Regulamentul general privind protecția datelor (RGPD), asemenea Directivei privind prelucrarea datelor cu caracter personal pe care a înlocuit-o, prevede că datele cu caracter personal pot fi transferate către o țară terță dacă aceasta din urmă asigură un nivel adecvat de protecție a acestor date. În lipsa unei decizii a Comisiei prin care se constată caracterul adecvat al nivelului de protecție asigurat în țara terță în cauză, operatorul poate totuși efectua transferul dacă acesta este prevăzut cu garanții corespunzătoare. Aceste garanții pot în special lua forma unui contract între exportatorul și importatorul de date care să conțină clauze tip de protecție prevăzute într-o decizie a Comisiei. Prin Decizia 2010/87/UE , Comisia a instituit clauze contractuale tip pentru transferal de date cu caracter personal către persoane împuternicite de către operator stabilite în țări terțe. Prezenta cauză privește validitatea acestei decizii.

Situația de fapt și istoricul litigiului principal

Litigiul principal are în istoricul său o procedură inițiată de Maximillian Schrems, un utilizator austriac al Facebook, și în care s-a pronunțat deja o Hotărâre a Curții de Justiție la 6 octombrie 2015 (”Hotărârea Schremsˮ).

Datele utilizatorilor de Facebook care au reședința în Uniune, precum Schrems, sunt transferate, în tot sau în parte, de la Facebook Ireland, filiala irlandeză a Facebook Inc., pe servere situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări. În 2013, Schrems a depus o plângere la autoritatea irlandeză responsabilă de supravegherea aplicării dispozițiilor de protecție a datelor cu caracter personal, considerând că, având în vedere dezvăluirile făcute de Edward Snowden cu privire la activitățile serviciilor de informații ale Statelor Unite (în special National Security Agency sau ”NSA”), dreptul și practicile din Statele Unite nu asigură o protecție suficientă a datelor transferate către această țară împotriva supravegherii de către autoritățile publice. Autoritatea de supraveghere a respins această plângere, în special pentru motivul că în decizia sa din 26 iulie

 2000, Comisia a apreciat că în cadrul regimului denumit al ”sferei de siguranțăˮ, Statele Unite asigură un nivel adecvat de protecție a datelor cu caracter personal transferate.

Prin Hotărârea Schrems, Curtea de Justiție, răspunzând la o întrebare adresată de High Court (Înalta Curte de Justiție, Irlanda), a declarat nevalidă Decizia ”Sfera de siguranțăˮ. Ca urmare a Hotărârii Schrems, instanța de trimitere a anulat decizia prin care autoritatea de supraveghere a respins plângerea lui Schrems și a trimis-o la această autoritate spre reexaminare. Aceasta a deschis o investigație și a solicitat domnului Schrems să își reformuleze plângerea ținând seama de declararea caracterului nevalid al Deciziei ”Sfera de siguranțăˮ.

În acest scop, Schrems a solicitat Facebook Ireland să precizeze temeiurile juridice pe care sunt întemeiate transferurile datelor cu caracter personal ale utilizatorilor Facebook din Uniune către Statele Unite. Facebook Ireland a menționat un acord de transfer și de prelucrare a datelor (data transfer processing agreement) încheiat între ea însăși și Facebook Inc., aplicabil începând cu 20 noiembrie 2015, și a invocat Decizia 2010/87.

În plângerea sa reformulată, Schrems susține, pe de o parte, că clauzele conținute în acest acord nu sunt conforme cu clauzele contractuale tip prevăzute de Decizia 2010/87 și, pe de altă parte, că aceste clauze contractuale tip nu ar putea, indiferent de situație, să justifice transferal datelor cu caracter personal care îl privesc către Statele Unite. Schrems afirmă, astfel, că nicio cale de atac nu permite persoanelor vizate să își valorifice în Statele Unite drepturile la respectarea vieții private și la protecția datelor cu caracter personal. În aceste condiții, Schrems solicită autorității de supraveghere să suspende acest transfer în temeiul Deciziei 2010/87.

Prin investigația sa, autoritatea de supraveghere urmărea să stabilească dacă Statele Unite asigură o protecție adecvată a datelor cu caracter personal ale cetățenilor Uniunii și, în cazul unui răspuns negativ, dacă utilizarea clauzelor contractuale tip prezintă garanții suficiente în ceea ce privește protecția libertăților și a drepturilor fundamentale ale acestora din urmă. Apreciind că instrumentarea plângerii lui Schrems depinde de aspectul dacă Decizia 2010/87 este validă, autoritatea de supraveghere a inițiat o procedură în fața High Court pentru ca aceasta să se adreseze Curții în legătură cu acest subiect. High Court a efectuat trimiterea preliminară solicitată de această autoritate.

În concluziile prezentate, avocatul general Henrik Saugmandsgaard Øe propune Curții de Justiție să răspundă că analiza întrebărilor nu a evidențiat elemente de natură să afecteze validitatea Deciziei 2010/87. Avocatul general observă cu titlu introductiv că litigiul principal are unica miză de a se stabili dacă Decizia 2010/87, prin care Comisia a instituit clauzele contractuale tip invocate în sprijinul transferurilor vizate în plângerea domnului Schrems, este validă.

Avocatul general consideră în primul rând că dreptul Uniunii se aplică transferurilor de date cu caracter personal către o țară terță atunci când aceste transferuri sunt subordonate unor finalități comerciale, deși datele transferate sunt susceptibile să facă obiectul unei prelucrări în scopuri de securitate din partea autorităților publice din această țară terță.

În al doilea rând, avocatul general constată că dispozițiile RGPD referitoare la transferurile către țări terțe au scopul de a asigura continuitatea unui nivel ridicat de protecție a datelor cu character personal, indiferent dacă datele sunt transferate în temeiul unei decizii privind caracterul adecvat sau pe baza unor garanții adecvate furnizate de exportator. În opinia lui, modul de atingere a acestui obiectiv diferă însă în funcție de temeiul juridic al transferului. Pe de o parte, o decizie privind caracterul adecvat are ca obiect constatarea faptului că o țară terță determinată asigură, în considerarea dreptului și a practicilor aplicabile în aceasta, un nivel de protecție a drepturilor fundamentale ale persoanelor ale căror date sunt transferate care să fie în esență echivalent celui rezultat din RGPD, interpretat în lumina cartei. Pe de altă parte, garanțiile adecvate furnizate de exportator, în special pe cale contractuală, trebuie să asigure în sine un asemenea nivel de protecție. În acest sens, clauzele contractuale tip adoptate de Comisie prevăd un mecanism general aplicabil transferurilor indiferent de țara terță de destinație și de nivelul de protective asigurat în aceasta.

Avocatul general efectuează în al treilea rând o analiză a validității Deciziei 2010/87 din perspectiva cartei. El apreciază că faptul că această decizie și clauzele contractuale tip pe care le prevede nu sunt obligatorii pentru autoritățile țării terțe de destinație și așadar nu le împiedică să impună importatorului obligații incompatibile cu respectarea acestor clauze nu determină în sine caracterul nevalid al deciziei amintite. Conformitatea Deciziei 2010/87 cu carta depinde de aspectul dacă există mecanisme suficient de solide care permit să se asigure suspendarea sau interzicerea transferurilor întemeiate pe clauze contractuale tip în cazul încălcării acestor clause sau al imposibilității de a le respecta.

În opinia lui, această situație se regăsește în măsura în care există o obligație – ce revine operatorilor și, în cazul inacțiunii acestora din urmă, autorităților de supraveghere – de a suspenda sau de a interzice un transfer atunci când, din cauza unui conflict între obligațiile care decurg din clauzele tip și cele impuse de dreptul țării terțe de destinație, aceste clauze nu pot fi respectate.

Avocatul general constată pe de altă parte că instanța de trimitere repune în discuție în mod indirect anumite aprecieri efectuate de Comisie în Decizia din 12 iulie 2016, denumită ”Scutul de confidențialitateˮ. În această decizie, Comisia a constatat că Statele Unite asigură un nivel adecvat de protecție a datelor transferate din Uniune în cadrul regimului stabilit prin această decizie, având în vedere în special garanțiile cu privire la accesul autorităților din serviciul de informații americane la aceste date, precum și protecția juridică oferită persoanelor ale căror date sunt transferate. În opinia avocatului general, soluționarea litigiului principal nu necesită pronunțarea Curții cu privire la validitatea Deciziei ”Scutul de confidențialitateˮ întrucât acest litigiu are ca obiect numai validitatea Deciziei 2010/87. Avocatul general prezintă însă cu titlu subsidiary motivele care îl fac să ridice problema validității Deciziei ”Scutul de confidențialitateˮ din perspectiva drepturilor la respectarea vieții private și la protecția datelor cu caracter personal, precum și a dreptului la o cale de atac eficientă.