Особисті дані. Суд щодо діяльності, яка не підпадає до сфери дії GDPR та права ЄС

16 січня 2024 року Суд Європейського Союзу виніс рішення у справі C-33/22, Österreichische Datenschutzbehörde проти WK , щодо тлумачення першого речення пункту 2 статті 16 Договору про функціонування Європейського Союзу (TFEU), а також статті 2, параграф 2, буква a), статті 51, параграф 1, статті 55, параграф 1 і статті 77, параграф 1 Регламенту (ЄС) 2016/679 Європейського Парламенту та Рада від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою персональних даних і про вільний рух таких даних, а також про скасування Директиви 95/46/EC ( Загальний регламент захисту даних , GDPR) [1] . Цю заяву було подано в контексті суперечки між Österreichische Datenschutzbehörde (Австрійським органом із захисту даних) і WK щодо відхилення скарги останнього на ймовірне порушення його права на захист персональних даних.

Також читайте:

Особисті дані. Суд ЄС підтвердив право зацікавіленої особи на ефективний засіб судового захисту проти наглядового органу

Особисті дані. Суд ЄС прийняв рішення щодо можливого звільнення від відповідальності контролера даних у випадку порушення прав третіми особами

Особисті дані. Суд ЄС прийняв рішення щодо кваліфікації "контролером даних" офіційного журналу держави-члена

Особисті дані. Суд ЄС постановив рішення про накладення адміністративно-фінансових санкцій на юридичну особу

Це факти.

20 квітня 2018 року Національна рада створила слідчу комісію, щоб пролити світло на наявність можливого політичного впливу на Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Федеральне відомство із захисту конституції та боротьби з тероризмом, BVT), яке на наступного 19 вересня він заслухав WK як свідка під час слухання, доступного для представників ЗМІ. Незважаючи на його прохання про анонімність, звіт про це слухання, у якому його ім’я та прізвище було згадано повністю, було опубліковано на веб-сайті австрійського парламенту, тому WK подав скаргу до Управління, заявивши, що ця публікація, яка відбулася проти його волі, суперечило GDPR.

Оскільки Орган відхилив його скаргу, WK подав апеляцію до Bundesverwaltungsgericht (Федерального адміністративного суду), який її підтримав. У зв’язку з цим Орган звернувся до Verwaltungsgerichtshof (Австрійський адміністративний суд; «суддя, що направляє»), який, у світлі необхідності тлумачення відповідного європейського законодавства з цього питання, вирішив призупинити провадження та передати його до Суду Правосуддя три попередні запитання .

У першому запитанні суд запитав, чи слід тлумачити перше речення [2] статті 16(2) TFEU та статтю 2(2)(a) [3] GDPR так, що діяльність з єдиної причини проведення розслідувальної комісії, створеної парламентом держави-члена під час виконання своїх повноважень щодо контролю за виконавчою владою, виходить за межі сфери застосування законодавства Союзу і, отже, виходить за рамки застосування цього регламенту.

Суд попередньо нагадав, що стаття 2, абзац 2, буква a) GDPR має єдину мету виключити зі сфери останньої обробку персональних даних, яка здійснюється державними органами в контексті «діяльності, спрямованої на захист національних безпеки або які можуть бути віднесені до тієї ж категорії, так що простого факту, що діяльність належить державі або державному органу, недостатньо для автоматичного застосування цього винятку [4] . Фактично ця стаття стосується лише категорій діяльності, які за своїм характером не підпадають під сферу застосування права Союзу, а не категорій осіб, залежно від того, чи мають вони приватний чи публічний характер, а також, якщо контролером даних є державний орган, обставина, що завдання та функції останнього підпадають прямо та виключно в конкретну прерогативу державних органів, не пов’язуючи це з діяльністю, яка в будь-якому випадку виходить за межі сфери застосування права Союзу. Отже, той факт, що обробка персональних даних здійснюється комісією з розслідування, створеною парламентом держави-члена під час виконання своїх повноважень щодо контролю за виконавчою владою, як такий, не дозволяє продемонструвати, що вона є учасником діяльності, яка не підпадає під дію законодавства Союзу, відповідно до статті 2(2)(a) GDPR.

У другому запитанні , однак, суддя запитав, чи слід тлумачити пункт a) пункту 2 статті 2 GDPR у світлі пункту 16 [5] останнього як таке, що вони не можуть вважатися діяльність, пов’язана з національною безпекою, виключена зі сфери застосування законодавства Союзу, згідно з цим положенням, діяльність комісії з розслідування, створеної парламентом держави-члена під час виконання своїх повноважень щодо моніторингу виконавчої влади, з метою розслідування діяльності органу поліції державної охорони за підозрою у політичному впливі на останнього.

Суд попередньо зазначив, що комісія з розслідування у конкретній справі мала на меті здійснення політичного контролю за діяльністю BVT через підозру в політичному впливі на останнього, причому цей контроль не представлявся як такий як діяльність, спрямована на захист національної безпеки або яка може бути віднесена до тієї ж категорії, щоб вона не виходила за межі сфери застосування GDPR на підставі статті 2, абзацу 2, букви а). Тим не менш, така комісія може під час своєї роботи мати доступ до інформації, такої як персональні дані, яка з міркувань національної безпеки має користуватися особливим захистом, що полягає, наприклад, в обмеженні інформації, що надається зацікавленим сторонам щодо збору таких даних або доступу до них.

У цьому відношенні стаття 23 [6] GDPR встановлює, що законодавчими заходами можуть бути встановлені обмеження щодо зобов’язань і прав, наданих останніми для захисту, серед іншого, національної безпеки або функції контролю, пов’язаної зі здійсненням державні повноваження. Таким чином, ця потреба може виправдовувати обмеження через законодавчі заходи зобов’язань і прав, що випливають із GDPR щодо збору персональних даних, інформації зацікавлених сторін та їхнього доступу до таких даних або їх розголошення іншим особам, ніж контролер даних. , за умови, що вони поважають суть основних прав і свобод зацікавлених сторін і становлять необхідний і пропорційний захід у демократичному суспільстві.

Нарешті, у третьому питанні суддя, який посилається, запитав, чи слід тлумачити пункт 1 [7] статті 77 і пункт 1 [8] статті 55 GDPR так, що якщо держава-член вибрала, відповідно до статті 51(1) [9] цього Регламенту, щоб створити єдиний наглядовий орган, однак не надавши йому повноважень контролювати застосування GDPR комісією з розслідування, створеною парламентом цієї держави-члена під час здійснення його повноваження контролювати виконавчу владу, ці положення безпосередньо наділяють цей орган повноваженнями розглядати скарги, пов’язані з обробкою персональних даних, яка здійснюється вищезгаданою комісією.

Суд попередньо зазначив, що пункт 1 статті 77 і пункт 1 статті 55 GDPR не вимагають прийняття національних заходів для їх імплементації та є достатньо чіткими, точними та безумовними, щоб мати пряму дію. Незважаючи на те, що він визнає державам-членам свободу дій щодо кількості наглядових органів, які мають бути створені, GDPR, з іншого боку, встановлює сферу повноважень, якими ці органи, незалежно від їх кількості, повинні бути оснащені для здійснення нагляду його застосування, отже, у випадку, якщо держава-член вирішує створити єдиний наглядовий орган, останній обов’язково має всі повноваження, які надає їм GDPR.

Зважаючи на все це, Суд постановив, що:

«Стаття 16(2), перше речення, TFEU та стаття 2(2)(a) Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробка персональних даних, а також вільний рух таких даних і скасування Директиви 95/46/ЄС (Загальний регламент захисту даних) повинні тлумачитися як такі, що діяльність не може вважатися такою, що виключена зі сфери застосування Союзу закону і, отже, поза сферою застосування цього регламенту лише з тієї причини, що його здійснює комісія з розслідування, створена парламентом держави-члена під час здійснення своїх повноважень контролю за виконавчою владою.

Статтю 2(2)(a) Регламенту 2016/679, прочитану у світлі декларативної частини 16 цього Регламенту, слід тлумачити так, що вони не можуть вважатися, як такі, діяльністю, пов’язаною з національною безпекою, виключеною з Сфера дії законодавства Союзу, у значенні цього положення, означає діяльність комісії з розслідування, створеної парламентом держави-члена під час виконання його повноважень щодо нагляду за виконавчою владою з метою розслідування діяльності держави орган поліції охорони через підозру в політичному впливі на цей орган.

Статтю 77(1) і статтю 55(1) Регламенту 2016/679 слід тлумачити так, що якщо держава-член вирішила, відповідно до статті 51(1) цього Регламенту, створити єдиний наглядовий орган, однак без надавши йому повноваження здійснювати нагляд за застосуванням вищезазначеного Регламенту комісією з розслідування, створеною парламентом цієї держави-члена під час виконання своїх повноважень щодо контролю за виконавчою владою, ці положення прямо наділяють зазначений орган компетенцією розглядати скарги щодо обробки персональних даних, яка здійснюється вищезазначеною слідчою комісією».

Джерело статті тут.

[1] GUUE L 119 від 04.05.2016.

[2] Стаття 16 ДФЄС у пункті 2 передбачає: « … Європейський Парламент і Рада, діючи відповідно до звичайної законодавчої процедури, встановлюють правила щодо захисту фізичних осіб щодо обробки персональних даних інституціями Союзу. , органами, службами та агентствами, а також державами-членами під час здійснення діяльності, що підпадає під сферу дії законодавства Союзу, і правил, що стосуються вільного переміщення таких даних. Дотримання цих правил підлягає контролю незалежних органів.

Правила, прийняті на основі цієї статті, не завдають шкоди спеціальним правилам, зазначеним у статті 39 Договору про Європейський Союз… ».

[3] Стаття 2 GDPR під назвою «Матеріальна сфера застосування» в абзаці 2 букві а) передбачає: « … Цей регламент не застосовується до обробки персональних даних:

(a) здійснюються для діяльності, яка не підпадає під дію законодавства Союзу… ».

[4] CGUE 20.10.2022, Causa C‑306/21, Коаліція «Демократична Болгарія – Об’єднання» , пункт 39; CGUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità) , пункт 66.

[5] Декларація (16) GDPR передбачає: « …Цей Регламент не застосовується до питань захисту основних прав і свобод або вільного переміщення персональних даних, що стосуються діяльності, яка не входить до сфери дії Союзу, наприклад діяльності, пов’язаної з до національної безпеки. Цей Регламент не застосовується до обробки персональних даних, яка здійснюється державами-членами під час здійснення діяльності, пов’язаної зі спільною зовнішньою політикою та політикою безпеки Союзу… ».

[6] Стаття 23 GDPR під назвою «Обмеження» в пункті 1 передбачає: « … Законодавство Союзу або держави-члена, якому підпорядковується контролер або обробник даних, може обмежувати за допомогою законодавчих заходів обсяг зобов’язань і прав, про які йдеться у статтях 12-22 і 34, а також статті 5, тією мірою, якою положення, що містяться в них, відповідають правам і обов’язкам, зазначеним у статтях 12-22, якщо таке обмеження відповідає суті основних прав і свобод і є необхідний і пропорційний захід у демократичному суспільстві для захисту:

а) національна безпека;б) захист;в) громадська безпека;(d) попередження, розслідування, виявлення та судове переслідування кримінальних правопорушень або виконання кримінальних санкцій, включаючи захист від загроз громадській безпеці та запобігання їм;(e) інші важливі цілі загального суспільного інтересу Союзу або держави-члена, зокрема, важливі економічні чи фінансові інтереси Союзу або держави-члена, у тому числі у монетарних, бюджетних і податкових питаннях, охороні здоров’я та соціальному забезпеченні ;f) забезпечення незалежності судової влади та судочинства;g) діяльність, спрямована на запобігання, розслідування, встановлення та судове переслідування порушень етики регульованих професій;h) контрольна, інспекційна або регулятивна функція, пов’язана, навіть час від часу, із здійсненням державних повноважень у випадках, зазначених у пунктах a), ae) та g);i) захист зацікавленої сторони або прав і свобод інших осіб;к) виконання цивільних позовів... ».

[7] Стаття 55 GDPR під назвою «Компетенція» у параграфі 1 передбачає: « … Кожен наглядовий орган має право виконувати покладені на нього завдання та виконувати повноваження, надані йому згідно з цим Регламентом на території відповідної держави-члена. … ».

[8] Стаття 77 GDPR під назвою «Право подати скаргу до наглядового органу» у параграфі 1 передбачає: « ... Без шкоди для будь-якої іншої адміністративної або юрисдикційної апеляції, зацікавлена ​​сторона, яка вважає, що обробка стосується її або вона порушує цей Регламент, має право подати скаргу до наглядового органу, зокрема в державі-члені, в якій він зазвичай проживає, працює, або в місці, де відбулося ймовірне порушення...» .

[9] Стаття 51 GDPR під назвою «Наглядовий орган» у параграфі 1 передбачає: « … Кожна держава-член передбачає, що один або більше незалежних державних органів відповідають за моніторинг застосування цього Регламенту з метою захисту прав і основних свободи фізичних осіб щодо обробки та сприяння вільному переміщенню персональних даних у межах Союзу («наглядовий орган»)... ».