T-553/23
WyrokTSUE2025-09-03CELEX: 62023TJ0553ECLI:EU:T:2025:831
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy decyzja wykonawcza Komisji (UE) 2023/1795 stwierdzająca odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE–USA jest zgodna z Kartą praw podstawowych Unii Europejskiej, w szczególności w zakresie niezawisłości i bezstronności amerykańskich organów sądowych (DPRC) oraz zasad i zabezpieczeń dotyczących "hurtowego" gromadzenia danych osobowych przez amerykańskie agencje wywiadowcze?Ratio decidendi
Sąd uznał, że Komisja nie naruszyła Karty praw podstawowych, przyjmując zaskarżoną decyzję. Stwierdził, że Data Protection Review Court (DPRC), choć ustanowiony aktem wykonawczym, zapewnia niezawisłość i bezstronność dzięki gwarancjom przewidzianym w Executive Order 14086 i rozporządzeniu Attorney General. W odniesieniu do "hurtowego" gromadzenia danych przez agencje wywiadowcze USA, Sąd orzekł, że istnieją wystarczające zabezpieczenia (takie jak nadzór sądowy a posteriori przez DPRC, ograniczenia celów gromadzenia danych i mechanizmy kontroli), które zapewniają zasadniczo równoważny poziom ochrony z prawem Unii, nawet bez wymogu uprzedniego zezwolenia sądowego na początkowym etapie gromadzenia. Zarzuty dotyczące automatycznego przetwarzania danych i bezpieczeństwa przetwarzania również zostały oddalone, wskazując na sektorowe regulacje w USA i szeroką interpretację pojęcia "wykorzystywania" danych.Stan faktyczny
Philippe Latombe, obywatel francuski, korzysta z platform informatycznych, które przekazują jego dane osobowe do Stanów Zjednoczonych. W następstwie unieważnienia przez TSUE poprzednich decyzji Komisji dotyczących adekwatności ochrony danych w USA (wyroki Schrems I i II), Komisja przyjęła nową decyzję wykonawczą (UE) 2023/1795. Decyzja ta stwierdza, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych w ramach nowych ram ochrony danych UE–USA (DPF). Skarżący zaskarżył tę decyzję, argumentując, że nie zapewnia ona wystarczającej ochrony jego danych osobowych zgodnie z prawem UE.Rozstrzygnięcie
SĄD (dziesiąta izba w składzie powiększonym) orzeka, co następuje:
1) Skarga zostaje oddalona.
2) Philippe Latombe pokrywa własne koszty oraz koszty poniesione przez Komisję Europejską, w tym koszty związane z postępowaniem w przedmiocie środków tymczasowych.
3) Irlandia pokrywa własne koszty.
4) Stany Zjednoczone Ameryki pokrywają własne koszty.Pełny tekst orzeczenia
WYROK SĄDU (dziesiąta izba w składzie powiększonym)
z dnia 3 września 2025 r. (
*1
)
Przekazywanie danych osobowych do Stanów Zjednoczonych – Decyzja wykonawcza Komisji stwierdzająca odpowiedni stopień ochrony danych osobowych zapewniony przez Stany Zjednoczone – Prawo do skutecznego środka prawnego – Prawo do życia prywatnego i rodzinnego – Decyzje opierające się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych – Bezpieczeństwo przetwarzania danych osobowych
W sprawie T‑553/23
Philippe Latombe, zamieszkały w Nantes (Francja), którego reprezentowali N. Coutrelis, J.-B. Soufron i T. Lamballe, adwokaci,
strona skarżąca,
przeciwko
Komisji Europejskiej, którą reprezentowali D. Calleja Crespo, A. Bouchagiar, H. Kranenborg i C. Ladenburger, w charakterze pełnomocników,
strona pozwana,
popieranej przez
Irlandię, którą reprezentowały M. Browne, S. Finnegan i A. Joyce, w charakterze pełnomocników, które wspierali S. Brittain, barrister, i C. Donnelly, SC,
oraz przez
Stany Zjednoczone Ameryki, które reprezentowali B. Walsh, S. Barton i A. Finlay, solicitors, E. Barrington, SC, oraz D. Hardiman, barrister,
interwenienci,
SĄD (dziesiąta izba w składzie powiększonym),
w składzie: O. Porchia, prezeska, M. Jaeger (sprawozdawca), L. Madise, P. Nihoul i S. Verschuur, sędziowie,
sekretarz: I. Kurme, administratorka,
uwzględniając postanowienie z dnia 12 października 2023 r., Latombe/Komisja (T‑553/23 R, niepublikowane, EU:T:2023:621),
uwzględniając pisemny etap postępowania,
po przeprowadzeniu rozprawy w dniu 1 kwietnia 2025 r.,
wydaje następujący
Wyrok
W skardze opartej na art. 263 TFUE skarżący, Philippe Latombe, wnosi w istocie o stwierdzenie nieważności decyzji wykonawczej Komisji (UE) 2023/1795 z dnia 10 lipca 2023 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE–USA (Dz.U. 2023, L 231, s. 118, zwanej dalej „zaskarżoną decyzją”).
I. Okoliczności powstania sporu
Skarżący jest obywatelem francuskim. Twierdzi, że korzysta z różnych platform informatycznych, które gromadzą jego dane osobowe i przekazują je do Stanów Zjednoczonych.
Co się tyczy przekazywania danych osobowych z Unii Europejskiej do Stanów Zjednoczonych, Trybunał najpierw, wyrokiem z dnia 6 października 2015 r., Schrems (C‑362/14, zwanym dalej wyrokiem Schrems I, EU:C:2015:650), stwierdził nieważność decyzji Komisji 2000/520/WE z dnia 26 lipca 2000 r. przyjętej na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (Dz.U. 2000, L 215, s. 7).
Następnie wyrokiem z dnia 16 lipca 2020 r., Facebook Ireland i Schrems (C‑311/18, zwanym dalej wyrokiem Schrems II, EU:C:2020:559), Trybunał stwierdził nieważność decyzji wykonawczej Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjętej na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA (Dz.U. 2016, L 207, s. 1, zwanej dalej „decyzją w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności”).
W wyrokach Schrems I i Schrems II Trybunał, do którego wpłynął wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczący oceny ważności, uznał w szczególności, że wbrew ocenie Komisji Europejskiej wynikającej z decyzji stwierdzających adekwatność ochrony, o których mowa w pkt 3 i 4 powyżej, system bezpiecznej przystani i system Tarczy Prywatności (zwany dalej „Tarczą Prywatności”) regulujące przekazywanie danych osobowych nie zapewniają poziomu ochrony podstawowych praw i wolności, który jest zasadniczo równoważny poziomowi gwarantowanemu przez prawo Unii.
W następstwie wyroku Schrems II Komisja rozpoczęła rozmowy z rządem Stanów Zjednoczonych w celu przyjęcia ewentualnej nowej decyzji w sprawie adekwatności, która spełniałaby wymogi art. 45 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2, zwanego dalej „RODO”), zgodnie z wykładnią Trybunału.
W dniu 7 października 2022 r. Stany Zjednoczone Ameryki przyjęły w związku z tym Executive Order 14086 (rozporządzenie wykonawcze nr 14086, zwane dalej „E.O. 14086”), które wzmacnia środki ochrony prywatności regulujące działania rozpoznania elektromagnetycznego prowadzone przez agencje wywiadowcze z siedzibą w Stanach Zjednoczonych. Rozporządzenie to zostało uzupełnione przez Attorney General Order No. 5517‑2022 (rozporządzenie prokuratora generalnego nr 5517‑2022, zwane dalej „rozporządzeniem AG”), którym dodano część 201 do tytułu 28 Code of Federal Regulations (CFR, kodeksu rozporządzeń federalnych) w sprawie utworzenia i funkcjonowania Data Protection Review Court (sądu odwoławczego ds. ochrony danych, zwanego dalej „DPRC”).
W dniu 10 lipca 2023 r., po przeanalizowaniu tych zmian regulacyjnych w Stanach Zjednoczonych, Komisja przyjęła na podstawie art. 45 ust. 3 RODO zaskarżoną decyzję, która ustanawia nowe transatlantyckie ramy przepływu danych osobowych między Unią a Stanami Zjednoczonymi. Artykuł 1 tej decyzji stwierdza, że Stany Zjednoczone Ameryki zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z Unii do podmiotów w Stanach Zjednoczonych, które są wymienione w wykazie „ram ochrony danych UE–USA” (zwanych dalej „DPF”), prowadzonym i udostępnianym publicznie przez departament handlu Stanów Zjednoczonych (zwanych dalej „podmiotami DPF”).
II. Żądania stron
Skarżący wnosi do Sądu o:
–
stwierdzenie nieważności zaskarżonej decyzji w istocie w całości;
–
obciążenie Komisji kosztami postępowania.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, wnosi do Sądu o:
–
odrzucenie skargi jako niedopuszczalnej;
–
ewentualnie – oddalenie skargi jako bezzasadnej;
–
obciążenie skarżącego kosztami postępowania.
III. Co do prawa
A. W przedmiocie zarzutu niedopuszczalności
Oddzielnym pismem, złożonym w sekretariacie Sądu w dniu 1 grudnia 2023 r., Komisja podniosła zarzut niedopuszczalności na podstawie art. 130 regulaminu postępowania przed Sądem.
Komisja podnosi, że skarga jest niedopuszczalna, ponieważ skarżący nie ma legitymacji procesowej, nie ma interesu prawnego, a część zaskarżonej decyzji, której stwierdzenia nieważności żąda, jest nierozerwalnie związana z pozostałą częścią tej decyzji.
Skarżący nie zgadza się z argumentami Komisji i utrzymuje, że jego skarga jest dopuszczalna.
Należy przypomnieć, że sąd Unii ma prawo oceniać w świetle okoliczności każdej poszczególnej sprawy, czy względy należytego sprawowania wymiaru sprawiedliwości uzasadniają oddalenie skargi co do istoty bez uprzedniego orzekania co do jej dopuszczalności (zob. podobnie wyrok z dnia 26 lutego 2002 r., Rada/Boehringer,C‑23/00 P, EU:C:2002:118, pkt 51, 52).
W związku z tym, biorąc pod uwagę okoliczności niniejszej sprawy, Sąd uważa, że skoro w każdym razie, ze względów przedstawionych w pkt 16–204 poniżej, skarga jest bezzasadna, w trosce o należyte sprawowanie wymiaru sprawiedliwości należy zbadać jej zasadność bez uprzedniego orzekania w przedmiocie jej dopuszczalności (zob. podobnie wyroki: z dnia 10 października 2014 r., Marchiani/Parlament, T‑479/13, niepublikowany, EU:T:2014:866, pkt 23; z dnia 20 grudnia 2023 r., Naturstrom/Komisja, T‑60/21, niepublikowany, EU:T:2023:839, pkt 74).
B. Co do istoty
Na poparcie skargi skarżący podnosi pięć zarzutów, z których:
–
pierwszy dotyczy naruszenia art. 3 i 4 rozporządzenia Rady nr 1/1958 z dnia 15 kwietnia 1958 r. w sprawie określenia systemu językowego Europejskiej Wspólnoty Gospodarczej (Dz.U. 1958, 17, s. 385);
–
drugi – naruszenia art. 7 i 8 Karty praw podstawowych Unii Europejskiej;
–
trzeci – naruszenia art. 47 akapit drugi Karty i art. 45 ust. 2 RODO;
–
czwarty – naruszenia art. 22 RODO;
–
piąty – naruszenia art. 32 RODO w związku z art. 45 ust. 2 tego rozporządzenia.
Na rozprawie skarżący wycofał zarzut pierwszy, dotyczący naruszenia art. 3 i 4 rozporządzenia nr 1/1958. Należy zatem zbadać jedynie zarzuty od drugiego do piątego.
1.
Uwagi wstępne
W pierwszej kolejności należy zauważyć, że art. 45 ust. 1 RODO stanowi, iż przekazanie danych osobowych do państwa trzeciego może zostać dopuszczone na podstawie decyzji Komisji, zgodnie z którą to państwo trzecie, terytorium lub określony sektor czy też określone sektory w tym państwie trzecim zapewniają odpowiedni stopień ochrony. Przepis ten znajduje się w rozdziale V wspomnianego rozporządzenia, który, jak wskazał Trybunał, ma ogólnie na celu zapewnienie ciągłości wysokiego poziomu ochrony danych osobowych, gwarantowanego przez prawo Unii na mocy tego rozporządzenia, gdy są one przekazywane do państwa trzeciego (zob. podobnie wyrok Schrems II, pkt 93).
W tym względzie Trybunał wyjaśnił, że – choć nie wymaga się, aby dane państwo trzecie zapewniało stopień ochrony identyczny jak ten zagwarantowany w unijnym porządku prawnym – wyrażenie „odpowiedni stopień ochrony”, zawarte w art. 45 ust. 1 RODO, należy rozumieć tak, że wymaga ono, by to państwo trzecie faktycznie zapewniało, z racji swego ustawodawstwa wewnętrznego lub też zobowiązań międzynarodowych, stopień ochrony podstawowych praw i wolności zasadniczo równoważny temu, jaki jest gwarantowany w Unii na mocy tego rozporządzenia interpretowanego w świetle Karty praw podstawowych (zob. podobnie wyrok Schrems II, pkt 94, 162).
Trybunał orzekł również, że jakkolwiek środki, z jakich to państwo trzecie korzysta dla zapewnienia odpowiedniego stopnia ochrony danych osobowych, mogą różnić się od środków wprowadzonych w Unii w celu zagwarantowania poszanowania wymogów płynących z dyrektywy 95/46 w związku z Kartą praw podstawowych, to jednak środki te powinny w praktyce skutecznie zapewniać ochronę zasadniczo równoważną ochronie gwarantowanej w Unii (wyrok Schrems I, pkt 74).
Ponadto Trybunał uznał, że mając na uwadze, po pierwsze, znaczącą rolę, jaką ochrona danych osobowych odgrywa wobec prawa podstawowego do poszanowania życia prywatnego, oraz po drugie, znaczną liczbę osób, których prawa podstawowe mogą zostać naruszone w przypadku przekazania danych osobowych do państwa trzeciego niezapewniającego odpowiedniego stopnia ochrony, kompetencje ocenne Komisji w odniesieniu do odpowiedniego stopnia ochrony zapewnionego w państwie trzecim są ograniczone, skutkiem czego sąd Unii powinien przeprowadzić ścisłą kontrolę zgodności decyzji stwierdzającej odpowiedni stopień ochrony z prawem (wyrok Schrems I, pkt 78).
W drugiej kolejności należy przypomnieć, że zgodnie z utrwalonym orzecznictwem zgodność z prawem aktu Unii winna być oceniana w świetle okoliczności faktycznych i prawnych istniejących w dniu, w którym akt ten został wydany, w związku z czym czynności dokonane po wydaniu decyzji nie mogą wpłynąć na jej ważność (zob. wyroki: z dnia 17 października 2019 r., Alcogroup i Alcodis/Komisja, C‑403/18 P, EU:C:2019:870, pkt 45 i przytoczone tam orzecznictwo; z dnia 28 stycznia 2021 r., Qualcomm i Qualcomm Europe/Komisja, C‑466/19 P, EU:C:2021:76, pkt 82 i przytoczone tam orzecznictwo). W związku z tym w niniejszej sprawie dokonywaną przez Komisję ocenę zgodności z prawem zaskarżonej decyzji należy badać wyłącznie na podstawie informacji, którymi dysponowała ona w momencie jej dokonywania.
To właśnie na tym tle należy zbadać zarzuty podniesione przez skarżącego, badając najpierw zarzut trzeci, potem zarzut drugi, następnie zarzut czwarty i wreszcie zarzut piąty.
2.
W przedmiocie zarzutu trzeciego, dotyczącego naruszenia art. 47 akapit drugi Karty praw podstawowych i art. 45 ust. 2 RODO
W zarzucie trzecim skarżący podnosi, że Komisja naruszyła art. 47 akapit drugi Karty praw podstawowych i art. 45 ust. 2 RODO, ponieważ w zaskarżonej decyzji uznała, że DPRC zapewnia odpowiedni stopień ochrony w odniesieniu do prawa obywateli Unii do dostępu do niezawisłego i bezstronnego sądu ustanowionego uprzednio na mocy ustawy.
Na wstępie należy zauważyć, że art. 47 akapit drugi Karty praw podstawowych brzmi następująco:
„Każdy ma prawo do sprawiedliwego i jawnego rozpatrzenia jego sprawy w rozsądnym terminie przez niezawisły i bezstronny sąd ustanowiony uprzednio na mocy ustawy. Każdy ma możliwość uzyskania porady prawnej, skorzystania z pomocy obrońcy i przedstawiciela”.
Zgodnie z Wyjaśnieniami dotyczącymi Karty praw podstawowych (Dz.U. 2007, C 303, s. 17) art. 47 akapit drugi Karty odpowiada art. 6 ust. 1 Konwencji o ochronie praw człowieka i podstawowych wolności, sporządzonej w Rzymie dnia 4 listopada 1950 r. (zwanej dalej „EKPC”). Brzmienie tego postanowienia jest następujące:
„Każdy ma prawo do sprawiedliwego i publicznego rozpatrzenia jego sprawy w rozsądnym terminie przez niezawisły i bezstronny sąd ustanowiony ustawą przy rozstrzyganiu o jego prawach i obowiązkach o charakterze cywilnym albo o zasadności każdego oskarżenia w wytoczonej przeciwko niemu sprawie karnej”.
W tym względzie należy przypomnieć, iż zgodnie z orzecznictwem, jako że EKPC nie stanowi, dopóki Unia do niej nie przystąpi, aktu prawnego formalnie inkorporowanego do porządku prawnego Unii, ocena ważności aktu prawa pochodnego powinna być prowadzona wyłącznie w świetle praw podstawowych gwarantowanych przez Kartę praw podstawowych (wyrok z dnia 3 września 2015 r., Inuit Tapiriit Kanatami i in./Komisja, C‑398/13 P, EU:C:2015:535, pkt 45, 46).
Jednakże w orzecznictwie uznano, po pierwsze, że zgodnie z art. 6 ust. 3 TUE prawa podstawowe uznane w EKPC stanowią część prawa Unii jako zasady ogólne, a po drugie, że z art. 52 ust. 3 Karty praw podstawowych wynika, że zawarte w niej prawa, odpowiadające prawom zagwarantowanym w EKPC, mają takie samo znaczenie i taki sam zakres jak prawa przyznane przez EKPC (zob. wyrok z dnia 31 maja 2018 r., Korwin-Mikke/Parlament,T‑770/16, EU:T:2018:320, pkt 38 i przytoczone tam orzecznictwo).
W związku z tym, zgodnie z orzecznictwem, w trosce o spójność i bez uszczerbku dla autonomii prawa Unii i Trybunału Sprawiedliwości Unii Europejskiej, prawa zawarte w Karcie praw podstawowych, które odpowiadają prawom zagwarantowanym w EKPC, należy również interpretować w świetle orzecznictwa Europejskiego Trybunału Praw Człowieka (zwanego dalej „ETPC”) [zob. podobnie wyroki: z dnia 9 listopada 2023 r., Staatssecretaris van Justitie en Veiligheid (Pojęcie poważnej krzywdy), C‑125/22, EU:C:2023:843, pkt 59; z dnia 31 maja 2018 r., Korwin-Mikke/Parlament,T‑770/16, EU:T:2018:320, pkt 38].
Zatem zgodnie z orzecznictwem Trybunał musi w myśl art. 52 ust. 3 Karty praw podstawowych dbać o to, aby dokonywana przez niego wykładnia art. 47 akapit drugi Karty zapewniała poziom ochrony, który nie narusza poziomu ochrony gwarantowanego przez art. 6 ust. 1 EKPC zgodnie z jego wykładnią dokonaną przez ETPC [zob. wyrok z dnia 6 października 2021 r., W.Ż. (Izba Kontroli Nadzwyczajnej i Spraw Publicznych Sądu Najwyższego – Powołanie), C‑487/19, EU:C:2021:798, pkt 123 i przytoczone tam orzecznictwo].
Należy również zauważyć, że art. 45 ust. 2 RODO stanowi, iż przy ocenie, czy stopień ochrony zapewniany przez państwo trzecie jest odpowiedni, Komisja bierze pod uwagę w szczególności następujące elementy:
„a)
[…] istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, oraz prawa osób, których dane dotyczą, których dane osobowe są przekazywane, do skutecznych administracyjnych i sądowych środków zaskarżenia;
b)
istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego w państwie trzecim lub w stosunku do organizacji międzynarodowej, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych – w tym posiadające odpowiednie uprawnienia do egzekwowania przestrzegania przepisów – pomagać i doradzać osobom, których dane dotyczą, w toku wykonywania przysługujących im praw, a także współpracować z organami nadzorczymi państw członkowskich”.
To właśnie w świetle tych okoliczności należy zbadać dwa zarzuty szczegółowe podniesione przez skarżącego na poparcie niniejszego zarzutu.
a)
W przedmiocie pierwszego zarzutu szczegółowego podniesionego w ramach zarzutu trzeciego, zgodnie z którym DPRC nie jest niezawisłym i bezstronnym sądem
W pierwszym zarzucie szczegółowym podniesionym w ramach zarzutu trzeciego skarżący podnosi, że DPRC nie jest niezawisłym i bezstronnym sądem w rozumieniu art. 47 akapit drugi Karty praw podstawowych, lecz organem parasądowym zależnym od władzy wykonawczej.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Na wstępie należy stwierdzić, że zgodnie z orzecznictwem wymóg niezawisłości sędziowskiej, stanowiącej integralny element sądzenia, wchodzi w zakres istoty prawa do skutecznej ochrony sądowej oraz prawa podstawowego do rzetelnego procesu sądowego, które to prawo ma fundamentalne znaczenie jako gwarancja ochrony wszystkich praw, jakie podmioty prawa wywodzą z prawa Unii, oraz zachowania wartości wspólnych państwom członkowskim określonych w art. 2 TUE, w szczególności wartości państwa prawnego [wyrok z dnia 15 lipca 2021 r., Komisja/Polska (System odpowiedzialności dyscyplinarnej sędziów), C‑791/19, EU:C:2021:596, pkt 58 i przytoczone tam orzecznictwo]. Zgodnie z zasadą podziału władz charakteryzującą funkcjonowanie państwa prawnego konieczne jest zagwarantowanie niezależności sądów względem władzy ustawodawczej i wykonawczej (zob. wyrok z dnia 18 maja 2021 r., Asociația Forumul Judecătorilor din România i in., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 i C‑397/19, EU:C:2021:393, pkt 195 i przytoczone tam orzecznictwo).
W orzecznictwie wyjaśniono, że wymóg niezawisłości sędziowskiej obejmuje dwa aspekty. Pierwszy aspekt, o charakterze zewnętrznym, wymaga, aby dany organ wypełniał swoje zadania w pełni autonomicznie, bez podległości w ramach hierarchii służbowej, bez podporządkowania komukolwiek, w sposób wolny od nakazów czy wytycznych z jakiegokolwiek źródła, pozostając w ten sposób pod ochroną przed ingerencją i naciskami z zewnątrz, które mogą zagrozić niezależności osądu jego członków i wpływać na ich rozstrzygnięcia. Drugi aspekt, o charakterze wewnętrznym, łączy się z kolei z pojęciem „bezstronności” i dotyczy jednakowego dystansu do stron sporu i ich odpowiednich interesów w odniesieniu do jego przedmiotu. Ten ostatni aspekt wymaga przestrzegania obiektywizmu oraz braku wszelkiego interesu w konkretnym rozstrzygnięciu sporu, który wykraczałby poza ścisłe stosowanie przepisu prawa (zob. wyrok z dnia 21 grudnia 2021 r., Euro Box Promotion i in., C‑357/19, C‑379/19, C‑547/19, C‑811/19 i C‑840/19, EU:C:2021:1034, pkt 224 i przytoczone tam orzecznictwo).
Z orzecznictwa Trybunału wynika, że gwarancje niezawisłości i bezstronności wymagają istnienia zasad, w szczególności co do składu organu, powoływania jego członków, okresu trwania ich kadencji oraz powodów ich wyłączania lub odwołania, pozwalających wykluczyć, w przekonaniu jednostek, wszelką uzasadnioną wątpliwość co do niezależności tego organu od czynników zewnętrznych oraz neutralności względem ścierających się przed nim interesów [zob. wyrok z dnia 15 lipca 2021 r., Komisja/Polska (System odpowiedzialności dyscyplinarnej sędziów), C‑791/19, EU:C:2021:596, pkt 59 i przytoczone tam orzecznictwo].
Na tym właśnie tle należy zbadać trzy argumenty podniesione przez skarżącego na poparcie niniejszego zarzutu szczegółowego.
1) W przedmiocie pierwszego argumentu, zgodnie z którym DPRC nie jest niezawisłym i bezstronnym sądem, w zakresie, w jakim jego zadaniem jest dokonywanie przeglądu decyzji Civil Liberties Protection Officer of the Director of National Intelligence
W pierwszym argumencie skarżący podnosi w istocie, że DPRC nie jest niezawisłym i bezstronnym sądem, w zakresie, w jakim jego zadaniem jest dokonywanie przeglądu decyzji Civil Liberties Protection Officer of the Director of National Intelligence (urzędnika ds. ochrony wolności obywatelskich urzędu dyrektora krajowych służb wywiadowczych, Stany Zjednoczone, zwanego dalej „CLPO”), działającego przy urzędzie dyrektora krajowych służb wywiadowczych Stanów Zjednoczonych (zwanego dalej „dyrektorem krajowych służb wywiadowczych”).
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Gwoli jasności należy doprecyzować, że argument pierwszy pierwszego zarzutu szczegółowego podniesionego w ramach zarzutu trzeciego należy interpretować w ten sposób, że zasadniczo zdaniem skarżącego, po pierwsze, przy rozpatrywaniu skargi dotyczącej danych osobowych złożonej w Unii przez osobę, której dane dotyczą, a która zamierza powołać się na naruszenie prawa Stanów Zjednoczonych regulującego działania rozpoznania elektromagnetycznego naruszające jej interesy w dziedzinie ochrony życia prywatnego i wolności obywatelskich (zwanej dalej „skargą dotyczącą danych osobowych”), CLPO nie jest obwarowany wystarczającymi zabezpieczeniami mającymi na celu zapewnienie jego niezależności, ponieważ jest on powiązany z urzędem dyrektora krajowych służb wywiadowczych, a po drugie, że DPRC nie jest niezawisłym i bezstronnym sądem ze względu na niewystarczające gwarancje mające zastosowanie do CLPO.
Na wstępie należy zauważyć, że badanie gwarancji dotyczących niezależności CLPO nie ma znaczenia dla oceny, czy DPRC stanowi niezawisły i bezstronny sąd. DPRC został bowiem ustanowiony jako niezależny od CLPO organ kontroli, przed którym, jak wynika z motywu 184 zaskarżonej decyzji, osoba, która wniosła skargę dotyczącą danych osobowych, jak również każda jednostka wspólnoty wywiadowczej mogą zażądać przeglądu decyzji CLPO, a w E.O. 14086 przewidziano szereg gwarancji, aby decyzje CLPO mogły podlegać przeglądowi, a w razie potrzeby zostać zmienione w sposób niezależny i bezstronny przez DPRC.
Po pierwsze, z motywów 185 i 186 zaskarżonej decyzji wynika, a skarżący tego nie kwestionuje, że w skład DPRC wchodzi co najmniej sześciu sędziów powołanych przez Attorney General (prokuratora generalnego, Stany Zjednoczone, zwanego dalej „prokuratorem generalnym”) w porozumieniu z Privacy and Civil Liberties Oversight Board (radą nadzoru nad prywatnością i wolnościami obywatelskimi, Stany Zjednoczone, zwaną dalej „PCLOB”), Secretary of Commerce (sekretarzem ds. handlu, Stany Zjednoczone) i dyrektorem krajowych służb wywiadowczych na czteroletnią odnawialną kadencję. Powołanie opiera się na takich samych kryteriach jak te stosowane przy ocenie kandydatów na sędziów federalnych, przy czym istotne znaczenie ma wcześniejsze doświadczenie sędziowskie. Sędziowie muszą być ponadto prawnikami praktykami, czyli czynnymi członkami palestry o nieposzlakowanej opinii, uprawnionymi do wykonywania zawodu, i muszą mieć odpowiednie doświadczenie w dziedzinie prawa dotyczącego ochrony prywatności i bezpieczeństwa narodowego. Prokurator generalny musi ponadto dołożyć starań, by co najmniej połowa sędziów miała wcześniejsze doświadczenie sędziowskie, a wszyscy sędziowie muszą mieć poświadczenia bezpieczeństwa, aby móc uzyskać dostęp do informacji niejawnych dotyczących bezpieczeństwa narodowego. Do DPRC mogą zostać powołane wyłącznie osoby, które spełniają wskazane kwalifikacje oraz które ani w chwili powołania, ani w ciągu dwóch poprzedzających lat nie były zatrudnione przez instytucje władzy wykonawczej. Podobnie podczas kadencji sędziowie DPRC nie mogą pełnić żadnych oficjalnych funkcji ani nie mogą być zatrudnieni w rządzie Stanów Zjednoczonych.
Po drugie, z motywów 188 i 189 zaskarżonej decyzji wynika, a skarżący tego nie kwestionuje, że całościowego przeglądu decyzji CLPO dokonuje panel trzech sędziów DPRC wspieranych przez rzecznika specjalnego. Tymczasem podczas tego przeglądu DPRC nie opiera się wyłącznie na aktach sprawy przekazanych przez CLPO, lecz również na informacjach i uwagach przedstawionych przez skarżącego, przez specjalnego rzecznika wspomagającego sędziów i przez agencje wywiadowcze, a także, w stosownym przypadku, na dodatkowych informacjach, o które CLPO zwróci się w toku rozpatrywania skargi dotyczącej danych osobowych. Ponadto w ramach tego przeglądu musi on zastosować odpowiednie orzecznictwo Supreme Court of the United States (sądu najwyższego Stanów Zjednoczonych).
Po trzecie, z motywów 190 i 191 zaskarżonej decyzji wynika, a skarżący tego nie kwestionuje, że DPRC posiada kompetencje o charakterze reformatoryjnym, nie jest związany decyzją CLPO i jeśli nie zgodzi się z tym organem, może wydać własne rozstrzygnięcie w sprawie skargi dotyczącej danych osobowych. Ponadto, niezależnie od tego, co orzeknie DPRC, jego orzeczenie jest wiążące i ostateczne. Tak więc zarówno agencje wywiadowcze, jak i rząd Stanów Zjednoczonych są zobowiązane do przestrzegania go.
Z powyższego wynika, że gwarancje przewidziane w E.O. 14086 w odniesieniu do funkcjonowania i uprawnień DPRC pozwalają na niezawisłą i bezstronną kontrolę decyzji wydanych przez CLPO. Skarżący nie ma zatem podstaw, by twierdzić, że niewystarczające gwarancje mające zastosowanie do CLPO mają wpływ na niezawisłość i bezstronność DPRC.
W każdym razie, co się tyczy podnoszonego niewystarczającego charakteru gwarancji mających na celu zapewnienie niezależności CLPO, warto wskazać, co następuje.
Należy zauważyć, jak wynika z motywów 176–181 zaskarżonej decyzji, a skarżący tego nie kwestionuje, że E.O. 14086, uzupełnione rozporządzeniem AG, wprowadziło szczególny mechanizm rozpatrywania skargi dotyczącej danych osobowych. Skargę tę należy złożyć do organu nadzorczego odpowiedzialnego w każdym państwie członkowskim za nadzór nad przetwarzaniem danych osobowych, który następnie przekazuje ją do CLPO, pod warunkiem że zawiera ona elementy wskazane w pkt 178 zaskarżonej decyzji, a mianowicie informacje dotyczące danych osobowych, co do których istnieje uzasadnione przypuszczenie, że zostały przekazane do Stanów Zjednoczonych, oraz środków, za pomocą których zakłada się, że zostały przekazane, tożsamości jednostek rządu Stanów Zjednoczonych, które uważa się za zaangażowane w domniemane naruszenie, jeśli są one znane, podstawy zarzutu, że doszło do naruszenia prawa amerykańskiego, oraz charakteru żądanego zadośćuczynienia. Na tym tle CLPO musi ustalić, czy agencje wywiadowcze naruszyły mające zastosowanie prawo Stanów Zjednoczonych, a jeśli tak się stało, może nakazać wdrożenie przez nie środków zaradczych. Decyzja CLPO dotycząca skargi jest wiążąca.
Prawdą jest, że w motywie 179 zaskarżonej decyzji Komisja wskazuje, iż CLPO wchodzi w skład urzędu dyrektora krajowych służb wywiadowczych i że poza swoją szczególną kompetencją w zakresie rozpatrywania skarg dotyczących danych osobowych odpowiada on bardziej ogólnie za zapewnienie, by ochronę wolności obywatelskich i prywatności odpowiednio uwzględniono w strategiach politycznych i procedurach tego urzędu i agencji wywiadowczych oraz by organy te przestrzegały obowiązujących wymogów dotyczących prywatności i wolności obywatelskich. Niemniej, po pierwsze, należy zauważyć, że – jak wspomniano w tym motywie – w celu zapewnienia niezależności CLPO E.O. 14086 przewiduje, że CLPO może zostać odwołany ze stanowiska wyłącznie przez wspomnianego dyrektora i na ważnej podstawie, to znaczy w przypadku zawinionego uchybienia, niewłaściwego sprawowania urzędu, naruszenia bezpieczeństwa, zaniedbania obowiązków lub niezdolności do sprawowania urzędu. Po drugie, jak wynika z motywu 180 zaskarżonej decyzji, agencje wywiadowcze i dyrektor krajowych służb wywiadowczych nie mogą ingerować w pracę CLPO ani wywierać na nią niewłaściwego wpływu, a CLPO przy rozpatrywaniu skargi dotyczącej danych osobowych powinien stosować prawo w sposób bezstronny, z uwzględnieniem zarówno interesów bezpieczeństwa narodowego, jak i ochrony życia prywatnego.
W tych okolicznościach należy oddalić niniejszy argument.
2) W przedmiocie argumentu drugiego, zgodnie z którym DPRC nie jest niezawisłym i bezstronnym sądem, ponieważ w jego skład wchodzą sędziowie powołani przez prokuratora generalnego po konsultacji z PCLOB
W ramach argumentu drugiego skarżący podnosi w istocie, że DPRC nie jest niezawisłym i bezstronnym sądem, ponieważ w jego skład wchodzą sędziowie powołani przez prokuratora generalnego po konsultacji z PCLOB, która jest organem zależnym od władzy wykonawczej.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
W pierwszej kolejności z motywu 110 zaskarżonej decyzji wynika, że PCLOB jest niezależną agencją utworzoną w ramach władzy wykonawczej. Niezależność tej agencji wynika w szczególności z jej składu. Jest ona bowiem złożona z dwupartyjnego, pięcioosobowego zarządu powoływanego na sześcioletnią kadencję przez prezydenta Stanów Zjednoczonych za zgodą senatu. Członkowie ci są wybierani wyłącznie na podstawie kwalifikacji zawodowych, osiągnięć, pozycji społecznej, wiedzy fachowej w dziedzinie wolności obywatelskich i prywatności oraz doświadczenia, bez względu na przynależność polityczną. W skład PCLOB w żadnym wypadku nie może wchodzić więcej niż trzech członków tej samej partii politycznej. Podczas pełnienia funkcji w PCLOB osoba powołana do niej nie może być urzędnikiem wybieranym, urzędnikiem ani pracownikiem rządu federalnego w innym charakterze niż członka PCLOB.
Zatem chociaż PCLOB została ustanowiona w ramach władzy wykonawczej, nadano jej w statucie charakter niezależnej agencji, której zadaniem jest nadzorowanie w sposób bezstronny pracy organów władzy wykonawczej w celu ochrony w szczególności prywatności i wolności obywatelskich. Tak więc, jak wskazano w motywie 194 zaskarżonej decyzji, a skarżący tego nie kwestionuje, PCLOB przeprowadza coroczną kontrolę tego, czy CLPO i DPRC rozpatrzyły sprawy w wyznaczonym terminie, czy uzyskały dostęp do wszystkich niezbędnych informacji, czy uwzględniły wszystkie zabezpieczenia przewidziane w E.O. 14086 i czy agencje wywiadowcze zastosowały się do ich decyzji. Po przeprowadzeniu tej weryfikacji wydaje publiczną certyfikację, że CLPO i DPRC przestrzegały tych zabezpieczeń. Ponadto przedstawia sprawozdanie prezydentowi Stanów Zjednoczonych, prokuratorowi generalnemu, dyrektorowi krajowych służb wywiadowczych, szefom agencji wywiadowczych, CLPO i komisjom ds. wywiadu United States Congress (kongresu Stanów Zjednoczonych). Sprawozdanie to podaje się do wiadomości publicznej w wersji jawnej. Prokurator generalny, dyrektor krajowych służb wywiadowczych, CLPO i szefowie agencji wywiadowczych są zobowiązani do wdrożenia lub uwzględnienia wszelkich zaleceń zawartych w tym sprawozdaniu.
W tych okolicznościach fakt, że PCLOB została ustanowiona w ramach władzy wykonawczej, nie pozwala sam w sobie na stwierdzenie, że ze względu na to, iż przed powołaniem sędziów DPRC przeprowadza się z nią konsultacje, DPRC nie jest niezawisłym i bezstronnym sądem.
W drugiej kolejności należy zauważyć, że w celu upewnienia się, iż sędziowie DPRC są niezależni od władzy wykonawczej, E.O. 14086 przewiduje, że przy ich powoływaniu prokurator generalny musi przestrzegać kryteriów i warunków wskazanych w pkt 43 powyżej. Ponadto, jak wynika z motywu 187 zaskarżonej decyzji, sędziowie DPRC mogą zostać odwołani jedynie przez prokuratora generalnego i wyłącznie na ważnej podstawie, to znaczy w przypadku zawinionego uchybienia, niewłaściwego sprawowania urzędu, naruszenia bezpieczeństwa, zaniedbania obowiązków lub niezdolności do sprawowania urzędu, z uwzględnieniem norm obowiązujących w stosunku do sędziów federalnych, określonych w zasadach etyki sędziowskiej i postępowania w sprawie niezdolności do pełnienia stanowiska sędziego.
Zatem przepisy dotyczące powoływania i odwoływania sędziów DPRC nie podważają jego niezawisłości i bezstronności.
W trzeciej kolejności należy zauważyć, że zgodnie z art. 3 ust. 1 zaskarżonej decyzji Komisja jest zobowiązana do stałego monitorowania stosowania ram prawnych, na których opiera się ta decyzja, w szczególności warunków, na jakich odbywa się dalsze przekazywanie danych osobowych, wykonywanie praw indywidualnych oraz uzyskiwanie przez organy publiczne Stanów Zjednoczonych dostępu do danych przekazywanych na podstawie tej decyzji, w celu ustalenia, czy Stany Zjednoczone Ameryki nadal zapewniają odpowiedni stopień ochrony. Jeżeli zaś Komisja, zgodnie z ust. 5 tego artykułu, wejdzie w posiadanie dowodów na to, że odpowiedni stopień ochrony nie jest już zapewniony, powiadamia o tym właściwe organy Stanów Zjednoczonych, a w razie potrzeby podejmuje decyzję o zawieszeniu, zmianie albo uchyleniu zaskarżonej decyzji albo o ograniczeniu jej zakresu stosowania. Wynika z tego, że jeżeli ramy prawne obowiązujące w Stanach Zjednoczonych w chwili wydania zaskarżonej decyzji, które skłoniły Komisję do uznania w niej, że DPRC oferuje ochronę prawną zasadniczo równoważną ochronie gwarantowanej przez prawo Unii, ulegną zmianie, Komisja podejmuje w razie potrzeby decyzję, by zawiesić, zmienić lub uchylić zaskarżoną decyzję lub ograniczyć jej zakres stosowania.
W świetle całości powyższych rozważań należy oddalić niniejszy argument.
3) W przedmiocie trzeciego argumentu, zgodnie z którym DPRC nie jest niezawisłym i bezstronnym sądem, ponieważ rozporządzenie AG nie wyklucza możliwości, by jego sędziowie podlegali innym formom nadzoru niż bieżący nadzór ze strony władzy wykonawczej
W trzecim argumencie skarżący podnosi w istocie, że DPRC nie jest niezawisłym i bezstronnym sądem, ponieważ rozporządzenie AG nie wyklucza możliwości, by jego sędziowie podlegali innym formom nadzoru niż bieżący nadzór ze strony władzy wykonawczej.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Należy zauważyć, że o ile z akt sprawy wynika, iż zgodnie z art. 201.7 lit. d) rozporządzenia AG sędziowie DPRC nie podlegają bieżącemu nadzorowi prokuratora generalnego, o tyle motyw 187 zaskarżonej decyzji wskazuje również, że zgodnie z E.O. 14086 agencje wywiadowcze i prokurator generalny nie mogą ingerować w prace DPRC ani wywierać na nią niewłaściwego wpływu. Ponadto z akt sprawy wynika, że E.O. 14086 i rozporządzenie AG ograniczają możliwość wpływania przez władzę wykonawczą na pracę DPRC, gdyż stanowią, że jego sędziowie mogą zostać odwołani wyłącznie przez prokuratora generalnego i wyłącznie z powodów wskazanych w pkt 56 powyżej.
W takim kontekście należy oddalić niniejszy argument, a tym samym oddalić w całości pierwszy zarzut szczegółowy podniesiony w ramach zarzutu trzeciego.
b)
W przedmiocie drugiego zarzutu szczegółowego podniesionego w ramach zarzutu trzeciego, zgodnie z którym DPRC nie jest sądem ustanowionym uprzednio na mocy ustawy
W drugim zarzucie szczegółowym podniesionym w ramach zarzutu trzeciego skarżący podnosi, że DPRC nie został uprzednio ustanowiony ustawą w rozumieniu art. 47 akapit drugi Karty praw podstawowych, ponieważ powstał nie na podstawie ustawy przyjętej przez kongres Stanów Zjednoczonych, lecz na podstawie aktu wykonawczego, czyli rozporządzenia prokuratora generalnego.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
W pierwszej kolejności z orzecznictwa Trybunału wypracowanego w świetle orzecznictwa ETPC dotyczącego art. 6 ust. 1 EKPC (wyrok ETPC z dnia 1 grudnia 2020 r. w sprawie Guðmundur Andri Ástráðsson przeciwko Islandii, CE:ECHR:2020:1201JUD002637418, §§ 231, 233) wynika, że o ile prawo do sądu ustanowionego uprzednio na mocy ustawy stanowi prawo samodzielne, o tyle ma ono jednak bardzo ścisły związek z gwarancjami niezawisłości i bezstronności zawartymi w tym samym postanowieniu. Ściślej rzecz biorąc, pomimo że wszystkim wymogom wynikającym z tych pojęć przyświeca określony cel, co sprawia, że stanowią one szczególne gwarancje rzetelnego procesu, wszystkie te wymogi łączy to, że mają one na celu przestrzeganie podstawowych zasad, jakimi są rządy prawa i podział władzy. U źródeł każdego z tych wymogów znajduje się zatem konieczność ochrony zaufania, jakie władza sądownicza winna wzbudzać wśród jednostek, oraz niezależności władzy sądowniczej od pozostałych władz [zob. wyroki: z dnia 22 lutego 2022 r., Openbaar Ministerie (Sąd ustanowiony ustawą w wydającym nakaz państwie członkowskim), C‑562/21 PPU i C‑563/21 PPU, EU:C:2022:100, pkt 56 i przytoczone tam orzecznictwo; z dnia 29 marca 2022 r., Getin Noble Bank,C‑132/20, EU:C:2022:235, pkt 117 i przytoczone tam orzecznictwo).
Trybunał wskazał również, nawiązując w tym względzie do orzecznictwa ETPC (wyrok ETPC z dnia 8 lipca 2014 r. w sprawie Biagioli przeciwko San Marino, CE:ECHR:2014:0708DEC000816213, §§ 72–74; zob. także wyrok ETPC z dnia 2 maja 2019 r. w sprawie Pasquini przeciwko San Marino, CE:ECHR:2019:0502JUD005095616, §§ 100, 101 i przytoczone tam orzecznictwo), że wyrażenie „ustanowiony ustawą” ma na celu uniknięcie sytuacji, w której organizacja wymiaru sprawiedliwości zostałaby pozostawiona uznaniu władzy wykonawczej, oraz zapewnienie, by kwestia ta była regulowana ustawą uchwaloną przez władzę ustawodawczą w sposób zgodny z normami regulującymi wykonywanie jej kompetencji. Wyrażenie to odzwierciedla więc zasadę państwa prawnego i dotyczy nie tylko podstawy prawnej samego istnienia sądu, lecz również składu orzekającego w każdej sprawie oraz wszelkich innych przepisów prawa krajowego, których nieprzestrzeganie sprawia, że udział jednego lub kilku sędziów w rozpoznawaniu sprawy jest obarczony nieprawidłowością, co obejmuje w szczególności przepisy dotyczące niezawisłości i bezstronności członków danego sądu (zob. wyrok z dnia 29 marca 2022 r., Getin Noble Bank,C‑132/20, EU:C:2022:235, pkt 121 i przytoczone tam orzecznictwo).
Na tym tle Trybunał orzekł, że stwierdzenie związane z istnieniem naruszenia wymogu dotyczącego sądu ustanowionego uprzednio na mocy ustawy oraz ze skutkami takiego naruszenia zależy od całościowej oceny określonej liczby okoliczności, które, rozpatrywane łącznie, przyczyniają się do powstania, w przekonaniu jednostek, uzasadnionych wątpliwości dotyczących niezawisłości i bezstronności sędziów [zob. wyrok z dnia 22 lutego 2022 r., Openbaar Ministerie (Sąd ustanowiony ustawą w wydającym nakaz państwie członkowskim), C‑562/21 PPU i C‑563/21 PPU, EU:C:2022:100, pkt 74 i przytoczone tam orzecznictwo].
Trybunał uznał zatem, że okoliczność, iż organ taki jak krajowa rada sądownicza, uczestniczący w procesie powoływania sędziów, składa się w przeważającej mierze z członków wybranych przez władzę ustawodawczą, nie może sama w sobie prowadzić do powzięcia wątpliwości co do niezawisłości sędziów wyłonionych w tym procesie, jednakże możliwe jest dojście do innego wniosku, jeżeli ta sama okoliczność, w połączeniu z innymi istotnymi czynnikami i warunkami, w jakich dokonano tych wyborów, prowadzi do powstania takich wątpliwości [zob. wyrok z dnia 22 lutego 2022 r., Openbaar Ministerie (Sąd ustanowiony ustawą w wydającym nakaz państwie członkowskim), C‑562/21 PPU i C‑563/21 PPU, EU:C:2022:100, pkt 75 i przytoczone tam orzecznictwo].
Ponadto w wyroku z dnia 1 grudnia 2020 r. w sprawie Guðmundur Andri Ástráðsson przeciwko Islandii (CE:ECHR:2020:1201JUD002637418, §§ 207, 212) ETPC uznał, że mianowanie sędziów przez władzę wykonawczą lub ustawodawczą jest dopuszczalne, pod warunkiem że powołani w ten sposób sędziowie są wolni od nacisków lub od wpływu przy wykonywaniu swojej roli sądowniczej.
Z orzecznictwa tego wynika zasadniczo, że aby ocenić, czy wymogi wynikające z art. 47 akapit drugi Karty praw podstawowych zostały spełnione, nie należy ograniczać się do oceny formalnego charakteru aktu prawnego ustanawiającego sąd i określającego zasady jego funkcjonowania, lecz należy sprawdzić, czy ów akt prawny przewiduje wystarczające gwarancje mające na celu zapewnienie niezawisłości i bezstronności względem innych władz, w szczególności władzy wykonawczej.
W drugiej kolejności należy przypomnieć, że – jak orzekł Trybunał w wyrokach Schrems I i Schrems II – w decyzji stwierdzającej odpowiedni stopień ochrony Komisja nie jest zobowiązana do upewnienia się, że właściwe przepisy państwa trzeciego są identyczne z przepisami obowiązującymi w Unii, lecz jest zobowiązana do upewnienia się, że są one zasadniczo równoważne z przepisami gwarantowanymi przez prawo Unii na mocy RODO interpretowanego w świetle Karty praw podstawowych (zob. pkt 19 i 20 powyżej). Wynika z tego, że w niniejszej sprawie Sąd jest zobowiązany zbadać zasadność stwierdzenia odpowiedniego stopnia ochrony dokonanego przez Komisję w zaskarżonej decyzji, zgodnie z którym przepisy prawa Stanów Zjednoczonych dotyczące ustanowienia i funkcjonowania DPRC oferują zabezpieczenia zasadniczo równoważne zabezpieczeniom przewidzianym w prawie Unii w art. 47 akapit drugi Karty. Zabezpieczenia takie są oferowane w szczególności wówczas, gdy akt prawny ustanawiający ten sąd i określający zasady jego funkcjonowania ma na celu zapewnienie niezawisłości i bezstronności tego sądu względem innych władz, w szczególności władzy wykonawczej, i to pomimo faktu, że wspomniany akt prawny nie stanowi z formalnego punktu widzenia ustawy.
W niniejszej sprawie z motywu 185 zaskarżonej decyzji wynika, a skarżący tego nie kwestionuje, że DPRC został ustanowiony rozporządzeniem AG. Wynika z tego, że DPRC został ustanowiony nie ustawą uchwaloną przez władzę ustawodawczą, czyli kongres Stanów Zjednoczonych, lecz aktem pochodzącym od władzy wykonawczej. Prokurator generalny jest bowiem szefem departamentu sprawiedliwości Stanów Zjednoczonych i to on głównie odpowiada za stosowanie prawa w rządzie federalnym Stanów Zjednoczonych. Jest głównym doradcą prezydenta Stanów Zjednoczonych we wszystkich kwestiach prawnych oraz wchodzi w skład jego gabinetu.
Na tym tle należy zbadać, czy w sposób zasadniczo równoważny z prawem Unii E.O. 14086 i rozporządzenie AG ustanawiają gwarancje mające na celu zapewnienie niezawisłości i bezstronności DPRC.
W tym względzie, po pierwsze, należy zauważyć, że jak wynika z akt sprawy, i co nie zostało zakwestionowane:
–
prokurator generalny przyjął rozporządzenie AG na podstawie swoich uprawnień statutowych do wydawania wiążących decyzji w sprawach prawa Stanów Zjednoczonych, w tym w sprawach dotyczących przekazywania danych z Unii regulowanych przez E.O. 14086;
–
ustanawiając DPRC, prokurator generalny przekazał temu sądowi uprawnienie do orzekania w przedmiocie zgodności z prawem działań rozpoznania elektromagnetycznego kwestionowanych przez obywatela Unii; tym samym prokurator generalny nie jest już uprawniony de iure do wykonywania tego uprawnienia, które przekazał DPRC, dopóki DPRC istnieje;
–
jak wskazano w przypisie 366 na s. 63 zaskarżonej decyzji, sąd najwyższy Stanów Zjednoczonych uznał możliwość powołania przez prokuratora generalnego niezależnych organów posiadających uprawnienia decyzyjne, takich jak DPRC; ponadto uznał on, że delegowanie uprawnień przez prokuratora generalnego pełnomocnikowi jest wiążące dla władzy wykonawczej; z orzecznictwa tego sądu wynika zatem, że dopóki rozporządzenie AG pozostaje w mocy, dopóty władza wykonawcza jest nim związana i ani agencje wywiadowcze, ani rząd Stanów Zjednoczonych nie mogą zmieniać ani uchylać jego decyzji.
Po drugie, z jednej strony należy przypomnieć, że z zaskarżonej decyzji wynika w istocie, iż:
–
sędziowie DPRC są powoływani przez prokuratora generalnego na podstawie kryteriów i zgodnie z warunkami, o których mowa w pkt 43 powyżej;
–
sędziowie DPRC mogą zostać odwołani wyłącznie przez prokuratora generalnego i wyłącznie z przyczyn, o których mowa w pkt 56 powyżej, oraz z poszanowaniem norm mających zastosowanie do sędziów federalnych określonych w przepisach dotyczących etyki sędziowskiej i postępowania w sprawie orzeczenia niezdolności do pełnienia urzędu;
–
orzeczenie wydane przez DPRC jest wiążące i ostateczne. W związku z tym zarówno władza wykonawcza, jak i agencje wywiadowcze są zobowiązane do jego przestrzegania;
–
praca DPRC podlega nadzorowi ze strony PCLOB w granicach wskazanych w pkt 54 powyżej.
Po drugie, jak wynika z motywów 187–189 zaskarżonej decyzji, przy wykonywaniu swoich zadań w ramach DPRC sędziowie DPRC muszą przestrzegać następujących gwarancji proceduralnych:
–
skargę dotyczącą danych osobowych musi rozpatrzyć panel składający się z trzech sędziów, w tym sędziego przewodniczącego; w odniesieniu do każdej sprawy skład trzyosobowego panelu jest wybierany zgodnie z ustaloną kolejnością przez biuro ochrony prywatności i wolności obywatelskich przy departamencie sprawiedliwości, odpowiedzialne za wsparcie administracyjne DPRC, przy czym owo biuro dba o to, by w skład każdego panelu wchodził co najmniej jeden sędzia posiadający doświadczenie w sądownictwie;
–
rozpatrując skargę dotyczącą danych osobowych, sędziowie wspierani są przez rzecznika specjalnego mianowanego przez prokuratora generalnego – po konsultacji z sekretarzem ds. handlu, dyrektorem krajowych służb wywiadowczych i PCLOB – na odnawialną dwuletnią kadencję; rzecznik specjalny musi mieć odpowiednie doświadczenie w dziedzinie prawa dotyczącego prywatności i bezpieczeństwa narodowego, musi być doświadczonym adwokatem i czynnym członkiem palestry o nieposzlakowanej opinii; ponadto w chwili powołania ani w ciągu dwóch poprzedzających lat nie może być zatrudniony przez organy władzy wykonawczej; rzecznik specjalny ma dostęp do wszystkich informacji, w tym informacji niejawnych, i chociaż nie pełni funkcji przedstawiciela skarżącego ani nie pozostaje ze skarżącym w relacji adwokat–klient, musi dbać o to, by w każdej sprawie interesy skarżącego były odpowiednio reprezentowane i aby sędziowie DPRC byli właściwie poinformowani o wszystkich istotnych okolicznościach prawnych i faktycznych;
–
w celu wydania orzeczenia sędziowie muszą brać pod uwagę protokół dochodzenia, informacje i uwagi przedstawione przez skarżącego, przez rzecznika specjalnego, przez agencje wywiadowcze i przez CLPO, a także, w stosownych przypadkach, dodatkowe informacje przekazane przez CLPO na wniosek DPRC;
–
muszą oni wydać orzeczenie w sprawie skargi dotyczącej danych osobowych na piśmie i przyjąć je większością głosów.
Po trzecie, należy zauważyć, że braki, które Trybunał stwierdził w wyroku Schrems II, zostały usunięte w odniesieniu do braku gwarancji dotyczących odwołania przez władzę wykonawczą rzecznika ds. Tarczy Prywatności oraz braku wiążącego charakteru jego decyzji. Z akt sprawy wynika bowiem, że przepisy E.O. 14086 ograniczają sytuacje, w których prokurator generalny może odwołać sędziów DPRC, i przewidują, że jego orzeczenia są wiążące.
W takim kontekście należy oddalić drugi zarzut szczegółowy w ramach zarzutu trzeciego.
Na ten wniosek nie rzutuje fakt, że z akt sprawy wynika, iż DPRC, podobnie jak inne sądy systemu prawnego Stanów Zjednoczonych, choć jest organem uprawnionym do orzekania w kwestiach prawnych, nie jest organem sądowym ustanowionym na mocy art. III konstytucji Stanów Zjednoczonych.
W wyroku Schrems II Trybunał uznał bowiem, że skuteczną ochronę sądową może zapewnić nie tylko sąd należący do wymiaru sprawiedliwości, lecz również każdy inny „organ” oferujący osobom, których dane są przekazywane do Stanów Zjednoczonych, zabezpieczenia zasadniczo równoważne zabezpieczeniom wymaganym przez art. 47 Karty praw podstawowych (wyrok Schrems II, pkt 197).
Biorąc pod uwagę ogół powyższych rozważań, zarzut trzeci należy oddalić w całości.
3.
W przedmiocie zarzutu drugiego, dotyczącego naruszenia art. 7 i 8 Karty praw podstawowych.
W zarzucie drugim skarżący podnosi, że Komisja naruszyła art. 7 i 8 Karty praw podstawowych, ponieważ w zaskarżonej decyzji uznała, iż Stany Zjednoczone Ameryki zapewniają odpowiedni stopień ochrony w odniesieniu do „hurtowego” gromadzenia danych osobowych przez agencje wywiadowcze tego państwa.
a)
Przedmiot zarzutu drugiego
Należy zauważyć, że na s. 2 i 23 skargi oraz na s. 4 repliki skarżący formułuje zarzut drugi, odnosząc się do naruszenia przez Komisję art. 7 i 8 Karty praw podstawowych, polegającego na nie tylko „hurtowym”, ale również masowym gromadzeniu danych osobowych. Jednakże w rozważaniach następujących po przedstawieniu tego zarzutu argumentacja skarżącego koncentruje się wyłącznie na „hurtowym” gromadzeniu tych danych.
Z przypisu 250, znajdującego się na s. 46 zaskarżonej decyzji, z motywu 141 tej decyzji, który nie został zakwestionowany, a także z odpowiedzi udzielonych przez strony na pytania zadane w ramach środka organizacji postępowania i na rozprawie wynika, że:
–
w Stanach Zjednoczonych prowadzenie rozpoznania elektromagnetycznego do celów bezpieczeństwa narodowego, w tym danych przekazywanych z Unii, może mieć jedynie formę „gromadzenia ukierunkowanego”; wyrażenie to nie jest zdefiniowane w prawie Stanów Zjednoczonych, lecz jest zwykle używane do opisania rozpoznania dotyczącego konkretnej osoby, konta komunikacyjnego lub innego zidentyfikowanego celu, prowadzonego przez agencje wywiadowcze na podstawie Foreign Intelligence Surveillance Act (ustawy o kontroli wywiadu zagranicznego, zwanej dalej „FISA”) i E.O. 14086.
–
poza Stanami Zjednoczonymi, w tym w przypadku gdy dane osobowe są w tranzycie z Unii do podmiotów DPF, prowadzenie rozpoznania elektromagnetycznego do celów bezpieczeństwa narodowego odbywa się przede wszystkim w drodze ukierunkowanego gromadzenia danych; lub, gdy działania te są niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego w rozumieniu sekcji 2 lit. b) ppkt (iii) E.O. 14086, w sytuacji, w której nie można w racjonalny sposób uzyskać informacji w drodze gromadzenia ukierunkowanego, agencje wywiadowcze mogą prowadzić „hurtowe” gromadzenie danych; „hurtowe” gromadzenie danych jest zdefiniowane w prawie Stanów Zjednoczonych w sekcji 4 lit. b) E.O. 14086 jako dozwolone gromadzenie dużych ilości danych w ramach rozpoznania radioelektronicznego, które ze względów technicznych lub operacyjnych są pozyskiwane bez zastosowania wyróżników lub konkretnych kryteriów wyboru; „hurtowe” gromadzenie danych jest uregulowane w E.O. 14086 i w Executive Order 12333, United States Intelligence Activities (rozporządzeniu wykonawczym nr 12333 w sprawie działalności wywiadowczej Stanów Zjednoczonych), zmienionym Executive Orders 13284 (2003), 13355 (2004) i 13470 (2008) (rozporządzeniami wykonawczymi nr 13284/2003, 13355/2004 i 13470/2008), które obwarowują je szeregiem zabezpieczeń i ograniczeń;
–
„masowe gromadzenie” danych osobowych, do którego odnosi się Komisja w przypisie 250 do zaskarżonej decyzji, jako gromadzenia na zasadzie ogólnej i powszechnej bez ograniczeń i zabezpieczeń, nie jest dozwolone w Stanach Zjednoczonych i nie może być prowadzone ani na ich terytorium, ani poza nim.
Z powyższego wynika, że skoro masowe gromadzenie danych nie jest w Stanach Zjednoczonych dozwolone, a „hurtowe” gromadzenie danych może być prowadzone wyłącznie poza Stanami Zjednoczonymi, przedmiot niniejszego zarzutu ogranicza się w niniejszym przypadku do oceny istnienia naruszenia przez Komisję art. 7 i 8 Karty praw podstawowych w odniesieniu do „hurtowego” gromadzenia przez agencje wywiadowcze Stanów Zjednoczonych danych osobowych w tranzycie z Unii do podmiotów DPF, z wyłączeniem gromadzenia danych osobowych prowadzonego w stosownych przypadkach na terytorium Unii przez agencje wywiadowcze Stanów Zjednoczonych lub państw członkowskich.
b)
W przedmiocie pierwszego zarzutu szczegółowego w ramach zarzutu drugiego, zgodnie z którym działalność wywiadowcza prowadzona na podstawie art. 702 FISA nie podlega zabezpieczeniom przewidzianym w E.O. 14086
W pierwszym zarzucie szczegółowym w ramach zarzutu drugiego skarżący podnosi, że Komisja naruszyła art. 7 i 8 Karty praw podstawowych, ponieważ w zaskarżonej decyzji uznała w istocie, iż Stany Zjednoczone Ameryki zapewniają poziom ochrony zasadniczo równoważny poziomowi gwarantowanemu przez prawo Unii na mocy RODO interpretowanego w świetle Karty, mimo że art. 702 FISA przyznaje agencjom wywiadowczym Stanów Zjednoczonych możliwość „hurtowego” gromadzenia danych osobowych obywateli innych państw.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Należy zauważyć, że art. 702 FISA nie zezwala na „hurtowe” gromadzenie danych, lecz jedynie na ukierunkowane gromadzenie danych osobowych.
Zatem w zakresie, w jakim art. 702 FISA nie dotyczy „hurtowego” gromadzenia danych osobowych, jest on pozbawiony znaczenia w niniejszej sprawie.
Należy zatem oddalić pierwszy zarzut szczegółowy w ramach zarzutu drugiego.
c)
W przedmiocie drugiego zarzutu szczegółowego w ramach zarzutu drugiego, zgodnie z którym E.O. 14086 nie uzależnia „hurtowego” gromadzenia danych osobowych od uprzedniego zezwolenia organu sądowego lub administracyjnego
W drugim zarzucie szczegółowym w ramach zarzutu drugiego skarżący podnosi, że Komisja naruszyła art. 7 i 8 Karty praw podstawowych, ponieważ w zaskarżonej decyzji uznała, iż Stany Zjednoczone Ameryki zapewniają stopień ochrony zasadniczo równoważny poziomowi gwarantowanemu przez prawo Unii na mocy RODO interpretowanego w świetle Karty, mimo że E.O. 14086 nie nakłada na agencje wywiadowcze Stanów Zjednoczonych obowiązku uzyskania uprzedniego zezwolenia organu sądowego lub administracyjnego przed „hurtowym” gromadzeniem danych osobowych.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
W niniejszej sprawie z akt sprawy wynika, i nie zostało to zakwestionowane przez strony, że prawo Stanów Zjednoczonych nie nakłada na agencje wywiadowcze obowiązku uzyskania uprzedniego zezwolenia organu sądowego lub administracyjnego przed rozpoczęciem „hurtowego” gromadzenia danych osobowych w tranzycie z Unii do organizacji CPD.
Należy ustalić, czy ten brak uprzedniego zezwolenia może mieć wpływ na zgodność z prawem zaskarżonej decyzji w zakresie, w jakim mógłby podważyć wniosek zawarty w art. 1 tej decyzji, zgodnie z którym Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych.
Na wstępie należy przypomnieć, że – jak orzekł Trybunał w wyroku Schrems II – aby ocenić zgodność z prawem decyzji stwierdzającej odpowiedni stopień ochrony, konieczne jest dokonanie oceny, czy prawo państwa trzeciego zapewnia stopień ochrony podstawowych praw i wolności zasadniczo równoważny temu, jaki gwarantowany jest w Unii na mocy RODO interpretowanego w świetle Karty praw podstawowych (zob. pkt 19 powyżej).
Na tym właśnie tle należy zbadać cztery argumenty podniesione przez skarżącego na poparcie niniejszego zarzutu szczegółowego.
1) W przedmiocie argumentu pierwszego, opartego na wyroku Schrems II
W pierwszym argumencie skarżący podnosi w istocie, że – jak miało to miejsce w przypadku decyzji w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności, której nieważność stwierdził Trybunał w wyroku Schrems II w szczególności ze względu na niewprowadzenie kontroli sądowej – „hurtowe” gromadzenie danych osobowych dokonywane w niniejszej sprawie przez amerykańskie agencje wywiadowcze nie podlega nadzorowi sądowemu oraz wystarczająco jasnym i precyzyjnym przepisom.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Należy zauważyć, że w wyroku Schrems II Trybunał orzekł, iż art. 7 i 8 Karty praw podstawowych stanowią część regulacji wymaganego w Unii stopnia ochrony, którego przestrzeganie musi zostać stwierdzone przez Komisję, zanim instytucja ta wyda na podstawie art. 45 ust. 1 RODO decyzję stwierdzającą odpowiedni stopień ochrony. W ocenie Trybunału wszelkie przetwarzanie danych osobowych osoby fizycznej, w tym przekazywanie ich do państwa trzeciego w ramach decyzji stwierdzającej odpowiedni stopień ochrony, dotyczy bowiem zarówno prawa podstawowego tej osoby do poszanowania życia prywatnego, zagwarantowanego w art. 7 Karty, jak i jej prawa do ochrony danych osobowych zawartego w art. 8 Karty (wyrok Schrems II, pkt 169–171).
Trybunał wyjaśnił jednak, że prawa ustanowione w art. 7 i 8 Karty praw podstawowych nie stanowią prerogatyw o charakterze absolutnym, lecz należy je rozpatrywać z uwzględnieniem ich funkcji społecznej (wyrok Schrems II, pkt 172).
Ponadto, zgodnie z art. 52 ust. 1 zdanie pierwsze Karty praw podstawowych, wszystkie ograniczenia w korzystaniu z praw i wolności zapisanych w art. 7 i 8 Karty muszą być przewidziane ustawą i zachowywać istotę tych praw i wolności. Poza tym, z zastrzeżeniem zasady proporcjonalności, ograniczenia praw i wolności mogą zostać wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób (wyrok Schrems II, pkt 174).
Na tym tle Trybunał orzekł, że przyznana w rozporządzeniu wykonawczym nr 12333, ze zmianami, agencjom wywiadowczym Stanów Zjednoczonych możliwość dostępu do danych osobowych w tranzycie z Unii – przy czym dostęp ten nie był przedmiotem jakiegokolwiek nadzoru sądowego – nie pozwala na uregulowanie w sposób wystarczająco jasny i precyzyjny zakresu „hurtowego” gromadzenia danych osobowych przez agencje wywiadowcze. Uznał on zatem, że wspomniane rozporządzenie wykonawcze nie odpowiada minimalnym wymogom związanym w prawie Unii z zasadą proporcjonalności oraz że programy inwigilacji prowadzone na podstawie tego dekretu nie są ograniczone do tego, co ściśle konieczne (wyrok Schrems II, pkt 183, 184).
Należy uściślić, jak należy interpretować wyrażenie „jakikolwiek nadzór sądowy” zastosowane w pkt 183 wyroku Schrems II.
W tym względzie należy zauważyć, że żaden element w wyroku Schrems II, w szczególności w pkt 183 tego wyroku i w wyrażeniu „jakikolwiek nadzór sądowy”, nie sugeruje, że „hurtowe” gromadzenie danych osobowych musi być obowiązkowo przedmiotem uprzedniego zezwolenia wydanego przez niezależny organ. Przeciwnie, z wyrażenia tego w zestawieniu z pkt 186–197 tego wyroku wynika, że decyzja zezwalająca na takie gromadzenie danych powinna przynajmniej podlegać następczej kontroli sądowej.
W niniejszej sprawie, jak wskazano w pkt 24–82 powyżej, na mocy E.O. 14086 i rozporządzenia AG działania rozpoznania elektromagnetycznego prowadzone przez agencje wywiadowcze Stanów Zjednoczonych – w tym w sytuacji, gdy agencje te gromadzą „hurtowo” dane osobowe – podlegają następczemu nadzorowi sądowemu DPRC, którego orzeczenia są ostateczne i wiążące i obowiązują zarówno wobec rządu Stanów Zjednoczonych, jak i wobec tych agencji. W konsekwencji, wbrew temu, co twierdzi skarżący, nie można uznać, że „hurtowe” gromadzenie danych osobowych przez agencje wywiadowcze na podstawie zaskarżonej decyzji nie spełnia wymogów wynikających w tym względzie z wyroku Schrems II.
Ponadto w pierwszej kolejności należy przypomnieć, że – jak wynika z motywu 141 zaskarżonej decyzji, a skarżący tego nie kwestionuje – E.O. 14086 stanowi, iż agencje wywiadowcze powinny dać pierwszeństwo ukierunkowanemu zbieraniu danych osobowych. Z kolei „hurtowe” gromadzenie danych jest dozwolone wyłącznie w celu realizacji zatwierdzonego priorytetu wywiadowczego, gdy nie można w racjonalny sposób uzyskać informacji w drodze gromadzenia ukierunkowanego. W tym względzie należy zauważyć, że z motywu 135 tej decyzji wynika, iż zatwierdzone priorytety wywiadowcze są ustalane za pośrednictwem specjalnego procesu, którego celem jest zapewnienie zgodności z mającymi zastosowanie wymogami prawnymi, w tym z wymogami dotyczącymi prywatności i wolności obywatelskich. Ściślej rzecz ujmując, priorytety wywiadowcze są najpierw opracowywane przez dyrektora krajowych służb wywiadowczych, a następnie przedstawiane prezydentowi Stanów Zjednoczonych do zatwierdzenia. Przed przedłożeniem priorytetów wywiadowczych prezydentowi ów dyrektor musi uzyskać dla każdego z nich ocenę CLPO. W ramach tej oceny CLPO musi ustalić, czy dany priorytet przyczynia się do realizacji co najmniej jednego uzasadnionego celu wymienionego w E.O. 14086, czy nie został zaprojektowany z myślą o gromadzeniu danych w wyniku rozpoznania radioelektronicznego na potrzeby realizacji zakazanego celu oraz czy został określony po odpowiednim uwzględnieniu prywatności i wolności obywatelskich wszystkich zainteresowanych osób, niezależnie od ich narodowości lub miejsca zamieszkania.
W drugiej kolejności należy zauważyć, że – jak podkreślono w motywach 127–131, 134 i 135 zaskarżonej decyzji, i czego skarżący nie kwestionuje – E.O. 14086 ustanawia podstawowe wymogi mające zastosowanie do wszystkich działań rozpoznania elektromagnetycznego, w tym w przypadku gdy są one prowadzone w drodze „hurtowego” gromadzenia danych osobowych.
Po pierwsze, podstawą takich działań rozpoznania elektromagnetycznego muszą być przepisy ustawy lub upoważnienie wydane przez prezydenta i działania takie muszą być podejmowane zgodnie z prawem Stanów Zjednoczonych, w szczególności z konstytucją.
Po drugie, działania rozpoznania elektromagnetycznego mogą być prowadzone wyłącznie po ustaleniu, na podstawie racjonalnej oceny wszystkich istotnych czynników, że gromadzenie tych danych jest niezbędne do realizacji konkretnego priorytetu wywiadowczego.
Po trzecie, działania rozpoznania elektromagnetycznego powinny być prowadzone w sposób proporcjonalny do zatwierdzonego priorytetu wywiadowczego, w odniesieniu do którego zostały dozwolone, w celu osiągnięcia właściwej równowagi między znaczeniem realizowanego priorytetu wywiadowczego a wpływem na życie prywatne i wolności obywatelskie danej osoby, niezależnie od jej obywatelstwa i miejsca zamieszkania.
Po czwarte, w E.O. 14086 wymieniono ogólne cele, które nie mogą być realizowane za pomocą działań rozpoznania elektromagnetycznego. Dotyczy to w szczególności celów polegających na uniemożliwianiu krytyki, sprzeciwu lub swobodnego wyrażania poglądów lub opinii politycznych przez jednostki lub prasę w celu działania na niekorzyść danej jednostki ze względu na jej pochodzenie etniczne, rasę, płeć, tożsamość płciową, orientację seksualną lub religię lub w celu przyznania przewagi konkurencyjnej przedsiębiorstwom ze Stanów Zjednoczonych.
W trzeciej kolejności z motywu 141 zaskarżonej decyzji wynika, a skarżący tego nie kwestionuje, że E.O. 14086 ustanawia konkretne zabezpieczenia mające zastosowanie do „hurtowego” gromadzenia danych osobowych.
Po pierwsze, E.O. 14086 stanowi, że należy stosować metody i środki techniczne w celu ograniczenia gromadzonych danych wyłącznie do tego, co jest niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego, przy jednoczesnym ograniczeniu do minimum gromadzenia informacji nieistotnych.
Ponadto E.O. 14086 wskazuje, że „hurtowe” gromadzenie danych osobowych może odbywać się wyłącznie w celu osiągnięcia sześciu szczególnych celów (zwanych dalej „szczególnymi celami »hurtowego« gromadzenia danych”), a mianowicie ochrony przed terroryzmem, szpiegostwem, bronią masowego rażenia, cyberzagrożeniami, zagrożeniami dla personelu Stanów Zjednoczonych lub ich sojuszników oraz przestępczością międzynarodową. Przewiduje on możliwość zaktualizowania przez prezydenta Stanów Zjednoczonych wspomnianych szczególnych celów, jeżeli pojawią się nowe względy bezpieczeństwa narodowego, takie jak nowe zagrożenia lub wzrost zagrożenia dla bezpieczeństwa narodowego, w odniesieniu do których prezydent Stanów Zjednoczonych uzna, że można stosować „hurtowe” gromadzenie danych osobowych. Takie aktualizacje muszą co do zasady zostać podane do wiadomości publicznej, chyba że prezydent uzna, że takie działanie może samo w sobie stworzyć zagrożenie dla bezpieczeństwa narodowego Stanów Zjednoczonych.
Wreszcie, E.O. 14086 przewiduje, że wszelkie zapytania dotyczące danych z rozpoznania elektromagnetycznego uzyskanych „hurtowo” mogą być dokonywane tylko wtedy, gdy są niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego, w ramach realizacji szczególnych celów „hurtowego” gromadzenia danych luzem oraz zgodnie z polityką i procedurami, które należycie uwzględniają wpływ zapytań o takie dane na prywatność i wolności obywatelskie wszystkich osób, których dane dotyczą, niezależnie od ich obywatelstwa lub miejsca zamieszkania.
W tych okolicznościach nie można skutecznie utrzymywać, że stosowanie „hurtowego” gromadzenia danych nie jest uregulowane w sposób wystarczająco jasny i precyzyjny.
W świetle całości powyższych rozważań należy oddalić niniejszy argument.
2) W przedmiocie argumentu drugiego, opartego na wyroku z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18)
W ramach argumentu drugiego skarżący, powołując się wyraźnie na pkt 189 wyroku z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791), utrzymuje, że Trybunał ustanowił obowiązek uzyskania przez agencje wywiadowcze uprzedniego zezwolenia organu sądowego lub administracyjnego, zanim przystąpią one do gromadzenia danych o połączeniach od operatorów będących w ich posiadaniu. Jego zdaniem „hurtowe” gromadzenie przez agencje wywiadowcze Stanów Zjednoczonych danych osobowych w tranzycie z Unii nie jest w niniejszym przypadku przedmiotem takiego uprzedniego zezwolenia.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Należy zauważyć, że w wyroku z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791), Trybunał uznał w szczególności, że art. 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. (Dz.U. 2009, L 337, s. 11), w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych, należy interpretować w ten sposób, że nie stoi on na przeszkodzie uregulowaniu krajowemu zobowiązującemu dostawców usług łączności elektronicznej do gromadzenia w czasie rzeczywistym danych o ruchu i danych o lokalizacji, jeśli uregulowanie to jest ograniczone do osób, wobec których istnieje uzasadniony powód, by podejrzewać, że są one zaangażowane w działalność terrorystyczną, i podlega uprzedniej kontroli dokonywanej albo przez sąd, albo przez niezależny organ administracyjny (pkt 192 tego wyroku).
Wynika z tego, że sytuacja rozpatrywana w sprawie, w której zapadł wyrok z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791), różni się od sytuacji rozpatrywanej w niniejszej sprawie. W niniejszej sprawie chodzi nie o ocenę potrzeby poddania gromadzenia przez dostawców usług łączności elektronicznej danych o ruchu i danych o lokalizacji użytkowników podejrzanych o jakiś rodzaj udziału w działalności terrorystycznej uprzedniej kontroli organu sądowego lub administracyjnego, lecz o dokonanie oceny, czy okoliczność, że prawo Stanów Zjednoczonych nie przewiduje obowiązku uzyskania przez agencje wywiadowcze – przed „hurtowym” gromadzeniem przez nie danych osobowych w tranzycie do tego państwa – uprzedniego zezwolenia organu sądowego lub administracyjnego, podważa zasadność stwierdzenia odpowiedniego stopnia ochrony dokonanego przez Komisję w zaskarżonej decyzji.
W tych okolicznościach należy stwierdzić, że powołanie się na wyrok z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791), nie ma znaczenia w niniejszej sprawie.
Na wniosek ten nie rzutuje wzięcie pod uwagę wyroku z dnia 30 kwietnia 2024 r., La Quadrature du Net i in. (Dane osobowe i walka z naruszeniami praw własności intelektualnej) (C‑470/21, EU:C:2024:370), w przedmiocie którego strony niniejszej sprawy zostały wezwane do wypowiedzenia się w drodze środka organizacji postępowania.
Przedmiotem sprawy, w której zapadł wyrok z dnia 30 kwietnia 2024 r., La Quadrature du Net i in. (Dane osobowe i walka z naruszeniami praw własności intelektualnej) (C‑470/21, EU:C:2024:370), była zgodność z prawem dostępu krajowego organu publicznego odpowiedzialnego za ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw popełnionymi w Internecie do danych zatrzymywanych przez dostawców usług łączności elektronicznej dotyczących tożsamości cywilnej odpowiadających adresom IP do celów zwalczania tych naruszeń. Konkretniej, dostęp ten był uzasadniony ze względu na cel polegający na zidentyfikowaniu posiadacza adresu IP, który zajmował się działalnością naruszającą prawa autorskie lub prawa pokrewne, w sytuacji gdy nielegalnie udostępnił on w Internecie chronione utwory do pobrania przez inne osoby. W tych okolicznościach Trybunał orzekł, że uprzednia kontrola dokonywana przez sąd lub niezależny organ administracyjny:
–
nie ma zastosowania w przypadku dostępu do danych dotyczących tożsamości cywilnej użytkowników odpowiadających adresom IP wyłącznie w celu zidentyfikowania danego użytkownika, bez możliwości powiązania tych danych z informacjami dotyczącymi przekazów komunikacyjnych, ponieważ ingerencji, z jaką takie przetwarzanie się wiąże, nie można uznać za poważną (pkt 133 i 134 omawianego wyroku);
–
powinna mieć miejsce, zanim właściwy organ krajowy powiąże dane dotyczące tożsamości cywilnej danej osoby odpowiadające adresowi IP z plikiem związanym z utworem, który z naruszeniem prawa udostępniono w Internecie do pobrania przez inne osoby, i zanim organ ten wyśle danej osobie pismo, w którym stwierdza się, że osoba ta dopuściła się czynów stanowiących naruszenie (zob. podobnie pkt 141 tego wyroku).
Wynika z tego, że sprawa, w której zapadł wyrok z dnia 30 kwietnia 2024 r., La Quadrature du Net i in. (Dane osobowe i walka z naruszeniami praw własności intelektualnej) (C‑470/21, EU:C:2024:370), dotyczy dostępu organów krajowych do adresu IP do celów zwalczania naruszeń praw własności intelektualnej i że taki przedmiot różni się od „hurtowego” gromadzenia przez agencje wywiadowcze danych osobowych w tranzycie z Unii. W świetle tego wyroku nie można zatem uznać, że „hurtowe” gromadzenie danych osobowych w tranzycie z Unii przez agencje wywiadowcze Stanów Zjednoczonych powinno wymagać uprzedniego zezwolenia.
Niniejszy argument należy zatem oddalić.
3) W przedmiocie argumentu trzeciego, opartego na wyroku ETPC z dnia 25 maja 2021 r. w sprawie Big Brother Watch i in. przeciwko Zjednoczonemu Królestwu (CE:ECHR:2021:0525JUD005817013)
W trzecim argumencie skarżący podnosi w istocie, że w wyroku ETPC z dnia 25 maja 2021 r. w sprawie Big Brother Watch i in. przeciwko Zjednoczonemu Królestwu (CE:ECHR:2021:0525JUD005817013, zwanym dalej „wyrokiem Big Brother Watch”) ETPC uznał, że masowe przechwytywanie danych osobowych powinno podlegać obowiązkowi uzyskania uprzedniego zezwolenia niezależnego organu od chwili określenia celów i zakresu operacji. Jego zdaniem „hurtowe” gromadzenie przez agencje wywiadowcze Stanów Zjednoczonych danych osobowych w tranzycie z Unii nie jest w niniejszym przypadku przedmiotem takiego uprzedniego zezwolenia.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Należy zauważyć, że sprawa, w której zapadł wyrok Big Brother Watch, dotyczyła w szczególności zgodności, w świetle art. 8 EKPC, brytyjskiego systemu tajnej inwigilacji, który dawał agencjom wywiadowczym możliwość masowego przechwytywania przekazów elektronicznych i związanych z nimi danych komunikacyjnych, to znaczy danych o ruchu, które odnosiły się do przechwyconych przekazów, które co do zasady miały miejsce poza Wyspami Brytyjskimi.
Ponadto, jak wynika z orzecznictwa przytoczonego w pkt 29 powyżej, w zakresie, w jakim art. 8 EKPC ustanawia, podobnie jak art. 7 Karty praw podstawowych, prawo do poszanowania życia prywatnego i rodzinnego, orzecznictwo ETPC dotyczące art. 8 EKPC należy uwzględnić przy dokonywaniu wykładni zakresu art. 7 Karty. Wynika z tego, że gdyby Sąd orzekł, iż wyrok Big Brother Watch ma znaczenie w niniejszej sprawie, to przy dokonywaniu wykładni zakresu art. 7 Karty należy wziąć pod uwagę rozumowanie ETPC zawarte w tym wyroku w odniesieniu do zakresu art. 8 EKPC.
W tym względzie należy przypomnieć, że w wyroku Big Brother Watch ETPC orzekł w przedmiocie zgodności z prawem masowego przechwytywania przez brytyjskie służby wywiadowcze przekazów elektronicznych i powiązanych danych komunikacyjnych, które co do zasady miały miejsce poza Wyspami Brytyjskimi.
Tymczasem, jak wskazały strony w niniejszej sprawie w odpowiedzi na środek organizacji postępowania i na rozprawie, rozumowanie ETPC w wyroku Big Brother Watch ma znaczenie w niniejszej sprawie, ponieważ można uznać, że masowe przechwytywanie danych osobowych rozpatrywane w sprawie, w której zapadł omawiany wyrok, obejmowało „hurtowe” gromadzenie danych będące przedmiotem zaskarżonej decyzji.
Po pierwsze, należy zauważyć, że podczas gdy wersja francuska wyroku Big Brother Watch posługuje się wyrażeniem „interception en masse” danych, wersja angielska posługuje się wyrażeniem „bulk interception”, które odpowiada dokładniej francuskiemu pojęciu „przechwytywania hurtem”.
Po drugie, w przeciwieństwie do ukierunkowanego przechwytywania, przechwytywanie informacji, o którym mowa w wyroku Big Brother Watch, zostało zdefiniowane przez ETPC jako takie, które nie dotyczyło określonych osób i w konsekwencji mogło mieć wpływ na dużą liczbę osób i powiązanych danych komunikacyjnych, a tym samym mogło mieć bardzo szeroki zakres, ponieważ pozwalało w szczególności na gromadzenie informacji w ramach wywiadu zagranicznego i na wykrywanie nowych zagrożeń ze strony znanych lub nieznanych podmiotów. Ponadto zdaniem ETPC, ze względu na cel związany z ochroną bezpieczeństwa narodowego, masowe przechwytywanie było co do zasady dokonywane przez właściwe organy w tajemnicy, co oznaczało, że organy te podawały do wiadomości publicznej niewiele informacji na temat funkcjonowania systemu, czy wręcz ich nie podawały wcale (zob. podobnie wyrok Big Brother Watch, pkt 322).
Po trzecie, w wyroku Big Brother Watch ETPC uznał, że chociaż nie wszystkie systemy masowego przechwytywania są skonstruowane w oparciu o ten sam model, a sposób ich wykonywania może ulec zmianie bez zachowania ścisłego porządku chronologicznego, to masowe przechwytywanie jest procesem stopniowym, który odbywa się zasadniczo według czterech następujących etapów (zwanych dalej „etapami przechwytywania”):
a)
przechwytywanie i wstępne zatrzymywanie przekazów elektronicznych dużej liczby osób i powiązanych danych komunikacyjnych;
b)
zastosowanie określonych selektorów do zatrzymanych przekazów i powiązanych danych komunikacyjnych w celu zidentyfikowania przekazów, które mogą mieć znaczenie dla służb wywiadowczych;
c)
badanie wybranych przekazów i powiązanych danych komunikacyjnych przez analityków;
d)
późniejsze zatrzymywanie danych i ich wykorzystywanie w celu włączenia ich do raportu wywiadowczego, przekazania ich innym służbom wywiadowczym lub przekazania ich zagranicznym służbom wywiadowczym (zob. podobnie wyrok Big Brother Watch, pkt 325–329).
Wynika z tego, że operacja „hurtowego” gromadzenia danych osobowych, taka jak ta będąca przedmiotem zaskarżonej decyzji, wchodzi w zakres pierwszego z etapów przechwytywania określonego przez ETPC w wyroku Big Brother Watch, ponieważ polega ona na gromadzeniu, w celu ochrony bezpieczeństwa narodowego, danych osobowych w tranzycie z Unii znacznej liczby osób.
W tym kontekście należy zastosować wnioski z wyroku Big Brother Watch w ramach oceny zgodności z prawem decyzji stwierdzającej odpowiedni stopień ochrony wydanej na podstawie art. 45 ust. 3 RODO, takiej jak zaskarżona decyzja.
W tym względzie w pierwszej kolejności należy zauważyć, że w wyroku Big Brother Watch ETPC wyjaśnił, iż art. 8 EKPC nie zakazuje masowego przechwytywania w celu ochrony bezpieczeństwa narodowego lub innych podstawowych interesów narodowych przed poważnymi zagrożeniami zewnętrznymi oraz że państwa dysponują szerokim zakresem uznania przy określaniu rodzaju systemu przechwytywania, który jest im potrzebny (wyrok Big Brother Watch, pkt 347).
W drugiej kolejności ETPC wskazał, że w stosunku do masowego przechwytywania danych osobowych powinny obowiązywać kompleksowe zabezpieczenia, które łącznie stanowią podwaliny każdego systemu masowego przechwytywania, a mianowicie:
–
uzyskanie uprzedniego zezwolenia niezależnego organu od chwili określenia celów i zakresu danej operacji (wyrok Big Brother Watch, pkt 350);
–
ustanowienie systemu nadzoru i niezależnej kontroli sądowej a posteriori (zob. podobnie wyrok Big Brother Watch, pkt 336, 347);
–
ustanowienie przepisów prawnych pozwalających na upewnienie się na każdym etapie przechwytywania co do konieczności i proporcjonalności podjętych środków (zob. podobnie wyrok Big Brother Watch, pkt 350); w tym względzie ETPC przypomniał, że ingerencja w prawa zagwarantowane w art. 8 EKPC może być uzasadniona w świetle ust. 2 tego artykułu tylko wtedy, gdy jest przewidziana ustawą, służy co najmniej jednemu ze zgodnych z prawem celów wymienionych w tym ustępie i jest niezbędna w demokratycznym społeczeństwie do osiągnięcia tych celów; w dziedzinie tajnego nadzoru przewidywalność przyjętych środków oznaczała, że prawo krajowe było wystarczająco jasne, aby wskazać wszystkim w odpowiedni sposób, w jakich okolicznościach i na jakich warunkach organy władzy publicznej są uprawnione do zastosowania takich środków (wyrok Big Brother Watch, pkt 332, 333).
W trzeciej kolejności ETPC wskazał, że o ile art. 8 EKPC ma zastosowanie do każdego z etapów przechwytywania, o tyle potrzeba ustanowienia zabezpieczeń zwiększa się wraz z kolejnymi etapami procesu, a w konsekwencji stopień naruszenia prawa do poszanowania życia prywatnego staje się większy. W ocenie ETPC na końcu procesu, gdy analizowane są informacje dotyczące konkretnej osoby lub gdy treść przekazów jest badana przez analityka, obecność zabezpieczeń jest najbardziej potrzebna (zob. podobnie wyrok Big Brother Watch, pkt 330, 331).
W czwartej kolejności ETPC uznał, że w zakresie, w jakim zawarcie wszystkich selektorów stosowanych przez agencje wywiadowcze w celu filtrowania zebranych przekazów komunikacyjnych w zakresie objętym uprzednim zezwoleniem nie było możliwe w praktyce, zakres tego zezwolenia powinien być ograniczony w celu objęcia nim co najmniej rodzajów lub kategorii selektorów, które należy stosować (wyrok Big Brother Watch, pkt 354).
W niniejszej sprawie, po pierwsze, należy przypomnieć, że – jak orzekł Trybunał w wyrokach Schrems I i Schrems II – w ramach decyzji stwierdzającej odpowiedni stopień ochrony Komisja nie jest zobowiązana do upewnienia się, że właściwe przepisy państwa trzeciego są identyczne z przepisami obowiązującymi w Unii, lecz że są one zasadniczo równoważne (zob. pkt 19 i 20 powyżej).
Po drugie, należy stwierdzić, że ponieważ „hurtowe” gromadzenie danych osobowych przez agencje wywiadowcze Stanów Zjednoczonych, które jest kwestionowane w ramach niniejszego sporu, może być utożsamiane z przechwytywaniem danych, które ma miejsce w ramach pierwszego z etapów przechwytywania określonych przez ETPC w wyroku Big Brother Watch, potrzeba ustanowienia na tym konkretnym etapie „hurtowego” gromadzenia zabezpieczeń ograniczających uprawnienia dyskrecjonalne agencji wywiadowczych jest bardziej ograniczona, biorąc pod uwagę kontekst, w jakim dokonywane jest przechwytywanie. W niniejszej sprawie chodzi bowiem jedynie o wstępne przechwytywanie „hurtem” danych osobowych przez agencje wywiadowcze, z wyłączeniem późniejszej działalności, która nie jest przedmiotem tej skargi i która może w danym wypadku polegać na stosowaniu konkretnych selektorów, na analizowaniu zebranych danych oraz na ich późniejszym wykorzystaniu lub przekazywaniu.
Zatem fakt wprowadzenia uprzedniego zezwolenia nie jest jedynym zabezpieczeniem, które powinno towarzyszyć masowemu przechwytywaniu danych osobowych, lecz stanowi jeden z elementów, które, rozpatrywane łącznie, stanowią podwaliny każdego systemu masowego przechwytywania. W tym względzie należy przypomnieć, że obowiązujące prawo Stanów Zjednoczonych przewiduje przepisy prawne regulujące w sposób wystarczająco jasny i precyzyjny„hurtowe” gromadzenie danych osobowych przez agencje wywiadowcze Stanów Zjednoczonych (zob. pkt 107–116 powyżej) i przyznaje osobom, których dane dotyczą, prawo do skutecznego środka prawnego przed DPRC (zob. pkt 33–63 powyżej). Ponadto w motywach 162–169 zaskarżonej decyzji wskazano, a skarżący tego nie kwestionuje, że działalność wywiadowcza prowadzona przez agencje wywiadowcze jest kontrolowana przez PCLOB, której – jak wynika z pkt 54 powyżej – nadano w statucie charakter niezależnej agencji. Działalność ta podlega także nadzorowi, w pierwszej kolejności ze strony urzędników odpowiedzialnych za sprawy prawne i ze strony przedstawicieli, którzy w ramach każdej agencji wywiadowczej są odpowiedzialni za nadzór i przestrzeganie tego prawa, w drugiej kolejności – niezależnego inspektora generalnego odpowiedzialnego w odniesieniu do każdej agencji wywiadowczej za kontrolę zewnętrznej działalności wywiadowczej prowadzonej przez daną agencję wywiadowczą, a w trzeciej kolejności – Intelligence Oversight Board (rady nadzoru nad służbami wywiadowczymi, Stany Zjednoczone), działającej w ramach President’s Intelligence Advisory Board (prezydenckiej rady konsultacyjnej ds. wywiadu, Stany Zjednoczone) i odpowiedzialnej za nadzór nad przestrzeganiem prawa przez organy władzy Stanów Zjednoczonych, a także, w czwartej kolejności – specjalnych komisji tworzonych w kongresie Stanów Zjednoczonych, które pełnią funkcje nadzorcze w odniesieniu do wszystkich zagranicznych działań wywiadowczych tego kraju.
W świetle tych rozważań nie można stwierdzić, że okoliczność, iż nie wprowadzono uprzedniego zezwolenia mającego zastosowanie do pierwotnego „hurtowego” gromadzenia przez amerykańskie agencje wywiadowcze danych osobowych w tranzycie z Unii, wystarczy, aby uznać, że prawo Stanów Zjednoczonych nie zapewnia, w świetle wniosków wywiedzionych z wyroku Big Brother Watch, zabezpieczeń zasadniczo równoważnych zabezpieczeniom przewidzianym w prawie Unii.
Niniejszy argument należy zatem oddalić.
4) W przedmiocie argumentu czwartego, opartego na opinii 5/2023 Europejskiego Inspektora Ochrony Danych
W czwartym argumencie skarżący podnosi, że w opinii 5/2023 w sprawie projektu decyzji wykonawczej Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE–USA z dnia 28 lutego 2023 r. (zwanej dalej „opinią 5/2023”) Europejska Rada Ochrony Danych (zwana dalej „EROD”) podkreśliła wagę uzależnienia „hurtowego” gromadzenia danych osobowych od uzyskania uprzedniego zezwolenia. Jego zdaniem „hurtowe” gromadzenie przez agencje wywiadowcze Stanów Zjednoczonych danych osobowych w tranzycie z Unii nie jest w niniejszym przypadku przedmiotem takiego uprzedniego zezwolenia.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Należy zauważyć, że opinia 5/2023 została wydana przez EROD na podstawie art. 70 ust. 1 lit. s) RODO. Przepis ten stanowi, że z własnej inicjatywy lub na wniosek Komisji EROD może wydać na jej potrzeby opinię dotyczącą oceny, czy stopień ochrony zapewniany przez państwo trzecie jest odpowiedni.
Tymczasem, działając na podstawie art. 70 ust. 1 RODO, EROD sprawuje jedynie funkcję doradczą polegającą na sporządzaniu opinii, wytycznych, zaleceń i zaleceń dotyczących najlepszych praktyk, które nie wywołują wiążących skutków prawnych (zob. podobnie postanowienie prezesa Trybunału z dnia 29 listopada 2023 r., EIOD/SRB, C‑413/23 P, niepublikowane, EU:C:2023:1036, pkt 11). Opinia ta nie wiąże zatem Komisji, która może swobodnie ocenić, czy prawo tego państwa zapewnia ogólnie stopień ochrony zasadniczo równoważny temu gwarantowanemu przez prawo Unii w odniesieniu do „hurtowego” gromadzenia danych osobowych. W każdym razie należy stwierdzić, że we wspomnianej opinii EROD nie wskazał, iż brak wprowadzenia uprzedniej kontroli dotyczącej „hurtowego” gromadzenia danych osobowych koniecznie musi naruszać pozytywną ocenę Komisji co do odpowiedniego stopnia ochrony danych osobowych oferowanego przez DPF. Przeciwnie, w pkt 165 tej opinii wskazał on, że ocena ta zależała od wszystkich okoliczności sprawy, a w szczególności od wprowadzenia przez Stany Zjednoczone Ameryki kontroli sądowej a posteriori i mechanizmu odwoławczego.
Na tym tle opinia 5/2023 nie pozwala uznać, że „hurtowe” gromadzenie danych osobowych w tranzycie z Unii przez agencje wywiadowcze Stanów Zjednoczonych wymaga uprzedniego zezwolenia oraz że ochrona zapewniana przez to państwo nie jest zasadniczo równoważna ochronie gwarantowanej przez prawo Unii.
Należy zatem oddalić niniejszy argument, a tym samym oddalić drugi zarzut szczegółowy w ramach zarzutu drugiego w całości.
d)
W przedmiocie trzeciego zarzutu szczegółowego w ramach zarzutu drugiego, zgodnie z którym E.O. 14086 przyznaje prezydentowi Stanów Zjednoczonych uprawnienie do zezwolenia na tajną aktualizację szczególnych celów „hurtowego” gromadzenia danych
W ramach trzeciego zarzutu szczegółowego w ramach zarzutu drugiego skarżący podnosi, że Komisja naruszyła art. 7 i 8 Karty praw podstawowych, gdy uznała w zaskarżonej decyzji, że Stany Zjednoczone Ameryki zapewniają stopień ochrony zasadniczo równoważny z tym gwarantowanym przez prawo Unii na mocy RODO, interpretowanego w świetle Karty, mimo że E.O. 14086 daje prezydentowi Stanów Zjednoczonych, ze względów bezpieczeństwa narodowego, możliwość zezwolenia na tajną aktualizację szczególnych celów „hurtowego” gromadzenia danych. W szczególności skarżący uważa, że wbrew temu, co orzeczono w wyroku ETPC z dnia 4 grudnia 2015 r. w sprawie Roman Zakharov przeciwko Rosji (CE:ECHR:2015:1204JUD004714306, zwanym dalej „wyrokiem Zakharov”), przyznanie prezydentowi Stanów Zjednoczonych uprawnienia do aktualizacji tych szczególnych celów nie pozwala osobom, których dotyczy przekazanie danych osobowych, na dokładne zidentyfikowanie ram prawnych, w których dane te są przetwarzane w Stanach Zjednoczonych.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Należy zauważyć, że w wyroku Zakharov ETPC uznał, iż ingerencja w prawo podstawowe do poszanowania życia prywatnego i rodzinnego może być uzasadniona w świetle art. 8 ust. 2 EKPC tylko wtedy, gdy jest przewidziana ustawą (wyrok Zakharov, pkt 227). Tymczasem zdaniem ETPC wyrażenie „przewidziana ustawą” oznacza, że sporny środek powinien być dostępny dla zainteresowanej osoby i że powinien być przewidywalny co do swoich skutków (wyrok Zakharov, pkt 228). W dziedzinie przechwytywania przekazów telekomunikacyjnych „przewidywalność” nie oznaczała, że dana osoba powinna być w stanie przewidzieć, kiedy prawdopodobnie władze będą przechwytywać jej przekazy, lecz oznaczała, że zasadniczo ograniczenia prawa tej osoby do poszanowania życia prywatnego i rodzinnego powinny wynikać z jasnych zasad (wyrok Zakharov, pkt 229).
Należy również przypomnieć, że z orzecznictwa przytoczonego w pkt 29 powyżej wynika, iż w zakresie, w jakim art. 8 EKPC ustanawia, podobnie jak art. 7 Karty praw podstawowych, prawo do poszanowania życia prywatnego i rodzinnego, orzecznictwo ETPC dotyczące art. 8 EKPC, a więc w tym wyrok Zakharov, należy uwzględnić przy dokonywaniu wykładni zakresu art. 7 Karty.
W tym względzie z sekcji 2 lit. c) ppkt (ii) C) E.O. 14086 wynika, że przyznane prezydentowi Stanów Zjednoczonych uprawnienie do aktualizacji wykazu szczególnych celów „hurtowego” gromadzenia danych nie jest nieograniczone, lecz dotyczy jedynie sytuacji, w których aktualizacja ta jest konieczna ze względu na pojawienie się nowych względów bezpieczeństwa narodowego, takich jak nowe zagrożenia lub zwiększone zagrożenia dla bezpieczeństwa narodowego, w odniesieniu do których można by wykorzystać „hurtowe” gromadzenie danych osobowych. Co więcej, z przepisu tego wynika, co zostało potwierdzone przez Stany Zjednoczone Ameryki na rozprawie, że aktualizacja przez prezydenta wspomnianych szczególnych celów nie jest tajna, lecz jest podawana do publicznej wiadomości przez dyrektora krajowych służb wywiadowczych, chyba że prezydent uzna, że jej jawność sama w sobie stanowi zagrożenie dla bezpieczeństwa narodowego kraju. Ponadto nawet w takim przypadku „hurtowe” gromadzenie danych podlega wszystkim zabezpieczeniom i ograniczeniom przewidzianym w E.O. 14086, a jeżeli osoba, której dane dotyczą, złoży skargę dotyczącą danych osobowych, podlega ona nadzorowi ze strony CLPO i, w stosownym przypadku, kontroli przez DPRC.
W takim kontekście nie można uznać, że przyznane prezydentowi Stanów Zjednoczonych uprawnienie do aktualizacji wykazu szczególnych celów „hurtowego” gromadzenia danych jest sprzeczne z wymogami określonymi przez ETPC w wyroku Zakharov.
Należy zatem oddalić trzeci zarzut szczegółowy w ramach zarzutu drugiego, a tym samym oddalić zarzut drugi w całości.
4.
W przedmiocie zarzutu czwartego, dotyczącego naruszenia art. 22 RODO
W zarzucie czwartym skarżący podnosi, że Komisja naruszyła art. 22 RODO, ponieważ w zaskarżonej decyzji nie zawarła przepisu ustanawiającego prawo osób, których dane dotyczą, do tego, by nie podlegały one decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, wywołującym wobec nich skutki prawne lub mającym na nie istotny wpływ (zwanych dalej „w pełni zautomatyzowanymi decyzjami”).
Na wstępie należy zauważyć, że art. 22 RODO brzmi następująco:
„1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Ustęp 1 nie ma zastosowania, jeżeli ta decyzja:
a)
jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b)
jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
c)
opiera się na wyraźnej zgodzie osoby, której dane dotyczą”.
Należy również zauważyć, że termin „profilowanie”, o którym mowa w art. 22 ust. 1 RODO, został zdefiniowany w art. 4 ust. 4 RODO jako oznaczający „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.
Wynika z tego, że zgodnie z art. 22 RODO każda osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym gdy środek ten polega na analizie i przewidywaniu niektórych aspektów jej zachowania.
Tymczasem z zaskarżonej decyzji wynika, że nie odnosi się ona konkretnie do kwestii w pełni zautomatyzowanych decyzji.
Należy zatem ustalić, czy ten brak może mieć wpływ na zgodność z prawem zaskarżonej decyzji w zakresie, w jakim mógłby podważyć wniosek zawarty w art. 1 tej decyzji, zgodnie z którym Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych.
Na tym właśnie tle należy przeanalizować trzy zarzuty szczegółowe podniesione przez skarżącego na poparcie zarzutu czwartego, przy czym należy zacząć od zarzutów szczegółowych pierwszego i trzeciego, które należy zbadać łącznie.
a)
W przedmiocie zarzutów szczegółowych pierwszego i trzeciego w ramach zarzutu czwartego, zgodnie z którymi, po pierwsze, fakt, że w pełni zautomatyzowane decyzje są zazwyczaj podejmowane przez administratorów w Unii, podlegających RODO, nie daje zabezpieczeń w odniesieniu do innych sytuacji, a po drugie, ustanowienie przez prawo Stanów Zjednoczonych ochrony sektorowej w przypadkach, w których podejmowanie w pełni zautomatyzowanych decyzji nie wchodzi w zakres stosowania tego rozporządzenia, jest w tym przypadku bez znaczenia
W zarzutach szczegółowych pierwszym i trzecim w ramach zarzutu czwartego skarżący podnosi, po pierwsze, że fakt, iż w pełni zautomatyzowane decyzje są zazwyczaj podejmowane przez administratorów w Unii, podlegających RODO, nie daje zabezpieczeń w odniesieniu do innych sytuacji. Po drugie, podnosi on, że okoliczność, iż prawo Stanów Zjednoczonych zapewnia ochronę sektorową w sytuacji, gdy podjęcie takich decyzji nie wchodzi w zakres stosowania tego rozporządzenia, jest w tym przypadku bez znaczenia, ponieważ okoliczność ta nie pozwala na stwierdzenie, że ogólnie rzecz biorąc, ochrona, jaką państwo to zapewnia w odniesieniu do wszystkich w pełni zautomatyzowanych decyzji, jest równoważna ochronie gwarantowanej przez art. 22 tego rozporządzenia.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Należy zauważyć, że z motywu 33 zaskarżonej decyzji wynika, iż w przypadku przekazywania danych osobowych z Unii do Stanów Zjednoczonych należy rozróżnić trzy rodzaje sytuacji, w których podejmowane są w pełni zautomatyzowane decyzje.
Po pierwsze, całkowicie zautomatyzowane decyzje mogą być podejmowane przez administratora w Unii, który zgromadził w Unii dane osobowe osób, których one dotyczą. W tym względzie należy wskazać, że art. 4 pkt 7 RODO definiuje administratora jako osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W takiej sytuacji, ponieważ zgodnie z art. 3 ust. 1 wspomnianego rozporządzenia administrator podlega temu rozporządzeniu, musi on przestrzegać wymogów przewidzianych w art. 22 tego rozporządzenia w odniesieniu do takich decyzji.
Po drugie, w pełni zautomatyzowane decyzje mogą być podejmowane albo przez podmiot przetwarzający w państwie trzecim, działający w imieniu unijnego administratora, który mu przekazał dane osobowe zebrane przez niego w Unii, albo przez podmiot przetwarzający działający w imieniu unijnego podmiotu przetwarzającego, który przekazał mu dane zebrane w Unii. W tym względzie należy uściślić, że art. 4 pkt 8 RODO definiuje podmiot przetwarzający jako osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. W tych sytuacjach, o ile zagraniczne podmioty przetwarzające działają w imieniu unijnego administratora lub podmiotu przetwarzającego, podlegają temu rozporządzeniu na podstawie art. 3 ust. 1 tego rozporządzenia. Tak więc w odniesieniu do takich decyzji administrator i podmiot przetwarzający muszą przestrzegać wymogów przewidzianych w art. 22 tego rozporządzenia.
Po trzecie, w pełni zautomatyzowane decyzje mogą być podejmowane przez administratora lub podmiot przetwarzający poza Unią, lecz kierujący się do osób w Unii, których dane dotyczą, oferujący im towary i usługi lub monitorujący ich zachowanie. W takim zaś przypadku art. 3 ust. 2 RODO przewiduje, że administrator i zagraniczny podmiot przetwarzający podlegają temu rozporządzeniu. Tak więc, jeśli chodzi o decyzje w pełni zautomatyzowane, muszą one spełniać wymogi przewidziane w art. 22 wspomnianego rozporządzenia.
Zatem z zaskarżonej decyzji wynika, iż sytuacje, w których w pełni zautomatyzowane decyzje nie wchodzą w zakres stosowania art. 22 RODO, mają znikomy charakter i ograniczają się do przypadku, w którym podmioty DPF gromadzą bezpośrednio w Unii dane osobowe, nie oferując jednak obywatelom Unii towarów lub usług i nie monitorując ich zachowania, w rozumieniu art. 3 ust. 2 tego rozporządzenia.
Tymczasem z motywów 35 i 36 zaskarżonej decyzji wynika, a skarżący tego nie kwestionuje, że w takich sytuacjach prawo Stanów Zjednoczonych zapewnia ochronę sektorową podobną do ochrony przewidzianej w RODO w dziedzinach takich jak udzielanie kredytów, oferty kredytów hipotecznych, decyzje o rekrutacji, zatrudnienie, mieszkalnictwo i ubezpieczenia, w których jest bardziej prawdopodobne, że podmioty DPF podejmują w pełni zautomatyzowane decyzje.
W dziedzinie kredytu konsumenckiego Fair Credit Reporting Act (ustawa o rzetelnej sprawozdawczości kredytowej) i Equal Credit Opportunity Act (ustawa o równych możliwościach kredytowych) zawierają zabezpieczenia, które zapewniają konsumentom pewną formę prawa do zażądania wyjaśnień i prawa do zakwestionowania w pełni zautomatyzowanych decyzji. Ustawy te dotyczą szerokiego zakresu dziedzin, takich jak dziedziny kredytów, zatrudnienia, mieszkalnictwa i ubezpieczeń. Tytuł VII Civil Rights Act (ustawy o prawach obywatelskich) i Fair Housing Act (ustawa o uczciwych praktykach w mieszkalnictwie) zapewniają ponadto osobom fizycznym ochronę w odniesieniu do modeli wykorzystywanych w zautomatyzowanym podejmowaniu decyzji, które mogą prowadzić do dyskryminacji ze względu na określone cechy, oraz przyznają osobom fizycznym prawa do kwestionowania takich decyzji. Ponadto w odniesieniu do informacji dotyczących zdrowia przepisy przyjęte przez władze Stanów Zjednoczonych na podstawie Health Insurance Portability and Accountability Act (ustawy o możliwości przenoszenia ubezpieczenia zdrowotnego i odpowiedzialności) wymagają, by świadczący opiekę zdrowotną otrzymywali informacje umożliwiające im informowanie osób o podejmowaniu w pełni zautomatyzowanych decyzji w sektorze medycznym.
Na tym tle, wbrew temu, co twierdzi skarżący, nie można uznać, że ochrona sektorowa przewidziana w prawie Stanów Zjednoczonych nie ma znaczenia w niniejszej sprawie, ponieważ nie ma ona takiego samego zakresu ogólnego jak art. 22 RODO.
W tym względzie należy przypomnieć, że w wyrokach Schrems I i Schrems II Trybunał orzekł, że – choć nie wymaga się, aby dane państwo trzecie zapewniało stopień ochrony identyczny jak ten zagwarantowany w unijnym porządku prawnym – wyrażenie „odpowiedni stopień ochrony”, zawarte w art. 45 ust. 1 RODO, należy rozumieć tak, że wymaga ono, by to państwo trzecie faktycznie zapewniało, z racji swego ustawodawstwa wewnętrznego lub też swoich zobowiązań międzynarodowych, stopień ochrony podstawowych praw i wolności zasadniczo równoważny temu, jaki gwarantowany jest w Unii na mocy tego rozporządzenia interpretowanego w świetle Karty praw podstawowych (zob. pkt 19 i 20 powyżej).
Ponadto w wyroku Schrems I Trybunał uznał, że jakkolwiek środki, z jakich to państwo trzecie korzysta dla zapewnienia odpowiedniego stopnia ochrony danych osobowych, mogą różnić się od środków wprowadzonych w Unii, to jednak środki te powinny w praktyce skutecznie zapewniać ochronę zasadniczo równoważną ochronie gwarantowanej w Unii (zob. pkt 20 powyżej).
W świetle całości powyższych rozważań należy oddalić zarzuty szczegółowe pierwszy i trzeci podniesione w ramach zarzutu czwartego.
b)
W przedmiocie drugiego zarzutu szczegółowego w ramach zarzutu czwartego, zgodnie z którym badanie zlecone przez Komisję w 2018 r., wykazujące znikomy charakter przypadków, w których podmioty w Stanach Zjednoczonych uczestniczące w programie Tarczy Prywatności podejmowały w pełni zautomatyzowane decyzje, jest w niniejszym przypadku bez znaczenia
W drugim zarzucie szczegółowym w ramach zarzutu czwartego skarżący podnosi, że okoliczność, iż w badaniu dotyczącym w pełni zautomatyzowanych decyzji, przytoczonym w motywie 34 zaskarżonej decyzji, które Komisja zleciła w 2018 r. i którego wyniki znajdują się w pkt 4.1.5 sprawozdania Komisji dla Parlamentu Europejskiego i Rady COM(2018) 860 final z dnia 19 grudnia 2018 r. w sprawie drugiego rocznego przeglądu funkcjonowania Tarczy Prywatności (zwanego dalej „badaniem z 2018 r.”), stwierdzono, że nie ma dowodów na istnienie w pełni zautomatyzowanych decyzji podjętych przez podmioty w Stanach Zjednoczonych uczestniczące w programie Tarczy Prywatności, jest w niniejszym przypadku bez znaczenia. W szczególności podnosi on, że wspomniane badanie odnosi się do decyzji w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności, której nieważność Trybunał stwierdził w wyroku Schrems II, i że nie uwzględnia ono obecnej sytuacji, która charakteryzuje się wyjątkowo szybkim rozwojem w pełni zautomatyzowanych usług opartych na sztucznej inteligencji.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
W szczególności z badania z 2018 r. wynika, że z jednej strony nie było wówczas danych pozwalających uznać, iż przedsiębiorstwa mające siedzibę w Stanach Zjednoczonych, które przystąpiły do Tarczy Prywatności, podjęły w pełni zautomatyzowane decyzje, a z drugiej strony Stany Zjednoczone Ameryki wdrożyły przepisy sektorowe w takich dziedzinach jak kredyty konsumenckie, zatrudnienie, mieszkalnictwo, ubezpieczenia i ochrona zdrowia, w których prawdopodobieństwo podejmowania w pełni zautomatyzowanych decyzji jest wyższe.
W tym względzie w pierwszej kolejności należy zauważyć, że badanie z 2018 r. nie zostało przytoczone w decyzji w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności i zostało zlecone przez Komisję po wejściu w życie tej decyzji. Okoliczność, że Trybunał stwierdził nieważność tej decyzji w wyroku Schrems II, nie ma zatem znaczenia w niniejszej sprawie. Ponadto w wyroku Schrems II Trybunał nie stwierdził nieważności tej decyzji na podstawie elementów wskazanych we wspomnianym badaniu.
W drugiej kolejności prawdą jest, że w badaniu z 2018 r. nie uwzględniono sytuacji faktycznej i prawnej istniejącej w Stanach Zjednoczonych w 2023 r., w dniu przyjęcia zaskarżonej decyzji, lecz uwzględniono sytuację z 2018 r., kiedy badanie to zostało przeprowadzone. Jednakże znikomy charakter przypadków, w których podmioty w Stanach Zjednoczonych uczestniczące w Tarczy Prywatności podjęły w pełni zautomatyzowane decyzje, został potwierdzony w sprawozdaniu Komisji dla Parlamentu Europejskiego i Rady COM(2019) 495 final z dnia 23 października 2019 r. w sprawie trzeciego rocznego przeglądu funkcjonowania Tarczy Prywatności. W sprawozdaniu tym wskazano bowiem w szczególności, że liczba podmiotów w Stanach Zjednoczonych uczestniczących w Tarczy Prywatności, które podjęły w pełni zautomatyzowane decyzje, jest ograniczona oraz że decyzje podejmowane przez te podmioty zazwyczaj nie wywołują skutków prawnych ani innych skutków wobec zainteresowanych osób.
W trzeciej kolejności należy zauważyć, że w swoich pismach skarżący nie przedstawił żadnego dowodu pozwalającego uznać, iż po przeprowadzeniu badania z 2018 r. podmioty w Stanach Zjednoczonych podjęły w pełni zautomatyzowane decyzje, i nie wyjaśnił w sposób wystarczający pod względem prawnym, dlaczego ewolucja sztucznej inteligencji miałaby pozbawić to badanie znaczenia.
Na tym tle należy oddalić drugi zarzut szczegółowy w ramach zarzutu czwartego, a tym samym oddalić ten zarzut w całości.
5.
W przedmiocie zarzutu piątego, dotyczącego naruszenia art. 32 RODO w związku z art. 45 ust. 2 tego rozporządzenia
W zarzucie piątym skarżący podnosi, że Komisja naruszyła art. 32 RODO w związku z art. 45 ust. 2 tego rozporządzenia, ponieważ w zaskarżonej decyzji uznała, iż Stany Zjednoczone Ameryki zapewniają stopień ochrony zasadniczo równoważny temu gwarantowanemu w Unii w odniesieniu do wprowadzenia przez administratorów i podmioty przetwarzające z siedzibą w Stanach Zjednoczonych odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych przekazywanych z Unii do tego państwa.
W tym względzie w pierwszej kolejności skarżący podnosi, że sekcja II pkt 4 lit. a) załącznika I do zaskarżonej decyzji ogranicza się do stwierdzenia, że podmioty DPF muszą wprowadzać zasadne i odpowiednie środki ostrożności, jedynie kiedy tworzą, przechowują, wykorzystują lub rozpowszechniają dane osobowe. W związku z tym, gdy podmioty te przeglądają dane osobowe pochodzące z Unii, nie są wymagane żadne środki bezpieczeństwa. Skarżący twierdzi, że przeglądanie danych należy jednak do operacji objętych pojęciem „przetwarzania” danych osobowych zawartym w art. 4 ust. 2 RODO.
W drugiej kolejności skarżący utrzymuje, że sekcja III pkt 6 lit. f) załącznika I do zaskarżonej decyzji nakłada na podmioty w Stanach Zjednoczonych, które rezygnują z uczestnictwa w DPF, obowiązek dalszego przestrzegania zasad zawartych w tej decyzji, w tym zasad dotyczących bezpieczeństwa przetwarzania, tak długo, jak długo przechowują one, wykorzystują lub ujawniają dane osobowe przekazane z Unii do Stanów Zjednoczonych, lecz nie przewiduje takiego obowiązku, gdy te same organizacje przeglądają dane osobowe.
Komisja, popierana przez Irlandię i Stany Zjednoczone Ameryki, kwestionuje argumentację skarżącego.
Na wstępie należy przede wszystkim przypomnieć, że brzmienie art. 32 RODO jest następujące:
„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a)
pseudonimizację i szyfrowanie danych osobowych;
b)
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c)
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d)
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Następnie, zawarty w art. 32 RODO termin „przetwarzanie” jest zdefiniowany w art. 4 pkt 2 tego rozporządzenia w taki sposób, że oznacza on „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.
Zgodnie z orzecznictwem w szczególności z wyrażenia „[każda] operacja”, znajdującego się w art. 4 ust. 2 RODO, wynika, że prawodawca Unii zamierzał ująć pojęcie „przetwarzania” w szerokiej perspektywie, za czym przemawia niewyczerpujący charakter zawartego w tym przepisie wyliczenia tych operacji, wyrażony poprzez użycie sformułowania „taką jak” (zob. wyrok z dnia 7 marca 2024 r., Endemol Shine Finland,C‑740/22, EU:C:2024:216, pkt 29 i przytoczone tam orzecznictwo).
Wreszcie, należy zauważyć, że wśród elementów, które Komisja powinna wziąć pod uwagę przy ocenie, na podstawie art. 45 ust. 2 lit. a) RODO, stopnia ochrony zapewnianej przez państwo trzecie, znajdują się środki bezpieczeństwa dotyczące danych osobowych wdrożone przez to państwo.
Na tym właśnie tle należy zbadać łącznie oba argumenty podniesione przez skarżącego na poparcie niniejszego zarzutu szczegółowego.
W tym względzie należy przypomnieć, że treść sekcji II pkt 4 lit. a) załącznika I do zaskarżonej decyzji brzmi następująco:
„Podmioty tworzące, przechowujące, wykorzystujące lub rozpowszechniające dane osobowe muszą wprowadzać zasadne i odpowiednie środki ostrożności w celu ochrony ich przed utratą, niewłaściwym wykorzystaniem oraz nieuprawnionym dostępem, ujawnieniem, zmianą i zniszczeniem, biorąc w szczególności pod uwagę zagrożenia związane z przetwarzaniem danych osobowych i ich charakterem”.
Ponadto treść sekcji III pkt 6 lit. f) załącznika I do zaskarżonej decyzji brzmi następująco:
„Podmiot musi objąć zobowiązaniem do stosowania zasad wszystkie dane osobowe otrzymane z UE zgodnie z [DPF]. Zobowiązanie do przestrzegania zasad nie jest ograniczone czasowo w odniesieniu do danych osobowych otrzymanych w okresie, w którym podmiot korzysta z przywilejów wynikających z [DPF]; jego zobowiązanie oznacza, że będzie w dalszym ciągu stosować zasady w odniesieniu do tych danych tak długo, jak będzie je przechowywać, wykorzystywać lub ujawniać, nawet jeżeli w późniejszym terminie z jakiegokolwiek powodu zrezygnuje z uczestnictwa w [DPF]”.
Zatem sekcja II pkt 4 lit. a) i sekcja III pkt 6 lit. f) załącznika I do zaskarżonej decyzji nie dotyczą każdej formy przetwarzania danych osobowych w rozumieniu art. 4 ust. 2 RODO. Przeciwnie, z jednej strony pierwsza z tych sekcji ogranicza spoczywający na podmiotach DPF obowiązek przyjęcia środków bezpieczeństwa wyłącznie do sytuacji, w których tworzą one dane osobowe, przechowują je, wykorzystują lub rozpowszechniają. Po drugie, w drugiej ze wspomnianych sekcji przewidziano, że podmioty, które rezygnują z udziału w DPF, muszą nadal stosować zasady zawarte w zaskarżonej decyzji tak długo, jak długo przechowują, wykorzystują lub ujawniają dane osobowe przekazane z Unii do Stanów Zjednoczonych.
Tymczasem, po pierwsze, należy przypomnieć, że w wyrokach Schrems I i Schrems II Trybunał uznał, iż nie jest konieczne, aby państwo trzecie zapewniało ochronę prawną identyczną z ochroną gwarantowaną w porządku prawnym Unii (zob. pkt 19 i 20 powyżej). Z tego wynika, że o ile w zaskarżonej decyzji Komisja uznała, iż prawo Stanów Zjednoczonych obowiązujące w chwili przyjęcia tej decyzji gwarantuje stopień ochrony zasadniczo równoważny temu przewidzianemu w prawie Unii, o tyle nie jest konieczne, aby wspomniana decyzja zawierała dokładnie taka samą treść jak RODO.
Po drugie, zasady zawarte w sekcji II pkt 4 lit. a) załącznika I do zaskarżonej decyzji należy interpretować w świetle elementów zawartych w motywie 23 tej decyzji, który, podobnie jak art. 32 RODO, przewiduje, co następuje:
„Dane osobowe powinny być także przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu administratorzy i podmioty przetwarzające powinni wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej, koszty ich wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także zagrożenia dla praw osób fizycznych”.
Po trzecie, należy zauważyć, że zawarte w sekcji II pkt 4 lit. a) załącznika I do zaskarżonej decyzji terminy „tworzyć”, „przechowywać”, „wykorzystywać” i „rozpowszechniać” oraz terminy „przechowywać”, „wykorzystywać” i „ujawniać” zawarte w sekcji III pkt 6 lit. f) tego załącznika stanowią szczególne przejawy operacji polegającej na „przetwarzaniu” danych osobowych w rozumieniu art. 32 RODO i że, podobnie jak ono, mają obejmować szeroki zakres operacji dotyczących danych osobowych.
Po czwarte, termin „wykorzystywać”, który znajduje się zarówno w sekcji II pkt 4 lit. a) załącznika I do zaskarżonej decyzji, jak i w sekcji III pkt 6 lit. f) tego załącznika, oznacza uciekanie się do czegoś dla określonego celu lub zastosowania. W takim ujęciu wykorzystywanie danych osobowych obejmuje ich przeglądanie, ponieważ z definicji do korzystania z danych konieczne jest uzyskanie do nich dostępu, a zatem wglądu w nie. Wynika z tego, że argument skarżącego, zgodnie z którym zaskarżona decyzja nie wymaga żadnych środków bezpieczeństwa, gdy podmioty DPF przeglądają dane osobowe pochodzące z Unii, jest bezzasadny.
W świetle wszystkich tych okoliczności należy oddalić zarzut piąty, a tym samym oddalić skargę w całości.
IV. W przedmiocie kosztów
Zgodnie z art. 134 § 1 regulaminu postępowania kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę.
Ponieważ Komisja wniosła o obciążenie skarżącego kosztami postępowania, a skarżący przegrał sprawę, należy obciążyć go jego własnymi kosztami oraz kosztami poniesionymi przez Komisję, w tym kosztami poniesionymi w ramach postępowania w przedmiocie środka tymczasowego.
Poza tym zgodnie z art. 138 § 1 regulaminu postępowania państwa członkowskie oraz instytucje, które wstąpiły do sprawy w charakterze interwenientów, pokrywają własne koszty. W związku z tym Irlandia pokrywa własne koszty.
Ponadto stosownie do art. 138 § 3 regulaminu postępowania Sąd może zdecydować, że interwenient niewymieniony w §§ 1 i 2 tego artykułu pokrywa własne koszty. W niniejszej sprawie należy zdecydować, że Stany Zjednoczone Ameryki pokrywają własne koszty.
Z powyższych względów
SĄD (dziesiąta izba w składzie powiększonym)
orzeka, co następuje:
1)
Skarga zostaje oddalona.
2)
Philippe Latombe pokrywa własne koszty oraz koszty poniesione przez Komisję Europejską, w tym koszty związane z postępowaniem w przedmiocie środków tymczasowych.
3)
Irlandia pokrywa własne koszty.
4)
Stany Zjednoczone Ameryki pokrywają własne koszty.
Porchia
Jaeger
Madise
Nihoul
Verschuur
Wyrok ogłoszono na posiedzeniu jawnym w Luksemburgu w dniu 3 września 2025 r.
Podpisy
(
*1
) Język postępowania: francuski.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 13.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło