(notyfikowana jako dokument nr C(2016) 8471)(Tekst mający znaczenie dla EOG)
(Dz.U.UE L z dnia 17 grudnia 2016 r.)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 1 , w szczególności jej art. 26 ust. 4,
po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych,
a także mając na uwadze, co następuje:
(1) W wyroku z dnia 6 października 2015 r. w sprawie C-362/14 Maximillian Schrems przeciwko Data Protection Commissioner 2 , Trybunał Sprawiedliwości Unii Europejskiej stwierdził, że przyjmując art. 3 decyzji 2000/520/WE 3 , Komisja przekroczyła granice kompetencji przyznanych jej w art. 25 ust. 6 dyrektywy 95/46/WE w związku z Kartą praw podstawowych Unii Europejskiej, oraz uznał art. 3 tej decyzji za nieważny.
(2) W art. 3 ust. 1 akapit pierwszy decyzji 2000/520/WE określono restrykcyjne warunki, na jakich krajowe organy nadzorcze mogą podjąć decyzję o zawieszeniu przepływu danych do organizacji w USA, która złożyła zaświadczenie o przestrzeganiu zasad, niezależnie od ustaleń Komisji dotyczących odpowiedniej ochrony danych osobowych.
(3) W wyroku w sprawie Schrems Trybunał Sprawiedliwości wyjaśnił, że krajowe organy nadzorcze są nadal właściwe do sprawowania kontroli nad przekazywaniem danych osobowych do państwa trzeciego, które było przedmiotem decyzji Komisji w sprawie odpowiedniej ochrony danych osobowych, i że kompetencje Komisji nie umożliwiają jej ograniczenia kompetencji krajowych organów nadzorczych przyznanych im na mocy art. 28 dyrektywy 95/46/WE. Zgodnie z tym artykułem organy te posiadają w szczególności: uprawnienia dochodzeniowe, takie jak prawo gromadzenia wszelkich informacji potrzebnych do wykonywania ich funkcji nadzorczych, skuteczne uprawnienia interwencyjne, takie jak prawo nakładania czasowego lub ostatecznego zakazu przetwarzania danych, a także prawo pozywania 4 .
(4) W tym samym wyroku Trybunał Sprawiedliwości przypomniał, że zgodnie z art. 25 ust. 6 akapit drugi dyrektywy 95/46/WE państwa członkowskie i ich organy muszą podejmować środki niezbędne w celu zapewnienia zgodności z aktami instytucji unijnych, ponieważ co do zasady przyjmuje się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do czasu ich uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia ich nieważności w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem.
(5) Mutatis mutandis, decyzja w sprawie odpowiedniej ochrony danych osobowych przyjęta przez Komisję na podstawie art. 26 ust. 4 dyrektywy 95/46/WE jest wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych, w zakresie, w jakim skutkuje ona uznaniem, że przekazywanie danych odbywające się na podstawie standardowych klauzul umownych ustanowionych w tej decyzji zapewnia wystarczające środki zabezpieczające wymagane przepisem art. 26 ust. 2 tej dyrektywy. Nie uniemożliwia to krajowemu organowi nadzorczemu wykonywania swoich uprawnień w zakresie kontroli przepływów danych, w tym uprawnienia do zawieszenia lub zakazu przekazywania danych osobowych, jeżeli stwierdzi on, że przekazywanie danych odbywa się z naruszeniem unijnych lub krajowych przepisów o ochronie danych, jak na przykład w przypadku, gdy importer danych nie przestrzega standardowych klauzul umownych.
(6) Decyzje Komisji 2001/497/WE 5 i 2010/87/UE 6 zawierają ograniczenie uprawnień krajowych organów nadzorczych porównywalne z przepisem art. 3 ust. 1 akapit pierwszy decyzji 2000/520/WE, który Trybunał Sprawiedliwości uznał za nieważny.
(7) W świetle wyroku w sprawie Schrems i zgodnie z art. 266 Traktatu należy zatem zastąpić w wymienionych decyzjach przepisy ograniczające uprawnienia krajowych organów nadzorczych.
(8) Aby ułatwić skuteczne monitorowanie funkcjonowania obowiązujących decyzji w sprawie standardowych klauzul umownych, państwa członkowskie powinny informować Komisję o istotnych działaniach podejmowanych przez krajowe organy nadzorcze.
(9) Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, utworzona na mocy art. 29 dyrektywy 95/46/WE, przedstawiła swoją opinię, która została uwzględniona przy przygotowaniu niniejszej decyzji.
(10) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 31 ust. 1 dyrektywy 95/46/WE.
(11) W związku z tym należy odpowiednio zmienić decyzje 2001/497/WE oraz 2010/87/UE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ: