Prin Hotărârea Curții în cauza C-33/22| Österreichische Datenschutzbehörde pronunțată în 16 ianuarie, Curtea a statuat că o comisie de anchetă instituită de parlamentul unui stat membru în exercitarea competenței sale de a controla puterea executivă trebuie, în principiu, să respecte Regulamentul general privind protecția datelor (RGPD).
În plus, atunci când în acest stat membru există o singură autoritate de supraveghere, aceasta este, în principiu, competentă să monitorizeze respectarea RGPD de către comisia de anchetă. În schimb, atunci când comisia de anchetă desfășoară efectiv o activitate care urmărește ca atare să protejeze securitatea națională, ea nu este supusă RGPD și, în consecință, nici supravegherii din partea autorității de supraveghere.
Camera Deputaților a parlamentului austriac a constituit o comisie de anchetă însărcinată să clarifice existența unei eventuale influențe politice asupra Oficiului Federal pentru Protecția Constituției și pentru Combaterea Terorismului din Austria.
Această comisie de anchetă a audiat un martor în cadrul unei audieri retransmise de mass-media. Procesul-verbal al acestei audieri a fost publicat pe site-ul internet al parlamentului austriac. Acesta conținea, în pofida cererii sale de anonimizare, numele complet al martorului.
Considerând că menționarea numelui său era contrară RGPD, martorul a introdus o plângere la autoritatea austriacă de protecție a datelor. Acesta a explicat că lucra ca agent infiltrat în grupul de intervenție al poliției însărcinat cu combaterea infracționalității pe drumurile publice. Autoritatea pentru protecția datelor a respins plângerea pentru motivul că principiul separării puterilor se opune ca această autoritate, în calitate de ramură a puterii executive, să monitorizeze respectarea RGPD de către comisia de anchetă, care face parte din puterea
legislativă. Martorul s-a adresat instanțelor austriece pentru a contesta această abordare.
Curtea Administrativă din Austria a solicitat Curții de Justiție să stabilească dacă comisia de anchetă, care face parte din puterea legislativă și desfășoară o anchetă privind activități de securitate națională, este supusă RGPD și supravegherii din partea autorității pentru protecția datelor.
Întrebările preliminare adresate Curții:
„1) Lucrările unei comisii de anchetă instituite de un parlament al unui stat membru în exercitarea dreptului său de control asupra puterii executive, indiferent de obiectul anchetei, intră în domeniul de aplicare al dreptului Uniunii în sensul articolului 16 alineatul (2) prima teză TFUE, astfel încât [RGPD] este aplicabil prelucrării datelor cu caracter personal efectuate de o comisie parlamentară de anchetă a unui stat membru?
În cazul unui răspuns afirmativ la prima întrebare:
2) Lucrările unei comisii de anchetă instituite de un parlament al unui stat membru în exercitarea dreptului său de control asupra puterii executive care au ca obiect anchetarea activităților unei autorități polițienești de protecție a statului, așadar, a unor activități privind protecția securității naționale în sensul considerentului (16) al [RGPD], intră sub incidența excepției prevăzute la articolul 2 alineatul (2) litera (a) din RGPD?
În cazul unui răspuns negativ la cea de a doua întrebare:
3) În măsura în care, precum în speță, un stat membru a instituit o singură autoritate de supraveghere în temeiul articolului 51 alineatul (1) din RGPD, competența acesteia de soluționare a plângerilor în sensul articolului 77 alineatul (1) din RGPD coroborat cu articolul 55 alineatul (1) din RGPD rezultă deja în mod direct din [RGPD]?”
Curtea statuează că chiar și o comisie de anchetă instituită de parlamentul unui stat membru în exercitarea competenței sale de a controla puterea executivă trebuie, în principiu, să respecte RGPD.
Este adevărat că RGPD nu se aplică prelucrării datelor cu caracter personal efectuate de autoritățile statului în cadrul unei activități care urmărește protejarea securității naționale. Cu toate acestea, sub rezerva verificării de către Curtea Administrativă din Austria, ancheta în cauză nu pare să vizeze, ca atare, menținerea securității naționale. Astfel, această comisie de anchetă trebuia să ancheteze existența unei eventuale influențe politice asupra unei autorități care aparține puterii executive, care avea sarcina de a proteja Constituția și de a combate terorismul.
În aceste condiții, securitatea națională poate justifica limitarea, prin intermediul unor măsuri legislative, a obligațiilor și drepturilor care decurg din RGPD. Nu reiese totuși din dosar că comisia de anchetă în cauză ar fi susținut că divulgarea numelui martorului este necesară pentru protecția securității naționale și se întemeiază pe o măsură legislativă. Va reveni însă Curții Administrative din Austria sarcina de a efectua verificările necesare în această privință.
Întrucât Austria a ales să instituie o singură autoritate de supraveghere în sensul RGPD, și anume autoritatea pentru protecția datelor, aceasta este, în principiu, de asemenea competentă să monitorizeze respectarea RGPD de către o comisie de anchetă precum cea în discuție, în pofida principiului separării puterilor. Acest lucru rezultă din efectul direct al RGPD și din supremația dreptului Uniunii, inclusiv în raport cu dreptul constituțional național.
Pentru aceste motive, Curtea (Marea Cameră) declară:
1) Articolul 16 alineatul (2) prima teză TFUE și articolul 2 alineatul (2) litera a) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretate în sensul că nu se poate considera că o activitate este situată în afara domeniului de aplicare al dreptului Uniunii și că, prin urmare, nu i se aplică acest regulament pentru simplul motiv că este exercitată de o comisie de anchetă instituită de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive.
2)Articolul 2 alineatul (2) litera (a) din Regulamentul 2016/679, citit în lumina considerentului (16) al acestui regulament, trebuie interpretat în sensul că nu pot fi considerate, ca atare, drept activități referitoare la securitatea națională situate în afara domeniului de aplicare al dreptului Uniunii, în sensul acestei dispoziții, activitățile unei comisii de anchetă instituite de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive, care au ca obiect anchetarea activităților unei autorități polițienești de protecție a statului ca urmare a unei suspiciuni de influență politică asupra acestei autorități.
3)Articolul 77 alineatul (1) și articolul 55 alineatul (1) din Regulamentul 2016/679 trebuie interpretate în sensul că, atunci când un stat membru a ales, în conformitate cu articolul 51 alineatul (1) din acest regulament, să instituie o singură autoritate de supraveghere, fără a‑i atribui însă competența de a monitoriza aplicarea regulamentului menționat de către o comisie de anchetă instituită de parlamentul acestui stat membru în exercitarea competenței sale de control asupra puterii executive, dispozițiile menționate conferă în mod direct respectivei autorități competența de a soluționa plângeri referitoare la prelucrări de date cu caracter personal efectuate de comisia de anchetă menționată.
