A BÍRÓSÁG ÍTÉLETE (nagytanács)
2015. október 6.(*)
„Előzetes döntéshozatal iránti kérelem – Személyes adatok – A természetes személyek védelme az ilyen adatok kezelése vonatkozásában – Az Európai Unió Alapjogi Chartája – 7., 8. és 47. cikk – 95/46/EK irányelv – 25. és 28. cikk – Személyes adatok harmadik országokba való továbbítása – 2000/520/EK határozat – Személyes adatok Egyesült Államokba való továbbítása – Nem megfelelő védelmi szint – Érvényesség – Olyan természetes személy panasza, akinek az adatait az Európai Unióból az Egyesült Államokba továbbították – A nemzeti felügyelő hatóságok jogkörei”
A C‑362/14. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a High Court (legfelsőbb bíróság, Írország) a Bírósághoz 2014. július 25‑én érkezett, 2014. július 17‑i határozatával terjesztett elő az előtte
Maximillian Schrems
és
a Data Protection Commissioner
között,
a Digital Rights Ireland Ltd
részvételével folyamatban lévő eljárásban,
A BÍRÓSÁG (nagytanács),
tagjai: V. Skouris elnök, K. Lenaerts elnökhelyettes, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (előadó), S. Rodin és K. Jürimäe tanácselnökök, A. Rosas, Juhász E., A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen és C. Lycourgos bírák,
főtanácsnok: Y. Bot,
hivatalvezető: L. Hewlett főtanácsos,
tekintettel az írásbeli szakaszra és a 2015. március 24‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– M. Schrems képviseletében N. Travers SC, P. O’Shea BL, G. Rudden solicitor és H. Hofmann Rechtsanwalt,
– a Data Protection Commissioner képviseletében P. McDermott BL, S. More O’Ferrall és D. Young solicitors,
– a Digital Rights Ireland Ltd képviseletében F. Crehan BL, valamint S. McGarr és E. McGarr solicitors,
– Írország képviseletében A. Joyce, B. Counihan és E. Creedon, meghatalmazotti minőségben, segítőjük: D. Fennelly BL,
– a belga kormány képviseletében J.‑C. Halleux és C. Pochet, meghatalmazotti minőségben,
– a cseh kormány képviseletében M. Smolek és J. Vláčil, meghatalmazotti minőségben,
– az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítője: P. Gentili avvocato dello Stato,
– az osztrák kormány képviseletében G. Hesse és G. Kunnert, meghatalmazotti minőségben,
– a lengyel kormány képviseletében M. Kamejsza, M. Pawlicka és B. Majczyna, meghatalmazotti minőségben,
– a szlovén kormány képviseletében A. Grum és V. Klemenc, meghatalmazotti minőségben,
– az Egyesült Királyság Kormánya képviseletében L. Christie és J. Beeko, meghatalmazotti minőségben, segítőjük: J. Holmes barrister,
– az Európai Parlament képviseletében D. Moore, A. Caiola és M. Pencheva, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében B. Schima, B. Martenczuk, B. Smulders és J. Vondung, meghatalmazotti minőségben,
– az európai adatvédelmi biztos képviseletében C. Docksey, A. Buchta és V. Pérez Asinari, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2015. szeptember 23‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a 2003. szeptember 29‑i 1882/2003/EK európai parlamenti és tanácsi rendelettel (HL L 284., 1. o.) módosított, a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o., a továbbiakban: 95/46 irányelv) 25. cikke (6) bekezdésének és 28. cikkének az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 7., 8. és 47. cikke tekintetében történő értelmezésére, valamint lényegében a 95/46 irányelv alapján, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló, 2000. július 26‑i 2000/520/EK bizottsági határozat (HL L 215., 7. o.; magyar nyelvű különkiadás 16. fejezet, 1. kötet, 119. o.) érvényességére irányul.
2 E kérelmet az M. Schrems és a Data Protection Commissioner (adatvédelmi biztos) között folyamatban lévő azon jogvitában terjesztették elő, amelyben ez utóbbi megtagadta az M. Schrems által azzal az indokkal benyújtott panasz vizsgálatát, hogy a Facebook Ireland Ltd (a továbbiakban: Facebook Ireland) az Egyesült Államokba továbbítja felhasználói személyes adatait, és azokat az ezen országban található szervereken tárolja.
Jogi háttér
A 95/46 irányelv
3 A 95/46 irányelv (2), (10), (56), (57), (60), (62) és (63) preambulumbekezdésének szövege a következő:
„(2) [...] az adatfeldolgozási [helyesen: adatkezelési] rendszerek célja az emberek szolgálata; […] a természetes személyek nemzetiségétől és lakóhelyétől függetlenül tiszteletben kell tartaniuk e személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat, és hozzá kell járulniuk […] az egyének jólétéhez;
[…]
(10) [...] a személyes adatok feldolgozására [helyesen: kezelésére] vonatkozó nemzeti jogszabályok célja az alapvető jogok és szabadságok, különösen a magánélet tiszteletben tartásához való jog védelme, amelyet mind [a Rómában, 1950. november 4‑én aláírt,] az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke, mind a közösségi jog általános alapelvei elismernek; […] ezért az említett jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt, magas védelmi szintet kell biztosítson a Közösségen belül;
[…]
(56) [...] a személyes adatok határokon átnyúló áramlására szükség van a nemzetközi kereskedelem bővüléséhez; […] a Közösségben az egyének ezen irányelv által garantált védelme nem áll útjában a személyes adatok továbbításának olyan harmadik országokba, amelyek megfelelő szintű védelmet biztosítanak; […] a harmadik ország által nyújtott védelem szintjének megfelelő mivoltát a továbbítási művelet [helyesen: művelettel] vagy műveletsorozattal kapcsolatos körülmények figyelembevételével kell értékelni;
(57) [...] másrészt a személyes adatoknak a megfelelő védelmi szintet biztosítani nem tudó harmadik országokba irányuló továbbítását meg kell tiltani;
[…]
(60) [...] a harmadik országokba irányuló továbbítás csak a tagállamok által ezen irányelv és különösen annak 8. cikke értelmében elfogadott rendelkezések teljes betartásával lehetséges;
[…]
(62) [...] a tagállamokban a feladataikat teljes függetlenséggel gyakorló felügyelő hatóságok létrehozása alapvető eleme az egyének védelmének a személyes adatok feldolgozása [helyesen: kezelése] tekintetében;
(63) [...] az ilyen hatóságoknak rendelkezniük kell a feladataik teljesítéséhez szükséges eszközökkel, beleértve a vizsgálati és beavatkozási jogosultságokat, különösen az egyének panaszai esetén, továbbá a bírósági eljárásokban való részvétel lehetőségét; [...]”
4 A 95/46 irányelv 1., 2., 25., 26., 28. és 31. cikke a következőképpen rendelkezik:
„1. cikk
Az irányelv célja
(1) A tagállamok ezen irányelvnek megfelelően védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása tekintetében.
[...]
2. cikk
Fogalommeghatározások
Ezen irányelv alkalmazásában:
a) »személyes adatok« az azonosított vagy azonosítható természetes személyre (»érintettre«) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi [helyesen: mentális], gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén;
b) »személyes adatok feldolgozása« (»feldolgozás«) [helyesen: »személyes adatok kezelése« (»kezelés«)]: a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés [helyesen: lekérdezés], felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;
[...]
d) »adatkezelő« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának [helyesen: kezelésének] céljait és módját; ha a célokat és módokat egy adott nemzeti vagy közösségi jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy közösségi jogszabály jelöli ki;
[...]
25. cikk
Elvek
(1) A tagállamoknak rendelkezniük kell arról, hogy a feldolgozásra [helyesen: kezelésre] kerülő vagy továbbítás után feldolgozásra [helyesen: kezelésre] szánt személyes adatok csak akkor továbbíthatók harmadik országba, ha – az ezen irányelv egyéb rendelkezései értelmében elfogadott nemzeti rendelkezéseknek való megfelelés sérelme nélkül – az adott harmadik ország megfelelő védelmi szintet tud biztosítani [helyesen: biztosít].
(2) A harmadik ország által nyújtott védelem szintjének megfelelő mivoltát az adattovábbítási művelet vagy adattovábbítási műveletsorozat feltételeinek figyelembevételével kell értékelni; különös figyelmet kell fordítani az adatok jellegére, a tervezett adatfeldolgozási [helyesen: adatkezelési] művelet vagy műveletek céljára és időtartamára, a kiindulási és a célországra, az adott harmadik országban hatályos, általános és ágazati jogrendre, valamint az adott országban érvényesülő szakmai szabályokra és biztonsági intézkedésekre.
(3) A tagállamok és a Bizottság értesítik egymást azokról az esetekről, amelyekben úgy vélik, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet a (2) bekezdés értelmében.
(4) Amennyiben a Bizottság megállapítja a 31. cikk (2) bekezdésében foglalt eljárás során, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet ennek a cikknek a (2) bekezdése értelmében, a tagállamok megteszik a megfelelő intézkedéseket az azonos típusú adatoknak a szóban forgó harmadik országba irányuló továbbításának megakadályozására.
(5) A Bizottság megfelelő időben tárgyalásokat kezdeményez a (4) bekezdés szerinti megállapításból eredő helyzet megoldására.
(6) A Bizottság a 31. cikk (2) bekezdésében említett eljárásnak megfelelően megállapíthatja, hogy a harmadik ország megfelelő védelmi szintet biztosít e cikk (2) bekezdése értelmében, az egyének magánéletének, jogainak és szabadságainak védelmére vonatkozó belföldi jog, vagy a vállalt nemzetközi kötelezettségek, különösen az (5) bekezdésben említett tárgyalások végeredménye alapján [helyesen: belföldi joga vagy az egyének magánéletének, alapvető jogainak és szabadságainak védelme érdekében, különösen az (5) bekezdésben említett tárgyalások végeredménye alapján vállalt nemzetközi kötelezettségei alapján].
A tagállamok megteszik a szükséges intézkedéseket a Bizottság határozatának teljesítésére.
26. cikk
Eltérések
(1) A 25. cikktől eltérően, és amennyiben az adott esetre vonatkozó belföldi jogszabályok másképp nem rendelkeznek, a tagállamok rendelkeznek arról, hogy a személyes adatok olyan harmadik országba irányuló továbbítása vagy továbbítássorozata, amely a 25. cikk (2) bekezdése értelmében nem biztosít megfelelő szintű védelmet, csak a következő feltételek mellett történhet:
a) az érintett egyértelműen hozzájárulását adta a tervezett továbbításhoz; vagy
b) a továbbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérelmére hozott, szerződést megelőző intézkedések végrehajtásához szükséges; vagy
c) a továbbítás az adatkezelő és valamely harmadik fél közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges; vagy
d) a továbbítás fontos közérdekből vagy jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges, illetve azt jogszabály írja elő; vagy
e) a továbbítás az érintett létfontosságú érdekeinek védelme miatt szükséges; vagy
f) a továbbítást olyan nyilvántartásból végzik, amely a törvények vagy rendeletek értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság, vagy bármely jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, amennyiben a jogszabályok által a betekintésre megállapított feltételek az adott esetben teljesülnek.
(2) Az (1) bekezdés sérelme nélkül a tagállamok engedélyezhetik a személyes adatok olyan harmadik országba irányuló továbbítását vagy továbbítássorozatát, amely a 25. cikk (2) bekezdése értelmében nem biztosít megfelelő szintű védelmet, amennyiben az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében; ilyen garanciát jelenthetnek különösen a megfelelő szerződési záradékok.
(3) A tagállamok értesítik a Bizottságot és a többi tagállamot az általuk a (2) bekezdés alapján megadott engedélyekről.
Ha valamely tagállam vagy a Bizottság tiltakozását fejezi ki az egyének magánéletének, alapvető jogainak és szabadságainak védelmét is magában foglaló, jogos okokból, a Bizottság a 31. cikk (2) bekezdésében foglalt eljárással összhangban megfelelő intézkedéseket hoz.
A tagállamok megteszik a szükséges intézkedéseket a Bizottság határozatának teljesítésére.
[...]
28. cikk
A felügyelő hatóság
(1) Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék.
Ezek a hatóságok a rájuk ruházott feladatok ellátása során teljes függetlenséggel járnak el.
(2) Minden tagállamnak rendelkeznie kell arról, hogy a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének jogainak és szabadságainak védelmére vonatkozó közigazgatási intézkedések vagy rendeletek kidolgozásakor a felügyelő hatóságokkal konzultáljanak.
(3) Minden hatóság különösen a következőkkel rendelkezik:
– vizsgálati jogkör, mint például az adatfeldolgozási [helyesen: adatkezelési] műveletek tárgyát képező adatokhoz való hozzáférésre vonatkozó jogosultság, továbbá a felügyeleti feladatok ellátásához szükséges valamennyi információ összegyűjtésére vonatkozó jogosultság;
– tényleges beavatkozási jogosultságok, mint például a 20. cikknek megfelelően végzett adatfeldolgozási [helyesen: adatkezelési] műveletek megkezdése előtti véleményezés joga, e vélemények megfelelő közzétételének biztosítása, az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, az adatfeldolgozás [helyesen: adatkezelési] átmeneti vagy végleges tilalmának megállapítása, az adatkezelő figyelmeztetése vagy megrovása, illetve az ügy nemzeti parlament vagy más politikai intézmény elé terjesztése,
– bírósági eljárásban való részvétel joga az irányelv értelmében elfogadott nemzeti rendelkezések megsértése esetén, továbbá e jogsértések igazságszolgáltatási hatóságok elé terjesztésének joga.
A felügyelő hatóság kifogásolható [helyesen: sérelmet okozó] határozatai bíróság előtt megtámadhatók.
(4) A felügyelő hatóságok foglalkoznak a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének jogainak vagy szabadságainak védelmével kapcsolatos, bármely személy vagy az őt képviselő szervezet által benyújtott kérelmekkel. A kérelem elbírálásáról az érintett személyt értesíteni kell.
A felügyelő hatóságoknak foglalkozniuk kell [helyesen: A felügyelő hatóságok foglalkoznak] különösen az adatfeldolgozás [helyesen: adatkezelés] törvényességének ellenőrzésére irányuló, bármely személy által benyújtott kérelemmel, amennyiben az ezen irányelv 13. cikkének értelmében elfogadott nemzeti rendelkezések alkalmazhatóak. Az érintett személyt mindenképpen értesíteni kell, ha az ellenőrzés megtörtént.
[...]
(6) A felügyelő hatóságok, függetlenül a szóban forgó adatfeldolgozásra [helyesen: adatkezelésre] alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrel rendelkeznek a (3) bekezdés értelmében rájuk ruházott jogosultságok gyakorlására. Valamely tagállam hatósága felkérheti egy másik állam hatóságát hatáskörének gyakorlására.
[...]
31. cikk
[...]
(2) Az e cikkre történő hivatkozás esetén [a Bizottságra ruházott végrehajtási hatáskörök gyakorlására vonatkozó eljárások megállapításáról szóló, 1999. június 28‑i] 1999/468/EK [tanácsi] határozat [(HL L 184., 23. o.; magyar nyelvű különkiadás 1. fejezet, 3. kötet, 124. o.)] 4. és 7. cikkét kell alkalmazni, tekintettel annak 8. cikke rendelkezéseire.
[...]”
A 2000/520 határozat
5 A 2000/520 határozatot a Bizottság a 95/46 irányelv 25. cikkének (6) bekezdése alapján fogadta el.
6 E határozat (2), (5) és (8) preambulumbekezdése a következőképpen szól:
„(2) A Bizottság megállapíthatja, hogy egy harmadik ország megfelelő szintű védelmet biztosít. Ilyen esetben a személyes adatok a tagállamokból anélkül továbbíthatók, hogy további garanciákra lenne szükség.
[…]
(5) Az e határozat által elismert, a Közösségből az Egyesült Államokba történő adattovábbításra vonatkozó megfelelő szintű védelem elérhető, ha a szervezetek teljesítik az Egyesült Államok kormánya által 2000. július 21‑én kiadott, az egy tagállamból az Egyesült Államokba továbbított személyes adatok védelmére vonatkozó »biztonságos kikötő« adatvédelmi elveket (a továbbiakban: az elvek) és az elvek végrehajtására vonatkozó útmutatást biztosító, gyakran felvetődő kérdéseket (a továbbiakban: GYFK). Ezenfelül a szervezeteknek nyilvánosságra kell hozniuk adatvédelmi politikájukat, és el kell fogadniuk a Szövetségi Kereskedelmi Bizottság [Federal Trade Commission] (FTC) joghatóságát a Szövetségi Kereskedelmi Bizottságról szóló törvény [Federal Trade Commission Act] 5. szakasza alapján, amely megtiltja a tisztességtelen vagy megtévesztő cselekményeket vagy gyakorlatokat a kereskedelemben vagy azzal kapcsolatban, vagy más hatósági szerv joghatóságát, amely hatékonyan biztosítja a gyakran felvetődő kérdésekkel összhangban bevezetett elveknek való megfelelést.
[…]
(8) Az átláthatóság érdekében és a tagállamok illetékes hatóságainak azon képessége megőrzése céljából, hogy a személyes adatok kezelése vonatkozásában biztosítsa az egyének védelmét, ebben a határozatban pontosan meg kell határozni azokat a rendkívüli körülményeket, amelyek esetén indokolt a meghatározott adatáramlás felfüggesztése, függetlenül attól, hogy a védelmet megfelelőnek találják.”
7 A 2000/520 határozat 1–4. cikke értelmében:
„1. cikk
(1) A 95/46/EK irányelv 25. cikke (2) bekezdésének alkalmazásában, az Egyesült Államok Kereskedelmi Minisztériuma által 2000. július 21‑én kiadott, e határozat II. mellékletében meghatározott gyakran felvetődő kérdések (a továbbiakban: GYFK) által biztosított útmutatással összhangban bevezetett, e határozat I. mellékletében meghatározott »biztonságos kikötő adatvédelmi elveket« (a továbbiakban: az elvek) az említett irányelv hatálya alá tartozó összes tevékenységre vonatkozóan úgy tekintik, mint amelyek biztosítják a Közösségből az Egyesült Államokban letelepedett szervezetek felé továbbított személyes adatok megfelelő szintű védelmét, tekintettel az Egyesült Államok Kereskedelmi Minisztériuma által kiadott következő okmányokra:
a) a III. mellékletben ismertetett »biztonságos kikötő« végrehajtási áttekintés;
b) a IV. mellékletben bemutatott, az adatvédelem megsértéséért járó kártérítésről és az amerikai jog kifejezett meghatalmazásairól szóló jegyzet;
c) a Szövetségi Kereskedelmi Bizottságnak az V. mellékletben bemutatott levele;
d) az Egyesült Államok Közlekedési Minisztériumának VI. mellékletben bemutatott levele.
(2) Minden egyes adattovábbítás tekintetében a következő feltételeknek kell teljesülniük:
a) az adatokat fogadó szervezet egyértelműen és nyilvánosan kinyilvánította a GYFK‑val összhangban bevezetett elvek teljesítésére vonatkozó kötelezettségvállalását; és
b) a szervezet egy olyan, az e határozat VII. mellékletében felsorolt egyesült államokbeli kormányzati szervnek a törvényben meghatározott hatásköre alá tartozik, amelyet a panaszok kivizsgálására és a tisztességtelen vagy megtévesztő gyakorlatok miatti jóvátétel kieszközlésére, valamint magánszemélyek orvoslására [helyesen: a magánszemélyeknek okozott károk orvoslására] feljogosítottak, azok lakóhely szerinti országától vagy állampolgárságától függetlenül, a GYFK‑val összhangban bevezetett elvek nem teljesítése esetén.
(3) A (2) bekezdésben megállapított feltételeket minden egyes szervezet esetében teljesítettnek tekintik, amely önmaga tanúsítja a GYFK‑val összhangban végrehajtott elvek betartását, attól az időponttól számítva, amikor a szervezet közli az Egyesült Államok Kereskedelmi Minisztériumával (vagy az általa kijelölt szervvel) a (2) bekezdés a) pontjában említett kötelezettségvállalás nyilvános közzétételét és a (2) bekezdés b) pontjában említett kormányzati szerv kilétét.
2. cikk
Ez a határozat csak a gyakran felvetődő kérdésekkel összhangban bevezetett elvek alapján az Egyesült Államokban nyújtott védelem megfelelőségére érvényes, a 95/46/EK irányelv 25. cikke (1) bekezdése követelményeinek való megfelelés céljából, és nincs hatással az említett irányelv más, a személyes adatok tagállamokon belüli kezelésével kapcsolatos rendelkezéseinek, különösen a 4. cikkének alkalmazására.
3. cikk
(1) A 95/46/EK irányelv 25. cikkétől eltérő rendelkezések alapján elfogadott nemzeti rendelkezéseknek való megfelelés biztosítása érdekében intézkedés megtételére vonatkozó hatáskörük sérelme nélkül, a tagállamok illetékes hatóságai gyakorolhatják meglévő hatáskörüket az olyan szervezet felé irányuló adatáramlás felfüggesztésére, amely önmaga tanúsította a GYFK‑val összhangban bevezetett elvek elfogadását, hogy védjék az egyéneket a személyes adatok kezelése tekintetében olyan esetekben, ahol:
a) az e határozat VII. mellékletében említett egyesült államokbeli kormányzati szerv vagy egy független jogorvoslati mechanizmus az e határozat I. mellékletében meghatározott végrehajtási elvről szóló a) levél értelmében megállapította, hogy a szervezet megszegi a GYFK‑val összhangban bevezetett elveket; vagy
b) az elvek megszegésének nagy a valószínűsége; okkal feltételezik, hogy az érintett végrehajtási mechanizmus sem most, sem később nem tesz megfelelő és időszerű lépéseket az adott eset rendezésére; a folytatódó adattovábbítás az érintettek súlyos károsodásának veszélyével fenyeget; és a tagállam illetékes hatóságai a körülményekhez képest elfogadható erőfeszítéseket tettek, hogy a szervezetet értesítsék, és lehetőséget adjanak neki a válaszadásra.
A felfüggesztés megszűnik, amint a gyakran felvetődő kérdésekkel összhangban bevezetett elvek teljesítését biztosítják, és arról értesítik a Közösség illetékes hatóságát.
(2) A tagállamok haladéktalanul tájékoztatják a Bizottságot, amikor az (1) bekezdés alapján intézkedéseket fogadnak el.
(3) A tagállamok és a Bizottság egymást is tájékoztatják azokról az esetekről, amikor az Egyesült Államokban a gyakran felvetődő kérdésekkel összhangban bevezetett elveknek való megfelelés biztosításáért felelős szervek intézkedése nem biztosítja az ilyen megfelelést.
(4) Ha az (1), (2) és (3) bekezdés alapján összegyűjtött információk azt bizonyítják, hogy az Egyesült Államokban a gyakran felvetődő kérdésekkel összhangban bevezetett elveknek való megfelelés biztosításáért felelős bármely szerv nem hatékonyan tölti be szerepét, a Bizottság tájékoztatja az Egyesült Államok Kereskedelmi Minisztériumát, és szükség esetén a 95/46/EK irányelv 31. cikkében említett eljárással összhangban intézkedéstervezeteket nyújt be e határozat visszavonása, felfüggesztése vagy hatályának korlátozása céljából.
4. cikk
(1) Ez a határozat bármikor kiigazítható a végrehajtásával kapcsolatos tapasztalat fényében, illetve ha az Egyesült Államok jogszabályainak követelményei szigorúbbá válnak az elvek és a GYFK által biztosított védelmi szintnél. A Bizottság a tagállamok felé történő értesítése után három évvel minden esetben értékeli e határozat végrehajtását a rendelkezésre álló információk alapján, és beszámol a 95/46/EK irányelv 31. cikke alapján létrehozott bizottságnak bármilyen vonatkozó megállapításról, beleértve az olyan bizonyítékokat, amelyek hatással lehetnek annak értékelésére, hogy az e határozat 1. cikkében meghatározott rendelkezések a 95/46/EK irányelv 25. cikke értelmében megfelelő védelmet biztosítanak, illetve annak bizonyítékát, hogy ezt a határozatot megkülönböztető módon hajtják végre.
(2) A Bizottság szükség esetén intézkedéstervezeteket terjeszt elő a 95/46/EK irányelv 31. cikkében említett eljárásnak megfelelően.”
8 A 2000/520 határozat I. melléklete a következőképpen szól:
„»Biztonságos kikötő« adatvédelmi elvek
kiadta az Egyesült Államok Kereskedelmi Minisztériuma 2000. július 21‑én
[...]
[...] a Kereskedelmi Minisztérium hatósági jogkörében a nemzetközi kereskedelem támogatása, elősegítése és fejlesztése céljából kiadja ezt a dokumentumot és a gyakran felvetődő kérdéseket (»az elveket«). Az elveket az iparral és a nyilvánossággal konzultálva a kereskedelem, illetve az Egyesült Államok és az Európai Unió közötti nemzetközi kereskedelem megkönnyítése érdekében dolgozták ki. Az elveket csak az Egyesült Államok olyan szervezeteinek használatára szánták, amelyek az Európai Unióból személyes adatokat fogadnak, a »biztonságos kikötő« és az általa létrehozott »megfelelőségi« minősítés elnyerése céljából. Mivel az elveket kizárólag e különleges cél szolgálatára dolgozták ki, más célokra alkalmatlannak bizonyulhatnak. [...]
A szervezetek teljesen önkéntes alapon határozhatnak arról, hogy jelentkeznek a »biztonságos kikötő« minősítés elnyeréséért, amelyre különböző módokon tehetnek szert. [...]
Az elvek elfogadása korlátozódhat: a) a nemzetbiztonság, a közérdek vagy a bűnüldözés követelményeinek teljesítéséhez szükséges mértékben; b) törvény, kormányrendelet vagy precedensjog által, amelyek az elvekkel ellentétes kötelezettségeket vagy kifejezett felhatalmazásokat hoznak létre, feltéve hogy bármilyen ilyen felhatalmazás gyakorlása során a szervezet bizonyítani tudja, hogy az elvek nem teljesítése az ilyen felhatalmazás által támogatott törvényes érdekek teljesítéséhez szükséges mértékre korlátozódik; vagy c) ha a tagállami jogszabályokra vonatkozó irányelv hatálya [helyesen: ha irányelv vagy a nemzeti jog] kivételeket vagy eltéréseket tesz lehetővé, feltéve hogy az ilyen kivételeket vagy eltéréseket összehasonlítható esetekben alkalmazzák. Az adatvédelem erősítésének céljával összhangban a szervezeteknek törekedniük kell az elvek teljes mértékű és átlátható megvalósítására, beleértve adatvédelmi politikájukban annak megjelölését, hogy az elvek alól a fenti b) pontban engedélyezett kivételeket hol alkalmazzák rendszeresen. Ugyanebből az okból, ahol az elvek és/vagy az Egyesült Államok jogszabályai választási lehetőséget engednek, a szervezetektől elvárják a magasabb szintű védelem választását, ahol lehetséges.
[...]”
9 A 2000/520 határozat II. melléklete a következőképpen szól:
„Gyakran felvetődő kérdések (GYFK)
[...]
6. GYFK – Öntanúsítás
K: Hogyan tudja egy szervezet önmaga tanúsítani, hogy tartja magát a »biztonságos kikötő« elvekhez?
R: A »biztonságos kikötő« előnyök attól az időponttól érvényesek, amikor a szervezet önmaga tanúsítja a Kereskedelmi Minisztérium (vagy az általa kijelölt szerv) részére, hogy betartja az elveket az alábbi útmutatással összhangban.
A »biztonságos kikötő«‑re vonatkozó öntanúsításhoz a szervezet a »biztonságos kikötő«‑höz csatlakozó szervezet a nevében eljáró vállalkozás tisztségviselője által aláírt [helyesen: A »biztonságos kikötő«‑re vonatkozó öntanúsításhoz a »biztonságos kikötő«‑höz csatlakozó szervezet a nevében eljáró tisztségviselője által aláírt] levelet küldhet a Kereskedelmi Minisztériumnak (vagy az általa kijelölt szervnek), amely legalább a következő adatokat tartalmazza:
1. a szervezet neve, levélcíme, e‑mail címe, telefon‑ és telefaxszámai;
2. a szervezet tevékenységeinek leírása, tekintettel az EU‑ból kapott személyes adatokra; és
3) a szervezet ilyen személyes adatokra vonatkozó adatvédelmi politikájának a leírása, beleértve a következőket: a) hol érhető el az adatvédelmi politika a nyilvánosság számára betekintésre; b) a bevezetés tényleges időpontja; c) a panaszokat, hozzáférési kérelmeket és a »biztonságos kikötő«‑vel kapcsolatban felmerülő bármilyen kérdést kezelő kapcsolattartó iroda; d) az adott hatósági szerv, amely joghatósággal bír a szervezettel szemben felmerülő követelések [helyesen: panaszok] fogadására az esetleges tisztességtelen vagy megtévesztő gyakorlat, valamint az adatvédelmet szabályozó törvények és rendeletek megsértése ügyében (és amely szerv az elvek mellékletében fel van sorolva); e) bármely olyan adatvédelmi program neve, amelynek a szervezet tagja; f) a hitelesítés módszere (pl. házon belül, harmadik fél által) […]; és g) a független eljárási mechanizmus, amely a megoldatlan panaszok kivizsgálására rendelkezésre áll.
Amennyiben a szervezet a »biztonságos kikötő« előnyeit ki akarja terjeszteni az Európai Unióból átadott, a munkaviszonnyal összefüggésben felhasználásra kerülő humánerőforrás‑adatokra, ezt akkor teheti meg, ha van olyan, az elvek mellékletében felsorolt hatósági szerv, amely joghatósággal bír a szervezet ellen humánerőforrás‑adatokkal kapcsolatban felmerülő követelések [helyesen: panaszok] kivizsgálására. [...]
A minisztérium (vagy az általa kijelölt szerv) jegyzéket tart fenn az összes olyan szervezetről, amely ilyen [öntanúsítás iránti] levelet nyújt be, ezáltal biztosítva a »biztonságos kikötő« előnyök hozzáférhetőségét, és az éves levelek és a 11. GYFK szerint kapott értesítések alapján frissíti az ilyen jegyzékeket. [...]
[...]
11. GYFK – Jogviták megoldása és végrehajtás
K: Hogyan kell végrehajtani a végrehajtási elv jogviták megoldására vonatkozó követelményeit, és mi a teendő, ha egy szervezet ismételten nem tartja be az elveket?
V: A végrehajtási elv megállapítja a »biztonságos kikötő« végrehajtására vonatkozó követelményeket. Az elv b) pontja szerinti követelményeknek való megfelelést a hitelesítésről szóló GYFK (7. GYFK) határozza meg. Ez a 11. GYFK az a) és c) ponttal foglalkozik, amelyek közül mindkettőhöz független jogorvoslati mechanizmusra van szükség. Ezek a mechanizmusok különböző formákat ölthetnek, de meg kell felelniük a végrehajtási elv követelményeinek. A szervezetek a követelményeknek a következőkön keresztül tehetnek eleget: (1) magánszektor által kifejlesztett adatvédelmi programok teljesítése, amelyek a »biztonságos kikötő« elveket belefoglalják szabályaikba, és a végrehajtási elvben leírt típusú, hatékony végrehajtási mechanizmusokat tartalmaznak; (2) alkalmazkodás a törvényi vagy szabályozó felügyeleti hatóságokhoz, amelyek rendelkeznek az egyedi panaszok kezeléséről és a jogviták megoldásáról; vagy (3) kötelezettségvállalás az Európai Unióban lévő adatvédelmi hatóságokkal vagy meghatalmazott képviselőikkel való együttműködésre. E felsorolás szándéka a szemléltetés, nem a korlátozás [helyesen: E felsorolás példálózó, és nem korlátozó jellegű]. A magánszektor a végrehajtás biztosítására más mechanizmusokat is tervezhet, amennyiben azok megfelelnek a végrehajtási elv és a GYFK‑k követelményeinek. Meg kell jegyezni, hogy a végrehajtási elv követelményei az elvek bevezetésének (3) bekezdésében közzétett, arra vonatkozó követelményeken túl alkalmazandók, hogy az önszabályozói törekvéseknek a Szövetségi Kereskedelmi Bizottságról szóló törvény 5. cikke vagy hasonló alapokmány [helyesen: hasonló törvény] alapján végrehajthatóknak kell lenniük.
Jogorvoslati mechanizmusok
A fogyasztókat arra kell ösztönözni, hogy szükség esetén az adott szervezettel kapcsolatban emeljenek panaszt azelőtt, hogy a független jogorvoslati mechanizmusokhoz fordulnának. [...]
[...]
A Szövetségi Kereskedelmi Bizottság (FTC) fellépése
Az FTC elkötelezte magát az adatvédelmi önszabályozói szervezetektől – például a BBBOnline és a TRUSTe – és az EU tagállamaitól érkező, a »biztonságos kikötő« elvek nem teljesítését vélelmező megkeresések [helyesen: kérelmek] soron kívüli kivizsgálására, [és] annak a meghatározására, hogy a Szövetségi Kereskedelmi Bizottságról szóló törvény tisztességtelen vagy megtévesztő kereskedelmi eljárások vagy gyakorlatok tiltásáról szóló 5. szakaszát megszegték‑e. [...]
[…]”
10 A 2000/520 határozat IV. melléklete értelmében:
„Kártérítés az adatvédelmi jog [helyesen: Kártérítés a magánélethez való jog] megsértése esetén, jogi meghatalmazások, [valamint] egyesítés és átvétel [helyesen: összeolvadás és irányításszerzés] az amerikai jogban
Ez a fejezet választ ad arra a kérdésre, amelyben az Európai Bizottság kérte az amerikai jog tisztázását a következők tekintetében: a) kártérítési igény az adatvédelem [helyesen: a magánélethez való jog] megsértése miatt; b) »kifejezett meghatalmazások« az amerikai jogban a személyes információnak a »biztonságos kikötő« elvekkel ellentétes felhasználására; és c) az egyesülés és az átvétel hatása a »biztonságos kikötő« elvek alapján vállalt kötelezettségekre.
[...]
B. Kifejezett, jogszabályon alapuló meghatalmazások
A »biztonságos kikötő« elvek tartalmaznak egy kivételt, amennyiben a jogszabály, szabályozás vagy a precedensjog »ellentmondó kötelezettségeket vagy kifejezett meghatalmazásokat hoz létre, feltéve hogy a szervezet bármilyen ilyen meghatalmazás gyakorlása során ki tudja mutatni, hogy az elvek nem teljesítése arra a mértékre korlátozódik, ami az ilyen meghatalmazás által elősegített uralkodó [helyesen: alapvető] jogos érdekeknek való megfeleléshez szükséges«. Nyilvánvaló, hogy ahol az Egyesült Államok jogszabályai ellentmondó kötelezettségeket szabnak, az Egyesült Államok szervezeteinek – akár a »biztonságos kikötő«‑ben, akár nem – be kell tartania [helyesen: tartaniuk] a jogszabályokat. Ami a kifejezett meghatalmazásokat illeti – bár a »biztonságos kikötő« elvek célja a különbségek áthidalása az Egyesült Államok és Európa kormányzati rendszere [helyesen: az Egyesült Államok és Európa rendszere] között az adatvédelem tekintetében –, tiszteletben kell tartanunk választott törvényhozóink jogalkotói előjogait. A »biztonságos kikötő« elvek szigorú betartása alóli korlátozott kivétel egyensúlyt próbál teremteni a jogos érdekek egyeztetésére mindkét oldalon.
A kivétel olyan esetekre korlátozódik, ahol kifejezett meghatalmazás van. Ezért kiindulásként [helyesen: a vitás esetekben] a vonatkozó jogszabálynak, szabályozásnak vagy bírósági határozatoknak [helyesen: határozatnak] megerősítően [helyesen: kifejezetten] engedélyeznie kell a »biztonságos kikötő« szervezetek kifejezett [helyesen: adott] magatartását […]. Más szóval, a kivétel nem érvényes, amennyiben jogszabály nem rendelkezik erről. Ezen túlmenően, a kivétel csak akkor érvényes, ha a kifejezett meghatalmazás ellentétben áll a »biztonságos kikötő« elvek betartásával. Még abban [helyesen: ebben] az esetben is, a kivétel »az ilyen meghatalmazás által elősegített uralkodó [helyesen: alapvető] jogos érdekeknek való megfeleléshez szükséges mértékre korlátozódik«. Például ha jogszabály egyszerűen felhatalmaz egy vállalkozást, hogy személyes információt adjon át kormányzati hatóságoknak [helyesen: kormányzati ügynökségeknek], a kivétel nem lenne érvényes. Ha ellenben a törvény kifejezetten felhatalmazza a vállalkozást, hogy személyes információt adjon át kormányzati ügynökségeknek a személy beleegyezése nélkül, ez »kifejezett meghatalmazást« jelent egy olyan eljárásra, amely ellentétes a »biztonságos kikötő« elvekkel. Viszont az értesítés és a hozzájárulás követelmények [helyesen: értesítési és hozzájárulási követelmények] alóli egyedi kivételek a kivétel alá tartoznának (mivel az egyenértékű lenne a kifejezett meghatalmazással az információ előzetes értesítés és hozzájárulás nélküli felfedésére). Az olyan jogszabály például, amely engedélyezi az orvosok számára a betegeik egészségügyi adatainak közlését az egészségügyi hatóságokkal a betegek előzetes beleegyezése nélkül, kivételt tehet lehetővé az értesítési és választási lehetőség elvek alól. Ez a meghatalmazás nem engedélyezné az orvos számára ugyanazon egészségügyi adatok közlését egészségügyi üzemeltető szervezetekkel [helyesen: egészségpénztárakkal] vagy kereskedelmi gyógyszerészeti kutatólaboratóriumokkal, amely túllépne a törvény által engedélyezett célokon, és ezért a kivételek körén kívül esne […]. A szóban forgó törvényes hatáskör [helyesen: felhatalmazás] lehet »egyszeri« meghatalmazás valamilyen művelet elvégzésére a személyes információval, de – ahogyan az alábbi példák mutatják – ez rendszerint kivétel a személyes információ gyűjtését, felhasználását vagy nyilvánosságra hozatalát tiltó jogi szabályok alól.
[...]”
A COM(2013) 846 final közlemény
11 2013. november 27‑én a Bizottság elfogadta az Európai Parlamenthez és a Tanácshoz intézett, „A bizalom helyreállítása az EU‑USA adatáramlások tekintetében” című közleményt (COM(2013) 846 final) (a továbbiakban: COM(2013) 846 final közlemény). E közleményt „Az Európai Unió – Egyesült Államok ad hoc adatvédelmi munkacsoport uniós társelnökségének következtetései[t]” tartalmazó, szintén 2013. november 27‑én kelt jelentés („Report on the Findings by the EU Co‑chairs of the ad hoc EU‑US Working Group on Data Protection”) kísérte. Amint azt az 1. pontja kifejti, e jelentést az Amerikai Egyesült Államokkal együttműködésben dolgozták ki azt követően, hogy ezen országban több, a személyes adatok széles körű gyűjtését és kezelését magában foglaló megfigyelési program létére derült fény. Az említett jelentés többek között tartalmazta az Egyesült Államok jogrendjének részletes elemzését különösen a megfigyelési programokat, valamint a személyes adatok amerikai hatóságok általi gyűjtését és kezelését engedélyező jogalapok tekintetében.
12 A COM(2013) 846 final közlemény 1. pontjában a Bizottság rámutatott arra, hogy „[a] kereskedelmi forgalommal a 2000/520[…] határozat […] foglalkozik”, és hozzáfűzte, hogy „[e] határozat jogalapot biztosít a személyes adatoknak az EU‑ból az Egyesült Államokban székhellyel rendelkező azon vállalatok számára történő továbbításához, amelyek betartják a védett adatkikötőre vonatkozó elveket.” Ugyanezen 1. pontban a Bizottság továbbá kiemelte, hogy a személyes adatok áramlásának a digitális gazdaság fejlődéséből eredő egyre nagyobb jelentősége „az adatfeldolgozási [helyesen: adatkezelési] tevékenységek mennyiségének, minőségének, sokrétűségének és jellegének exponenciális növekedéséhez vezetett”.
13 E közlemény 2. pontjában a Bizottság megállapította, hogy „nőtt az aggodalom az uniós polgároknak a védett adatkikötő rendszer keretében az Egyesült Államokba továbbított személyes adatai védelmének szintjével kapcsolatban”, és hogy „[a] rendszer önkéntes és deklaratív jellege miatt fokozott figyelem összpontosult az átláthatóságára és végrehajtására.”
14 Ugyanezen 2. pontban továbbá kifejtette, hogy „[a]z uniós polgároknak a védett adatkikötő keretében az Egyesült Államokba továbbított személyes adataihoz az amerikai hatóságok oly módon férnek hozzá és azokat oly módon dolgozzák fel [helyesen: kezelik], amely nem egyeztethető össze azokkal az indokokkal, amelyek alapján az adatokat eredetileg az [Unió]ban összegyűjtötték, illetve azokkal a célokkal, amelyekkel azokat az Egyesült Államokba továbbították”, és hogy „[a]z e [megfigyelési] programok által közvetlenebbül érintett amerikai internetes vállalkozások többségét tanúsították a védett adatkikötőre vonatkozó alapelvek alapján”.
15 A COM(2013) 846 final közlemény 3.2. pontjában a Bizottság a 2000/520 határozat végrehajtása tekintetében számos gyenge pont létezésére mutatott rá. Egyrészt kiemelte, hogy a tanúsítvánnyal rendelkező amerikai vállalkozások nem tartják tiszteletben a 2000/520 határozat 1. cikkének (1) bekezdésében foglalt elveket (a továbbiakban: a biztonságos kikötő elvei), és hogy e határozatot fejleszteni kell „az átláthatósággal és az érvényesítéssel kapcsolatos szerkezeti hiányok[…], a védett adatkikötő jelentős alapelvei[…] és a nemzetbiztonsággal kapcsolatos kivétel alkalmazás[a]” tekintetében. Másrészt kifejtette, hogy a „biztonságos kikötő az uniós polgárok személyes adatainak az [Unió]ból az USA‑ba történő továbbításának csatornájaként is szolgál azon vállalatok számára, amelyeknek az amerikai hírszerzési programok keretében adatokat kell szolgáltatniuk az amerikai hírszerzésnek”.
16 A Bizottság ugyanezen 3.2. pontban arra a következtetésre jutott, hogy „[a]z azonosított hiányosságok miatt a védett adatkikötő jelenlegi alkalmazása nem tartható fenn[, v]isszavonása azonban hátrányosan érintené azon uniós és amerikai vállalatok érdekeit, amelyek tagjai a rendszernek.” A Bizottság végül ugyanezen 3.2. pontban kiemelte, hogy „sürgősen felveszi a kapcsolatot az amerikai hatóságokkal annak érdekében, hogy megvitassák az azonosított hiányosságokat”.
A COM(2013) 847 final bizottsági közlemény
17 Ugyanezen a napon, 2013. november 27‑én a Bizottság elfogadta az Európai Parlamenthez és a Tanácshoz intézett, a védett adatkikötő működése az uniós polgárok és az EU‑ban letelepedett vállalatok szempontjából című közleményt (COM(2013) 847 final, a továbbiakban: COM(2013) 847 final közlemény). Amint az 1. pontjából következik, e közlemény többek között az Európai Unió – Egyesült Államok ad hoc munkacsoport által szerzett információkon alapult, és a Bizottság 2002‑ben, illetve 2004‑ben közzétett két értékelő jelentését követte.
18 E közlemény 1. pontja kifejti, hogy a 2000/520 határozat működése „a csatlakozó vállalatok kötelezettségvállalásaira és öntanúsítására épül”, és hozzáfűzi, hogy „[e] szabályok elfogadása önkéntes, de a szabályok kötelezők a csatlakozók számára”.
19 A COM(2013) 847 final közlemény 2.2. pontjából továbbá az következik, hogy 2013. szeptember 26‑án különböző gazdasági ágazatok és szolgáltatások alá tartozó 3246 vállalkozás rendelkezett tanúsítással. E vállalkozások főként az EU belső piacán nyújtottak szolgáltatásokat, különösen az internetes ágazatban, illetve néhány uniós cég amerikai leányvállalata is szerepelt köztük. E vállalkozások némelyike az európai foglalkoztatottaik azon adatait kezelte, amelyeket humánerőforrás‑kezeléssel kapcsolatos megfontolásokból továbbítottak ezen országba.
20 Ugyanezen 2.2. pontban a Bizottság kiemelte, hogy „[h]a az amerikai oldalon az átláthatóságot vagy a jogérvényesítést érintő bármely hiányosság mutatkozik, az azt eredményezi, hogy a felelősség az európai adatvédelmi hatóságokat és a programot igénybe vevő vállalatokat terheli”.
21 A COM(2013) 847 final közlemény 3–5. és 8. pontjából többek között kiderül, hogy a gyakorlatban számos, tanúsítással rendelkező vállalkozás nem, vagy nem teljes mértékben tartotta tiszteletben a biztonságos kikötő elveit.
22 Továbbá ugyanezen közlemény 7. pontjában a Bizottság rámutat arra, hogy „a jelek szerint a PRISM programban [széles körre kiterjedő hírszerzési program] résztvevő és az amerikai hatóságok számára az Egyesül Államokban tárolt és feldolgozott [helyesen: kezelt] valamennyi adathoz hozzáférést biztosító valamennyi vállalat rendelkezik védett adatkikötőre vonatkozó tanúsítvánnyal”, és hogy „[e]nnek alapján a védett adatkikötőre vonatkozó program az egyik olyan csatorna, amelyen keresztül az amerikai hírszerzési hatóságok hozzájuthatnak az eredetileg az Unióban feldolgozott [helyesen: kezelt] személyes adatokhoz”. Ezzel összefüggésben a Bizottság az említett közlemény 7.1. pontjában megállapította, hogy „az amerikai jog számos jogalapot biztosít az amerikai székhelyű vállalatok által tárolt vagy más módon feldolgozott [helyesen: kezelt] személyes adatok széles körű gyűjtésére és feldolgozására [helyesen: kezelésére]”, és hogy „[e] programok nagy mérete miatt előfordulhat, hogy az amerikai hatóságok nagyobb mértékben férnek hozzá a védett adatkikötő keretében továbbított adatokhoz és nagyobb mértékben dolgozzák fel [helyesen: kezelik] azokat, mint ami a [2000/520] határozatban biztosított kivételnek megfelelően feltétlenül szükséges és arányos volna a nemzetbiztonság védelme céljából”.
23 A COM(2013) 847 final közleménynek a „Korlátozások és jogorvoslati lehetőségek” című 7.2. pontjában a Bizottság kiemelte, hogy „az amerikai jog szerint nyújtott biztosítékokat főként az amerikai polgárok és honos személyek vehetik igénybe”, „továbbá sem az uniós, sem az amerikai érintetteknek nincs lehetőségük betekinteni az adatokba, azok helyesbítését, illetve törlését kérni, vagy közigazgatási, illetve bírósági jogorvoslattal élni személyes adataiknak az amerikai hírszerzési programok keretében zajló gyűjtése és további feldolgozása [helyesen: későbbi kezelése] tekintetében”.
24 A COM(2013) 847 final közlemény 8. pontja szerint a tanúsítvánnyal rendelkező vállalkozások között „olyan internetes cégek [szerepelnek], mint a Google, a Facebook, a Microsoft, az Apple és a Yahoo”, amelyek „több száz millió ügyféllel rendelkeznek Európában”, és adatkezelés céljából személyes adatokat továbbítanak az Egyesült Államokba.
25 A Bizottság ugyanezen 8. pontban arra a következtetésre jutott, hogy „az, hogy a hírszerző szervek széles körben hozzáférnek a védett adatkikötőre vonatkozó tanúsítvánnyal rendelkező vállalatok által az Egyesül Államokba továbbított adatokhoz, további súlyos kérdéseket vet fel azzal kapcsolatban, hogy az európaiakat továbbra is megilletik‑e az adatvédelemi jogok azt követően, hogy adataikat az USA‑ba továbbították”.
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
26 M. Schrems, Ausztriában lakóhellyel rendelkező osztrák állampolgár 2008 óta felhasználója a Facebook közösségi hálónak (a továbbiakban: Facebook).
27 Az Unió területén lakó és a Facebookot használni kívánó valamennyi személynek a regisztráció során alá kell írnia egy szerződést az Egyesült Államokban letelepedett Facebook Inc. leányvállalatával, a Facebook Irelanddel. Az Facebook Ireland Unió területén lakóhellyel rendelkező felhasználóira vonatkozó személyes adatokat részben vagy egészben a Facebook Inc. Egyesült Államokban található szervereire továbbítják, és ott kezelik azokat.
28 2013. június 25‑én M. Schrems panaszt nyújtott be az adatvédelmi biztoshoz, amelyben lényegében azt kérte, hogy gyakorolja a jogszabályban rögzített hatásköreit, és tiltsa meg a Facebook Ireland számára a személyes adatai Egyesült Államokba való továbbítását. Azzal érvelt, hogy ezen ország hatályos joga és gyakorlata nem biztosít a területén tárolt személyes adatok számára elégséges védelmet a hatóságok által folytatott megfigyelési tevékenységekkel szemben. M. Schrems e tekintetben az Edward Snowden által az Egyesült Államok hírszerző szolgálatainak, és különösen a National Security Agency‑nek (Nemzetbiztonsági Ügynökség, a továbbiakban: NSA) a tevékenységére vonatkozóan kiszivárogtatott információkra hivatkozott.
29 Az adatvédelmi biztos, mivel úgy ítélte meg, hogy nem köteles az M. Schrems által a panaszában megjelölt tényeket kivizsgálni, elutasította azt mint jogilag megalapozatlant. E biztos ugyanis úgy ítélte meg, hogy nincsenek bizonyítékok arra, hogy az NSA hozzáfért az érintett személyes adataihoz. Az adatvédelmi biztos hozzáfűzte, hogy M. Schrems nem hivatkozhat eredményesen a panaszában felhozott kifogásokra, mivel a személyes adatok Egyesült Államokbeli védelmének megfelelőségre vonatkozó minden kérdést a 2000/520 határozattal összhangban kell vizsgálni, és hogy a Bizottság e határozatban megállapította, hogy az Amerikai Egyesült Államok megfelelő védelmi szintet biztosít.
30 M. Schrems keresetet nyújtott be a High Court (legfelsőbb bíróság) előtt az alapeljárás tárgyát képező határozat ellen. E bíróság, miután megvizsgálta az alapeljárás felei által benyújtott bizonyítékokat, megállapította, hogy az Unióból az Egyesült Államokba továbbított személyes adatok elektronikus megfigyelése és lehallgatása szükségszerű és alapvető közérdekű célokat szolgált. Az említett bíróság ugyanakkor hozzáfűzte, hogy az E. Snowden által kiszivárogtatott információk bizonyították, hogy az NSA és más szövetségi szervek „jelentős túlkapásokat” követtek el.
31 Márpedig ugyanezen bíróság szerint az uniós polgárok nem rendelkeznek tényleges meghallgatáshoz való joggal. A hírszerző szolgálatok tevékenységeinek felügyeletére titkos és nem kontradiktórius eljárásban kerül sor. Amint a személyes adatokat továbbították az Egyesült Államokba, az NSA és más szövetségi szervek, mint például a Federal Bureau of Investigation (Szövetségi Nyomozóiroda, FBI), hozzáférhet ezen adatokhoz az általuk széles körben folytatott, válogatás nélküli megfigyelés és lehallgatások útján.
32 A High Court (legfelsőbb bíróság) megállapította, hogy az ír jog tiltja a személyes adatok államterületen kívüli továbbítását, kivéve ha az adott harmadik ország megfelelő szintű védelmet biztosít a magánélet, valamint az alapvető jogok és szabadságok védelme tekintetében. A magánélet tiszteletben tartásához és a magánlakás sérthetetlenségéhez való, az ír alkotmányban biztosított jog megköveteli, hogy az e jogokba való valamennyi beavatkozás megfeleljen a törvény által előírt követelményeknek, és arányos legyen.
33 Márpedig a személyes adatokhoz való tömeges és válogatás nélküli hozzáférés nyilvánvalóan ellentétes az arányosság elvével és az ír alkotmány által védelemben részesített alapvető értékekkel. Ahhoz, hogy az elektronikus kommunikáció lehallgatása ezen alkotmánynak megfelelőnek legyen tekinthető, bizonyítani kell, hogy e lehallgatások célzottak, hogy bizonyos személyek vagy bizonyos személycsoportok megfigyelését a nemzetbiztonsághoz vagy a bűnüldözéshez fűződő érdek objektíve igazolja, továbbá hogy megfelelő és ellenőrizhető biztosítékok léteznek. Így a High Court (legfelsőbb bíróság) szerint, ha az alapügyet kizárólag az ír jog alapján kellene eldönteni, akkor azt kellene megállapítani, hogy – a személyes adatok számára az Amerikai Egyesült Államokban biztosított védelmi szint megfelelőségével kapcsolatos komoly kétség fennállására figyelemmel – az adatvédelmi biztosnak le kellett volna folytatnia az M. Schrems által a panaszában ismertetett tények vizsgálatát, és tévesen utasította el azt.
34 Mindazonáltal a High Court (legfelsőbb bíróság) megállapítja, hogy ezen ügy az uniós jognak a Charta 51. cikke szerinti végrehajtására vonatkozik, és így az alapügyben szereplő határozat jogszerűségét az uniós jog alapján kell értékelni. Márpedig e bíróság szerint a 2000/520 határozat nem felel meg sem a Charta 7. és 8. cikkéből, sem pedig a Bíróság által a Digital Rights Ireland és társai ítéletben (C‑293/12 és C‑594/12, EU:C:2014:238) kifejtett elvekből eredő követelményeknek. A magánélet tiszteletben tartásához való, a Charta 7. cikke és a tagállamok közös hagyományaiból eredő alapvető értékek által biztosított jog teljesen kiüresedne, ha az elektronikus kommunikációhoz válogatás nélkül és általánosan hozzáférhetnének az állami hatóságok, anélkül hogy szükség lenne az érintett egyénekkel konkrét kapcsolatban álló nemzetbiztonsági vagy bűnmegelőzési megfontolásokra alapított objektív igazolásra, és anélkül hogy e gyakorlatokhoz megfelelő és igazolható garanciák társulnának.
35 A High Court (legfelsőbb bíróság) rámutat arra, hogy M. Schrems a keresetében valójában a „biztonságos kikötő” 2000/520 határozattal létrehozott rendszerének jogszerűségét vitatja, és amely határozat az alapügyben szereplő határozat alapját képezi. Így, habár M. Schrems alakilag nem vitatta sem a 95/46 irányelv, sem pedig a 2000/520 határozat érvényességét, e bíróság szerint felmerül a kérdés, hogy ezen irányelv 25. cikkének (6) bekezdése folytán az adatvédelmi biztost kötötte‑e a Bizottság által az e határozatban tett azon megállapítás, mely szerint az Amerikai Egyesült Államok megfelelő védelmi szintet biztosít, vagy pedig a Charta 8. cikke feljogosítja‑e az adatvédelmi biztost, hogy adott esetben eltekintsen ezen megállapítástól.
36 E körülmények között a High Court (legfelsőbb bíróság) felfüggesztette az eljárást, és előzetes döntéshozatal céljából a következő kérdéseket terjesztette a Bíróság elé:
„1) A[z adatvédelmi biztos] elé terjesztett, arra irányuló panasz elbírálása során, hogy olyan harmadik országba (a jelen ügyben az Egyesült Államokba) továbbítottak személyes adatokat, amelynek joga és gyakorlata a panaszos állítása szerint nem nyújt megfelelő védelmet az érintett személy számára, a Charta 7., 8. és 47. cikkére tekintettel, valamint a 95/46 irányelv 25. cikkének (6) bekezdésétől függetlenül a[z adatvédelmi biztost] teljes mértékben köti‑e a 2000/520 határozatban szereplő, ezzel ellentétes [uniós] megállapítás?
2) Másodlagosan a[z adatvédelmi biztosnak] lehet‑e és/vagy kell‑e saját vizsgálatot végeznie ebben a kérdésben a bizottsági határozat első közzétételét követő időszakban bekövetkezett ténybeli fejleményekre tekintettel?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
37 A kérdést előterjesztő bíróság előzetes döntéshozatalra előterjesztett kérdései, amelyeket együttesen kell vizsgálni, lényegében arra irányulnak, hogy a 95/46 irányelv 25. cikkének (6) bekezdését a Charta 7., 8. és 47. cikkével összefüggésében úgy kell‑e, és ha igen, milyen mértékben kell úgy értelmezni, hogy az e rendelkezés alapján elfogadott, a 2000/520 határozathoz hasonló határozat, amelyben a Bizottság megállapítja, hogy valamely harmadik ország megfelelő védelmi szintet biztosít, megakadályozza azt, hogy az ezen irányelv 28. cikke szerinti tagállami felügyelő hatóság megvizsgálja a személy által az őt érintő, a valamely tagállamból e harmadik országba továbbított személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatban benyújtott kérelmet, amennyiben e személy arra hivatkozik, hogy az ezen országban hatályos jog és gyakorlatok nem biztosítanak megfelelő védelmi szintet.
A nemzeti felügyelő hatóságok 95/46 irányelv 28. cikke szerinti jogköreiről, amennyiben a Bizottság ezen irányelv 25. cikkének (6) bekezdése alapján határozatot fogadott el
38 Előzetesen emlékeztetni kell arra, hogy a 95/46 irányelvnek az alapvető szabadságok, és különösen a magánélet tiszteletben tartásához való jog megsértésére alkalmas személyesadat‑kezelést szabályozó rendelkezéseit szükségszerűen a Chartában biztosított alapvető jogok fényében kell értelmezni (lásd: Österreichischer Rundfunk és társai ítélet, C‑465/00, C‑138/01 és C‑139/01, EU:C:2003:294, 68. pont; Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 68. pont; Ryneš‑ítélet, C‑212/13, EU:C:2014:2428, 29. pont).
39 A 95/46 irányelv 1. cikkéből, valamint (2) és (10) preambulumbekezdéséből következik, hogy az irányelv nem csupán a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való joguknak a hatékony és teljes védelmét kívánja biztosítani a személyes adatok kezelése tekintetében, hanem ezen alapvető jogok és szabadságok magas szintű védelmét is. A Bíróság ítélkezési gyakorlata továbbá kiemelte mind a magánélet tiszteletben tartásához való, a Charta 7. cikkében biztosított alapvető jog, mind pedig annak 8. cikkében biztosított, a személyes adatok védelméhez való alapvető jog jelentőségét (lásd: Rijkeboer‑ítélet, C‑553/07, EU:C:2009:293, 47. pont; Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 53. pont; Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 53., 66. és 74. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
40 Ami azon jogköröket illeti, amellyel a nemzeti felügyelő hatóságok a személyes adatok harmadik országokba való továbbítása terén rendelkeznek, rá kell mutatni, hogy a 95/46 irányelv 28. cikkének (1) bekezdése értelmében a tagállamok kötelesek létrehozni egy vagy több felügyelő hatóságot, amelyek teljes függetlenségben látják el a természetes személyek számára az ilyen adatok kezelése vonatkozásában biztosított védelemre vonatkozó uniós szabályok tiszteletben tartásának felügyeletét. E követelmény az elsődleges uniós jogból, nevezetesen a Charta 8. cikkének (3) bekezdéséből és az EUMSZ 16. cikk (2) bekezdéséből is következik (lásd ebben az értelemben: Bizottság kontra Ausztria ítélet, C‑614/10, EU:C:2012:631, 36. pont; Bizottság kontra Magyarország ítélet, C‑288/12, EU:C:2014:237, 47. pont).
41 A nemzeti felügyelő hatóságok függetlensége garantálásának célja a személyes adatok feldolgozása vonatkozásában a természetes személyek védelmére vonatkozó rendelkezések tiszteletben tartásának felügyelete hatékonyságának és megbízhatóságának biztosítása, és azt e célkitűzés fényében kell értelmezni. Ennek előírására e hatóságok határozatai által érintett személyek és szervezetek védelmének megerősítése érdekében került sor. Következésképpen a független felügyelő hatóságok tagállamokban való létrehozatala – amint arra a 95/46 irányelv (62) preambulumbekezdése rámutat – lényeges eleme az egyének személyes adatok kezelése tekintetében való védelmének (lásd: Bizottság kontra Németország ítélet, C‑518/07, EU:C:2010:125, 25. pont; Bizottság kontra Magyarország ítélet, C‑288/12, EU:C:2014:237, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
42 E védelem biztosítása érdekében a nemzeti felügyelő hatóságoknak meg kell teremteniük a helyes egyensúlyt egyrészt a magánélet védelméhez való alapvető jog tiszteletben tartása, másrészt a személyes adatok szabad áramlásához fűződő érdekek között (lásd ebben az értelemben: Bizottság kontra Németország ítélet, C‑518/07, EU:C:2010:125, 24. pont; Bizottság kontra Magyarország ítélet, C‑288/12, EU:C:2014:237, 51. pont).
43 E célból a hatóságok a jogkörök széles skálájával rendelkeznek, és – a 95/46 irányelv 28. cikkének (3) bekezdésében nem kimerítő jelleggel felsorolt – e jogkörök feladataik teljesítéséhez szükséges különböző eszközöknek minősülnek, amint azt ezen irányelv (63) preambulumbekezdése kiemeli. Így az említett hatóságok rendelkeznek többek között vizsgálati jogkörökkel, mint például a felügyeleti feladatok ellátásához szükséges valamennyi információ összegyűjtésére vonatkozó jogosultság; és tényleges beavatkozási jogosultságokkal, mint például az adatkezelés átmeneti vagy végleges tilalmának elrendelése; valamint a bírósági eljárásokban való részvétel jogával.
44 A 95/46 irányelv 28. cikkének (1) és (6) bekezdéséből kétségtelenül következik, hogy a nemzeti felügyelő hatóságok jogkörei e hatóságok joghatósági területén végzett személyesadat‑kezelésre vonatkoznak, és így e 28. cikk alapján nem rendelkeznek jogkörökkel a harmadik országok területén végzett ilyen adatkezelés tekintetében.
45 Mindazonáltal a személyes adatok valamely tagállamból egy harmadik országba való továbbítására irányuló művelet önmagában a 95/46 irányelv 2. cikke b) pontjának értelmében vett, valamely tagállam területén végzett személyesadat‑kezelésnek minősül (lásd ebben az értelemben: Parlament kontra Tanács és Bizottság ítélet, C‑317/04 és C‑318/04, EU:C:2006:346, 56. pont). E rendelkezés ugyanis a „személyes adatok feldolgozását [helyesen: kezelését]” a következőképpen határozza meg: „a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége”, és példaként a „továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén” megvalósuló „közlést” említi.
46 A 95/46 irányelv (60) preambulumbekezdése pontosítja, hogy a személyes adatok harmadik országokba irányuló továbbítása csak a tagállamok által ezen irányelv értelmében elfogadott rendelkezések teljes betartásával lehetséges. Ezzel összefüggésben, az említett irányelv 25. és 26. cikkét magában foglaló IV. fejezete olyan rendszert hozott létre, amelynek célja, hogy a személyes adatok harmadik országokba irányuló továbbítását a tagállamok ellenőrizhessék. E rendszer kiegészítő jellegű az ugyanezen irányelv II. fejezete által létrehozott általános rendszerhez képest, amely a személyes adatok kezelése jogszerűségének általános feltételeit határozza meg (lásd ebben az értelemben: Lindqvist‑ítélet, C‑101/01, EU:C:2003:596, 63. pont).
47 Mivel a Charta 8. cikkének (3) bekezdésével és a 95/46 irányelv 28. cikkével összhangban a nemzeti felügyelő hatóságok feladata a természetes személyek számára a személyes adatok kezelése vonatkozásában biztosított védelemre vonatkozó uniós szabályok tiszteletben tartásának felügyelete, mindegyik hatóság hatáskörrel rendelkezik tehát annak ellenőrzésére, hogy a személyes adatoknak azon tagállamból valamely harmadik országba való továbbítása, amelyre a hatóság joghatósága kiterjed, tiszteletben tartja‑e a 95/46 irányelvben támasztott követelményeket.
48 A 95/46 irányelv, amellett, hogy az (56) preambulumbekezdésében elismeri, hogy a személyes adatoknak a tagállamokból a harmadik országokba való továbbítására szükség van a nemzetközi kereskedelem bővüléséhez, 25. cikkének (1) bekezdésében előírja azon elvet, hogy az ilyen adattovábbításra csak akkor kerülhet sor, ha e harmadik országok megfelelő védelmi szintet biztosítanak.
49 Továbbá az említett irányelv (57) preambulumbekezdése kifejti, hogy a személyes adatoknak a megfelelő védelmi szintet biztosítani nem tudó harmadik országokba irányuló továbbítását meg kell tiltani.
50 A személyes adatok harmadik országokba való továbbításának az említett országokban ezen adatok számára biztosított védelmi szint alapján történő felügyelete céljából a 95/46 irányelv 25. cikke számos kötelezettséget ír elő a tagállamok és a Bizottság számára. Amint a főtanácsnok indítványának 86. pontjában arra rámutatott, e cikkből többek között az következik, hogy mind a tagállamok, mind pedig a Bizottság megállapíthatja, hogy valamely harmadik ország megfelelő védelmi szintet biztosít‑e vagy sem.
51 A Bizottság a 95/46 irányelv 25. cikkének (6) bekezdése alapján határozatot fogadhat el, amelyben megállapítja, hogy a harmadik ország megfelelő védelmi szintet biztosít. Az ilyen határozatnak e rendelkezés második albekezdése értelmében a tagállamok a címzettjei, amelyek megteszik a szükséges intézkedéseket e határozat teljesítésére. Az EUMSZ 288. cikk negyedik bekezdése értelmében e határozat kötelező valamennyi címzett tagállamra nézve, és így valamennyi szervükre is kötelező (lásd ebben az értelemben: Albako Margarinefabrik ítélet, 249/85, EU:C:1987:245, 17. pont; Mediaset‑ítélet, C‑69/13, EU:C:2014:71, 23. pont), mivel az a következménye, hogy engedélyezi a személyes adatok tagállamokból való továbbítását azon harmadik országokba, amelyekre e határozat vonatkozik.
52 Így amíg a Bíróság nem állapítja meg a Bizottság határozatának érvénytelenségét, a tagállamok és a szerveik, köztük a független felügyelő hatóságaik, kétségkívül nem fogadhatnak el e határozattal ellentétes olyan intézkedéseket, mint az annak kötelező erejű megállapítására irányuló jogi aktusok, hogy az a harmadik ország, amelyre az említett határozat vonatkozik, nem biztosít megfelelő védelmi szintet. Az uniós intézmények jogi aktusait ugyanis főszabály szerint megilleti a jogszerűség vélelme, és ennélfogva mindaddig joghatásokat váltanak ki, amíg azokat vissza nem vonják, megsemmisítés iránti kereset alapján meg nem semmisítik, illetve előzetes döntéshozatal iránti kérelem vagy jogellenességi kifogás következtében nem nyilvánítják érvénytelennek (Bizottság kontra Görögország ítélet, C‑475/01, EU:C:2004:585, 18. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
53 Mindazonáltal a Bizottság által a 95/46 irányelv 25. cikkének (6) bekezdése alapján elfogadott határozat, így a 2000/520 határozat nem akadályozhatja meg azokat a személyeket, akiknek a személyes adatait továbbították vagy továbbíthatják valamely harmadik országba, hogy ezen irányelv 28. cikkének (4) bekezdése szerinti kérelemmel forduljanak a nemzeti felügyelő hatóságokhoz ezen adatok kezelése vonatkozásában a jogaik vagy szabadságaik védelmével kapcsolatban. Ehhez hasonlóan az ilyen jellegű határozat – amint arra a főtanácsnok indítványának különösen a 61., 93. és 116. pontjában rámutatott – nem teheti semmissé, vagy csökkentheti a nemzeti felügyelő hatóságok számára a Charta 8. cikkének (3) bekezdésében, valamint az említett irányelv 28. cikkében kifejezetten elismert jogköröket.
54 A Charta 8. cikkének (3) bekezdése és a 95/46 irányelv 28. cikke sem zárja ki a nemzeti felügyelő hatóságok hatásköreinek területe alól a személyes adatok olyan harmadik országba való továbbításának felügyeletét, amely az ezen irányelv 25. cikkének (6) bekezdése szerint bizottsági határozat tárgyát képezte.
55 Konkrétan, a 95/46 irányelv 28. cikke (4) bekezdésének első albekezdése, amely úgy rendelkezik, hogy a nemzeti felügyelő hatóságok „foglalkoznak a személyes adatok kezelése vonatkozásában az egyének jogainak vagy szabadságainak védelmével kapcsolatos, bármely személy […] által benyújtott kérelmekkel”, nem ír elő egyetlen kivételt sem ezzel kapcsolatban arra az esetre, amikor a Bizottság határozatot fogadott el ezen irányelv 25. cikkének (6) bekezdése alapján.
56 Továbbá 95/46 irányelv által bevezetett rendszerrel, valamint a 25. és 28. cikke céljával ellentétes lenne, ha a Bizottság által az említett irányelv 25. cikkének (6) bekezdése alapján elfogadott határozat azzal a hatással járhatna, hogy megakadályozza a nemzeti felügyelő hatóságot abban, hogy megvizsgálja a valamely személy által azon személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatban benyújtott kérelmet, amelyet valamely tagállamból egy olyan harmadik országba továbbítottak vagy továbbíthatnak, amelyre e határozat vonatkozik.
57 Éppen ellenkezőleg, a 95/46 irányelv 28. cikke jellegénél fogva alkalmazandó minden személyesadat‑kezelésre. Így még akkor is, ha a Bizottság határozatot fogadott el ezen irányelv 25. cikkének (6) bekezdése alapján, a valamely személy által a rá vonatkozó személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatban benyújtott kérelmekkel foglalkozó nemzeti felügyelő hatóságoknak jogosultnak kell lenniük arra, hogy teljes függetlenséggel megvizsgálják, hogy ezen adattovábbítás tiszteletben tartja‑e az említett irányelvben támasztott követelményeket.
58 Ha nem lennének erre jogosultak, azokat a személyeket, akiknek a személyes adatait valamely harmadik országba továbbították vagy továbbíthatják, megfosztanák a Charta 8. cikkének (1) és (3) bekezdésében biztosított azon jogtól, hogy az alapvető jogaik védelmére irányuló kérelemmel forduljanak a nemzeti felügyelő hatóságokhoz (lásd analógia útján: Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 68. pont).
59 A 95/46 irányelv 28. cikkének (4) bekezdése szerinti azon kérelmet, amelyben olyan személy, akinek a személyes adatait az érintett harmadik országba továbbították vagy továbbíthatják, az alapügyben szereplőhöz hasonlóan arra hivatkozik, hogy ezen ország joga és gyakorlatai – a Bizottság által az ezen irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatban tett megállapítás ellenére – nem biztosítanak megfelelő védelmi szintet, úgy kell érteni, hogy az lényegében e határozatnak a személyek magánélete, valamint alapvető jogai és szabadságai védelmével való összeegyeztethetőségére vonatkozik.
60 Ezzel összefüggésben a Bíróság állandó ítélkezési gyakorlatára kell emlékeztetni, mely szerint az Unió olyan jogi unió, amelyben az intézmények minden aktusa felülvizsgálat alá esik a tekintetben, hogy az különösen a Szerződésekkel, az általános jogelvekkel, valamint az alapvető jogokkal összeegyeztethető‑e (lásd ebben az értelemben: Bizottság és társai kontra Kadi ítélet, C‑584/10°P, C‑593/10°P és C‑595/10°P, EU:C:2013:518, 66. pont; Inuit Tapiriit Kanatami és társai kontra Parlament és Tanács ítélet, C‑583/11°P, EU:C:2013:625, 91. pont; Telefónica kontra Bizottság ítélet, C‑274/12°P, EU:C:2013:852, 56. pont). A Bizottság által a 95/46 irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatok tehát nem mentesülnek e felülvizsgálat alól.
61 Mindemellett egyedül a Bíróság rendelkezik hatáskörrel az uniós jogi aktusok, így a Bizottság által a 95/46 irányelv 25. cikkének (6) bekezdése alapján elfogadott határozat érvénytelenségének megállapítására, e hatáskör kizárólagosságának célja a jogbiztonság garantálása az uniós jog egységes alkalmazásának biztosítása révén (lásd: Melki és Abdeli ítélet, C‑188/10 és C‑189/10, EU:C:2010:363, 54. pont; CIVAD‑ítélet, C‑533/10, EU:C:2012:347, 40. pont).
62 Habár a nemzeti bíróságok kétségtelenül jogosultak arra, hogy megvizsgálják az uniós jogi aktusok, így a Bizottság által a 95/46 irányelv 25. cikkének (6) bekezdése alapján elfogadott határozat érvényességét, nem rendelkeznek azonban hatáskörrel arra, hogy maguk állapítsák meg az ilyen aktus érvénytelenségét (lásd ebben az értelemben: Foto‑Frost ítélet, 314/85, EU:C:1987:452, 15–20. pont; IATA és ELFAA ítélet, C‑344/04, EU:C:2006:10, 27. pont). A Bizottság által ezen irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatnak a személyek magánélete, valamint alapvető jogai és szabadságai védelmével való összeegyeztethetőségére vonatkozó, az említett irányelv 28. cikkének (4) bekezdése szerinti kérelem vizsgálata során a nemzeti felügyelő hatóságok még kevésbé jogosultak az ilyen határozat érvénytelenségének megállapítására.
63 E megfontolásokra tekintettel, amennyiben valamely személy, akinek a személyes adatait olyan harmadik országba továbbították vagy továbbíthatják, amely a Bizottság által a 95/46 irányelv 25. cikkének (6) bekezdése alapján hozott határozat tárgyát képezi, e személyes adatok kezelése vonatkozásában kérelemmel fordul a nemzeti felügyelő hatósághoz jogainak vagy szabadságainak védelmével kapcsolatban, és e kérelem keretében – az alapügyhöz hasonlóan – e határozatnak a személyek magánélete, valamint alapvető jogai és szabadságai védelmével való összeegyeztethetőségét vitatja, e hatóság feladata, hogy kellő gondossággal megvizsgálja az említett kérelmet.
64 Amennyiben az említett hatóság arra a következtetésre jut, hogy az ilyen kérelem alátámasztására felhozott bizonyítékok megalapozatlanok, és ezért elutasítja azt, az említett panaszt benyújtó személynek – amint a 95/46 irányelvnek a Charta 47. cikkével összefüggésben értelmezett 28. cikke (3) bekezdésének második albekezdéséből következik – olyan bírósági jogorvoslati lehetőségekkel kell rendelkeznie, amelyek lehetővé teszik számára, hogy az ilyen, számára sérelmet okozó aktust a nemzeti bíróságok előtt vitassa. A jelen ítélet 61. és 62. pontjában hivatkozott ítélkezési gyakorlatra tekintettel e bíróságok kötelesek felfüggeszteni az eljárást, és az érvényesség vizsgálata érdekében előzetes döntéshozatal iránti kérelemmel fordulni a Bírósághoz, amennyiben úgy ítélik meg, hogy a felek által felhozott vagy a hivatalból megvizsgált egy vagy több érvénytelenségi ok megalapozott (lásd ebben az értelemben: T & L Sugars és Sidul Açúcares kontra Bizottság ítélet, C‑456/13 P, EU:C:2015:284, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
65 Ellenkező esetben, ha az említett hatóság megalapozottnak ítéli meg a személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatos kérelmet benyújtó személy által felhozott kifogásokat, ugyanezen hatóságnak – a 95/46 irányelvnek a Charta 8. cikke (3) bekezdésével összefüggésben értelmezett 28. cikke (3) bekezdése harmadik albekezdésének harmadik francia bekezdése alapján – lehetőséggel kell rendelkeznie ahhoz, hogy bírósági eljárást indítson. Ezzel összefüggésben a nemzeti jogalkotó feladata, hogy előírja azon jogorvoslati lehetőségeket, amelyek lehetővé teszik az érintett nemzeti felügyelő hatóság számára, hogy a nemzeti bíróságok előtt az általa megalapozottnak talált kifogásokra hivatkozzon annak érdekében, hogy amennyiben az utóbbiak osztják e hatóságnak a bizottsági határozat érvényessége tekintetében fennálló kétségeit, előzetes döntéshozatali eljárást kezdeményezhessenek e határozat érvényességének vizsgálata céljából.
66 A fenti megfontolásokra tekintettel a feltett kérdésekre azt a választ kell adni, hogy a 95/46 irányelv 25. cikkének (6) bekezdését a Charta 7., 8. és 47. cikkével összefüggésben úgy kell értelmezni, hogy az e rendelkezés alapján elfogadott, a 2000/520 határozathoz hasonló határozat, amelyben a Bizottság megállapítja, hogy valamely harmadik ország megfelelő védelmi szintet biztosít, nem akadályozza meg azt, hogy az ezen irányelv 28. cikke szerinti tagállami felügyelő hatóság megvizsgálja a személy által benyújtott, a valamely tagállamból e harmadik országba továbbított és őt érintő személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatos kérelmet, amennyiben e személy arra hivatkozik, hogy az ezen országban hatályos jog és gyakorlatok nem biztosítanak megfelelő védelmi szintet.
A 2000/520 határozat érvényességéről
67 Amint a kérdést előterjesztő bíróságnak a feltett kérdésekkel kapcsolatos magyarázatából kiderül, M. Schrems azt állítja az alapügyben, hogy az Egyesült Államok joga és gyakorlatai nem biztosítanak megfelelő védelmi szintet a 95/46 irányelv 25. cikke értelmében. Amint azt a főtanácsnok indítványának 123. és 124. pontjában kifejtette, M. Schrems kétségeket táplál – amelyeket lényegében e bíróság is osztani látszik – a 2000/520 határozat érvényessége tekintetében. E körülmények mellett, a jelen ítélet 60–63. pontjában tett megállapításokra tekintettel, és azért, hogy az említett bíróság számára teljes körű választ lehessen adni, azt kell megvizsgálni, hogy e határozat megfelel‑e a Chartával összefüggésben értelmezett ezen irányelvből eredő követelményeknek.
A 95/46 irányelv 25. cikkének (6) bekezdéséből eredő követelményekről
68 Amint a jelen ítélet 48. és 49. pontjában már felidézésre került, a 95/46 irányelv 25. cikkének (1) bekezdése megtiltja a személyes adatok olyan harmadik országba való továbbítását, amely nem biztosít megfelelő védelmi szintet.
69 Mindazonáltal az ilyen továbbítás felügyelete céljából ezen irányelv 25. cikke (6) bekezdésének első albekezdése úgy rendelkezik, hogy a Bizottság „megállapíthatja, hogy a harmadik ország megfelelő védelmi szintet biztosít‑e [ezen] cikk (2) bekezdése értelmében, belföldi joga vagy az egyének magánéletének, alapvető jogainak és szabadságainak védelme érdekében, különösen az (5) bekezdésben említett tárgyalások végeredménye alapján vállalt nemzetközi kötelezettségei alapján”.
70 Kétségtelen, hogy a 95/46 irányelv 25. cikkének (2) bekezdése és más rendelkezése sem tartalmazza a megfelelő védelmi szint fogalmának meghatározását. Konkrétan az említett irányelv 25. cikkének (2) bekezdése annak kimondására szorítkozik, hogy a harmadik ország által nyújtott védelem szintjének megfelelő mivoltát „az adattovábbítási művelet vagy adattovábbítási műveletsorozat feltételeinek figyelembevételével kell értékelni”, és nem kimerítő jelleggel felsorolja az ezen értékelés során figyelembe veendő feltételeket.
71 Mindazonáltal, egyfelől magából a 95/46 irányelv 25. cikke (6) bekezdésének szövegéből következik, hogy e rendelkezés megköveteli, hogy a harmadik ország megfelelő védelmi szintet „biztosít[son]” a belföldi joga, vagy a vállalt nemzetközi kötelezettségei alapján. Másfelől szintén e rendelkezés értelmében a harmadik ország által biztosított védelem megfelelő mivolta „az egyének magánéletének, alapvető jogainak és szabadságainak védelme” alapján értékelendő.
72 Így a 95/46 irányelv 25. cikkének (6) bekezdése a Charta 8. cikkének (1) bekezdésében foglalt, a személyes adatok védelmére vonatkozó egyértelmű kötelezettséget hajtja végre, és célja – amint a főtanácsnok indítványának 139. pontjában arra rámutat – a személyes adatok harmadik országba való továbbítása esetén biztosított e védelem magas szintjének folyamatos fenntartása.
73 A 95/46 irányelv 25. cikkének (6) bekezdésében szereplő „megfelelő” kifejezés kétségkívül azt jelenti, hogy nem követelhető meg, hogy a harmadik ország az uniós jogrendben biztosított védelmi szinttel megegyező védelmi szintet biztosítson. Mindazonáltal, amint arra a főtanácsnok indítványának 141. pontjában rámutatott, a „megfelelő védelmi szint” kifejezést úgy kell érteni, mint amely megköveteli, hogy e harmadik ország – belföldi joga, vagy vállalt nemzetközi kötelezettségei alapján – az Unióban a Chartával összefüggésben értelmezett 95/46 irányelv által biztosított védelmi szinttel lényegében azonos védelmi szintet biztosítson ténylegesen az alapvető jogok és szabadságok számára. E követelmény hiányában ugyanis figyelmen kívül hagynák a jelen ítélet előző pontjában említett célkitűzést. Továbbá a Chartával összefüggésben értelmezett 95/46 irányelvben biztosított védelem magas szintje könnyen megkerülhető lenne azáltal, hogy a személyes adatokat az ezen országokban való kezelésük céljából az Unióból harmadik országokba továbbítják.
74 A 95/46 irányelv 25. cikke (6) bekezdésének kifejezett szövegéből ugyanis kiderül, hogy a bizottsági határozatban szereplő harmadik ország jogrendjének kell a megfelelő védelmi szintet biztosítania. Jóllehet azok az eszközök, amelyeket a harmadik ország az ilyen védelmi szint biztosításához e tekintetben igénybe vesz, különbözhetnek azoktól az eszközöktől, amelyeket a Chartával összefüggésben értelmezett ezen irányelvből eredő követelmények tiszteletben tartásának biztosítása céljából az Unióban alkalmaznak, ezen eszközöknek a gyakorlatban mégis hatékonynak kell lenniük ahhoz, hogy az Unióban biztosított védelemmel lényegében azonos védelmet biztosítsanak.
75 E körülmények mellett, a harmadik ország által biztosított védelmi szint vizsgálata során a Bizottság köteles értékelni a belföldi jogából, vagy a vállalt nemzetközi kötelezettségeiből eredően ebben az országban alkalmazandó szabályok tartalmát, valamint az e szabályok tiszteletben tartásának biztosítására szolgáló gyakorlatot, mivel ezen intézménynek a 95/46 irányelv 25. cikke (2) bekezdésének megfelelően figyelembe kell vennie a személyes adatok harmadik országba való továbbítására vonatkozó valamennyi feltételt.
76 Ehhez hasonlóan, tekintettel arra, hogy a harmadik ország által biztosított védelmi szint változhat, a Bizottságnak, azt követően, hogy a 95/46 irányelv 25. cikkének (6) bekezdése alapján határozatot fogadott el, rendszeresen meg kell vizsgálnia, hogy a szóban forgó harmadik ország által biztosított védelem megfelelő szintjére vonatkozó megállapítás továbbra is ténybelileg és jogilag igazolt‑e. Ezen vizsgálat minden esetben szükséges, amikor a valószínűsítő körülmények alapján kétségek merülhetnek fel e tekintetben.
77 Továbbá, amint arra a főtanácsnok indítványának 134. és 135. pontjában rámutatott, a Bizottság által a 95/46 irányelv 25. cikkének (6) bekezdése alapján elfogadott határozat érvényességének vizsgálata során azokat a körülményeket is figyelembe kell venni, amelyek e határozat elfogadását követően merültek fel.
78 Ezzel összefüggésben meg kell állapítani, hogy figyelembe véve egyrészt azt a jelentős szerepet, amelyet a személyes adatok védelme a magánélet tiszteletben tartásához való alapvető jogra tekintettel betölt, másrészt azon személyek nagy számát tekintve, akiknek az alapjogai sérülhetnek, ha a személyes adatokat olyan harmadik országba továbbítják, amely nem biztosít megfelelő védelmi szintet, a Bizottság harmadik ország által biztosított védelmi szint megfelelő mivoltát érintő mérlegelési jogköre korlátozott, és ezért azt szigorú felülvizsgálatnak kell alávetni a 95/46 irányelvnek a Chartával összefüggésben értelmezett 25. cikkéből eredő követelmények tekintetében (lásd analógia útján: Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 47. és 48. pont).
A 2000/520 határozat 1. cikkéről
79 A Bizottság a 2000/520 határozat 1. cikkének (1) bekezdésében megállapította, hogy az annak II. mellékletében meghatározott GYFK‑k által biztosított útmutatással összhangban bevezetett, e határozat I. mellékletében meghatározott elvek biztosítják az Unióból az Egyesült Államokban letelepedett szervezetek felé továbbított személyes adatok megfelelő szintű védelmét. E rendelkezésből következik, hogy mind ezen elveket, mind pedig e GYFK‑kat az amerikai Kereskedelmi Minisztérium adta ki.
80 Valamely szervezetnek a biztonságos kikötő elveihez való csatlakozására az öntanúsítási rendszer alkalmazása révén kerül sor, amint az e határozat – a II. mellékletében szereplő 6. GYFK‑val összefüggésben értelmezett – 1. cikkének (2) és (3) bekezdéséből következik.
81 Bár az, hogy valamely harmadik ország az öntanúsítási rendszert alkalmazza, önmagában nem ellentétes a 95/46 irányelv 25. cikkének (6) bekezdésében foglalt követelménnyel, mely szerint az érintett harmadik országnak megfelelő védelmi szintet kell biztosítania ezen ország „belföldi jog[a], vagy a vállalt nemzetközi kötelezettsége[i] […] alapján”, ennek a rendszernek az e követelmény tekintetében fennálló megbízhatósága lényegében azon hatékony felderítési és felügyeleti mechanizmusok bevezetésén alapul, amelyek a gyakorlatban lehetővé teszik az alapvető jogok – nevezetesen a magánélet tiszteletben tartásához, valamint a személyes adatok védelméhez való jog – védelmét biztosító szabályok esetleges megsértésének azonosítását és szankcionálását.
82 A jelen esetben a biztonságos kikötő elveit a 2000/520 határozat I. mellékletének második bekezdése értelmében „csak az Egyesült Államok olyan szervezeteinek használatára szánták, amelyek az Európai Unióból személyes adatokat fogadnak, a »biztonságos kikötő« és az általa létrehozott »megfelelőségi« minősítés elnyerése céljából”. Ezen elvek tehát csak azokra az amerikai szervezetekre alkalmazandók, amelyek öntanúsítással rendelkeznek, és személyes adatokat kapnak az Unióból, az amerikai hatóságokra azonban nem vonatkozik ezen elvek tiszteletben tartásának követelménye.
83 Továbbá a 2000/520 határozat 2. cikke értelmében e határozat „csak a [biztonságos kikötő] GYFK‑kal összhangban bevezetett elve[i] alapján az Egyesült Államokban nyújtott védelem megfelelőségére érvényes, a [95/46] irányelv 25. cikke (1) bekezdése követelményeinek való megfelelés céljából,” anélkül, hogy egyébként elegendő megállapításokat tartalmazna azon intézkedésekre vonatkozóan, amelyekkel az Amerikai Egyesült Államok megfelelő védelmi szintet biztosít ezen irányelv 25. cikkének (6) bekezdése értelmében belföldi joga, vagy vállalt nemzetközi kötelezettségei alapján.
84 Ehhez hozzá kell tenni, hogy a 2000/520 határozat I. mellékletének negyedik bekezdése értelmében az említett elvek alkalmazása korlátozható különösen „a nemzetbiztonság, a közérdek vagy a bűnüldözés követelményeinek teljesítéséhez szükséges mértékben”, valamint „törvény, kormányrendelet vagy precedensjog által, amelyek az elvekkel ellentétes kötelezettségeket vagy kifejezett felhatalmazásokat hoznak létre, feltéve hogy bármilyen ilyen felhatalmazás gyakorlása során a szervezet bizonyítani tudja, hogy az elvek nem teljesítése az ilyen felhatalmazás által támogatott törvényes érdekek teljesítéséhez szükséges mértékre korlátozódik”.
85 Ezzel összefüggésben 2000/520 határozat IV. melléklete a B. cím alatt a biztonságos kikötő elveinek alkalmazására vonatkozó korlátokat illetően kiemeli, hogy „[n]yilvánvaló, hogy ahol az Egyesült Államok jogszabályai ellentmondó kötelezettségeket szabnak, az Egyesült Államok szervezeteinek – akár a »biztonságos kikötő«‑ben, akár nem – be kell tartaniuk a jogszabályokat”.
86 Így a 2000/520 határozat kimondja a „nemzetbiztonság, a közérdek vagy a bűnüldözés követelményei” elsőbbségének elvét a biztonságos kikötő elvei felett, amely elsőbbség értelmében azok az amerikai szervezetek, amelyek öntanúsítással rendelkeznek, és személyes adatokat fogadnak az Unióból, korlátozások nélkül kötelesek eltérni ezen elvektől, amennyiben ez utóbbiak összeütközésbe kerülnek e követelményekkel, és azokkal összeegyeztethetetlennek bizonyulnak.
87 A 2000/520 határozat I. mellékletének negyedik bekezdésében szereplő eltérés általános jellegére tekintettel, az a nemzetbiztonságra, a közérdekre vagy a bűnüldözésre vonatkozó követelmények alapján így lehetővé teszi a beavatkozást azon személyek alapvető jogaiba, akiknek a személyes adatait az Unióból az Egyesült Államokba továbbítják vagy továbbíthatják. Ezzel összefüggésben a magánélet tiszteletben tartásához való alapvető jogba történő beavatkozás fennállásának megállapítása érdekében kevésbé fontos, hogy a magánélettel kapcsolatos információk érzékeny jellegűek‑e, vagy hogy az érintetteknek ez a beavatkozás okozott‑e esetleges kellemetlenséget, vagy sem (Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 33. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
88 Ráadásul a 2000/520 határozat nem tartalmaz semmilyen megállapítást azzal kapcsolatban, hogy az Egyesült Államokban léteznek azon személyek alapvető jogaiba való esetleges beavatkozások korlátozására irányuló állami szabályok, akiknek az adatait az Unióból az Egyesült Államokba továbbítják, e beavatkozásokat az állami szervek megengedik, amennyiben azok jogszerű célokat követnek, mint például a nemzetbiztonság.
89 Ehhez hozzá kell tenni, hogy a 2000/520 határozatban nem szerepel, hogy hatékony bírói védelem létezne az ilyen jellegű beavatkozásokkal szemben. Amint azt a főtanácsnok indítványának 204–206. pontjában kifejtette, a választottbírósági mechanizmusok, valamint a Szövetségi Kereskedelmi Bizottság (amelynek a – többek között e határozat II. mellékletében szereplő 11. GYFK által ismertetett – jogkörei a kereskedelmi jogvitákra korlátozódnak) előtti eljárások a biztonságos kikötő elveinek az amerikai vállalkozások általi tiszteletben tartására irányulnak, és nem alkalmazhatók az alapvető jogokba történő, állami intézkedésekből eredő beavatkozások jogszerűségére vonatkozó jogviták keretében.
90 Emellett a 2000/520 határozat fenti elemzését megerősíti azon értékelés, amelyet maga a Bizottság végzett az e határozat végrehajtásából eredő helyzetre vonatkozóan. Különösen a COM(2013) 846 final közlemény 2. és 3.2. pontjában, valamint a COM(2013) 847 final közlemény 7.1., 7.2. és 8. pontjában, amelyeket a jelen ítélet 13–16., illetve 22., 23. és 25. pontja ismertet, ezen intézmény ugyanis megállapította, hogy az amerikai hatóságok hozzáférhetnek a tagállamokból az Egyesült Államokba továbbított személyes adatokhoz, és ezeket a továbbításuk céljaival össze nem egyeztethető módon, valamint a nemzetbiztonság védelméhez feltétlenül szükséges és azzal arányos mértéket meghaladóan kezelhették. A Bizottság ehhez hasonlóan megállapította, hogy az érintett személyeknek nem volt olyan közigazgatási, illetve bírósági jogorvoslati lehetőségük, amely többek között lehetővé tette volna, hogy hozzáférjenek a rájuk vonatkozó adatokhoz, és azokat adott esetben helyesbíttessék, illetve töröltessék.
91 Ami az alapvető jogok és szabadságok Unióban biztosított védelmi szintjét illeti, az olyan uniós szabályozásnak, amely beavatkozást jelent a Charta 7. és 8. cikkében biztosított alapvető jogokba, a Bíróság állandó ítélkezési gyakorlata szerint egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatálya és alkalmazása vonatkozásában, és minimális követelményeket kell előírnia annak érdekében, hogy azon személyek, akiknek a személyes adatai érintettek, elegendő olyan biztosítékkal rendelkezzenek, amely lehetővé teszi az adataiknak a visszaélések veszélyeivel, valamint az ezen adatokat érintő minden jogellenes hozzáféréssel és felhasználással szembeni hatékony védelmét. Az ilyen biztosítékokkal való rendelkezés szükségessége még fontosabb abban az esetben, ha a személyes adatokat automatikusan kezelik és jelentős veszélye áll fenn az említett adatokhoz való jogellenes hozzáférésnek (Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 54. és 55. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
92 Ezen túlmenően ráadásul a magánélet tiszteletben tartásához való alapvető jog védelme uniós szinten megköveteli, hogy a személyes adatok védelme alóli kivételek és e védelem korlátozásai a feltétlenül szükséges határokon belül maradjanak (Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 52. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
93 Így nem a feltétlenül szükségesre korlátozódik az olyan szabályozás, amely általános jelleggel lehetővé teszi minden olyan személy összes személyes adatának tárolását, akiknek az adatait az Unióból az Egyesült Államokba továbbították, anélkül hogy a kitűzött cél alapján bármilyen különbségtételt, korlátozást vagy kivételt alkalmazna, és anélkül, hogy olyan objektív kritériumot írna elő, amely lehetővé tenné a hatóságok adatokhoz való hozzáférésének és azok későbbi felhasználásának meghatározott célokra történő, szigorúan behatárolt, valamint az ezen adatokhoz való hozzáférés és az azok felhasználása által okozott beavatkozás igazolására alkalmas korlátozását (a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtása, illetve a nyilvános hírközlő hálózatok szolgáltatása keretében előállított vagy feldolgozott [helyesen: kezelt] adatok megőrzéséről és a 2002/58/EK irányelv módosításáról szóló, 2006. március 15‑i 2006/24/EK európai parlamenti és tanácsi irányelvre [HL L 105., 54. o.; helyesbítés: HL 2009. L 50., 52. o.] vonatkozóan lásd ebben az értelemben: Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 57–61. pont).
94 Konkrétan azon olyan szabályozást, amely lehetővé teszi a hatóságok számára, hogy általános jelleggel hozzáférjenek az elektronikus kommunikációk tartalmához, úgy kell tekinteni, hogy az a magánélet tiszteletben tartásához való, a Charta 7. cikkében biztosított alapvető jog lényegét sérti (lásd ebben az értelemben: Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 39. pont).
95 Ehhez hasonlóan az olyan szabályozás, amely nem biztosít a jogalany számára semmilyen jogorvoslati lehetőséget abból a célból, hogy a rá vonatkozó személyes adatokhoz hozzáférést kapjon, vagy azokat helyesbíttesse, illetve töröltesse, nem tartja tiszteletben a hatékony bírói jogvédelemhez való jog lényegét, amelyet a Charta 47. cikke mond ki. A Charta 47. cikkének első bekezdése ugyanis megköveteli, hogy mindenkinek, akinek az Unió joga által biztosított jogait és szabadságait megsértették, a hivatkozott cikkben megállapított feltételek mellett joga van a bíróság előtti hatékony jogorvoslathoz. Az uniós rendelkezések tiszteletben tartásának biztosítására irányuló bírói felülvizsgálat fennállása e tekintetben a jogállamiság létének velejárója (lásd ebben az értelemben: Les Verts kontra Parlament ítélet, 294/83, EU:C:1986:166, 23. pont; Johnston‑ítélet, 222/84, EU:C:1986:206, 18. és 19. pont; Heylens és társai ítélet, 222/86, EU:C:1987:442, 14. pont; UGT‑Rioja és társai ítélet, C‑428/06 – C‑434/06, EU:C:2008:488, 80. pont).
96 Amint különösen a jelen ítélet 71., 73. és 74. pontjában a Bíróság megállapította, mivel a Bizottság a 95/46 irányelv 25. cikkének (6) bekezdése alapján határozatot fogadott el, ez megköveteli, hogy ezen intézmény kellően megindokolja azon megállapítását, hogy az érintett harmadik ország – belföldi joga, vagy vállalt nemzetközi kötelezettségei alapján – ténylegesen az Unió jogrendjében biztosított védelmi szinttel lényegében megegyező védelmi szintet biztosít az alapvető jogok számára, amint az különösen a jelen ítélet előző pontjaiból következik.
97 Márpedig meg kell jegyezni, hogy a Bizottság a 2000/520 határozatban nem állapította meg, hogy az Amerikai Egyesült Államok belföldi joga, vagy vállalt nemzetközi kötelezettségei alapján ténylegesen megfelelő védelmi szintet „biztosít”.
98 Anélkül, hogy a biztonságos kikötő elveinek tartalmát vizsgálni kellene, következésképpen meg kell állapítani, hogy e határozat 1. cikke sérti a 95/46 irányelv Chartával összefüggésben értelmezett 25. cikkének (6) bekezdésében megállapított követelményeket, és ezért az érvénytelen.
A 2000/520 határozat 3. cikkéről
99 A jelen ítélet 53., 57. és 63. pontjában kifejtett megfontolásokból következően a 95/46 irányelvnek – különösen a Charta 8. cikkével összefüggésben értelmezett – 28. cikkére tekintettel a nemzeti felügyelő hatóságoknak jogosultnak kell lenniük arra, hogy teljes függetlenséggel megvizsgáljanak minden, a személyt érintő adatok kezelése vonatkozásában a jogainak és szabadságainak védelmével kapcsolatos kérelmet. Különösen jogosultnak kell lenniük erre, amennyiben az ilyen kérelem keretében e személy a Bizottság által ezen irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatnak a személyek magánélete, valamint alapvető jogai és szabadságai védelmével való összeegyeztethetőségét vonja kétségbe.
100 A 2000/520 határozat 3. cikke (1) bekezdésének első albekezdése azonban különös szabályozást ír elő azon jogköröket illetően, amelyekkel a nemzeti felügyelő hatóságok rendelkeznek a Bizottság által a megfelelő védelmi szinttel kapcsolatban a 95/46 irányelv 25. cikke szerint tett megállapítás tekintetében.
101 Így e rendelkezés értelmében e hatóságok „[a] 95/46[…] irányelv 25. cikkétől eltérő rendelkezések alapján elfogadott nemzeti rendelkezéseknek való megfelelés biztosítása érdekében intézkedés megtételére vonatkozó hatáskörük sérelme nélkül […] gyakorolhatják meglévő hatáskörüket az olyan szervezet felé irányuló adatáramlás felfüggesztésére, amely önmaga tanúsította [a 2000/520 határozattal] a bevezetett elvek elfogadását”, magas beavatkozási küszöböt megállapító, korlátozó feltételek mellett. Habár e rendelkezés nem sérti e hatóságok azon jogköreit, hogy az ezen irányelv alapján elfogadott nemzeti rendelkezések tiszteletben tartásának biztosítására irányuló intézkedéseket hozzanak, kizárja viszont az említett hatóságok azon lehetőségét, hogy az ugyanezen irányelv 25. cikke tiszteletben tartásának biztosítására irányuló intézkedéseket hozzanak.
102 A 2000/520 határozat 3. cikke (1) bekezdésének első albekezdését tehát úgy kell értelmezni, hogy az megfosztja a nemzeti felügyelő hatóságokat a 95/46 irányelv 28. cikkéből fakadó jogköreiktől, amennyiben valamely személy az e rendelkezés alapján benyújtott kérelem keretében olyan bizonyítékokat terjeszt elő, amelyek alkalmasak a Bizottság azon határozatának a személyek magánélete, valamint alapvető jogai és szabadságai védelmével való összeegyeztethetőségének vitatására, amely ezen irányelv 25. cikkének (6) bekezdése alapján megállapította, hogy valamely harmadik ország megfelelő védelmi szintet biztosít.
103 Márpedig az uniós jogalkotó által a 95/46 irányelv 25. cikkének (6) bekezdésében a Bizottságra ruházott végrehajtási jogkör nem biztosítja ezen intézmény számára azon hatáskört, hogy korlátozza a nemzeti felügyelő hatóságoknak a jelen ítélet előző pontjában említett jogköreit.
104 E körülmények mellett meg kell állapítani, hogy a Bizottság a 2000/520 határozat 3. cikkének elfogadásával túllépte azon hatáskört, amelyet 95/46 irányelv Chartával összefüggésben értelmezett 25. cikkének (6) bekezdése ruházott rá, és ezért e cikk érvénytelen.
105 Mivel a 2000/520 határozat 1. és 3. cikke elválaszthatatlan annak 2. és 4. cikkétől, valamint a mellékleteitől, az érvénytelenségük e határozat egészének érvényességét befolyásolja.
106 A fenti megfontolások összességére tekintettel meg kell állapítani, hogy a 2000/520 határozat érvénytelen.
A költségekről
107 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:
1) A 2003. szeptember 29‑i 1882/2003/EK európai parlamenti és tanácsi rendelettel módosított, a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvnek az Európai Unió Alapjogi Chartájának 7., 8. és 47. cikkével összefüggésben értelmezett 25. cikkének (6) bekezdését úgy kell értelmezni, hogy az e rendelkezés alapján elfogadott olyan határozat, mint az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló, 2000. július 26‑i 2000/520/EK bizottsági határozat, amelyben az Európai Bizottság megállapítja, hogy valamely harmadik ország megfelelő védelmi szintet biztosít, nem akadályozza meg azt, hogy az ezen módosított irányelv 28. cikke szerinti tagállami felügyelő hatóság megvizsgálja a személy által benyújtott, valamely tagállamból e harmadik országba továbbított és őt érintő személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatos kérelmet, amennyiben e személy arra hivatkozik, hogy az ezen országban hatályos jog és gyakorlatok nem biztosítanak megfelelő védelmi szintet.
2) A 2000/520 határozat érvénytelen.
Aláírás