, 2000‑II, §§ 69, 80; z dnia 4 maja 2000 r. w sprawie Rotaru przeciwko Rumunii, Recueil des arrêts et décisions, 2000‑V, §§ 43, 46) i uznane za jedną z ogólnych zasad prawa wspólnotowego.
22 Z tego względu i jak to wynika między innymi z motywu 10 i z art. 1 dyrektywy 95/46, dyrektywa ma na celu również nie zmniejszanie
ochrony, jaką zapewniają istniejące normy krajowe, lecz przeciwnie, zagwarantowanie we Wspólnocie wyższego poziomu ochrony
podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych (zob. podobnie ww. wyrok w sprawach
połączonych Österreichischer Rundfunk i in., pkt 70; wyrok z dnia 16 grudnia 2008 r. w sprawie C‑73/07 Satakunnan Markkinapörssi
i Satamedia, Zb.Orz. s. I‑9831, pkt 52).
23 Organy kontroli przewidziane w art. 28 dyrektywy 95/46 są zatem strażnikami tych podstawowych praw i wolności, a ich ustanowienie
w państwach członkowskich uważa się, jak to wynika z motywu 62 tej dyrektywy, za istotny element ochrony osób w związku z przetwarzaniem
danych osobowych.
24 Celem zagwarantowania takiej ochrony organy kontroli powinny zapewnić słuszną równowagę pomiędzy przestrzeganiem podstawowego
prawa do poszanowania życia prywatnego a interesami, które wymagają swobodnego przepływu danych osobowych. Ponadto na podstawie
art. 28 ust. 6 dyrektywy 95/46 krajowe organy powinny współpracować ze sobą w zakresie koniecznym do wykonywania swoich obowiązków,
na wniosek organu innego państwa członkowskiego.
25 Zagwarantowanie niezależności krajowych organów kontroli ma na celu zapewnienie skuteczności i pewności kontroli przestrzegania
przepisów w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i powinno być interpretowane w świetle
tego celu. Niezależność została przyjęta nie celem przyznania tym organom i ich pracownikom szczególnego statusu, lecz celem
wzmocnienia ochrony osób i instytucji, których dotyczą decyzje tych organów. Z tego wynika, że przy wykonywaniu swoich obowiązków
organy kontroli powinny działać w sposób obiektywny i bezstronny. W tym celu powinny pozostawać poza jakimkolwiek wpływem
z zewnątrz, w tym bezpośrednim czy pośrednim wpływem państwa czy krajów związkowych, a nie tylko poza wpływem organów kontrolowanych.
26 Co się tyczy, po trzecie, systematyki dyrektywy 95/46, dyrektywa ta powinna być rozumiana jako odpowiednik art. 286 WE i rozporządzenia
nr 45/2001. Ten przepis traktatowy i rozporządzenie dotyczą przetwarzania danych osobowych przez instytucje i organy wspólnotowe,
jak również swobodnego przepływu tych danych. Dyrektywa 95/46 również wytycza takie cele w odniesieniu do przetwarzania takich
danych w państwach członkowskich.
27 Podobnie jak organy kontroli istnieją na szczeblu krajowym, organ kontroli odpowiedzialny za nadzorowanie stosowania norm
z zakresu ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest również przewidziany na szczeblu wspólnotowym
– jest to EIOD. Zgodnie z art. 44 ust. 1 rozporządzenia nr 45/2001 organ ten wykonuje zadania przy zachowaniu całkowitej niezależności.
Artykuł 44 ust. 2 wyjaśnia to pojęcie niezależności, dodając, że podczas wykonywania swoich obowiązków EIOD nie oczekuje i nie
przyjmuje instrukcji od nikogo.
28 Biorąc pod uwagę okoliczność, że art. 44 rozporządzenia nr 45/2001 i art. 28 dyrektywy 95/46 opierają się na tym samym ogólnym
zamyśle, wykładni obu tych przepisów należy dokonywać w sposób homogeniczny, czyli że nie tylko niezależność EIOD, lecz również
organów krajowych pociąga za sobą brak jakichkolwiek instrukcji przy wykonywaniu ich zadań.
29 Opierając się na samym brzmieniu art. 28 ust. 1 akapit drugi dyrektywy 95/46, jak również na celach i systematyce tej dyrektywy,
można dojść do jasnej wykładni tego art. 28 ust. 1 akapit drugi. W rezultacie nie jest konieczne uwzględnianie genezy tej
dyrektywy czy wypowiadanie się w przedmiocie argumentacji, sprzecznej w tym zakresie, przedstawionej przez Komisję i Republikę
Federalną Niemiec.
30 Z powyższego wynika, że wykładni art. 28 ust. 1 akapit drugi dyrektywy 95/46 należy dokonywać w ten sposób, że organy kontroli
właściwe w zakresie przetwarzania danych osobowych w sektorze niepublicznym powinny cechować się niezależnością pozwalającą
im na wykonywanie ich zadań bez wpływu z zewnątrz. Ta niezależność wyklucza nie tylko jakikolwiek wpływ ze strony instytucji
kontrolowanych, lecz również jakiekolwiek nakazy i jakikolwiek inny wpływ z zewnątrz, bez względu na to, czy bezpośredni,
czy pośredni, który mógłby podważyć wykonywanie przez te organy ich zadań polegających na ustaleniu słusznej równowagi pomiędzy
ochroną prawa do poszanowania życia prywatnego a swobodą przepływu danych osobowych.
W przedmiocie nadzoru państwowego
31 Należy następnie zbadać, czy nadzór państwowy, któremu podlegają organy kontrolujące przetwarzanie danych osobowych przez
sektor niepubliczny w Niemczech, jest zgodny z tak zdefiniowanym wymogiem niezależności.
32 W tym względzie należy stwierdzić, że nadzór państwowy jakiegokolwiek charakteru pozwala zasadniczo rządowi danego kraju związkowego
lub organowi administracji podlegającemu temu rządowi na wpływanie bezpośrednio lub pośrednio na decyzje organów kontroli
lub, w odpowiednim razie, na uchylanie lub zastępowanie jego decyzji.
33 Oczywiście należy przyznać a priori, jak zauważa Republika Federalna Niemiec, że nadzór państwowy ma na celu jedynie zagwarantowanie,
by działanie organów kontroli było zgodne z obowiązującymi przepisami krajowymi i wspólnotowymi, i że jego celem nie jest
zatem zmuszanie tych organów do ewentualnego osiągania celów politycznych sprzecznych z ochroną osób fizycznych w związku
z przetwarzaniem danych osobowych i z prawami podstawowymi.
34 Jednak nie można wykluczyć, że organy nadzoru, stanowiące część administracji ogólnej, a tym samym podlegające rządowi odpowiedniego
kraju związkowego, nie będą w stanie działać obiektywnie przy interpretowaniu i stosowaniu przepisów dotyczących przetwarzania
danych osobowych.
35 Jak bowiem podnosi w swych uwagach EIOD, rząd danego kraju związkowego może mieć interes w nieprzestrzeganiu przepisów dotyczących
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, jeśli kwestią jest przetwarzanie takich danych przez
sektor niepubliczny. Rząd ten sam może być stroną zainteresowaną tym przetwarzaniem, jeśli w nim uczestniczy lub mógłby uczestniczyć,
na przykład w przypadku partnerstwa publiczno‑prywatnego lub w ramach przetargów w sektorze prywatnym. Rząd ten może również
mieć szczególny interes, jeśli jest dla niego konieczny, czy po prostu przydatny, dostęp do bazy danych celem wykonania pewnych
zadań, w szczególności o charakterze fiskalnym czy represyjnym. Ten sam rząd może zresztą również mieć tendencję do uprzywilejowywania
interesów ekonomicznych w stosowaniu tych przepisów przez pewne ważne z ekonomicznego punktu widzenia dla kraju związkowego
czy regionu spółki.
36 Ponadto należy podkreślić, że samo tylko zagrożenie możliwości wpływu politycznego organów nadzoru na decyzje organów kontroli
jest wystarczającą przeszkodą w niezależnym wykonywaniu przez nie zadań. Po pierwsze, jak podniosła Komisja, może mieć miejsce
„przewidywane posłuszeństwo” tych organów kontroli w świetle praktyki decyzyjnej organu nadzoru. Po drugie, rola strażników
prawa do poszanowania życia prywatnego, jaką wypełniają te organy, wymaga, by ich decyzje, a tym samym one same, pozostawały
poza jakimkolwiek podejrzeniem stronniczości.
37 W świetle powyższego należy stwierdzić, że kontrola państwowa wykonywana nad niemieckimi organami kontroli właściwymi w zakresie
przetwarzania danych osobowych w sektorze niepublicznym jest niezgodna z wymogiem niezależności, opisanym w pkt 30 niniejszego
wyroku.
W przedmiocie zasad prawa wspólnotowego podnoszonych przez Republikę Federalną Niemiec
38 Republika Federalna Niemiec podnosi, że wykładnia wymogu niezależności, zapisanego w art. 28 ust. 1 akapit drugi dyrektywy
95/46 w taki sposób, że wymóg ten zmuszałby to państwo członkowskie do zarzucenia wypróbowanego i skutecznego systemu kontroli
nad organami kontroli w zakresie przetwarzania danych osobowych w sektorze niepublicznym, byłaby sprzeczna z niektórymi zasadami
prawa wspólnotowego.
39 Po pierwsze, zdaniem tego państwa członkowskiego zasada demokracji, w szczególności, stoi na przeszkodzie szerokiej wykładni
tego wymogu niezależności.
40 Zasada ta wpisana nie tylko do niemieckiej konstytucji, lecz również do art. 6 ust. 1 UE, wymaga podległości administracji
instrukcjom rządu odpowiedzialnego przed parlamentem. Również interwencje dotyczące praw obywateli i przedsiębiorstw powinny
podlegać kontroli właściwego ministra w zakresie zgodności z prawem. Ponieważ organy kontroli w dziedzinie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych korzystają z pewnych uprawnień interwencyjnych względem obywateli i sektora niepublicznego
na podstawie art. 28 ust. 3 dyrektywy 95/46, rozszerzona kontrola zgodności ich działań z prawem za pomocą instrumentów kontroli
zgodności z prawem lub kontroli merytorycznej jest bezwzględnie konieczna.
41 W tym względzie należy przypomnieć, że zasada demokracji należy do wspólnotowego porządku prawnego i została wyraźnie zapisana
w art. 6 ust. 1 UE jako jedna z podstaw Unii Europejskiej. Jako zasada wspólna państwom członkowskim powinna być uwzględniana
przy wykładni aktu prawa wtórnego, takiego jak art. 28 dyrektywy 95/46.
42 Zasada ta nie stoi na przeszkodzie istnieniu organów publicznych usytuowanych poza klasyczną zhierarchizowaną administracją
i mniej więcej niezależnych od rządu. Istnienie i warunki funkcjonowania takich organów są określone w państwach członkowskich
w ustawie, czy nawet, w pewnych państwach członkowskich, w konstytucji, a władze te podlegają ustawie pod kontrolą właściwych
sądów. Takie niezależne organy administracyjne, istniejące ponadto w niemieckim systemie prawnym, sprawują często funkcje
regulacyjne lub wykonują zadania, które muszą być wyłączone spod wpływu politycznego, a jednocześnie podlegają ustawie pod
kontrolą właściwych sądów. Tak jest właśnie dokładnie w przypadku zadań organów kontroli w dziedzinie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych.
43 Oczywiście brak jakiegokolwiek wpływu parlamentarnego na te organy nie może mieć miejsca. Jednak należy zauważyć, że dyrektywa
95/46 nie nakłada w żadnym razie na państwa członkowskie obowiązku pozostawania poza takim wpływem parlamentarnym.
44 A więc z jednej strony osoby wykonujące funkcje zarządcze w organach kontroli mogą być mianowane przez parlament lub rząd.
Z drugiej strony prawodawca może określić kompetencje tych organów.
45 Ponadto prawodawca może nałożyć na organy kontroli obowiązek przedkładania parlamentowi sprawozdania z ich działalności. W tym
względzie można dokonać porównania z art. 28 ust. 5 dyrektywy 95/46 przewidującym, że każdy organ kontroli sporządza regularnie
sprawozdanie ze swojej działalności, które jest publikowane.
46 Biorąc pod uwagę powyższe, okoliczność nadania organom kontroli w dziedzinie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych statusu niezależnego od administracji ogólnej w sektorze niepublicznym nie może sama w sobie pozbawić tych
organów demokratycznej legitymacji.
47 Po drugie, jeśli chodzi o zawartą w art. 5 akapit pierwszy WE zasadę kompetencji powierzonych, również podniesioną przez Republikę
Federalną Niemiec, zasada ta zobowiązuje Wspólnotę do działania wyłącznie w granicach powierzonych jej kompetencji i celów
wyznaczonych przez traktat WE.
48 Republika Federalna Niemiec podnosi w tym kontekście, że nie można wymagać na podstawie art. 100a traktatu WE, na którego
podstawie przyjęto dyrektywę 95/46, niezależności organów kontroli w stosunku do wyższych władz administracyjnych.
49 Przepis ten umożliwia prawodawcy wspólnotowemu wydanie przepisów, których celem jest poprawa warunków tworzenia i funkcjonowania
rynku wewnętrznego, które to przepisy muszą mieć rzeczywiście na celu przyczynienie się do wyeliminowania przeszkód w wykonywaniu
swobód ekonomicznych przewidzianych w traktacie WE (zob. podobnie w szczególności wyroki: z dnia 5 października 2000 r. w sprawie
C‑376/98 Niemcy przeciwko Parlamentowi i Radzie, Rec. s. I‑8419, pkt 83, 84, 95; z dnia 10 grudnia 2002 r. w sprawie C‑491/01
British American Tobacco (Investments) i Imperial Tobacco, Rec. s. I‑11453, pkt 60; z dnia 2 maja 2006 r. w sprawie C‑436/03
Parlament przeciwko Radzie, Zb.Orz. s. I‑3733, pkt 38).
50 Jak zostało to już przedstawione, niezależność organów kontroli w zakresie, w jakim powinny być wyłączone spod jakiegokolwiek
wpływu z zewnątrz mogącego nadawać kierunek ich decyzjom, stanowi istotny element w świetle celów dyrektywy 95/46. Jest konieczna
dla stworzenia, we wszystkich państwach członkowskich, równie wysokiego poziomu ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w ten sposób ma udział w swobodnym przepływie danych, koniecznym dla utworzenia i funkcjonowania rynku
wewnętrznego.
51 Biorąc powyższe pod uwagę, szeroka wykładnia wymogu niezależności organów kontroli nie wykracza poza granice uprawnień przyznanych
Wspólnocie na podstawie art. 100a traktatu WE, który stanowi podstawę prawną dyrektywy 95/46.
52 Po trzecie, Republika Federalna Niemiec powołuje się na zasady pomocniczości i proporcjonalności, zawarte w art. 5 akapity
drugi i trzeci WE, jak również na obowiązek lojalnej współpracy między państwami członkowskimi a instytucjami wspólnotowymi
zapisany w art. 10 WE.
53 Przypomina w szczególności ust. 7 protokołu w sprawie stosowania zasad pomocniczości i proporcjonalności, załączonego do traktatu
UE i traktatu WE przez traktat z Amsterdamu, zgodnie z którym z zastrzeżeniem poszanowania prawa wspólnotowego należy dokładać
starań, aby przestrzegać ugruntowanych rozwiązań krajowych oraz organizacji i działania systemów prawnych państw członkowskich.
54 Zobowiązanie Republiki Federalnej Niemiec do przyjęcia systemu nieznanego jej porządkowi prawnemu i tym samym do zarzucenia
systemu skutecznej kontroli, który sprawdzał się od prawie trzydziestu lat i który stanowił przykład ustawodawstwa w dziedzinie
ochrony danych, z którego czerpały też inne państwa, byłoby sprzeczne z tym wymogiem.
55 Nie można zgodzić się z tą argumentacją. Jak zostało już bowiem wyjaśnione w pkt 21–25 oraz w pkt 50 niniejszego wyroku, wykładnia
wymogu niezależności wpisanego do art. 28 ust. 1 akapit drugi dyrektywy 95/46 dokonywana w taki sposób, że stoi on na przeszkodzie
nadzorowi państwowemu, nie wykracza poza to, co jest konieczne do osiągnięcia celów traktatu WE.
56 Uwzględniając całość powyższych rozważań, należy stwierdzić, że Republika Federalna Niemiec, poddając nadzorowi państwowemu
organy kontroli właściwe w zakresie przetwarzania danych osobowych przez sektor niepubliczny w niektórych krajach związkowych
i dokonując w ten sposób błędnej implementacji wymogu, zgodnie z którym organy te wykonują zadania „całkowicie niezależnie”,
uchybiła zobowiązaniom ciążącym na niej na podstawie art. 28 ust. 1 akapit drugi dyrektywy 95/46.
W przedmiocie kosztów
57 Zgodnie z art. 69 § 2 regulaminu kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę. Ponieważ
Komisja wniosła o obciążenie Republiki Federalnej Niemiec kosztami postępowania, a Republika Federalna Niemiec przegrała sprawę,
należy obciążyć ją kosztami postępowania.
58 EIOD pokryje własne koszty postępowania.
Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:
1) Republika Federalna Niemiec, poddając nadzorowi państwowemu organy kontroli właściwe w zakresie przetwarzania danych osobowych
przez instytucje niepubliczne i przedsiębiorstwa publiczne działające na konkurencyjnym rynku (öffentlich‑rechtliche Wettbewerbsunternehmen)
w niektórych krajach związkowych i dokonując w ten sposób błędnej implementacji wymogu, zgodnie z którym organy te wykonują
zadania „całkowicie niezależnie” uchybiła zobowiązaniom ciążącym na niej na podstawie art. 28 ust. 1 akapit drugi dyrektywy
95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania
danych osobowych i swobodnego przepływu tych danych.
2) Republika Federalna Niemiec zostaje obciążona kosztami poniesionymi przez Komisję Europejską.
3) Europejski Inspektor Ochrony Danych pokryje własne koszty postępowania.
Podpisy
* Język postępowania: niemiecki.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 13.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło