(C‑317/04, C‑318/04)

Dodano: 30 maja 2006
Wyrok
Europejskiego Trybunału Sprawiedliwości
z dnia 30 maja 2006 r.
C-317/04, C-318/04

W sprawach połączonych C317/04 i C318/04 mających za przedmiot skargi o stwierdzenie nieważności na podstawie art. 230 WE, wniesione w dniu 27 lipca 2004 r., Parlament Europejski, reprezentowany przez R. Passosa, N. Lorenza, H. Duintjera Tebbensa i A. Caiolę, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu, strona skarżąca, popierany przez Europejskiego Inspektora Ochrony Danych (EIOD), reprezentowanego przez H. Hijmansa i V. Perez Asinari, działających w charakterze pełnomocników, interwenient,
przeciwko
Radzie Unii Europejskiej, reprezentowanej przez M.C. Giorgi Fort i M. Bishopa, działających w charakterze pełnomocników, strona pozwana w sprawie C317/04, popieranej przez Komisję Wspólnot Europejskich, reprezentowaną przez P.J. Kuijpera, A. van Solingego i C. Dockseya, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu, Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej, reprezentowane przez M. Bethella, C. White i T. Harris, działających w charakterze pełnomocników, wspieranych przez T. Warda, barrister, z adresem do doręczeń w Luksemburgu, interwenienci,
oraz przeciwko
Komisji Wspólnot Europejskich, reprezentowanej przez P.J. Kuijpera, A. van Solingego, C. Dockseya i F. Benyona, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu, strona pozwana w sprawie C318/04, popieranej przez Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej, reprezentowane przez M. Bethella, C. White i T. Harris, działających w charakterze pełnomocników, wspieranych przez T. Warda, barrister, z adresem do doręczeń w Luksemburgu, interwenient,

TRYBUNAŁ (wielka izba), składzie:

V. Skouris, prezes, P. Jann, C.W.A. Timmermans, A. Rosas i J. Malenovský, prezesi izb, N. Colneric (sprawozdawca), S. von Bahr, J.N. Cunha Rodrigues, R. Silva de Lapuerta, G. Arestis, A. Borg Barthet, M. Ilešič i J. Klučka, sędziowie,
rzecznik generalny: P. Léger,
sekretarz: M. Ferreira, główny administrator,

uwzględniając procedurę pisemną i po przeprowadzeniu rozprawy w dniu 18 października 2005 r., po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 22 listopada 2005 r., wydaje następujący wyrok

Uzasadnienie

1 W skardze w sprawie C317/04 Parlament Europejski wnosi o stwierdzenie nieważności decyzji Rady 2004/496/WE z dnia 17 maja 2004 r. w sprawie zawarcia Porozumienia pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki w sprawie przetwarzania i przekazywania danych dot. nazwy rekordu pasażera (PNR) przez przewoźników lotniczych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Ochrony Granic (Dz.U. L 183, str. 83).


2 W skardze w sprawie C318/04 Parlament Europejski wnosi o stwierdzenie niaważności decyzji Komisji 2004/535/WE z dnia 14 maja 2004 r. w sprawie odpowiedniej ochrony danych osobowych zawartych w Passenger Name Record (PNR) pasażerów lotniczych przekazywanych do Biura Celnego i Ochrony Granic Stanów Zjednoczonych (Dz.U. L 235, str. 11, zwanej dalej decyzją o odpowiedniej ochronie).

 

Ramy prawne


3 Artykuł 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, sporządzonej w Rzymie dnia 4 listopada 1950 r. (zwanej dalej EKPC), postanawia:
1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji.
2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób.


4 Artykuł 95 ust. 1 zdanie drugie WE jest sformułowany następująco:
Rada, stanowiąc zgodnie z procedurą określoną w artykule 251 i po konsultacji z Komitetem Ekonomiczno-Społecznym, przyjmuje środki dotyczące zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich, które mają na celu ustanowienie i funkcjonowanie rynku wewnętrznego.


5 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, str. 31), zmieniona rozporządzeniem (WE) nr 1882/2003 Parlamentu Europejskiego i Rady z dnia 29 września 2003 r. dostosowującym do decyzji Rady 1999/468/WE przepisy odnoszące się do komitetów, które wspomagają Komisję w wykonywaniu jej uprawnień wykonawczych ustanowionych w instrumentach podlegających procedurze określonej w art. 251 traktatu WE (Dz.U. L 284, str. 1) (zwana dalej dyrektywą) została wydana na podstawie art. 100 A traktatu WE (obecnie, po zmianie, art. 95 WE).


6 W jej motywie jedenastym stwierdza się, że [z]asady ochrony praw i wolności jednostek, szczególnie prawa do prywatności, które zawarte są w niniejszej dyrektywie, utrwalają i umacniają zasady wyrażone w konwencji Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony jednostek w zakresie automatycznego przetwarzania danych osobowych.


7 Zgodnie z motywem trzynastym dyrektywy:
Działania określone w tytułach V i VI Traktatu o Unii Europejskiej dotyczące bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa w dziedzinie prawa karnego nie wchodzą w zakres stosowania prawa wspólnotowego, bez wpływu na obowiązki nałożone na państwa członkowskie na mocy art. 56 ust. 2, art. 57 i art. 100 A traktatu []

 

8 W motywie pięćdziesiątym siódmym dyrektywy stwierdza się:
[] należy zakazać przekazywania danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony.


9 Artykuł 2 dyrektywy przewiduje, że:
Do celów niniejszej dyrektywy:
a) dane osobowe oznacza[ją] wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której dane dotyczą); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;
b) przetwarzanie danych osobowych (przetwarzanie) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, [wgląd do danych], wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;
[].


10 Zgodnie z art. 3 dyrektywy:
Zakres obowiązywania
1. Niniejsza dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.
2. Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:
w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. dane, o których stanowi tytuł V i VI Traktatu o Unii Europejskiej, a w żadnym razie do działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego,
[].


11 Artykuł 6 ust. 1 dyrektywy stwierdza:
Państwa członkowskie zapewniają, aby dane osobowe były:
[]
b) gromadzone do określonych, jednoznacznych i legalnych celów oraz nie były poddawane dalszemu przetwarzaniu w sposób niezgodny z tym celem. Dalsze przetwarzanie danych w celach historycznych, statystycznych lub naukowych nie jest uważane za niezgodne z przepisami, pod warunkiem ustanowienia przez państwa członkowskie odpowiednich środków zabezpieczających;
c) prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone;
[]
e) przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane [].
12 Artykuł 7 dyrektywy stanowi:
Państwa członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas gdy:
[]
c) przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu administrator danych podlega;
[]
lub
e) przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej, przed którą ujawnia się dane;
lub
f) przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1.


13 Zgodnie z art. 8 ust. 5 akapit pierwszy dyrektywy:
Przetwarzanie danych dotyczących przestępstw, wyroków skazujących lub środków bezpieczeństwa może być dokonywane jedynie pod kontrolą władz publicznych, lub też, jeżeli zgodnie z prawem krajowym ustanowiono określone środki zabezpieczające, z zachowaniem odstępstw, które państwo członkowskie może udzielić zgodnie z obowiązującymi przepisami prawa krajowego, zapewniając zachowanie odpowiednich zabezpieczeń. Jednak kompletny rejestr przestępstw kryminalnych może być prowadzony tylko pod kontrolą władzy publicznej.


14 Artykuł 12 dyrektywy stanowi:
Państwa członkowskie zapewniają każdej osobie, której dane dotyczą, prawo do uzyskania od administratora danych:
a) bez ograniczeń, w odpowiednich odstępach czasu oraz bez nadmiernego opóźnienia lub kosztów:
potwierdzenia, czy dotyczące jej dane są przetwarzane oraz co najmniej informacji o celach przetwarzania danych, kategoriach danych oraz odbiorcach lub kategoriach odbiorców, którym dane te są ujawniane,
wyrażonej w zrozumiałej formie informacji o danych przechodzących przetwarzanie oraz posiadanych informacji o ich źródłach,
wiadomości na temat zasad automatycznego przetwarzania dotyczących jej danych przynajmniej w przypadku zautomatyzowanego procesu decyzyjnego określonego w art. 15 ust. 1;
b) odpowiednio do przypadku, sprostowania, usunięcia lub zablokowania danych, których przetwarzanie jest niezgodne z przepisami niniejszej dyrektywy, szczególnie ze względu na niekompletność lub niedokładność danych;
c) zawiadomienia osób trzecich, którym dane zostały ujawnione, o ewentualnym sprostowaniu, usunięciu lub zablokowaniu danych zgodnie z lit. b), o ile nie okaże się to niemożliwe lub nie będzie wymagało niewspółmiernie dużego wysiłku.


15 Artykuł 13 ust. 1 dyrektywy jest sformułowany następująco:
Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:
a) bezpieczeństwa narodowego;
b) obronności;
c) bezpieczeństwa publicznego;
d) działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających regulacji;
e) ważnego interesu ekonomicznego lub finansowego państwa członkowskiego lub Unii Europejskiej, łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi;
f) funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach wymienionych w lit. c)e);
g) ochrony osoby, której dane dotyczą oraz praw i wolności innych osób.


16 Artykuł 22 dyrektywy stanowi:
Środki sądowe
Bez uszczerbku dla wszystkich odwoławczych środków administracyjnych, które mogą być wprowadzone przez organ nadzorczy określony w art. 28, przed wszczęciem postępowania sądowego państwa członkowskie zapewnią każdej osobie prawo do korzystania ze środków prawnych w związku z naruszeniem praw zagwarantowanych jej przez przepisy krajowe dotyczące przetwarzania danych.


17 Artykuły 25 i 26 dyrektywy stanowią rozdział IV, dotyczący przekazywania danych osobowych do państw trzecich.


18 Artykuł 25 dyrektywy, zatytułowany Zasady, przewiduje, że:
1. Państwa członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas gdy, niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony.
2. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne jak i branżowe, obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie.
3. Państwa członkowskie i Komisja będą informować się wzajemnie o przypadkach, kiedy uznają, że państwo trzecie nie zapewnia odpowiedniego stopnia ochrony w znaczeniu ust. 2.
4. Jeżeli Komisja stwierdzi, na podstawie procedury przewidzianej w art. 31 ust. 2, że państwo trzecie nie zapewnia odpowiedniego stopnia ochrony w znaczeniu ust. 2 niniejszego artykułu, państwa członkowskie podejmą konieczne środki, aby nie dopuścić do przekazania jakichkolwiek danych tego samego rodzaju do wspomnianego państwa trzeciego.
5. We właściwym czasie Komisja przystąpi do negocjacji w celu zaradzenia sytuacji stwierdzonej na podstawie ust. 4.
6. Komisja może stwierdzić, zgodnie z procedurą określoną w art. 31 ust. 2, że państwo trzecie zapewnia prawidłowy stopień ochrony w znaczeniu ust. 2 niniejszego artykułu, co wynika z jego prawa krajowego lub międzynarodowych zobowiązań, jakie państwo to przyjęło, szczególnie po zakończeniu negocjacji określonych w ust. 5, w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.
Państwa członkowskie podejmują środki niezbędne w celu wykonania decyzji Komisji.


19 Zgodnie z art. 26 ust. 1 dyrektywy, zatytułowanym Odstępstwa:

W drodze odstępstwa od przepisów art. 25 oraz, z zastrzeżeniem odmiennych przepisów prawa krajowego dotyczącego konkretnych przypadków, państwa członkowskie zapewnią, że przekazanie lub przekazywanie danych osobowych do państwa trzeciego, który nie zapewnia odpowiedniego stopnia ochrony w znaczeniu art. 25 ust. 2 może nastąpić pod warunkiem że:
a) osoba, której dane dotyczą, jednoznacznie udzieli zgody na proponowane przekazanie danych;
lub
b) przekazanie danych jest konieczne dla realizacji umowy między osobą, której dane dotyczą, i administratorem danych lub dla wprowadzenia w życie ustaleń poprzedzających zawarcie umowy na wniosek osoby, której dane dotyczą;
lub
c) przekazanie danych jest konieczne dla zawarcia lub wykonania umowy zawartej między administratorem danych i osobą trzecią, w interesie osoby, której dane dotyczą,
lub
d) przekazanie danych jest konieczne lub wymagane przez prawo z ważnych względów publicznych lub w celu ustanowienia, wykonania lub obrony tytułu prawnego;
lub
e) przekazanie danych jest konieczne dla zapewnienia ochrony żywotnych interesów osoby, której dane dotyczą;
lub
f) przekazanie danych następuje z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, za źródło informacji dla ogółu społeczeństwa, udostępnionego do [wglądu] obywatel[om] i każdej osob[ie] wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione.


20 Na podstawie dyrektywy, a w szczególności jej art. 25 ust. 6, Komisja Wspólnot Europejskich wydała decyzję o odpowiedniej ochronie.


21 W motywie jedenastym tej decyzji stwierdza się:
Przetwarzanie przez CBP przekazywanych mu danych osobowych zawartych w PNR pasażerów lotniczych regulują warunki określone w Zobowiązaniach Ministerstwa Bezpieczeństwa Wewnętrznego Biura Celnego i Ochrony Granic (Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection) (CBP) z dnia 11 maja 2004 r. (zwanych dalej Zobowiązaniami) oraz prawodawstwo Stanów Zjednoczonych w zakresie przewidzianym w Zobowiązaniach.


22 Zgodnie z motywem piętnastym decyzji dane zawarte w PNR należy wykorzystywać wyłącznie do celów zapobiegania terroryzmowi oraz związanym z nim przestępstwom, innym poważnym przestępstwom, włącznie z przestępczością zorganizowaną, która z zasady ma charakter ponadnarodowy, i zwalczania ich, a także zapobiegania ucieczkom z aresztu w razie zatrzymania w związku z jednym z wymienionych przestępstw.


23 Zgodnie z art. 14 decyzji o odpowiedniej ochronie:
Artykuł 1
Dla celów art. 25 ust. 2 dyrektywy 95/46/WE Biuro Celne i Ochrony Granic Stanów Zjednoczonych (dalej zwane jako CBP) traktowane jest jako zapewniające odpowiedni poziom ochrony danych zawartych w PNR przekazywanych ze Wspólnoty na temat lotów do lub ze Stanów Zjednoczonych, zgodnie ze Zobowiązaniami określonymi w Załączniku.
Artykuł 2
Niniejsza decyzja dotyczy odpowiedniego poziomu ochrony zapewnianego przez CBP z punktu widzenia spełniania wymogów art. 25 ust. 1 dyrektywy 95/46/WE i nie wpływa na pozostałe warunki lub ograniczenia wprowadzające w życie pozostałe przepisy wymienionej dyrektywy, które mają zastosowanie do przetwarzania danych osobowych w państwach członkowskich.
Artykuł 3
1. Bez uszczerbku dla uprawnień umożliwiających podjęcie działań w celu zagwarantowania przestrzegania przepisów krajowych przyjętych zgodnie z przepisami innymi niż zawarte w art. 25 dyrektywy 95/46/WE, właściwe władze państw członkowskich mogą wykonywać obecne uprawnienia w celu zawieszenia przepływu danych do CBP w celu ochrony osób fizycznych odnośnie do przetwarzania ich danych osobowych w jednym z poniższych przypadków:
a) gdy właściwy organ Stanów Zjednoczonych ustalił, że CBP narusza obowiązujące normy ochrony; lub
b) gdy istnieje wysokie prawdopodobieństwo, że normy ochrony określone w Załączniku są naruszane; gdy istnieją uzasadnione podstawy, aby domniemywać, iż CBP nie podejmuje, lub nie podejmie, odpowiednich i natychmiastowych kroków zmierzających do rozstrzygnięcia sprawy; gdy dalsze przekazywanie danych spowodowałoby realne niebezpieczeństwo wyrządzenia szkody osobom, których dotyczą dane osobowe, a właściwe organy w państwie członkowskim podjęły, odpowiednie w tych okolicznościach, wysiłki w celu dostarczenia CBP powiadomienia o powyższym oraz umożliwienia mu udzielenia odpowiedzi.
2. Zawieszenie ustaje, gdy tylko zapewnione zostaną normy ochrony, a właściwe organy danych państw członkowskich zostaną o tym powiadomione.
Artykuł 4
1. Państwa członkowskie niezwłocznie informują Komisję środkach przyjętych na mocy art. 3.
2. Państwa członkowskie i Komisja informują się wzajemnie o każdej zmianie w normach ochrony oraz o przypadkach, w których działanie organów odpowiedzialnych za przestrzeganie przez CBP norm ochrony ustanowionych w Załączniku nie wystarcza do zapewnienia przestrzegania tych norm.
3. Jeżeli informacje zebrane zgodnie z art. 3 oraz zgodnie z ust. 1 i 2 niniejszego artykułu wykazują, że podstawowe zasady niezbędne do zapewnienia odpowiedniego poziomu ochrony osób fizycznych nie są już przestrzegane lub że jakikolwiek organ odpowiedzialny za przestrzeganie przez CBP norm ochrony ustanowionych w Załączniku nie spełnia swojej roli, CBP jest o tym informowane i, w razie potrzeby, stosuje się procedurę określoną w art. 31 ust. 2 dyrektywy 95/46/WE w celu uchylenia lub zawieszenia niniejszej decyzji.


24 Zobowiązania Ministerstwa Bezpieczeństwa Wewnętrznego Biura Celnego i Ochrony Granic (CBP), załączone do decyzji, stanowią:
W celu poparcia planu Komisji Europejskiej [] mającego na celu wykonywanie uprawnień powierzonych jej na mocy art. 25 ust. 6 dyrektywy 95/46/WE [] oraz przyjęcie decyzji uznającej Biuro Celne i Ochrony Granic (CBP) Ministerstwa Bezpieczeństwa Wewnętrznego jako zapewniające odpowiednią ochronę do celów przekazywania przez przewoźników lotniczych danych zawartych w PNR (zbiór informacji dotyczących podróży danego pasażera), które mogą wchodzić w zakres Dyrektywy, CBP zobowiązuje się do [].


25 Na zobowiązania składa się 48 ustępów, pogrupowanych pod następującymi tytułami Podstawa prawna do otrzymania PNR, Wykorzystanie danych zawartych w PNR przez CBP, Wymagania w stosunku do danych, Przetwarzanie danych szczególnie chronionych, Sposób dostępu do danych zawartych w PNR, Przechowywanie danych zawartych w PNR, Bezpieczeństwo systemu komputerowego CBP, Przetwarzanie i ochrona przez CBP danych zawartych w PNR, Przekazywanie danych zawartych w PNR do innych organów rządowych, Zawiadomienie, dostęp do danych oraz środki odwoławcze dla osób, których dotyczą dane zawarte są w PNR, Przestrzeganie przepisów, Wzajemność, Przegląd i wygaśnięcie Zobowiązań, Klauzula o nieutworzeniu praw prywatnych lub precedensu.


26 Wśród zobowiązań znajdują się między innymi następujące:
1) Na mocy ustawy (tytuł 49, United States Code, sekcja 44909(c)) oraz jego przepisów wykonawczych (przejściowych) (tytuł 19, Code of Federal Regulations, sekcja 122.49b), każdy przewoźnik lotniczy obsługujący loty pasażerskie w zagranicznym ruchu powietrznym do lub ze Stanów Zjednoczonych musi zapewnić CBP (uprzednio Służby Celne Stanów Zjednoczonych) elektroniczny dostęp do danych zawartych w PNR w takim zakresie, w jakim są one zebrane i zawarte w automatycznym systemie rezerwacji przewoźników lotniczych/kontroli odlotów (systemy rezerwacji).
[]
3) Dane zawarte w PNR są wykorzystywane przez CBP wyłącznie do celów zapobiegania [] 1) terroryzm[owi] i związany[m] z nim przestępstw[om]; 2) inny[m] poważny[m] przestępstw[om], włącznie z przestępczością zorganizowaną, która z zasady ma charakter transnarodowy [i zwalczania ich]; oraz 3) unikani[u] kary aresztu lub więzienia za powyższe przestępstwa. Wykorzystanie danych zawartych w PNR do tych celów umożliwi CBP skoncentrowanie swoich zasobów na kwestiach wysokiego ryzyka, ułatwiając tym samym i lepiej chroniąc podróże bona fide.
4) Elementy danych wymagane przez CBP wymienione są w załączniku A [].
[]
27) CBP zajmie stanowisko w związku z postępowaniami administracyjnymi i sądowymi wynikającymi z wniosków składanych na mocy FOIA o ujawnienie informacji zawartych w PNR uzyskanych od przewoźników lotniczych, że rejestry te wyłączone są z ujawnienia zgodnie z FOIA.
[]
29) CBP będzie według własnego uznania dostarczać dane zawarte w PNR innym organom rządowym, włącznie z zagranicznymi, odpowiedzialnymi za walkę z terroryzmem lub ściganie przestępstw, na zasadzie jednostkowych przypadków, do celów zapobiegania [] przestępstwom wymienionym w ust. 3 niniejszego dokumentu [i zwalczania ich]. (Organy, z którymi CBP może dzielić się takimi danymi zwane są dalej Wyznaczonymi Organami).
30) CBP będzie rozsądnie wykonywać swoje prawo do uznaniowego przekazywania danych zawartych w PNR dla wyżej wymienionych celów. CBP najpierw określi, czy powód do ujawnienia danych zawartych w PNR innemu Wyznaczonemu Organowi mieści się w ramach wymienionych celów (patrz ust. 29 niniejszego dokumentu). Jeżeli tak, CBP określi, czy dany Wyznaczony Organ jest odpowiedzialny za zapobieganie, prowadzenie dochodzeń i ściganie naruszeń, lub za stosowanie bądź wdrażanie statutu lub przepisów związanych z tymi celami, w przypadku gdy CBP jest świadome wskazania naruszenia lub potencjalnego naruszenia prawa. Zasadność ujawnienia będzie wymagać przeglądu w świetle przedstawionych okoliczności.
[]
35) Żadne stwierdzenie w niniejszych Zobowiązaniach nie utrudni wykorzystania lub ujawnienia danych zawartych w PNR w postępowaniach karnych oraz w innych przypadkach wymaganych przez prawo. CBP będzie doradzać Komisji w sprawie prawodawstwa Stanów Zjednoczonych, które wpływa co do meritum na niniejsze Zobowiązania.
[]
46) Niniejsze Zobowiązania stosuje się przez okres trzech lat i sześciu miesięcy (3,5 roku) począwszy od daty wejścia w życie umowy pomiędzy Stanami Zjednoczonymi a Wspólnotą Europejską, zezwalającej na przetwarzanie danych zawartych w PNR przez przewoźników lotniczych do celów przesyłania ich do CBP, zgodnie z Dyrektywą. []
47) Niniejsze Zobowiązania nie tworzą ani nie przyznają żadnych praw lub korzyści osobom lub stronom tak prywatnym, jak i publicznym.
[].


27 Załącznik A do zobowiązań określa elementy danych zawartych w PNR wymaganych przez CBP od przewoźników lotniczych. Należą do nich między innymi numer rezerwacji PNR, data rezerwacji, nazwisko, adres, sposób płatności, numer telefonu, biuro podróży, status podróżny pasażera (travel status), adres poczty elektronicznej, uwagi ogólne, numer miejsca, informacja o pasażerze, który nie dokonał uprzedniej rezerwacji oraz wszelkie zebrane informacje APIS.


28 Rada wydała decyzję 2004/496 w szczególności na podstawie art. 95 WE w związku z art. 300 ust. 2 akapit pierwszy zdanie pierwsze WE.


29 Zgodnie z trzema motywami tej decyzji:
1) Dnia 23 lutego 2004 r. Rada upoważniła Komisję do negocjowania w imieniu Wspólnoty Porozumienia ze Stanami Zjednoczonymi Ameryki w sprawie przetwarzania i przekazywania danych dot. nazwy rekordu pasażera (PNR) przez przewoźników lotniczych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych Ameryki, Biura Ceł i Ochrony Granic.
2) Parlament Europejski nie przedstawił swojej opinii w terminie wyznaczonym zgodnie z pierwszym akapitem art. 300 ust. 3 Traktatu przez Radę, w związku z pilną potrzebą zapobieżenia sytuacji niepewności, w której znajdują się linie lotnicze i pasażerowie, i ochrony interesów finansowych zainteresowanych podmiotów.
3) Niniejsze Porozumienie powinno zostać zatwierdzone.


30 Artykuł 1 decyzji 2004/496 przewiduje, że:
Porozumienie pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki w sprawie przetwarzania i przekazywania danych dot. nazwy rekordu pasażera (PNR) przez przewoźników lotniczych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Ochrony Granic niniejszym jest zatwierdzone w imieniu Wspólnoty.
Treść Porozumienia jest załączona do niniejszej decyzji.


31 Porozumienie to (zwane dalej porozumieniem) zostało sformułowane następująco:
Wspólnota Europejska i Stany Zjednoczone Ameryki,
uznając znaczenie poszanowania podstawowych praw i wolności, w szczególności prywatności oraz znaczenie poszanowania tych wartości podczas zapobiegania terroryzm[owi] i związany[m] z nim przestępstw[om] oraz inny[m] poważny[m] przestępstw[om], o ponadnarodowym charakterze, włącznie z przestępczością zorganizowaną [i zwalczania ich],
uwzględniając ustawy i rozporządzenia Stanów Zjednoczonych, które wymagają od każdego przewoźnika lotniczego obsługującego loty pasażerskie w zagranicznym transporcie lotniczym do lub ze Stanów Zjednoczonych elektronicznego udostępnienia Departamentowi Bezpieczeństwa Wewnętrznego (zwanego dalej DHS), Biura Ceł i Ochrony Granic (zwanego dalej CBP) danych dotyczących nazwy rekordu pasażera (zwanej dalej PNR) w zakresie, w jakim są one gromadzone i przechowywane w automatycznych systemach kontroli rezerwacji/odlotów przewoźników lotniczych,
uwzględniając dyrektywę 95/46/WE [], a w szczególności jej art. 7 lit. c),
uwzględniając zobowiązania Biura Ceł i Ochrony Granic (CBP) wydane dnia 11 maja 2004, które zostaną opublikowane w Federalnym Rejestrze (zwane dalej zobowiązaniami),
uwzględniając decyzję Komisji [2004/535/WE] przyjętą dnia 14 maja 2004 roku, zgodnie z art. 25 ust. 6 dyrektywy 95/46/WE, zgodnie z którym Biuro Ceł i Ochrony Granic (CBP) uznawane jest za podmiot zapewniający odpowiedni poziom ochrony danych dot. nazwy rekordu pasażera (PNR) przekazywanych ze Wspólnoty Europejskiej (zwanej dalej Wspólnotą) a dotyczących lotów do i ze Stanów Zjednoczonych zgodnie z zobowiązaniami, które zostały do niej załączone (zwaną dalej decyzją),
zwracając uwagę, że przewoźnicy lotniczy z systemami kontroli rezerwacji/odlotów znajdującymi się na terytorium państw członkowskich Wspólnoty Europejskiej powinni zająć się transmisją danych dot. nazwy rekordu pasażera (PNR) do Biura Ceł i Ochrony Granic (CBP) kiedy tylko będzie to możliwe pod względem technicznym, jednak do tego czasu władze Stanów Zjednoczonych powinny mieć prawo bezpośredniego dostępu do tych danych, zgodnie z przepisami tego Porozumienia,
[]
uzgodni[ły] co następuje:
1. Biuro Ceł i Ochrony Granic (CBP) posiada elektroniczny dostęp do danych dot. nazwy rekordu pasażera (PNR) pochodzących z systemów kontroli rezerwacji/odlotów przewoźników lotniczych (systemy rezerwacji) znajdujących się na terytoriach państw członkowskich Wspólnoty Europejskiej w ścisłej zgodności z decyzją i tak długo dopóki decyzja ma zastosowanie i jedynie do momentu kiedy wprowadzenia zadowalającego systemu pozwalającego na przekazywanie takich danych przez przewoźników lotniczych.
[Tekst w wersji angielskiej brzmi następująco: CBP may electronically access the PNR data from air carriers reservation/departure control systems (reservation systems) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers].
2. Przewoźnicy lotniczy obsługujący loty pasażerskie w zagranicznym transporcie powietrznym do i ze Stanów Zjednoczonych przetwarzają dane dotyczące nazwy rekordu pasażera (PNR) zawarte w ich automatycznych systemach rezerwacji, zgodnie z wymaganiami Biura Ceł i Ochrony Granic (CBP) odpowiednio do prawa Stanów Zjednoczonych i w ścisłej zgodności z decyzją oraz tak długo dopóki decyzja ma zastosowanie.
3. Biuro Ceł i Ochrony Granic (CBP) przyjmuje do wiadomości decyzję i stwierdza, że wprowadza w życie zobowiązania załączone do niej.
4. Biuro Ceł i Ochrony Granic (CBP) przetwarza otrzymane dane i traktuje przedmiot danych objętych takim przetwarzaniem zgodnie z obowiązującym prawem Stanów Zjednoczonych oraz wymaganiami konstytucyjnymi, bez bezprawnej dyskryminacji, w szczególności dyskryminacji ze względu na przynależność państwową i kraj zamieszkania.
[]
7. Niniejsze Porozumienie wchodzi w życie po jego podpisaniu. Każda ze stron może wypowiedzieć niniejsze Porozumienie w dowolnym czasie poprzez notyfikację przez kanały dyplomatyczne. Wypowiedzenie staje się skuteczne w dziewięćdziesiątym (90) dniu od dnia notyfikacji wypowiedzenia drugiej stronie. Niniejsze Porozumienie może być zmienione w dowolnym czasie za wspólna zgodą stron wyrażoną na piśmie.
8. Celem tego Porozumienia nie jest ani uchylenie ani zmiana ustawodawstwa stron; ani również stworzenie lub przyznanie jakiegokolwiek prawa czy korzyści jakiejkolwiek osobie lub podmiotowi, prywatnemu albo publicznemu.


32 Według informacji Rady dotyczącej daty wejścia w życie (Dz.U. 2004 C 158, str. 1) porozumienie, podpisane w Waszyngtonie w dniu 28 maja 2004 r. przez przedstawiciela państwa przewodniczącego Radzie oraz przez sekretarza bezpieczeństwa wewnętrznego Stanów Zjednoczonych Ameryki, weszło w życie, zgodnie z jego pkt 7, z dniem podpisania.


Okoliczności poprzedzające wniesienie skarg


33 W związku z atakami terrorystycznymi z 11 września 2001 r. Stany Zjednoczone wydały przepisy zobowiązujące przewoźników lotniczych realizujących połączenia do lub ze Stanów Zjednoczonych do zapewnienia organom celnym tego państwa elektronicznego dostępu do danych zawartych w ich automatycznych systemach rezerwacji i kontroli wylotów, określanych jako Passenger Name Record (zwanych dalej danymi PNR). Komisja, uznając troskę o zapewnienie bezpieczeństwa za w pełni zasadną, poinformowała jednak władze Stanów Zjednoczonych w czerwcu 2002 r., że przepisy te mogą stać w sprzeczności z ustawodawstwem wspólnotowym i państw członkowskich w zakresie ochrony danych oraz z pewnymi przepisami rozporządzenia Rady nr 2299/89 z dnia 24 lipca 1989 r. w sprawie kodeksu postępowania dla komputerowych systemów rezerwacji (Dz.U. L 220, str. 1), zmienionego rozporządzeniem Rady nr 323/1999 z dnia 8 lutego 1999 r. (Dz.U. L 40, str. 1). Władze Stanów Zjednoczonych przesunęły w czasie wejście w życie nowych przepisów, lec odmówiły ostatecznie odstąpienia od stosowania sankcji wobec przedsiębiorstw lotniczych nieprzestrzegających przepisów o elektronicznym dostępie do danych PNR po dniu 5 marca 2003 r. Od tego momentu liczne duże przedsiębiorstwa lotnicze z Unii Europejskiej udzieliły tym władzom dostępu do ich danych PNR.


34 Komisja rozpoczęła negocjacje z władzami Stanów Zjednoczonych, w wyniku których CBP wydało dokument zawierający zobowiązania (undertakings), pozwalające Komisji na wydanie na podstawie art. 25 ust. 6 dyrektywy decyzji o odpowiedniej ochronie.


35 W dniu 13 czerwca 2003 r. grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ustanowiona na podstawie art. 29 dyrektywy, wydała opinię, zawierającą wątpliwości co do poziomu ochrony danych, jaki zapewniają wspomniane zobowiązania w stosunku do zamierzonych sposobów przetwarzania. Grupa powtórzyła te wątpliwości w opinii z dnia 29 stycznia 2004 r.


36 W dniu 1 marca 2004 r. Komisja wniosła do Parlamentu, na podstawie art. 25 ust. 6 dyrektywy, projekt decyzji o odpowiedniej ochronie, wraz z projektem zobowiązań CBP.


37 W dniu 17 marca 2004 r. Komisja przekazała Parlamentowi projekt decyzji Rady dotyczącej zawarcia umowy ze Stanami Zjednoczonymi celem przeprowadzenia konsultacji wymaganej przez art. 300 ust. 3 akapit pierwszy WE. Pismem z dnia 25 marca 2004 r., w trybie pilnym, Rada zwróciła się do Parlamentu o wydanie opinii na temat tego projektu do dnia 22 kwietnia 2004 r. W piśmie tym Rada podkreśliła, że walka z terroryzmem, uzasadniająca projektowane postanowienia, stanowi jeden z podstawowych priorytetów Unii Europejskiej, [że] w chwili obecnej przewoźnicy lotniczy oraz pasażerowie znajdują się w sytuacji niepewności, którą należy pilnie zakończyć, [oraz że], dodatkowo, należy zabezpieczyć interesy finansowe podmiotów, których sprawa dotyczy.


38 W dniu 31 marca 2004 r. Parlament, na podstawie art. 8 decyzji Rady 1999/468/WE z dnia 28 czerwca 1999 r. ustanawiającej warunki wykonywania uprawnień wykonawczych przyznanych Komisji (Dz.U. L 184, str. 23), przyjął uchwałę, zawierającą szereg zastrzeżeń natury prawnej dotyczących przedstawionego mu projektu. W uchwale tej uznał w szczególności, że projekt decyzji o odpowiedniej ochronie wykracza poza kompetencje powierzone Komisji na mocy art. 25 dyrektywy. Wezwał do zawarcia odpowiedniej umowy międzynarodowej zapewniającej poszanowanie praw podstawowych w kilku kwestiach wymienionych w uchwale oraz zwrócił się do Komisji o przedłożenie mu nowego projektu decyzji. Zastrzegł sobie ponadto prawo do wystąpienia do Trybunału o zbadanie zgodności z prawem projektowanej umowy międzynarodowej, a w szczególności jej zgodności z prawem do poszanowania prywatności.


39 W dniu 21 kwietnia 2004 r., na wniosek przewodniczącego, Parlament zatwierdził zalecenie komisji do spraw prawnych i rynku wewnętrznego, mówiące o konieczności zwrócenia się, na podstawie art. 300 ust. 6 WE, o opinię Trybunału w przedmiocie zgodności projektowanej umowy z postanowieniami traktatu. Postępowanie zostało wszczęte tego samego dnia.


40 Parlament postanowił też, tego samego dnia, odesłać do komisji sprawozdanie o projekcie decyzji Rady, odrzucając tym samym w sposób dorozumiany wniosek Rady z dnia 25 marca o rozpatrzenie tego projektu w trybie pilnym.


41 W dniu 28 kwietnia tego samego roku Rada wystosowała do Parlamentu, na podstawie art. 300 ust. 3 akapit pierwszy WE, pismo, w którym zwróciła się do niego o wydanie do dnia 5 maja 2004 r. opinii o projekcie decyzji dotyczącej zawarcia umowy. Na uzasadnienie pilności sprawy powtórzyła argumenty zawarte w piśmie z dnia 25 marca 2004 r.


42 Ustaliwszy, że w dalszym ciągu brak jest kompletu wersji językowych projektu decyzji Rady, Parlament odrzucił w dniu 4 maja 2004 r. wniosek Rady z dnia 28 kwietnia o jego rozpatrzenie w trybie pilnym.


43 W dniu 14 maja tego samego roku Komisja wydała decyzję o odpowiedniej ochronie, stanowiącą przedmiot sprawy C318/04. W dniu 17 maja 2004 r. Rada wydała decyzję 2004/496, stanowiącą przedmiot sprawy C317/04.


44 Pismem z dnia 4 czerwca 2004 r. państwo członkowskie przewodniczące Radzie poinformowało Parlament, że decyzja 2004/496 ma na względzie walkę z terroryzmem priorytet Unii ale także konieczność zakończenia okresu niepewności prawnej, w jakiej znajdują się przedsiębiorstwa lotnicze, oraz ochronę ich interesów finansowych.


45 Pismem z dnia 9 lipca 2004 r. Parlament poinformował Trybunał o wycofaniu wniosku o wydanie opinii zarejestrowanego pod numerem 1/04.


46 Postanowieniami prezesa Trybunału z dnia 18 listopada 2004 r. i 18 stycznia 2005 r. Komisja i Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej zostały dopuszczone do udziału w postępowaniu w sprawie C317/04 w charakterze interwenientów popierających żądania Rady.


47 Postanowieniem prezesa Trybunału z dnia 17 grudnia 2004 r. Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej zostało dopuszczone do udziału w postępowaniu w sprawie C318/04 w charakterze interwenienta popierającego żądania Komisji.


48 Postanowieniami Trybunału z dnia 17 marca 2005 r. Europejski Inspektor Ochrony Danych został dopuszczony do udziału w postępowaniu w obu sprawach w charakterze interwenienta popierającego żądania Parlamentu.


49 Wobec powiązania między tymi sprawami, potwierdzonego w trakcie procedury ustnej, należy, zgodnie z art. 43 regulaminu, połączyć je do celów wydania wyroku.


W przedmiocie skargi w sprawie C318/04


50 Parlament podnosi cztery podstawy nieważności, dotyczące kolejno: nadużycia władzy, naruszenia podstawowych zasad dyrektywy, naruszenia praw podstawowych oraz naruszenia zasady proporcjonalności.

 

W przedmiocie części pierwszej zarzutu pierwszego, opartej na naruszeniu art. 3 ust. 2 tiret pierwsze dyrektywy


Argumentacja stron


51 Parlament utrzymuje, że decyzja Komisji wydana została ultra vires, ponieważ naruszono przepisy dyrektywy, a w szczególności jej art. 3 ust. 2 tiret pierwsze, dotyczące wyłączenia działalności niepodlegającej zakresowi stosowania prawa wspólnotowego.


52 Niewątpliwe jest jego zdaniem, że przetwarzanie danych PNR po ich przekazaniu organom amerykańskim, o których mowa w decyzji o odpowiedniej ochronie, ma i będzie mieć miejsce w ramach działań leżących w kompetencji państw, w rozumieniu pkt 43 wyroku z dnia 6 listopada 2003 r. w sprawie C101/01 Lindqvist, Rec. str. I12971.


53 Komisja, popierana przez Zjednoczone Królestwo, jest zdania, że działalność przewoźników lotniczych w sposób oczywisty wchodzi w zakres stosowania prawa wspólnotowego. Argumentuje ona, że to wspomniane podmioty prywatne przetwarzają dane PNR na terytorium Wspólnoty i przekazują je państwu trzeciemu. Chodzi tu więc o działalność jednostek, a nie państwa członkowskiego, na którego terytorium działają zainteresowani przewoźnicy czy jego władz publicznych, w rozumieniu ustalonym przez Trybunał w pkt 43 ww. wyroku w sprawie Lindqvist. Przewoźnicy lotniczy, w ramach przetwarzania danych PNR, mają na celu jedynie zastosowanie się do wymogów prawa wspólnotowego, w tym do zobowiązania nałożonego na nich w pkt 2 porozumienia. Artykuł 3 ust. 2 dyrektywy odnosi się jej zdaniem do działalności władz publicznych niewchodzącej w zakres zastosowania prawa wspólnotowego.


Ocena Trybunału


54 Artykuł 3 ust. 2 tiret pierwsze dyrektywy wyłącza z jej zakresu zastosowania przetwarzanie danych osobowych w ramach działalności wykraczającej poza zakres zastosowania prawa wspólnotowego, na przykład działalności, o której mowa w tytułach V i VI traktatu o Unii Europejskiej oraz, w każdym wypadku, przetwarzanie w celu ochrony bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa, a także w ramach działalności państwa w zakresie prawa karnego.


55 Decyzja o odpowiedniej ochronie dotyczy jedynie danych PNR przekazywanych CBP. Zgodnie z motywem szóstym tej decyzji wymóg ich przekazywania wynika z ustawy wydanej w Stanach Zjednoczonych w listopadzie 2001 r. oraz z rozporządzeń wykonawczych wydanych przez CBP na podstawie tej ustawy. Zgodnie z motywem siódmym tej decyzji wspomniane przepisy amerykańskie dotyczą wzmocnienia bezpieczeństwa oraz zaostrzenia warunków wjazdu na terytorium Stanów Zjednoczonych i wyjazdu z niego. Jak wynika z motywu ósmego, Wspólnota w pełni popiera Stany Zjednoczone w walce z terroryzmem, w granicach wyznaczonych prawem wspólnotowym. W motywie piętnastym decyzji stwierdza się, że dane PNR mogą być używane jedynie w celu zapobiegania terroryzmowi i przestępczości związanej z terroryzmem, innym poważnym przestępstwom, w tym przestępczości zorganizowanej, która z natury ma charakter międzynarodowy i zwalczania ich, a także zapobiegania ucieczkom w razie wydania nakazu aresztowania lub zatrzymania w związku z jednym z wymienonych przestępstw.


56 Jak z tegowynika, przekazywanie CBP danych PNR stanowi przetwarzanie danych w celu ochrony bezpieczeństwa publicznego oraz w ramach działalności państwa w zakresie prawa karnego.


57 O ile rzeczywiście dane PNR są początkowo gromadzone przez przedsiębiorstwa lotnicze w ramach działalności podlegającej prawu wspólnotowemu, to znaczy sprzedaży biletów lotniczych, uprawniających do korzystania z usługi transportu, o tyle przetwarzanie danych unormowane w decyzji o odpowiedniej ochronie ma zupełnie odmienny charakter. Decyzja ta, jak przypomniano w pkt 55 niniejszego wyroku, nie dotyczy bowiem przetwarzania danych niezbędnego w celu świadczenia usług, lecz uznanego za niezbędne w celu ochrony bezpieczeństwa publicznego oraz w celu zwalczania przestępczości.


58 W pkt 43 ww. wyroku w sprawie Lindqvist, na który powołuje się Komisja w odpowiedzi na skargę, Trybunał orzekł, że rodzaje działalności wymienione tytułem przykładu w art. 3 ust. 2 tiret pierwsze dyrektywy stanowią w każdym razie działalność właściwą państwom i władzom państwowym, odmienną od dziedzin działalności podmiotów indywidualnych. Nie wynika stąd jednak, by przekazywanie danych PNR nie wchodziło w zakres zastosowania tego przepisu, tylko dlatego, że dane te gromadzone są przez podmioty prywatne do celów działalności gospodarczej i że to te podmioty przekazują dane do państwa trzeciego. Przekazanie to następuje bowiem w ramach ustanowionych przez władze publiczne i mających na celu ochronę bezpieczeństwa publicznego.


59 Z powyższych rozważań wynika więc, że decyzja o odpowiedniej ochronie dotyczy przetwarzania danych w rozumieniu art. 3 ust. 2 tiret pierwsze dyrektywy. Decyzja ta nie wchodzi zatem w zakres zastosowania dyrektywy.


60 Stąd część pierwsza zarzutu pierwszego, oparta na naruszeniu art. 3 ust. 2 tiret pierwsze dyrektywy, jest zasadna.


61 W związku z powyższym i bez konieczności rozpatrywania innych części zarzutu pierwszego oraz pozostałych zarzutów podniesionych przez Parlament należy stwierdzić nieważność decyzji o odpowiedniej ochronie.


W przedmiocie skargi w sprawie C317/04


62 Parlament podnosi sześć podstaw nieważności, dotyczących błędnego wyboru art. 95 WE jako podstawy prawnej decyzji 2004/496 oraz naruszenia kolejno: art. 300 ust. 3 akapit drugi WE, art. 8 EKPC, zasady proporcjonalności, wymogu uzasadnienia oraz zasady lojalnej współpracy.


W przedmiocie zarzutu pierwszego, dotyczącego błędnego wyboru art. 95 WE jako podstawy prawnej decyzji 2004/496


Argumentacja stron


63 Parlament podnosi, że art. 95 WE nie stanowi właściwej podstawy prawnej dla decyzji 2004/496. Decyzja ta nie ma za cel ani przedmiot ustanowienia lub zapewnienia funkcjonowania rynku wewnętrznego poprzez działanie na rzecz zniesienia ograniczeń w swobodzie świadczenia usług i nie zawiera postanowień służących realizacji takiego celu. Ma ona bowiem za cel legalizację przetwarzania danych osobowych wymaganego przez ustawodawstwo Stanów Zjednoczonych. Ponadto art. 95 WE nie może stanowić podstawy kompetencji Wspólnoty do zawarcia porozumienia, ponieważ dotyczy ono przetwarzania danych wyłączonego z zakresu zastosowania dyrektywy.


64 Rada utrzymuje, że dyrektywa, wydana zgodnie z prawem na podstawie art. 100 A traktatu, zawiera w art. 25 przepisy przewidujące możliwość przekazania danych osobowych do państwa trzeciego zapewniającego odpowiedni stopień ochrony, w tym możliwość podjęcia w razie potrzeby negocjacji w celu zawarcia przez Wspólnotę umowy z tym państwem. Porozumienie dotyczy jej zdaniem swobody przepływu danych PNR między Wspólnotą a Stanami Zjednoczonymi w warunkach zapewniających poszanowanie wolności i praw podstawowych, w szczególności ochrony prywatności. Ma ono na celu zapobieganie wszelkim zakłóceniom konkurencji między przedsiębiorstwami lotniczymi z państw członkowskich oraz między nimi a przedsiębiorstwami lotniczymi z państw trzecich, jakie mogą wynikać z wymogów nałożonych przez Stany Zjednoczone ze względów ochrony praw i wolności człowieka. Warunki konkurencji między przedsiębiorstwami lotniczymi z państw członkowskich świadczącymi usługi międzynarodowego przewozu pasażerów do i ze Stanów Zjednoczonych mogyby zostać zakłócone z tego powodu, że tylko niektóre z nich udostępniły władzom Stanów Zjednoczonych swoje bazy danych. Porozumienie miało zdaniem Rady za cel nałożenie jednakowych zobowiązań na wszystkie przedsiębiorstwa lotnicze.


65 Komisja podkreśla istnienie konfliktu norm w rozumieniu prawa międzynarodowego publicznego między prawem Stanów Zjednoczonych a ustawodawstwem wspólnotowym oraz konieczność ich pogodzenia. Zarzuca Parlamentowi, który kwestionuje wybór art. 95 WE jako podstawy prawnej decyzji 2004/496, iż nie zaproponował on właściwej podstawy prawnej. Zdaniem Komisji wspomniany artykuł stanowi naturalną podstawę prawną dla tej decyzji, gdyż porozumienie dotyczy zewnętrznego wymiaru ochrony danych osobowych podczas ich przekazywania wewnątrz Wspólnoty. Artykuły 25 i 26 dyrektywy powierzają Wspólnocie kompetencję wyłączną w tej dziedzinie.


66 Ponadto Komisja argumentuje, że pierwotne przetwarzanie tych danych przez przedsiębiorstwa lotnicze następuje dla celów działalności gospodarczej. Użytek, jaki z tych danych czynią władze Stanów Zjednoczonych, nie powoduje ich wyłączenia spod działania dyrektywy.


Ocena Trybunału


67 Artykuł 95 WE, w związku z art. 25 dyrektywy, nie może stanowić podstawy kompetencji Wspólnoty do zawarcia porozumienia.


68 Porozumienie dotyczy bowiem tego samego przekazywania danych co decyzja o odpowiedniej ochronie, czyli przetwarzania danych wyłączonego, jak zostało to stwierdzone powyżej, z zakresu zastosowania dyrektywy.


69 W związku z tym decyzja 2004/496 nie mogła zostać zgodnie z prawem wydana na podstawie art. 95 WE.


70 Należy zatem stwierdzić nieważność tej decyzji, bez potrzeby rozpatrywania pozostałych zarzutów Parlamentu.


W przedmiocie ograniczenia skutków wyroku


71 Z pkt 7 porozumienia wynika, że każda ze stron może wypowiedzieć je w każdym czasie i że przestaje ono obowiązywać po 90 dniach od notyfikowania wypowiedzenia drugiej stronie.


72 Jednakże, zgodnie z pkt 1 i 2 porozumienia, prawo dostępu CBP do danych PNR oraz nałożone na przewoźników lotniczych zobowiązanie do uznawania ich za żądane przez CBP pozostaje w mocy tylko przez okres obowiązywania decyzji o odpowiedniej ochronie. W pkt 3 porozumienia CBP oświadcza, że wdroży zobowiązania załączone do tej decyzji.


73 Wziąwszy pod uwagę, że po pierwsze Wspólnota nie może powoływać się na obowiązujące prawo wewnętrzne dla uzasadnienia niewywiązywania się z porozumienia, które pozostaje w mocy przez okres 90 dni od wypowiedzenia, a po drugie że istnieje ścisły związek między porozumieniem a decyzją o odpowiedniej ochronie, wydaje się zasadne, ze względów pewności prawa i w celu ochrony osób zainteresowanych, utrzymać w mocy skutki decyzji przez ten okres. Ponadto należy uwzględnić czas niezbędny na podjęcie działań mających na celu wykonanie niniejszego wyroku.


74 Należy zatem utrzymać w mocy skutki decyzji o odpowiedniej ochronie do dnia 30 września 2006 r., jednak nie dłużej niż do dnia wygaśnięcia porozumienia.


W przedmiocie kosztów


75 Zgodnie z art. 69 § 2 regulaminu Trybunału kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę. Ponieważ Parlament wniósł o obciążenie Rady i Komisji kosztami postępowania, a one przegrały sprawę, należy je obciążyć kosztami postępowania. Zgodnie z art. 69 § 4 akapit pierwszy interwenienci w niniejszych sprawach pokryją własne koszty.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:

1) Stwierdza się nieważność decyzji Rady 2004/496/WE z dnia 17 maja 2004 r. w sprawie zawarcia Porozumienia pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki w sprawie przetwarzania i przekazywania danych dot. nazwy rekordu pasażera (PNR) przez przewoźników lotniczych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Ochrony Granic oraz decyzji Komisji 2004/535/WE z dnia 14 maja 2004 r. w sprawie odpowiedniej ochrony danych osobowych zawartych w Passenger Name Record (PNR) pasażerów lotniczych przekazywanych do Biura Celnego i Ochrony Granic Stanów Zjednoczonych.

2) Skutki decyzji 2004/535 zostają utrzymane w mocy do dnia 30 września 2006 r., nie dłużej jednak niż do dnia wygaśnięcia wspomnianego porozumienia.

3) Rada Unii Europejskiej zostaje obciążona kosztami postępowania w sprawie C317/04.

4) Komisja Wspólnot Europejskich zostaje obciążona kosztami postępowania w sprawie C318/04.

5) Komisja Wspólnot Europejskich pokrywa własne koszty w sprawie C317/04.

6) Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej oraz Europejski Inspektor Ochrony Danych pokrywają własne koszty.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x