C-311/18

Rubrum

Rozsudek Soudního dvora ze dne 16. července 2020

Výrok

rozsudku Z těchto důvodů Soudní dvůr (velký senát) rozhodl takto:

1. Článek 2 odst. 1 a 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ ES (obecné nařízení o ochraně osobních údajů) musí být vykládán v tom smyslu, že předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi spadá do působnosti tohoto nařízení i tehdy, když tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu.

2. Článek 46 odst. 1 a čl. 46 odst. 2 písm. c) nařízení 2016/679 musí být vykládány v tom smyslu, že vhodné záruky, vymahatelná práva a účinná právní ochrana vyžadované uvedenými ustanoveními musí zajistit, aby se na práva osob, jejichž osobní údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, vztahovala úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii tímto nařízením ve spojení s Listinou základních práv Evropské unie. Pro tyto účely je při posuzování úrovně ochrany zajištěné v kontextu takového předávání zejména třeba vzít v úvahu jednak smluvní ujednání mezi správcem nebo zpracovatelem usazenými v Evropské unii a příjemcem předávaných údajů usazeným v dotyčné třetí zemi a jednak - v souvislosti s případným přístupem orgánů veřejné moci této třetí země k takto předávaným osobním údajům - relevantní prvky právního řádu této země, zejména prvky uvedené v čl. 45 odst. 2 uvedeného nařízení.

3. Článek 58 odst. 2 písm. f) a j) nařízení 2016/679 musí být vykládán v tom smyslu, že neexistuje-li rozhodnutí o odpovídající ochraně platně přijaté Evropskou komisí, je příslušný dozorový úřad povinen dočasně nebo trvale zakázat předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých Komisí, když tento dozorový úřad dospěje na základě všech okolností daného předávání k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem, zejména články 45 a 46 uvedeného nařízení a Listinou, nemůže být v případě, že předávání nepozastavili nebo neukončili sám správce nebo zpracovatel usazení v Unii, zajištěna jinými prostředky.

4. Přezkum rozhodnutí Komise 2010/87/EU ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES, ve znění prováděcího rozhodnutí Komise (EU) 2016/2297 ze dne 16. prosince 2016, vzhledem k článkům 7, 8 a 47 Listiny základních práv Evropské unie neodhalil žádnou skutečnost, která by mohla mít dopad na platnost tohoto rozhodnutí.

5. Prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU-USA na ochranu soukromí je neplatné.

Odůvodnění

Z odůvodnění rozsudku K přípustnosti předběžné otázky "69) Facebook Ireland, německá vláda a vláda Spojeného království tvrdí, že žádost o rozhodnutí o předběžné otázce je nepřípustná. 70) Facebook Ireland ve své námitce poznamenává, že ustanovení směrnice 95/46, ze kterých vycházejí předběžné otázky, zrušilo GDPR. 71) K tomu je třeba uvést, že směrnice 95/46 byla sice podle čl. 94 odst. 1 GDPR zrušena s účinky od 25. května 2018, avšak dne 4. května 2018, kdy byla podána tato žádost o rozhodnutí o předběžné otázce, jež Soudnímu dvoru došla dne 9. května 2018, byla tato směrnice stále ještě v platnosti. Kromě toho byl čl. 3 odst. 2 první odrážka, články 25 a 26, jakož i čl. 28 odst. 3 směrnice 95/46, na které odkazují předběžné otázky, v podstatě převzaty do čl. 2 odst. 2 a do článků 45, 46 a 58 GDPR. Dále je třeba připomenout, že úkolem Soudního dvora je vyložit všechna ustanovení unijního práva, která vnitrostátní soudy potřebují pro rozhodnutí o sporech, které projednávají, i pokud nejsou tato ustanovení výslovně zmíněna v otázkách položených těmito soudy Soudnímu dvoru ...7) Z těchto jednotlivých důvodů nemůže okolnost, že předkládající soud při formulování předběžných otázek odkázal jen na ustanovení směrnice 95/46, vést k nepřípustnosti této žádosti o rozhodnutí o předběžné otázce. ... 73) Z ustálené judikatury Soudního dvora vyplývá, že je pouze na vnitrostátním soudu, který rozhoduje spor a musí nést odpovědnost za soudní rozhodnutí, které bude vydáno, aby posoudil s ohledem na konkrétní okolnosti věci jak nezbytnost rozhodnutí o předběžné otázce pro vydání jeho rozsudku, tak relevanci otázek, které klade Soudnímu dvoru. Jestliže se tedy položené otázky týkají výkladu nebo platnosti normy unijního práva, je Soudní dvůr v zásadě povinen rozhodnout. Z toho vyplývá, že se na otázky položené vnitrostátními soudy vztahuje domněnka relevance. Soudní dvůr smí rozhodnutí o předběžné otázce položené vnitrostátním soudem odmítnout pouze tehdy, pokud je zjevné, že žádaný výklad nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, pokud se jedná o hypotetický problém nebo také pokud Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na dané otázky ...8) " K otázkám samým Úvodem "77) Úvodem je třeba připomenout, že projednávaná žádost o rozhodnutí o předběžné otázce navazuje na stížnost M. Schremse směřující k tomu, aby komisařka do budoucna dočasně nebo trvale zakázala společnosti Facebook Ireland předávání jeho osobních údajů společnosti Facebook Inc. Předběžné otázky přitom sice odkazují na ustanovení směrnice 95/46, avšak je nesporné, že komisařka před zrušením této směrnice a jejím nahrazením GDPR s účinností od 25. května 2018 nepřijala konečné rozhodnutí o této stížnosti. 78) Skutečnost, že vnitrostátní rozhodnutí nebylo dosud vydáno, odlišuje situaci dotčenou ve věci v původním řízení od situace ve věcech, ve kterých byly vyhlášeny rozsudky ... [ve věci C-507/17, Google (Územní dosah odstranění odkazu z výsledků vyhledávání)] ... a ... [ve věci C-673/17, Planet49] ... v nichž dotčená rozhodnutí byla přijata před zrušením uvedené směrnice. 79) Na předběžné otázky je proto třeba odpovědět vzhledem k ustanovením GDPR, a nikoli k ustanovením směrnice 95/46." K první otázce "81) ... je předně třeba poukázat na to, že ustanovení obsažené v čl. 4 odst. 2 SEU, podle kterého národní bezpečnost zůstává v Unii výhradní odpovědností každého členského státu, se týká výlučně členských států Unie. Toto ustanovení proto není pro výklad čl. 2 odst. 1 a čl. 2 odst. 2 písm. a), b) a d) GDPR v projednávané věci relevantní. 82) Podle čl. 2 odst. 1 GDPR se toto nařízení vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Článek 4 bod 2 tohoto nařízení definuje pojem ‚zpracování' jako ‚jak[ou]koliv operac[i] nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů', a jako jeho příklady uvádí ‚zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění' bez ohledu na to, zda se tyto operace uskutečňují uvnitř Unie nebo zda mají vazbu na třetí zemi. Uvedené nařízení dále stanoví pro předávání osobních údajů do třetích zemí zvláštní pravidla obsažená v jeho kapitole V, nadepsané ‚Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím', a dozorovým úřadům dále přiznává pro tyto účely zvláštní pravomoci upravené v čl. 58 odst. 2 písm. j) téhož nařízení. 83) Z toho vyplývá, že operace spočívající v zajištění předání osobních údajů z členského státu do třetí země jako taková představuje zpracování osobních údajů ve smyslu čl. 4 bodu 2 GDPR prováděné na území členského státu, tj. zpracování, na které se toto nařízení použije na základě jeho čl. 2 odst. 1 ...9) 84) K otázce, zda takovou operaci lze považovat za vyloučenou z působnosti GDPR podle jeho čl. 2 odst. 2, je třeba připomenout, že toto ustanovení stanoví výjimky z působnosti tohoto nařízení upravené v jeho čl. 2 odst. 1 a že tyto výjimky musí být vykládány striktně ...10) 85) V projednávaném případě předávání osobních údajů dotčené ve věci v původním řízení nespadá vzhledem k tomu, že tyto údaje předává společnost Facebook Ireland společnosti Facebook Inc., tedy jedna právnická osoba jiné právnické osobě, pod čl. 2 odst. 2 písm. c) GDPR, který upravuje zpracování údajů prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností. Toto předávání nespadá ani pod výjimky upravené v čl. 2 odst. 2 písm. a), b) a d) tohoto nařízení, protože v nich uvedené činnosti jsou v každém případě příkladem činností státu či státních orgánů, které se liší od činnosti jednotlivců ...11) 86) Možnost, že osobní údaje předávané jedním hospodářským subjektem jinému hospodářskému subjektu pro obchodní účely budou při předávání nebo po něm zpracovány pro účely veřejné bezpečnosti, obrany a bezpečnosti státu orgány dotyčné třetí země, nemůže toto předávání vyloučit z působnosti GDPR. 87) Samotné znění čl. 45 odst. 2 písm. a) tohoto nařízení ostatně tím, že je Komisi výslovně uložena povinnost vzít při posuzování odpovídající úrovně ochrany poskytované třetí zemí v úvahu mimo jiné "příslušné právní předpisy, obecné i odvětvové, včetně těch, které se týkají veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů", dokládá, že použitelnost uvedeného nařízení na dané předávání není případným zpracováním dotčených údajů třetí zemí pro účely veřejné bezpečnosti, obrany a bezpečnosti státu zpochybněna. 88) Z toho vyplývá, že takové předávání nemůže být z důvodu, že dotčené údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu, vyloučeno z působnosti GDPR. 89) Na první otázku je proto třeba odpovědět, že čl. 2 odst. 1 a 2 GDPR musí být vykládán v tom smyslu, že předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi spadá do působnosti tohoto nařízení i tehdy, když tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu." Ke druhé, třetí a šesté otázce "91) V souvislosti s vyžadovanou úrovní ochrany z citovaných ustanovení v jejich vzájemné souvislosti plyne, že jestliže neexistuje rozhodnutí o odpovídající ochraně přijaté na základě čl. 45 odst. 3 tohoto nařízení, mohou správce nebo zpracovatel předat osobní údaje do třetí země jen tehdy, pokud poskytl ‚vhodné záruky', a za podmínky, že jsou k dispozici ‚vymahatelná práva ... a účinná právní ochrana' subjektů údajů, přičemž tyto vhodné záruky mohou být stanoveny mimo jiné pomocí standardních doložek o ochraně osobních údajů přijatých Komisí. 92) I když článek 46 GDPR neupřesňuje povahu požadavků, které vyplývají z tohoto odkazu na ‚vhodné záruky', ‚vymahatelná práva' a ‚účinnou právní ochranu', je třeba poukázat na to, že tento článek je obsažen v kapitole V tohoto nařízení, a tudíž musí být vykládán ve spojení s článkem 44 uvedeného nařízení, nadepsaným ‚Obecná zásada pro předávání', jenž stanoví, že ‚[v]eškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena'. Tato úroveň ochrany musí proto být zaručena bez ohledu na to, které z ustanovení řečené kapitoly je základem pro předání osobních údajů do třetí země. 93) Jak totiž podotkl generální advokát v bodě 117 svého stanoviska, cílem ustanovení kapitoly V GDPR je - v souladu s cílem upřesněným v bodě 6 odůvodnění tohoto nařízení12) - zajistit kontinuitu vysoké úrovně této ochrany, jsou-li osobní údaje předávány do třetí země. 94) Článek 45 odst. 1 věta první GDPR stanoví, že předání osobních údajů do třetí země může být povoleno rozhodnutím Komise, podle kterého tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi zajišťují odpovídající úroveň ochrany. V tomto ohledu výraz ‚odpovídající úroveň ochrany' nevyžaduje, aby dotyčná třetí země zajišťovala stejnou úroveň ochrany, jako je úroveň zajištěná v unijním právním řádu, a musí být chápán - jak dokládá bod 104 odůvodnění tohoto nařízení13) - v tom smyslu, že vyžaduje, aby tato třetí země skutečně zajišťovala na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků takovou úroveň ochrany základních práv a svobod, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii na základě uvedeného nařízení ve spojení s Listinou. Pokud by totiž takový požadavek chyběl, byl by popřen cíl zmíněný v předchozím bodě ...14) 95) V tomto kontextu se v bodě 107 odůvodnění GDPR15) uvádí, že když ‚určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi ... již odpovídající úroveň ochrany údajů nezajišťuje', mělo by ‚[p]ředání osobních údajů do této třetí země ... být povoleno, jen pokud jsou splněny požadavky ... tohoto nařízení týkající se předání na základě vhodných záruk'. K tomu je v bodě 108 odůvodnění uvedeného nařízení16) upřesněno, že nebude-li přijato rozhodnutí o odpovídající ochraně, musí vhodné záruky, které mají podle čl. 46 odst. 1 téhož nařízení poskytnout správce nebo zpracovatel, ‚v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi ... zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii'. 96) Z uvedeného plyne, jak podotkl generální advokát v bodě 115 svého stanoviska, že tyto vhodné záruky musí být způsobilé zajistit, aby se na osoby, jejichž údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, vztahovala, tak jako v rámci předávání založeného na rozhodnutí o odpovídající úrovni ochrany, úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii. 97) Předkládající soud si dále klade otázku, zda musí být tato úroveň ochrany, která má být v zásadě rovnocenná úrovni ochrany zaručené v Unii, určena vzhledem k unijnímu právu, zejména k právům zaručeným Listinou, nebo vzhledem k základním právům zakotveným evropskou Úmluvou o ochraně lidských práv a základních svobod (dále jen ‚EÚLP'), anebo vzhledem k vnitrostátnímu právu členských států. 98) V tomto ohledu je třeba připomenout, že i když jsou základní práva, která jsou zakotvena v EÚLP ... součástí unijního práva jakožto obecné zásady, a i když čl. 52 odst. 3 Listiny stanoví, že v ní obsažená práva odpovídající právům zaručeným EÚLP mají stejný smysl a stejný rozsah, jaký jim přikládá uvedená úmluva, nepředstavuje tato úmluva právní nástroj formálně začleněný do unijního právního řádu, dokud k ní Unie nepřistoupí ...17) 99) Za těchto podmínek Soudní dvůr rozhodl, že unijní právo musí být vykládáno a platnost unijních aktů zkoumána vzhledem k základním právům zaručeným Listinou ...18) ... 101) Z toho vyplývá, že když takové předávání osobních údajů, jako je předávání dotčené ve věci v původním řízení, prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi, spadá - jak plyne z odpovědi na první otázku - do působnosti GDPR a když cílem tohoto nařízení je ... zajistit soudržnou a vysokou úroveň ochrany fyzických osob v Unii a za tím účelem zajistit v celé Unii jednotné a soudržné uplatňování pravidel ochrany základních práv a svobod těchto osob v souvislosti se zpracováváním osobních údajů, musí být úroveň ochrany základních práv vyžadovaná v čl. 46 odst. 1 uvedeného nařízení určena na základě ustanovení téhož nařízení ve spojení se základními právy zaručenými Listinou. 102) Předkládající soud se dále táže, jaké prvky je třeba vzít v úvahu pro účely určení odpovídající úrovně ochrany v kontextu předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých na základě čl. 46 odst. 2 písm. c) GDPR. 103) K tomu je nutno uvést, že i když toto ustanovení nepodává výčet jednotlivých prvků, které je třeba vzít v úvahu pro účely posouzení odpovídající úrovně ochrany, jež musí být při takovém předávání dodržena, čl. 46 odst. 1 tohoto nařízení upřesňuje, že na subjekty údajů se musí vztahovat vhodné záruky a těmto subjektům musí být k dispozici vymahatelná práva a účinná právní ochrana. 104) Při posuzování vyžadovaném pro tyto účely v kontextu takového předávání je zejména třeba vzít v úvahu jednak smluvní ujednání mezi správcem nebo zpracovatelem usazenými v Unii a příjemcem předávaných údajů usazeným v dotyčné třetí zemi a jednak - v souvislosti s případným přístupem orgánů veřejné moci této třetí země k předávaným osobním údajům - relevantní prvky právního řádu této země. V posledně uvedeném ohledu odpovídají prvky, které je třeba vzít v úvahu v kontextu článku 46 uvedeného nařízení, prvkům příkladmo vyjmenovaným v jeho čl. 45 odst. 2. 105) Na druhou, třetí a šestou otázku je proto třeba odpovědět, že čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR musí být vykládány v tom smyslu, že vhodné záruky, vymahatelná práva a účinná právní ochrana vyžadované uvedenými ustanoveními musí zajistit, aby se na práva osob, jejichž osobní údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, vztahovala úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii tímto nařízením ve spojení s Listinou. Pro tyto účely je při posuzování úrovně ochrany zajištěné v kontextu takového předávání zejména třeba vzít v úvahu jednak smluvní ujednání mezi správcem nebo zpracovatelem usazenými v Unii a příjemcem předávaných údajů usazeným v dotyčné třetí zemi a jednak - v souvislosti s případným přístupem orgánů veřejné moci této třetí země k takto předávaným osobním údajům - relevantní prvky právního řádu této země, zejména prvky uvedené v čl. 45 odst. 2 uvedeného nařízení." K osmé otázce "107) Podle čl. 8 odst. 3 Listiny a podle čl. 51 odst. 1 a čl. 57 odst. 1 písm. a) GDPR jsou vnitrostátní dozorové úřady pověřeny dohlížením na dodržování unijních pravidel týkajících se ochrany fyzických osob v souvislosti se zpracováním osobních údajů. Každý z nich je tedy nadán pravomocí ověřit, zda je předání osobních údajů z jeho členského státu do třetí země v souladu s požadavky stanovenými tímto nařízením ...19) 108) Ze zmíněných ustanovení plyne, že prvořadým úkolem dozorových úřadů je monitorovat a vymáhat uplatňování GDPR. Plnění tohoto úkolu má zvláštní význam v kontextu předávání osobních údajů do třetí země, protože - jak plyne ze samotného znění bodu 116 odůvodnění tohoto nařízení20) - ‚[p] ředání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo poskytnutím těchto údajů'. V takovém případě, jak je dále upřesněno v témže bodě odůvodnění, se ‚[z]ároveň ... může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu'. 109) Kromě toho má podle čl. 57 odst. 1 písm. f) GDPR každý dozorový úřad povinnost na svém území se zabývat stížnostmi, které mu má podle čl. 77 odst. 1 tohoto nařízení právo podat každý subjekt údajů, jenž se domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení, a také povinnost ve vhodné míře prošetřit předmět takové stížnosti. Dozorový úřad se musí takovou stížností zabývat s veškerou náležitou péčí ...21) 110) Článek 78 odst. 1 a 2 GDPR přiznává každému právo na účinnou soudní ochranu mimo jiné tehdy, když se dozorový úřad nezabývá jeho stížností. I v bodě 141 odůvodnění tohoto nařízení22) je odkázáno na ‚právo na účinnou soudní ochranu v souladu s článkem 47 Listiny' v případě, kdy tento dozorový úřad ‚nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů'. 111) Za účelem vyřizování podaných stížností přiznává čl. 58 odst. 1 GDPR každému dozorovému úřadu významné vyšetřovací pravomoci. Když takový orgán na základě šetření dospěje k závěru, že na subjekt údajů, jehož osobní údaje byly předány do třetí země, se v dané zemi nevztahuje odpovídající úroveň ochrany, má podle unijního práva povinnost přiměřeně reagovat, aby zjednal nápravu shledaného nedostatku, a to bez ohledu na to, z čeho tento nedostatek pramení a jakou má povahu. Pro tyto účely jsou v čl. 58 odst. 2 tohoto nařízení vyjmenovány různé nápravné pravomoci, které dozorový úřad má. 112) I když volba vhodného a nezbytného prostředku přísluší dozorovému úřadu, který ji musí provést s přihlédnutím ke všem okolnostem dotčeného předání dotčených osobních údajů, musí tento úřad zároveň s veškerou náležitou péčí splnit svůj úkol vymáhat uplatňování GDPR. 113) V této souvislosti má uvedený úřad ... povinnost podle čl. 58 odst. 2 písm. f) a j) tohoto nařízení povinnost dočasně nebo trvale zakázat předávání osobních údajů do třetí země, když na základě všech okolností daného předávání dospěje k názoru, že standardní doložky o ochraně osobních údajů nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem nemůže být zajištěna jinými prostředky, jestliže předávání nepozastavil nebo neukončil sám správce nebo zpracovatel usazení v Unii. 114) Výklad uvedený v předchozím bodě nemůže zpochybnit argumentace komisařky, podle které článek 4 rozhodnutí 2010/87 ve znění účinném před vstupem prováděcího rozhodnutí 2016/2297 v platnost ve spojení s bodem 11 odůvodnění tohoto rozhodnutí omezoval pravomoc dozorových úřadů dočasně nebo trvale zakázat předávání osobních údajů do třetí země na určité výjimečné případy. V článku 4 rozhodnutí o SSD ve znění změněném prováděcím rozhodnutím 2016/2297 je totiž pravomoc dočasně nebo trvale zakázat takové předávání, kterou tyto orgány disponují nyní na základě čl. 58 odst. 2 písm. f) a j) GDPR, zmíněna bez sebemenšího omezení výkonu této pravomoci na výjimečné okolnosti. 115) V každém případě prováděcí pravomoc, kterou Komisi přiznává čl. 46 odst. 2 písm. c) GDPR pro účely přijetí standardních doložek o ochraně osobních údajů, tomuto orgánu nesvěřuje pravomoc omezit pravomoci dozorových úřadů přiznané jim článkem 58 odst. 2 tohoto nařízení ...23) 116) Je nicméně třeba upřesnit, že pravomoci příslušného dozorového úřadu jsou podmíněny důsledným dodržením rozhodnutí, jímž Komise na základě čl. 45 odst. 1 věty první GDPR případně rozhodne, že určitá třetí země zajišťuje odpovídající úroveň ochrany. V takovém případě totiž z čl. 45 odst. 1 věty druhé tohoto nařízení ve spojení s bodem 103 jeho odůvodnění24) plyne, že se předávání osobních údajů do dotyčné třetí země může uskutečnit, aniž je třeba získat zvláštní povolení. 117) Podle čl. 288 čtvrtého pododstavce SFEU25) je rozhodnutí Komise o odpovídající ochraně závazné v celém rozsahu pro všechny členské státy, jimž je určeno, a v rozsahu, v němž konstatuje, že dotyčná třetí země zajišťuje odpovídající úroveň ochrany, a v němž má za účinek povolení takového předávání osobních údajů, platí tedy pro všechny jejich orgány ...26) 118) Je sice pravda, že dokud není rozhodnutí o odpovídající ochraně prohlášeno Soudním dvorem za neplatné, nemohou členské státy a jejich orgány, včetně jejich nezávislých dozorových úřadů, přijmout opatření odporující tomuto rozhodnutí, jako např. akty směřující ke zjištění se závazným účinkem, že třetí země, na kterou se vztahuje uvedené rozhodnutí, nezajišťuje odpovídající úroveň ochrany ...27) a v důsledku toho dočasně nebo trvale zakázat předávání osobních údajů do této třetí země. 119) Takové rozhodnutí Komise o odpovídající ochraně přijaté na základě čl. 45 odst. 3 GDPR nicméně nemůže bránit osobám, jejichž osobní údaje byly nebo by mohly být předány do třetí země, aby na základě čl. 77 odst. 1 GDPR podaly u vnitrostátního dozorového úřadu stížnost týkající se ochrany jejich práv a svobod v souvislosti se zpracováním těchto údajů. Stejně tak rozhodnutí této povahy nemůže popřít ani omezit pravomoci výslovně přiznané vnitrostátním dozorovým úřadům článkem 8 odst. 3 Listiny, jakož i článkem 51 odst. 1 a článkem 57 odst. 1 písm. a) uvedeného nařízení ...28) 120) Příslušný vnitrostátní dozorový úřad, k němuž subjekt údajů podal stížnost týkající se ochrany svých práv a svobod v souvislosti se zpracováním svých osobních údajů, proto musí i tehdy, když existuje rozhodnutí Komise o odpovídající ochraně, mít možnost zcela nezávisle posoudit, zda je předání těchto údajů v souladu s požadavky stanovenými v GDPR, a případně podat k vnitrostátním soudům návrh na to, aby za předpokladu, že se ztotožní s pochybnostmi dotyčného úřadu o platnosti rozhodnutí o odpovídající ochraně, podaly za účelem přezkumu této platnosti žádost o rozhodnutí o předběžné otázce ...29) 121) S ohledem na výše rozvedené úvahy je třeba na osmou otázku odpovědět, že čl. 58 odst. 2 písm. f) a j) GDPR musí být vykládán v tom smyslu, že neexistuje-li rozhodnutí o odpovídající ochraně platně přijaté Komisí, je příslušný dozorový úřad povinen dočasně nebo trvale zakázat předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých Komisí, když tento dozorový úřad dospěje na základě všech okolností daného předávání k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem, zejména články 45 a 46 GDPR a Listinou, nemůže být v případě, že předávání nepozastavili nebo neukončili sám správce nebo zpracovatel usazení v Unii, zajištěna jinými prostředky." K sedmé a jedenácté otázce "124) Článek 1 rozhodnutí o SSD stanoví, že standardní doložky o ochraně osobních údajů uvedené v jeho příloze jsou považovány za vhodné záruky s ohledem na ochranu soukromí a základních práv a svobod jednotlivců v souladu s čl. 26 odst. 2 směrnice 95/46. Posledně zmíněné ustanovení bylo v podstatě převzato do čl. 46 odst. 1 a do čl. 46 odst. 2 písm. c) GDPR. 125) Tyto doložky jsou sice závazné pro správce usazeného v Unii a pro příjemce předávaných osobních údajů usazeného ve třetí zemi tehdy, když jimi uzavřená smlouva odkazuje na řečené doložky, avšak není sporu o tom, že nemohou zavazovat orgány této třetí země, neboť ty stranami dané smlouvy nejsou. 126) Ačkoli tedy existují situace, ve kterých - v závislosti na stavu právních předpisů a praxe v dotyčné třetí zemi - je příjemce takto předávaných údajů s to zajistit jejich nezbytnou ochranu jen na základě standardních doložek o ochraně osobních údajů, existují i situace jiné, ve kterých by ustanovení obsažená v těchto doložkách nemusela v praxi představovat dostatečný prostředek k zajištění skutečné ochrany předaných osobních údajů v dotyčné třetí zemi. Tak je tomu zejména v případech, kdy právní předpisy této třetí země umožňují orgánům veřejné moci této země zasahovat do práv subjektů údajů týkajících se těchto údajů. 127) Vyvstává tedy otázka, zda je rozhodnutí Komise o standardních doložkách o ochraně osobních údajů, přijaté na základě čl. 46 odst. 2 písm. c) GDPR, neplatné, když v tomto rozhodnutí nejsou stanoveny záruky vymahatelné vůči orgánům veřejné moci třetích zemí, do kterých jsou nebo mohou být na základě těchto doložek předány osobní údaje. 128) Článek 46 odst. 1 GDPR stanoví, že jestliže neexistuje rozhodnutí o odpovídající ochraně, správce nebo zpracovatel mohou předat osobní údaje do třetí země pouze tehdy, pokud správce nebo zpracovatel poskytl vhodné záruky, a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů. Podle čl. 46 odst. 2 písm. c) tohoto nařízení mohou být tyto záruky stanoveny pomocí standardních doložek o ochraně osobních údajů přijatých Komisí. V těchto ustanoveních přitom není uvedeno, že by všechny tyto záruky musely být nutně stanoveny takovým rozhodnutím Komise, jako je rozhodnutí o SSD. 129) K tomu je nutno podotknout, že takové rozhodnutí se liší od rozhodnutí o odpovídající ochraně přijatého na základě čl. 45 odst. 3 GDPR, jehož cílem je - po posouzení právní úpravy dotyčné třetí země s přihlédnutím zejména k příslušným právním předpisům v oblasti národní bezpečnosti a přístupu orgánů veřejné moci k osobním údajům - závazně konstatovat, že určitá třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi zajišťují odpovídající úroveň ochrany, a že tudíž přístup orgánů veřejné moci uvedené třetí země k takovým údajům nebrání jejich předávání do dané třetí země. Takové rozhodnutí o odpovídající ochraně může tedy Komise přijmout jen za podmínky, že konstatovala, že příslušné právní předpisy třetí země v dané oblasti skutečně skýtají všechny vyžadované záruky umožňující mít za to, že zajišťují odpovídající úroveň ochrany. 130) Naproti tomu u takového rozhodnutí Komise, kterým se přijímají standardní doložky o ochraně osobních údajů, jako je rozhodnutí o SSD, nelze vzhledem k tomu, že se takové rozhodnutí netýká určité třetí země, určitého území nebo jednoho či více konkrétních odvětví v této třetí zemi, dovozovat z čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR, že by Komise měla před přijetím takového rozhodnutí posuzovat odpovídající úroveň ochrany zajišťovanou třetí zemí, do které by osobní údaje mohly být na základě takových doložek předány. 131) V této souvislosti je třeba připomenout, že čl. 46 odst. 1 tohoto nařízení stanoví, že jestliže neexistuje rozhodnutí Komise o odpovídající ochraně, přísluší správci nebo zpracovateli usazenému v Unii poskytnout zejména vhodné záruky. Body 108 a 114 odůvodnění uvedeného nařízení30) potvrzují, že pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, měl by správce či případně zpracovatel ‚v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky', a že ‚[t]yto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany ... v Unii nebo ve třetí zemi'. 132) Vzhledem k tomu, jak plyne z bodu 125 tohoto rozsudku, že standardní doložky o ochraně osobních údajů nemohou v důsledku své smluvní povahy zavazovat orgány veřejné moci třetích zemí, ale že článek 44, čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR vykládané s ohledem na články 7, 8 a 47 Listiny vyžadují, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena, může vzniknout potřeba doplnění záruk obsažených v těchto standardních doložkách o ochraně osobních údajů. V této souvislosti se v bodě 109 odůvodnění citovaného nařízení31) uvádí, že ‚[s]kutečnost, že správci ... mohou používat standardní doložky o ochraně údajů přijaté Komisí ... by neměla správcům ... bránit v tom, aby ... doplnili jiné doložky či další záruky', a upřesňuje zejména, že tito správci ‚by měli být vybízeni k poskytování dalších záruk ... které doplní standardní doložky o ochraně údajů'. 133) Je tedy zřejmé, že cílem standardních doložek o ochraně osobních údajů přijatých Komisí na základě čl. 46 odst. 2 písm. c) téhož nařízení není nic jiného než poskytnout správcům a zpracovatelům usazeným v Unii smluvní záruky uplatňované jednotně ve všech třetích zemích, a tedy bez ohledu na úroveň ochrany zajištěnou v jednotlivých třetích zemích. Vzhledem k tomu, že tyto standardní doložky o ochraně osobních údajů nemohou s ohledem na svou povahu poskytovat záruky nad rámec smluvní povinnosti dbát na dodržování úrovně ochrany vyžadované unijním právem, může být v závislosti na situaci panující v dané třetí zemi potřebné, aby správce za účelem zajištění dodržení této úrovně ochrany přijal další opatření. 134) V tomto ohledu ... je smluvní mechanismus stanovený v čl. 46 odst. 2 písm. c) GDPR založen na odpovědnosti správce nebo zpracovatele usazených v Unii a podpůrně příslušného dozorového úřadu. Je tedy především na správci či zpracovateli aby případ od případu - a eventuálně ve spolupráci s příjemcem předávaných údajů - ověřili, zda právo třetí země, do které jsou údaje předávány, zajišťuje ochranu osobních údajů předávaných na základě standardních doložek o ochraně osobních údajů, která je z hlediska unijního práva odpovídající, a v případě potřeby poskytl k zárukám poskytovaným těmito doložkami další záruky. 135) Nemohou-li správce nebo zpracovatel usazení v Unii přijmout další opatření dostatečná pro zajištění takové ochrany, mají tento správce nebo zpracovatel, či případně příslušný dozorový úřad, povinnost pozastavit nebo ukončit předávání osobních údajů do dotyčné třetí země. Tak je tomu zejména v případě, že právo této třetí země ukládá příjemci osobních údajů předávaných z Unie povinnosti, které jsou v rozporu s uvedenými doložkami a mohou tedy ohrozit smluvní záruku odpovídající úrovně ochrany před přístupem orgánů veřejné moci uvedené třetí země k těmto údajům. 136) Pouhou skutečností, že takové standardní doložky o ochraně osobních údajů uvedené v rozhodnutí Komise přijatém na základě čl. 46 odst. 2 písm. c) GDPR, jako jsou standardní doložky uvedené v příloze rozhodnutí o SSD, nezavazují orgány třetích zemí, do kterých mohou být osobní údaje předány, proto nemůže být dotčena platnost tohoto rozhodnutí. 137) Tato platnost naproti tomu závisí na tom, zda takové rozhodnutí - v souladu s požadavkem vyplývajícím z čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) GDPR vykládaných s ohledem na články 7, 8 a 47 Listiny - obsahuje účinné mechanismy, které v praxi umožní zajistit dodržování úrovně ochrany vyžadované unijním právem a v případě, že by došlo k porušení takových doložek nebo k nemožnosti je dodržet, dočasně nebo trvale zakázat předávání osobních údajů na jejich základě. 138) K zárukám obsaženým ve standardních doložkách o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD je třeba uvést, že z jeho doložky 4 písm. a) a b), z doložky 5 písm. a), z doložky 9 a z doložky 11 odst. 1 plyne, že se správce usazený v Unii, příjemce předávaných osobních údajů a jeho případný zpracovatel těchto údajů vzájemně zavazují k tomu, že zpracování těchto údajů včetně jejich předávání bylo a bude prováděno v souladu s ‚právem rozhodným pro ochranu údajů', to znamená, jak stanoví definice uvedená v čl. 3 písm. f) uvedeného rozhodnutí, s ‚právní[mi] předpisy ochraňující[mi] základní práva a svobody jednotlivců, a zejména jejich právo na soukromí ve vztahu ke zpracování osobních údajů, které se vztahují na správce údajů v členském státě, ve kterém je usazen vývozce údajů'. Mezi tyto předpisy přitom patří ustanovení GDPR ve spojení s Listinou. 139) Příjemce předávaných osobních údajů usazený ve třetí zemi se dále podle doložky 5 písm. a) zavazuje neprodleně informovat správce usazeného v Unii o tom, že případně nebude moci zajistit dodržování povinností, které pro něj vyplývají z uzavřené smlouvy ... 140) ... doložka 5 písm. a) a b) v obou tam upravených případech dává správci usazenému v Unii oprávnění pozastavit předávání údajů a/nebo odstoupit od smlouvy. S ohledem na požadavky vyplývající z čl. 46 odst. 1 a odst. 2 písm. c) GDPR ve spojení s články 7 a 8 Listiny je pozastavení předávání údajů a/nebo odstoupení od smlouvy pro správce povinné, jestliže příjemce předávaných údajů nemůže nebo již nemůže zajistit dodržování standardních doložek o ochraně osobních údajů. V opačném případě by správce nedostál požadavkům na něj kladeným doložkou 4 písm. a) přílohy rozhodnutí o SSD vykládanou ve spojení s ustanoveními GDPR a Listiny. 141) Je tedy zřejmé, že doložka 4 písm. a) a doložka 5 písm. a) a b) této přílohy stanoví správci usazenému v Unii a příjemci předávaných osobních údajů povinnost ujistit se, že právní předpisy třetí země, do které jsou údaje předávány, umožňují tomuto příjemci dodržovat standardní doložky o ochraně osobních údajů uvedené v příloze rozhodnutí o SSD, a to ještě před samotným předáním osobních údajů do této třetí země ... 142) Z toho plyne, že správce usazený v Unii a příjemce předávaných osobních údajů mají povinnost předem ověřit, že v dotyčné třetí zemi bude dodržena úroveň ochrany vyžadovaná unijním právem. Příjemce předávaných údajů má případně na základě téže doložky 5 písm. b) povinnost informovat správce, pokud nebude moci zajistit dodržování těchto doložek, přičemž správce musí v takovém případě pozastavit předávání údajů a/nebo odstoupit od smlouvy. 143) Oznámí-li příjemce osobních údajů předávaných do třetí země správci na základě doložky 5 písm. b) přílohy rozhodnutí o SSD, že mu právní předpisy dotyčné třetí země již nedovolují zajistit dodržování standardních doložek o ochraně osobních údajů uvedených v této příloze, musí podle doložky 12 uvedené přílohy být veškeré údaje, které již byly předány do této třetí země, a jejich kopie vráceny nebo zničeny. Doložka 6 téže přílohy v každém případě postihuje nedodržení těchto standardních doložek tím, že subjektu údajů přiznává nárok na náhradu utrpěné škody. 144) Je nutno dodat, že podle doložky 4 písm. f) přílohy rozhodnutí o SSD se správce usazený v Unii zavazuje v případě, kdy by do třetí země, která neposkytuje odpovídající úroveň ochrany, mohly být předány zvláštní kategorie údajů, informovat o této skutečnosti subjekt údajů před předáním nebo co nejdříve po něm. Na základě tohoto informování by mohl uvedený subjekt získat možnost domáhat se na základě oprávnění, které mu přiznává doložka 3 odst. 1 této přílohy, na správci, aby pozastavil navrhované předání, odstoupil od smlouvy uzavřené s příjemcem předávaných osobních údajů nebo aby případně vyžadoval po tomto příjemci vrácení nebo zničení předaných údajů. 145) Konečně podle doložky 4 písm. g) uvedené přílohy má správce usazený v Unii povinnost v případě, kdy mu příjemce předávaných osobních údajů oznámí na základě doložky 5 písm. b) této přílohy, že právní předpisy, kterým podléhá, se změnily způsobem, jenž by mohl mít výrazně nepříznivý dopad na záruky a závazky stanovené standardními doložkami o ochraně osobních údajů, předat toto oznámení příslušnému dozorovému úřadu, pokud se navzdory tomuto oznámení rozhodne pokračovat v předávání nebo odvolat jeho pozastavení. Na základě předání takového oznámení tomuto dozorovému úřadu a oprávnění tohoto úřadu provést u příjemce předávaných osobních údajů ověření podle doložky 8 odst. 2 téže přílohy může tento dozorový úřad ověřit, zda je za účelem zajištění odpovídající úrovně ochrany třeba dočasně nebo trvale zakázat navrhované předání. 146) V tomto kontextu článek 4 rozhodnutí o SSD ve spojení s bodem 5 odůvodnění prováděcího rozhodnutí 2016/2297 potvrzuje, že rozhodnutí o SSD příslušnému dozorovému úřadu nebrání, aby v případě potřeby dočasně nebo trvale zakázal předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze tohoto rozhodnutí. V této souvislosti má příslušný dozorový úřad, jak vyplývá z odpovědi na osmou otázku a pokud neexistuje rozhodnutí o odpovídající ochraně platně přijaté Komisí, povinnost podle čl. 58 odst. 2 písm. f) a j) GDPR dočasně nebo trvale zakázat takové předávání, když na základě všech okolností daného předávání dospěje k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem nemůže být zajištěna jinými prostředky, jestliže předávání nepozastavil nebo neukončil sám správce nebo zpracovatel usazení v Unii. 147) K okolnosti, na kterou poukazuje komisařka a podle které by se na předávání osobních údajů do takové třetí země mohla případně vztahovat rozdílná rozhodnutí dozorových úřadů v jednotlivých členských státech, je nutno dodat, že - jak vyplývá z čl. 55 odst. 1 a čl. 57 odst. 1 písm. a) GDPR - úkol vymáhat uplatňování tohoto nařízení je v zásadě svěřen každému dozorovému úřadu na území jeho členského státu. K zabránění rozdílných rozhodnutí stanoví čl. 64 odst. 2 uvedeného nařízení možnost dozorového úřadu, který dospěje k názoru, že předávání údajů do třetí země by mělo být obecně zakázáno, požádat o stanovisko evropský sbor pro ochranu osobních údajů (EDPB), který na základě čl. 65 odst. 1 písm. c) téhož nařízení může přijmout závazné rozhodnutí mimo jiné tehdy, pokud se určitý dozorový úřad neřídí vydaným stanoviskem. 148) Z toho vyplývá, že rozhodnutí o SSD stanoví účinné mechanismy umožňující v praxi zajistit, aby předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze tohoto rozhodnutí bylo dočasně nebo trvale zakázáno, když příjemce předávaných údajů tyto doložky nedodržuje nebo když je mu jejich dodržování znemožněno." Ke čtvrté, páté, deváté a desáté otázce "151) Předně je nutno poukázat na to, že komisařka sice v návrhu, jímž bylo zahájeno původní řízení, zpochybňuje platnost jen rozhodnutí o SSD, avšak tento návrh byl k předkládajícímu soudu podán před přijetím rozhodnutí o štítu na ochranu soukromí. Vzhledem k tomu, že prostřednictvím čtvrté a páté otázky se předkládající soud táže Soudního dvora obecně na ochranu, která musí podle článků 7, 8 a 47 Listiny být zajištěna v kontextu takového předávání, musí Soudní dvůr při přezkumu zohlednit důsledky plynoucí ze skutečnosti, že v mezidobí bylo přijato rozhodnutí o štítu na ochranu soukromí. Je tomu tak tím spíše, že uvedený soud se prostřednictvím desáté otázky výslovně táže, zda ochranu vyžadovanou tímto článkem 47 Listiny zajišťuje úřad ombudsmana zmíněný v posledně zmíněném rozhodnutí. 152) Z informací uvedených v žádosti o rozhodnutí o předběžné otázce dále plyne, že Facebook Ireland v původním řízení tvrdila, že rozhodnutí o štítu na ochranu soukromí je v rozsahu zjištění odpovídající úrovně ochrany zajišťované Spojenými státy, potažmo v rozsahu legality předávání osobních údajů do této třetí země na základě standardních doložek o ochraně osobních údajů uvedených v příloze rozhodnutí o SSD, pro komisařku závazné. ... 156) Jak vyplývá z judikatury ... rozhodnutí o štítu na ochranu soukromí je pro dozorové úřady závazné v rozsahu, ve kterém je v něm konstatováno, že Spojené státy zajišťují odpovídající úroveň ochrany, takže v jeho důsledku je předávání osobních údajů v rámci štítu Evropská unie-USA na ochranu soukromí povoleno. Dokud tedy toto rozhodnutí není prohlášeno za neplatné Soudním dvorem, nemůže příslušný dozorový úřad dočasně nebo trvale zakázat předávání osobních údajů organizaci uvedené na seznamu organizací tohoto štítu z důvodu, že podle jeho názoru - na rozdíl od závěru Komise vyjádřeného v uvedeném rozhodnutí - právní předpisy Spojených států upravující přístup k osobním údajům předaným v rámci uvedeného štítu a použití těchto údajů orgány veřejné moci této třetí země pro účely národní bezpečnosti, prosazování práva a jiné účely veřejného zájmu, nezajišťují odpovídající úroveň ochrany. 157) To nic nemění na tom, že podle judikatury ... musí příslušný dozorový úřad, k němuž subjekt údajů podal stížnost, zcela nezávisle posoudit, zda je předání těchto údajů v souladu s požadavky stanovenými v GDPR, a v případě uznání důvodnosti výtek vznesených tímto subjektem a zpochybňujících platnost rozhodnutí o odpovídající ochraně podat k vnitrostátním soudům návrh na to, aby za účelem posouzení platnosti tohoto rozhodnutí podaly Soudnímu dvoru žádost o rozhodnutí o předběžné otázce. 158) Stížnost podaná podle čl. 77 odst. 1 GDPR, v níž osoba, jejíž osobní údaje byly nebo by mohly být předány do třetí země, tvrdí, že právní předpisy a praxe platné v této zemi nezajišťují - navzdory zjištění učiněnému Komisí v rozhodnutí přijatém na základě čl. 45 odst. 3 tohoto nařízení - odpovídající úroveň ochrany, musí totiž být chápána v tom smyslu, že se v podstatě týká slučitelnosti tohoto rozhodnutí s ochranou soukromí a základních práv a svobod osob ...32) ... 161) ... za účelem podání úplné odpovědi předkládajícímu soudu je proto třeba posoudit, zda je rozhodnutí o štítu na ochranu soukromí v souladu s požadavky vyplývajícími z GDPR ve spojení s Listinou ...33) 162) Přijetí rozhodnutí o odpovídající ochraně Komisí na základě čl. 45 odst. 3 GDPR vyžaduje, aby tento orgán s náležitým odůvodněním konstatoval, že dotyčná třetí země skutečně zajišťuje na základě svých vnitrostátních předpisů nebo mezinárodních závazků takovou úroveň ochrany základních práv, která je v zásadě rovnocenná úrovni ochrany zaručené v unijním právním řádu ...34) ... 168) S ohledem na informace uvedené Komisí v rozhodnutí o štítu na ochranu soukromí a na skutečnosti zjištěné předkládajícím soudem v rámci původního řízení má uvedený soud pochybnosti o tom, zda právo Spojených států skutečně zajišťuje odpovídající úroveň ochrany vyžadovanou v článku 45 GDPR ve spojení se základními právy zaručenými v článcích 7, 8 a 47 Listiny. Konkrétně má uvedený soud za to, že právo této třetí země nestanoví omezení a záruky nezbytné vzhledem k zásahům dovoleným jeho vnitrostátní právní úpravou a nezajišťuje ani účinnou soudní ochranu proti takovým zásahům. K posledně zmíněnému aspektu předkládající soud dodává, že tyto nedostatky nemůže podle jeho názoru zhojit zřízení úřadu ombudsmana ve věcech štítu na ochranu soukromí, protože tohoto ombudsmana nelze považovat za soud ve smyslu článku 47 Listiny. 169) Zaprvé k článkům 7 a 8 Listiny, které spolutvoří úroveň ochrany vyžadovanou v Unii a jejichž dodržení musí Komise konstatovat ještě před přijetím rozhodnutí o odpovídající ochraně na základě čl. 45 odst. 1 GDPR, je třeba připomenout, že článek 7 Listiny zaručuje každému právo na respektování jeho soukromého a rodinného života, obydlí a komunikace. Článek 8 odst. 1 Listiny dále výslovně přiznává každému právo na ochranu osobních údajů, které se ho týkají. 170) Přístup k osobním údajům fyzické osoby za účelem jejich uložení nebo jejich použití se tedy dotýká základního práva této osoby na respektování soukromého života zaručeného v článku 7 Listiny, přičemž toto právo se vztahuje na veškeré informace o identifikované či identifikovatelné fyzické osobě. Tyto způsoby zpracování údajů spadají i pod článek 8 Listiny, protože představují zpracování osobních údajů ve smyslu tohoto článku, a musí tedy nutně splňovat požadavky na ochranu údajů stanovené v tomto článku ...35) 171) Soudní dvůr již rozhodl, že sdělování osobních údajů třetí straně, například veřejnému orgánu, je zásahem do základních práv zakotvených v článcích 7 a 8 Listiny, bez ohledu na způsob následného použití sdělených informací. Totéž platí pro uložení osobních údajů a pro jejich zpřístupňování za účelem jejich použití orgány veřejné moci, a to bez ohledu na to, zda dotyčné informace o soukromém životě představují citlivé údaje nebo zda dotyčné osoby utrpěly z důvodu tohoto zásahu případné nepříznivé následky ...36) 172) Práva zakotvená v článcích 7 a 8 Listiny se však neprojevují jako absolutní výsady, ale musí být nahlížena ve vztahu k jejich společenské funkci ...37) 173) V tomto ohledu je třeba rovněž poukázat na to, že podle čl. 8 odst. 2 Listiny musí být osobní údaje zpracovány zejména ‚k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem'. 174) Podle čl. 52 odst. 1 věty první Listiny38) musí dále být každé omezení výkonu práv a svobod uznaných touto Listinou stanoveno zákonem a respektovat podstatu těchto práv a svobod. Článek 52 odst. 1 věta druhá Listiny stanoví, že při dodržení zásady proporcionality mohou být omezení těchto práv a svobod zavedena pouze tehdy, pokud jsou nezbytná a pokud skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého. 175) K posledně zmíněnému aspektu je třeba doplnit, že požadavek, aby každé omezení výkonu základních práv bylo stanoveno zákonem, implikuje, že právní základ dovolující zásah do těchto práv musí sám definovat rozsah omezení výkonu dotyčného práva ...39) 176) Konečně za účelem splnění požadavku proporcionality, podle kterého musí být výjimky z ochrany osobních údajů a její omezení činěny v mezích toho, co je nezbytně nutné, musí předmětná právní úprava, která s sebou přináší zásah, stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a stanovit minimální požadavky, tak aby osoby, jejichž údaje byly předány, měly dostatečné záruky umožňující účinně chránit jejich osobní údaje proti riziku zneužití. Taková právní úprava musí zejména vymezit okolnosti a podmínky, za nichž může být přijato opatření týkající se zpracovávání takových údajů, čímž zaručí, že se zásah omezí na to, co je nezbytně nutné. Potřeba takových záruk je o to významnější v případě, kdy jsou osobní údaje zpracovávány automaticky ...40) 177) Pro tyto účely čl. 45 odst. 2 písm. a) GDPR upřesňuje, že Komise při posuzování odpovídající úrovně ochrany ve třetí zemi vezme v úvahu mimo jiné existenci ‚účinných a vymahatelných práv subjekt[ů] údajů', jejichž osobní údaje se předávají. 178) V projednávané věci bylo zjištění, které Komise uvedla v rozhodnutí o štítu na ochranu soukromí a podle kterého Spojené státy zajišťují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii GDPR ve spojení s články 7 a 8 Listiny, zpochybněno zejména proto, že se na zásahy, které vyplývají z provádění sledovacích programů, jejichž základem jsou § 702 zákona FISA41) a EO 1233342), nevztahují požadavky zajišťující v souladu se zásadou proporcionality takovou úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené článkem 52 odst. 1 větou druhou Listiny. Je proto třeba posoudit, zda jsou tyto sledovací programy prováděny v souladu s takovými požadavky, aniž je nutné předem ověřovat, zda tato třetí země dodržuje podmínky, které jsou v zásadě rovnocenné podmínkám stanoveným v čl. 52 odst. 1 větě první Listiny. ... 181) Je pravda, že podle zjištění uvedených v rozhodnutí o štítu na ochranu soukromí musí být sledovací programy, jejichž základem je § 702 zákona FISA, prováděny v souladu s požadavky vyplývajícími z PPD-2843). Nicméně - třebaže Komise v bodech 69 a 77 odůvodnění rozhodnutí o štítu na ochranu soukromí zdůraznila, že takové požadavky jsou pro zpravodajské orgány USA závazné - vláda USA v odpověď na otázku Soudního dvora připustila, že PPD-28 nepřiznává subjektům údajů práva vymahatelná vůči orgánům USA před soudy. Nemůže tedy zajistit úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany vyplývající z Listiny, i když je taková úroveň vyžadována v čl. 45 odst. 2 písm. a) GDPR, podle něhož je konstatování této úrovně závislé mimo jiné na existenci účinných a vymahatelných práv subjektů údajů, jejichž osobní údaje se předávají do dotyčné třetí země. 182) V souvislosti se sledovacími programy, jejichž základem je EO 12333, vyplývá ze spisu předloženého Soudnímu dvoru, že ani tento dekret nepřiznává práva vymahatelná vůči orgánům USA před soudy. ... 184) Ukazuje se tedy, že ani § 702 zákona FISA, ani EO 12333 ve spojení s PPD-28 neodpovídají minimálním požadavkům, které jsou v unijním právu svázané se zásadou proporcionality, takže nelze mít za to, že by se sledovací programy prováděné na základě těchto předpisů omezovaly na to, co je nezbytně nutné. 185) Za těchto podmínek je třeba konstatovat, že omezení ochrany osobních údajů, která plynou z vnitrostátních právních předpisů Spojených států upravujících přístup k takovým údajům předávaným z Unie do Spojených států a jejich použití orgány veřejné moci USA a která Komise posuzovala v rozhodnutí o štítu na ochranu soukromí, nejsou upravena takovým způsobem, aby odpovídala požadavkům, které jsou v zásadě rovnocenné požadavkům vyžadovaným v unijním právu článkem 52 odst. 1 větou druhou Listiny. 186) Zadruhé k článku 47 Listiny, který také spolutvoří úroveň ochrany vyžadovanou v Unii a jehož dodržení musí Komise konstatovat ještě před přijetím rozhodnutí o odpovídající ochraně na základě čl. 45 odst. 1 GDPR, je třeba připomenout, že první pododstavec tohoto článku 47 vyžaduje, aby každý, jehož práva a svobody zaručené právem Unie byly porušeny, měl za podmínek stanovených tímto článkem právo na účinné prostředky nápravy před soudem. Podle druhého pododstavce téhož článku má každý právo, aby jeho věc byla projednána nezávislým a nestranným soudem. 187) Podle ustálené judikatury je samotná existence účinného soudního přezkumu určeného k zajištění dodržování ustanovení unijního práva inherentní existenci právního státu. Právní úprava, která nestanoví procesním subjektům žádnou možnost využít právních prostředků s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů, proto nerespektuje podstatu základního práva na účinnou právní ochranu zakotveného v článku 47 Listiny ...44) 188) Pro tyto účely čl. 45 odst. 2 písm. a) GDPR vyžaduje, aby Komise vzala při posuzování odpovídající úrovně ochrany ve třetí zemi v úvahu mimo jiné existenci ‚účinné správní a soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají'. V bodě 104 odůvodnění GDPR je v této souvislosti zdůrazněno, že daná třetí země ‚by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů' s upřesněním, že ‚subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana'. 189) Skutečnost, že v dotyčné třetí zemi existují takové možnosti účinné ochrany, je v kontextu předávání osobních údajů do této třetí země zvlášť důležitá, protože subjektům údajů se - jak plyne z bodu 116 odůvodnění GDPR45) - může stát, že správní orgány a soudy členských států nebudou mít dostatečné pravomoci a prostředky pro vyhovění jejich stížnostem založeným na údajně nezákonném zpracování jejich takto předaných údajů v této třetí zemi, což může vést k tomu, že se budou muset obrátit na vnitrostátní orgány a soudy této třetí země. 190) V projednávané věci bylo zjištění, které Komise uvedla v rozhodnutí o štítu na ochranu soukromí a podle kterého Spojené státy zajišťují úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v článku 47 Listiny, zpochybněno zejména proto, že zřízení úřadu ombudsmana ve věcech štítu na ochranu soukromí nemůže zhojit nedostatky zjištěné samotnou Komisí v soudní ochraně osob, jejichž osobní údaje jsou předávány do této třetí země. 191) V tomto ohledu Komise v bodě 115 odůvodnění rozhodnutí o štítu na ochranu soukromí uvedla, že zatímco ‚fyzické osoby, včetně subjektů údajů z [Unie], ... mají k dispozici několik možností nápravy, pokud se staly předmětem nezákonného (elektronického) sledování z důvodu národní bezpečnosti, je stejně tak jasné, že přinejmenším některých z právních základů, které zpravodajské orgány USA mohou využít (např. EO 12223), se to netýká'. V souvislosti s EO 12333 poukázala v témže bodě 115 odůvodnění na neexistenci jakékoli možnosti nápravy. Podle judikatury ... přitom takový nedostatek v soudní ochraně proti zásahům spojeným se zpravodajskými programy, jejichž základem je zmíněný prezidentský dekret, brání závěru, který učinila Komise v rozhodnutí o štítu na ochranu soukromí a podle kterého právo Spojených států zajišťuje úroveň ochrany, jež je v zásadě rovnocenná úrovni ochrany zaručené v článku 47 Listiny. ... 194) Při zkoumání otázky, zda mechanismus ombudsmana zmíněný v rozhodnutí o štítu na ochranu soukromí skutečně může překlenout Komisí zjištěná omezení práva na soudní ochranu, je nutné v souladu s požadavky plynoucími z článku 47 Listiny a z judikatury ... vycházet ze zásady, že procesním subjektům musí být dána možnost využít právních prostředků před nezávislým a nestranným soudem s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů. ... 197) Mechanismus ombudsmana zmíněný v rozhodnutí o štítu na ochranu soukromí tudíž neposkytuje prostředek nápravy u orgánu, který by osobám, jejichž údaje jsou předávány do Spojených států, nabízel záruky, které jsou v zásadě rovnocenné zárukám vyžadovaným v článku 47 Listiny. 198) Komise proto tím, že v čl. 1 odst. 1 rozhodnutí o štítu na ochranu soukromí konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z Unie organizacím usazeným v této třetí zemi v rámci štítu Evropská unie-USA na ochranu soukromí, nedodržela požadavky vyplývající z čl. 45 odst. 1 GDPR ve spojení s články 7, 8 a 47 Listiny. 199) Z toho plyne, že článek 1 rozhodnutí o štítu na ochranu soukromí je neslučitelný s čl. 45 odst. 1 GDPR ve spojení s články 7, 8 a 47 Listiny, a z toho důvodu je neplatný. 200) Vzhledem k tomu, že článek 1 rozhodnutí o štítu na ochranu soukromí je neoddělitelně spjat s články 2 až 6, jakož i s přílohami tohoto rozhodnutí, má jeho neplatnost dopad na platnost tohoto rozhodnutí jako celku. 201) Vzhledem ke všem výše uvedeným úvahám je třeba dospět k závěru, že rozhodnutí o štítu na ochranu soukromí je neplatné."