A High Court (Írország) által 2018. május 9-én benyújtott előzetes döntéshozatal iránti kérelem – Data Protection Commissioner kontra Facebook Ireland Limited, Maximillian Schrems
(C-311/18. sz. ügy)
Az eljárás nyelve: angol
A kérdést előterjesztő bíróság
High Court (Írország)
Az alapeljárás felei
Felperes: Data Protection Commissioner
Alperesek: Facebook Ireland Limited, Maximillian Schrems
Az előzetes döntéshozatalra előterjesztett kérdések
1. Olyan körülmények között, amikor valamely magánvállalkozás az Európai Unió (EU) tagállamából harmadik országbeli magánvállalkozás részére kereskedelmi célból személyes adatot továbbít a 2016/2297 bizottsági határozattal1 módosított 2010/87/EU határozat2 (a továbbiakban: SCC határozat) alapján, és a szóban forgó harmadik országban annak hatóságai nemzetbiztonsági célból, ezen felül azonban bűnüldözési célból, valamint e harmadik ország külügyi tevékenysége céljából is e személyes adatok további kezelését végezhetik, az EUSZ 4. cikk (2) bekezdésének nemzeti biztonsággal kapcsolatos rendelkezései és a 95/46/EK irányelv3 (a továbbiakban: irányelv) 3. cikke (2) bekezdésének első francia bekezdésében foglalt, a közbiztonsággal, a védelemmel és a nemzetbiztonsággal kapcsolatos rendelkezései ellenére alkalmazható-e az uniós jog (ideértve az Európai Unió Alapjogi Chartáját, a továbbiakban: Charta) az adattovábbításra?
2. (1) Annak meghatározása során, hogy sérti-e valamely magánszemély jogát az EU-ból az SCC határozat alapján harmadik országba irányuló adattovábbítás, ahol ezeket az adatokat nemzetbiztonsági okból további kezelés alá vonhatják, vajon a vonatkozó összehasonlítási alap az irányelv értelmében:
a) a Charta, az EUSZ, az EUMSZ, az irányelv, az EJEE (vagy az uniós jog valamely más rendelkezése); vagy
b) egy vagy több tagállam nemzeti jogszabályai?
(2) Amennyiben a b) a vonatkozó összehasonlítási alap, be kell-e vonni az összehasonlítási alapba egy vagy több tagállam nemzetbiztonsággal kapcsolatos gyakorlatát?
3. Annak értékelése során, hogy valamely harmadik ország az irányelv 26. cikke értelmében biztosítja-e az uniós jog által a szóban forgó országba továbbított személyes adatokkal összefüggésben megkövetelt szintű védelmet, a védelem e harmadik országban biztosított szintjét az alábbiak közül melyekre való hivatkozással kell vizsgálni:
a) a harmadik országban a saját nemzeti jogszabályaiból vagy nemzetközi kötelezettségvállalásaiból eredően alkalmazandó szabályokra, és az e szabályokkal való összhang biztosítását szolgáló gyakorlatra, beleértve a harmadik országban érvényesülő szakmai szabályokat és biztonsági intézkedéseket;
vagy
b) az a) pontban hivatkozott szabályokra az adott harmadik országban fennálló közigazgatási, szabályozási és megfelelőségi gyakorlattal és szakpolitikai biztosítékokkal, eljárásokkal, protokollokkal, felügyeleti mechanizmusokkal és bíróságon kívüli jogorvoslatokkal együtt?
4. Tekintettel a High Court (felsőbíróság) által az Egyesült Államok jogával kapcsolatban tett ténymegállapításokra, sérti-e a magánszemélyeknek a Charta 7. és/vagy 8. cikkében foglalt jogait, ha a személyes adatokat az EU-ból az Egyesült Államokba az SCC határozat alapján továbbítják?
5. Tekintettel a High Court (felsőbíróság, Írország) által az Egyesült Államok jogával kapcsolatban tett ténymegállapításokra, ha a személyes adatokat az EU-ból az Egyesült Államokba az SCC határozat alapján továbbítják:
a) Az Egyesült Államok által biztosított védelem szintje tiszteletben tartja-e a Charta 47. cikke által a magánszemélyeknek az adatvédelmi jogai megsértése miatti bírósági jogorvoslathoz való joga lényegét?
Az a) kérdésre adandó igenlő válasz esetén,
b) Az Egyesült Államok jogában előírt, valamely magánszemély bírósági jogorvoslathoz való jogának az Egyesült Államok nemzetbiztonságával összefüggésben való korlátozása arányos-e a Charta 52. cikkének értelmében, és nem haladja-e meg azt, ami egy demokratikus társadalomban nemzetbiztonsági szempontból szükséges?
6. (1) Milyen szintű védelmet kell biztosítani a harmadik országokba a 26. cikk (4) bekezdése szerint hozott bizottsági határozatnak megfelelően elfogadott általános szerződési feltételek alapján továbbított személyes adatok tekintetében, figyelemmel az irányelv rendelkezéseire és különösen a Chartával összhangban értelmezett 25. és 26. cikkére?
(2) Milyen szempontokat szükséges figyelembe venni annak értékelése során, hogy valamely harmadik országba az SCC határozat alapján továbbított adatok tekintetében biztosított védelem szintje megfelel-e az irányelvben és a Chartában foglalt követelményeknek?
7. Az a körülmény, hogy az általános szerződési feltételek az adatátadó és az adatátvevő között érvényesülnek, és valamely harmadik ország nemzeti hatóságaira nézve nem kötelezőek, amely ország előírhatja az adatátadó részére, hogy a biztonsági szolgálatai számára további adatkezelés céljából tegye hozzáférhetővé az SCC határozatban megállapított feltételek alapján továbbított személyes adatokat, megakadályozza-e, hogy e feltételek megfelelő garanciákat teremtsenek, amint azt az irányelv 26. cikkének (2) bekezdése előírja?
8. Amennyiben valamely harmadik országbeli adatátvevő felügyeleti jogszabályok hatálya alá tartozik, ami az adatvédelmi hatóság álláspontja szerint az SCC határozat mellékletében foglalt feltételekbe vagy az irányelv 25. és 26. cikkébe és/vagy a Charta rendelkezéseibe ütközik, az adatvédelmi hatóság köteles-e gyakorolni az irányelv 28. cikkének (3) bekezdése szerinti végrehajtási jogkörét az adatáramlás felfüggesztése iránt vagy az ilyen jogosultságok gyakorlása, figyelemmel az irányelv (11) preambulumbekezdésében [a 2010/87/EU bizottsági határozat (11) preambulumbekezdésében] foglaltakra, kizárólag kivételes esetekre korlátozódik, vagy pedig az adatvédelmi hatóság saját mérlegelési jogkörében eljárva dönthet úgy, hogy nem függeszti fel az adatáramlást?
9. (1) Az irányelv 25. cikkének (6) bekezdése értelmében az (EU) 2016/1250 határozat4 (a továbbiakban: adatvédelmi pajzs határozat) olyan általános hatályú, a tagállamok adatvédelmi hatóságaira és bíróságaira nézve kötelező megállapításnak minősül, amely alapján az USA az irányelv 25. cikkének (2) bekezdése értelmében a nemzeti joga, illetve az általa vállalt nemzetközi kötelezettségek révén megfelelő szintű védelmet biztosít?
(2) Amennyiben nem biztosít megfelelő szintű védelmet, adott esetben milyen jelentősége van az adatvédelmi pajzs határozatnak az Egyesült Államokba az SCC határozat alapján továbbított adatok tekintetében nyújtott biztosítékok megfelelőségének vizsgálata során?
10. Tekintettel a High Court (felsőbíróság) által az Egyesült Államok jogával kapcsolatban tett ténymegállapításokra, az adatvédelmi pajzs határozat III. mellékletének A. mellékletében foglalt, adatvédelmi ombudsmanra vonatkozó rendelkezés, amennyiben azt az Egyesült Államok fennálló rendszerével összefüggésben értelmezzük, gondoskodik-e arról, hogy az USA a Charta 47. cikkével összeegyeztethető jogorvoslatot biztosít azon érintettek számára, akiknek a személyes adatait az SCC határozat alapján az Egyesült Államokba továbbítják?
11. Sérti-e az SCC határozat a Charta 7., 8. és/vagy 47. cikkében foglaltakat?
____________
1 A 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országokba és harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2001/497/EK és 2010/87/EU határozatok módosításáról szóló, 2016. december 16-i (EU) 2016/2297 bizottsági végrehajtási határozat (HL 2016. L 344., 100. o.).
2 A 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2010. február 5-i bizottsági határozat (HL 2010. L. 39., 5. o.).
3 A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.).
4 A 95/46/EK európai parlamenti és tanácsi irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló, 2016. július 12-i (EU) 2016/1250 bizottsági végrehajtási határozat (HL 2016. L207., 1. o.).