Особисті дані. Суд ЄС підтвердив право зацікавіленої особи на ефективний засіб судового захисту проти наглядового органу

16 листопада 2023 року Суд Європейського Союзу виніс рішення у справі C-333/22, Ligue des droits humains ASBL and BA v Organe de contrôle de l'information policière , щодо тлумачення, з одного боку, ст. 8, пункт 3, та статтю 47 Хартії основних прав Європейського Союзу та, з іншого боку, щодо дійсності статті 17 Директиви (ЄС) 2016/680 Європейського Парламенту та Ради від 27 квітня 2016 року щодо захисту фізичних осіб щодо обробки персональних даних компетентними органами з метою запобігання, розслідування, розкриття та переслідування злочинів або виконання кримінальних санкцій, а також вільного переміщення таких даних і який скасовує Рамкове рішення Ради 2008/977/JHA [1] .

Цей запит було подано в контексті суперечки між, з одного боку, Ligue des droits humains ASBL (Ліга прав людини) і BA, а з іншого боку, Organe de contrôle de l'information policière (Belgian of Police Інформаційний контроль, OCIP) щодо здійснення, через останнього, прав BA щодо персональних даних, що стосуються його, які обробляються бельгійськими поліцейськими службами і на підставі яких Autorité nationale de sécurité (Національний орган безпеки) відхилив його заяву на перевірка службою безпеки.

Також читайте:

Особисті дані. Суд ЄС прийняв рішення щодо можливого звільнення від відповідальності контролера даних у випадку порушення прав третіми особами

Особисті дані. Суд ЄС прийняв рішення щодо кваліфікації "контролером даних" офіційного журналу держави-члена

Особисті дані. Суд ЄС постановив рішення про накладення адміністративно-фінансових санкцій на юридичну особу

Особисті дані. Суд щодо діяльності, яка не підпадає до сфери дії GDPR та права ЄС

Це факти.

Протягом 2016 року BA, на той час неповний робочий день у некомерційній асоціації, подав запит на дозвіл Національного органу безпеки, щоб мати можливість брати участь у складанні та демонтажі установок для десятого випуску «Giornate European Development». Ради» в Брюсселі. Однак органи влади відхилили цей запит, оскільки з наданих йому особистих даних випливало, що Б. А. брав участь у десяти демонстраціях у період з 2007 по 2016 рік, що не дозволило надати йому дозвіл з міркувань національної безпеки та стабільності країни. демократичний конституційний лад. Згодом адвокат Б.А. звернувся до OCIP з проханням ідентифікувати контролерів відповідних персональних даних і наказати їм надати його клієнту доступ до всієї інформації, що стосується нього, щоб дозволити йому реалізувати свої права належним чином.

Оскільки OCIP оголосив, що BA має лише право непрямого доступу до цих даних, OCIP і Ліга прав людини подали заяву про застосування тимчасових заходів до Tribunal de première instance francophone de Bruxelles (суд першої інстанції франкомовного Брюсселя). , який, однак, заявив, що не має юрисдикції щодо цієї заяви. У зв’язку з цим Ліга прав людини та BA звернулися до Cour d'appel de Bruxelles (Апеляційний суд Брюсселя; «передаючий суд»), який, у світлі необхідності тлумачення відповідного європейського законодавства з цього питання, вирішив призупинити провадження та направити два питання до Суду для попереднього вирішення .

У першому питанні суд запитав, чи стаття 17 [2] Директиви 2016/680 у поєднанні зі статтею 46, пункт 1, буква g) [3] , стаття 47, параграфи 1 і 2 [4] і стаття 53, параграф 1 [5] цієї Директиви, а також стаття 8, параграф 3 [6] і стаття 47 [7] Хартії, слід тлумачити в тому значенні, що якщо права особи були реалізовані через компетентний наглядовий орган, ця особа повинна мати право на ефективний судовий захист проти останнього.

Суд попередньо зазначив, що опосередковане здійснення суб’єктом даних прав через компетентний наглядовий орган, передбачене статтею 17 Директиви 2016/680, є додатковою гарантією того, що його персональні дані обробляються законно, якщо положення національного законодавства обмежують пряме здійснення контролером даних права на отримання додаткової інформації, на доступ до таких даних, а також на отримання виправлення, скасування або обмеження обробки. Таким чином, опосередковане здійснення прав суб’єкта даних через компетентний наглядовий орган слід вважати необхідним для захисту цих прав, оскільки їх пряме здійснення контролером даних є складним або навіть неможливим.

У зв’язку з цим, коли наглядовий орган діє з метою гарантування реалізації прав зацікавленої сторони на підставі статті 17 Директиви 2016/680, його завдання повністю підпадає під визначення первинного права Союзу, його ролі, оскільки останнє включає, зокрема, моніторинг дотримання прав суб’єкта даних на доступ і виправлення. Отже, при виконанні цього завдання, як і при виконанні будь-якого іншого завдання, наглядовий орган повинен мати можливість виконувати повноваження, надані йому відповідно до статті 47 цієї Директиви, діючи повністю незалежно та відповідно до Хартії. Крім того, наприкінці перевірки законності обробки компетентний наглядовий орган повинен повідомити зацікавлену сторону принаймні про те, що він здійснив усі необхідні перевірки або перегляд, таким чином довівши до її відома рішення, прийняте проти завершити процес обробки, верифікації, який, неодмінно впливаючи на його правову ситуацію, становить для нього «юридично обов’язкове рішення» у значенні пункту 1 статті 53 Директиви 2016/680, незалежно від того, чи і в якій мірі такий орган встановив законність обробки пов’язаних з ним даних або застосував повноваження для виправлення. Отже, суб’єкт даних повинен мати можливість отримати судовий перегляд дійсності такого рішення на основі статті 53(1) Директиви 2016/680 і, зокрема, способу, у який наглядовий орган виконав свої зобов'язання проводити всі необхідні перевірки та, у відповідних випадках, здійснювати свої повноваження щодо виправлення.

У другому запитанні , однак, суддя запитав, чи стаття 17, пункт 3, Директиви 2016/680 є дійсним по відношенню до статті 8, пункт 3, і статті 47 Хартії в частині, в якій вона покладає на нагляд орган лише для інформування суб’єкта даних, з одного боку, про те, що він здійснив усі необхідні перевірки або перегляд, а з іншого боку, що суб’єкт даних має право звернутися до суду, якщо така інформація не дозволяє судовий контроль за діями наглядового органу та його оцінки, беручи до уваги дані, що обробляються, і зобов’язання контролера даних.

Суд попередньо нагадав, що, незважаючи на можливість обмеження права на ефективний судовий захист, вони повинні i) бути передбачені законом, ii) поважати основний зміст відповідних прав і свобод, і iii) бути необхідними та відповідати ефективно для цілей загального інтересу, визнаних Союзом, або для необхідності захисту прав і свобод інших [8] . Отже, оскільки стаття 17, параграф 3 Директиви 2016/680 не перешкоджає наглядовому органу, у певних випадках, відповідно до правил, прийнятих національним законодавцем для її виконання, мати повноваження, якщо не також зобов’язання обмежитися мінімальною інформацією без подальших роз’яснень, зокрема, якщо такі правила спрямовані на те, щоб не поставити під загрозу цілі суспільних інтересів, передбачені самою директивою, тягне за собою обмеження права на ефективний засіб судового захисту, гарантованого статтею 47 Статуту.

Однак таке обмеження, перш за все, прямо передбачено Директивою 2016/680. По-друге, той факт, що стаття 17(3) Директиви 2016/680 дозволяє державам-членам обмежувати, у певних випадках, обґрунтування такого рішення мінімальними елементами, викладеними в ній, не означає, що за будь-яких обставин можливо, звести інформацію зацікавленій стороні лише до цих елементів. Ця стаття, по суті, вимагає від держав-членів гарантувати, що положення національного законодавства, які її імплементують, з одного боку, поважають суттєвий зміст права суб’єкта даних на ефективний судовий захист, а з іншого – ґрунтуються на зваженні цілей суспільного інтересу, які виправдовують обмеження такої інформації, а також основних прав і законних інтересів останньої, відповідно до принципів необхідності та пропорційності.

Отже, якщо, з одного боку, захист права на ефективний судовий захист зацікавленої сторони проти рішення про завершення процесу перевірки вимагає цього, а з іншого боку, цілі суспільних інтересів, передбачені Директивою 2016 року, щоб не перешкоджати цьому /680, держави-члени повинні забезпечити, щоб інформація, надана суб’єкту даних, могла виходити за межі мінімальної інформації, передбаченої в статті 17(3) цієї Директиви, щоб дати йому можливість захистити свої права і приймати рішення з повним знанням справи, чи доцільно звернутися до компетентного судді. Крім того, у випадках, коли інформація, надана наглядовим органом, обмежена тією, що передбачена пунктом 3 статті 17 Директиви 2016/680, держави-члени, у межах своєї процесуальної автономії, повинні впровадити необхідні заходи. гарантувати ефективний судовий контроль як за наявністю, так і за обґрунтованістю причин, що виправдовували обмеження такої інформації, а також за правильним виконанням контролюючим органом свого завдання щодо перевірки законності обробки.

Зважаючи на все це, Суд постановив, що:

«Стаття 17 Директиви (ЄС) 2016/680 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних компетентними органами з метою запобігання, розслідування, виявлення та переслідування кримінальних правопорушень або виконання кримінальних санкцій, а також вільне переміщення таких даних і скасування Рамкового рішення Ради 2008/977/JHA у поєднанні зі статтею 46(1)(g), статтею 47(1) та ( 2) і статтю 53(1) цієї Директиви, а також статтю 8(3) і статтю 47 Хартії основоположних прав Європейського Союзу слід тлумачити так, що якщо права особи були використані, у застосування цієї статті 17 через компетентний наглядовий орган і цей орган інформує цю особу про результати проведених перевірок, ця особа повинна мати ефективний засіб судового захисту проти рішення цього органу завершити процес перевірки.

Вивчення другого питання не виявило жодного елемента, здатного вплинути на чинність статті 17(3) Директиви 2016/680 ».

Джерело статті тут.

[1] GUUE L 119 від 04.05.2016.

[2] Стаття 17 Директиви 2016/680 під назвою «Здійснення прав суб’єкта даних та перевірка наглядовим органом» передбачає: « … У випадках, зазначених у статті 13, пункт 3, статті 15(3) та Згідно зі статтею 16(4), держави-члени вживають заходів, які передбачають можливість здійснення прав суб’єкта даних через компетентний наглядовий орган.

Держави-члени повинні забезпечити, щоб контролер інформував суб’єкта даних про можливість реалізації своїх прав через наглядовий орган відповідно до пункту 1.

У разі реалізації права, зазначеного в параграфі 1, наглядовий орган інформує суб’єкта даних принаймні про те, що він здійснив усі необхідні перевірки або перегляд. Контролюючий орган також повідомляє заінтересовану особу про право останньої на оскарження до суду...».

[3] Стаття 46 Директиви 2016/680 під назвою «Завдання» у пункті 1 букви g) передбачає: « … Кожна держава-член забезпечує, щоб на її території кожен наглядовий орган:

(…)

g) перевірити законність обробки згідно зі статтею 17 та повідомити зацікавлену сторону протягом розумного часу про результати перевірки згідно з частиною 3 цієї статті або про причини, чому вона не була проведена...».

[4] Стаття 47 Директиви 2016/680 під назвою «Повноваження» в параграфах 1-2 передбачає: « … Кожна держава-член передбачає законом, що кожен наглядовий орган має ефективні повноваження щодо проведення розслідувань. Такі повноваження включають принаймні повноваження отримувати від контролера даних і обробника даних доступ до всіх персональних даних, що обробляються, і до всієї інформації, необхідної для виконання своїх завдань.

Законодавство кожної держави-члена вимагає, щоб кожен наглядовий орган мав ефективні коригувальні повноваження, наприклад:

(a) видавати попередження контролеру або процесору про те, що запланована обробка може порушувати положення, прийняті відповідно до цієї Директиви;(b) наказати контролеру або процесору привести обробку у відповідність до положень, прийнятих відповідно до цієї Директиви, у відповідних випадках, у певний спосіб і протягом певного періоду, зокрема, видати наказ про виправлення чи видалення персональних даних або обмеження обробки. відповідно до статті 16;c) накладати тимчасове або остаточне обмеження на обробку, включаючи заборону на обробку… ».

[5] Стаття 53 Директиви 2016/680 під назвою «Право на ефективний судовий захист проти наглядового органу» передбачає: « … Без шкоди для будь-якого іншого адміністративного або позасудового засобу захисту, держави-члени повинні передбачити право на природний або юридична особа на ефективний засіб судового захисту проти юридично обов’язкового рішення наглядового органу, яке стосується її або її.

Без шкоди для будь-яких інших адміністративних або позасудових засобів правового захисту, кожен суб’єкт даних має право застосувати ефективний судовий засіб правового захисту, якщо наглядовий орган, який є компетентним відповідно до статті 45(1), не розглядає скаргу або не інформує його протягом трьох місяців статус або результат скарги, поданої відповідно до статті 52.

Держави-члени забезпечують, щоб позови проти наглядового органу подавалися до судів держави-члена, в якій засновано наглядовий орган… ».

[6] Стаття 8 Хартії під назвою «Захист персональних даних» у пункті 3 передбачає: « … Дотримання цих правил підлягає нагляду незалежного органу… ».

[7] Стаття 47 Хартії під назвою «Право на ефективний засіб правового захисту та справедливий судовий розгляд» передбачає: « … кожна особа, чиї права та свободи, гарантовані законодавством Союзу, було порушено, має право на ефективний засіб правового захисту до суддею з дотриманням умов, викладених у цій статті.

Кожен має право на справедливий, публічний і впродовж розумного строку розгляд його справи незалежним і безстороннім суддею, встановленим законом. Кожна людина має право на пораду, захист і інтерес.

Правова допомога надається особам, які не мають достатніх коштів, якщо це необхідно для забезпечення ефективного доступу до правосуддя... ».

[8] CGUE 26.01.2023, Causa C‑205/21, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia) , пункт 89.