Mål C‑362/14

Maximillian Schrems

mot

Data Protection Commissioner

(begäran om förhandsavgörande från High Court (Irland))

”Begäran om förhandsavgörande – Personuppgifter – Skydd för enskilda personer med avseende på behandling av personuppgifter – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 47 – Direktiv 95/46/EG – Artiklarna 25 och 28 – Överföring av personuppgifter till tredjeländer – Beslut 2000/520/EG – Överföring av personuppgifter till Förenta staterna – Inadekvat skyddsnivå – Giltighet – Anmälan från en enskild person vars uppgifter har överförts från Europeiska unionen till Förenta staterna – De nationella tillsynsmyndigheternas befogenheter”

Sammanfattning – Domstolens dom (stora avdelningen) av den 6 oktober 2015

1.        Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Tolkning mot bakgrund av de grundläggande rättigheterna

(Europeiska unionens stadga om de grundläggande rättigheterna; Europaparlamentets och rådets direktiv 95/46)

2.        Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Nationella tillsynsmyndigheter – Krav på oberoende

(Artikel 16.2 FEUF; Europeiska unionens stadga om de grundläggande rättigheterna, Artikel 8.3; Europaparlamentets och rådets direktiv 95/46, skäl 62 och artikel 28.1)

3.        Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Nationella tillsynsmyndigheter – Befogenheter – Kontrollen av överföringar av personuppgifter till tredjeländer – Omfattas

(Europeiska unionens stadga om de grundläggande rättigheterna, artikel 8.3; Europaparlamentets och rådets direktiv 95/46, artikel 28)

4.        Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Överföring av personuppgifter till tredjeland – Kommissionens antagande av ett beslut i vilket den konstaterar att ett tredjeland säkerställer en adekvat skyddsnivå – Beslut som är bindande för alla de medlemsstater som det riktar sig till – Giltighetsprövning av ett sådant beslut – De nationella tillsynsmyndigheternas och de nationella domstolarnas respektive roller

(Artikel 288 fjärde stycket FEUF; Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 8.3 och 47; Europaparlamentets och rådets direktiv 95/46, artiklarna 25.6, 28.3 och 28.4)

5.        Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Överföring av personuppgifter till tredjeland – Kommissionens antagande av ett beslut i vilket den konstaterar att ett tredjeland säkerställer en adekvat skyddsnivå – Nationell tillsynsmyndighet till vilken en begäran inlämnats om skydd för sökandens fri- och rättigheter med avseende på behandling av överförda uppgifter rörande vederbörande – Sökanden bestrider att detta tredjeland har en adekvat skyddsnivå – Skyldighet för nämnda myndighet att utreda begäran – Utredningens omfattning

(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8 och 47; Europaparlamentets och rådets direktiv 95/46, artiklarna 25.6 och 28)

6.        Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Överföring av personuppgifter till tredjeland – Kommissionens antagande av ett beslut i vilket den konstaterar att ett tredjeland säkerställer en adekvat skyddsnivå – Begreppet adekvat skyddsnivå – Bedömningskriterier – Kommissionens utrymme för skönsmässig bedömning

(Europaparlamentets och rådets direktiv 95/46, artikel 25.2 och 25.6)

7.        Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Överföring av personuppgifter till tredjeland – Kommissionens antagande av ett beslut i vilket den konstaterar att ett tredjeland säkerställer en adekvat skyddsnivå – Beslut 2000/520 i vilket det slås fast att Förenta staterna har en adekvat skyddsnivå – Ogiltighet

(Europeiska unionens stadga om de grundläggande rättigheterna; Europaparlamentets och rådets direktiv 95/46, artiklarna 25.6 och 28; Kommissionens beslut 2000/520, artiklarna 1–4)

8.        Grundläggande rättigheter – Respekt för privatlivet – Skydd för personuppgifter – Unionslagstiftning som innebär ett ingrepp i de grundläggande rättigheterna – Villkor – Tillräckliga garantier mot risker för missbruk – Iakttagande av proportionalitetsprincipen

(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7 och 8)

1.        Se domen.

(se punkt 38)

2.        Se domen.

(se punkterna 40 och 41)

3.        De nationella tillsynsmyndigheterna förfogar över en vid uppsättning befogenheter för detta ändamål. Dessa befogenheter, vilka anges på ett icke-uttömmande sätt i artikel 28.3 i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, utgör nödvändiga resurser för att utöva myndigheternas uppgifter, såsom understryks i skäl 63 i direktivet. Således har dessa myndigheter bland annat undersökningsbefogenheter, såsom befogenheten att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, effektiva befogenheter att ingripa, såsom befogenheten att besluta om tillfälligt eller slutligt förbud mot behandling av uppgifter, och även befogenhet att inleda rättsliga förfaranden.

Vad gäller möjligheten att kontrollera överföringar av personuppgifter till tredjeländer framgår det förvisso av artikel 28.1 och 28.6 i direktiv 95/46 att de nationella tillsynsmyndigheternas befogenheter avser behandling av personuppgifter inom den medlemsstats territorium till vilken dessa myndigheter hör, varför dessa myndigheter inte har några befogenheter, med stöd av denna artikel 28, vad gäller behandling av sådana uppgifter inom ett tredjelands territorium. Emellertid utgör åtgärden att låta överföra personuppgifter från en medlemsstat till ett tredjeland i sig en behandling av personuppgifter i den mening som avses i artikel 2 b i direktiv 95/46 som utförs inom en medlemsstats territorium. Enligt artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 28 i direktiv 95/46 är de nationella tillsynsmyndigheterna ansvariga för kontrollen av efterlevnaden av unionsbestämmelserna om skyddet av enskilda personer med avseende på behandlingen av personuppgifter. Respektive tillsynsmyndighet har således befogenhet att kontrollera huruvida en överföring till ett tredjeland av personuppgifter från den medlemsstat till vilken myndigheten hör uppfyller de krav som följer av direktiv 95/46.

(se punkterna 43–45 och 47)

4.        Kommissionen får med stöd av artikel 25.6 i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter anta ett beslut i vilket den konstaterar att ett tredjeland säkerställer en adekvat skyddsnivå. Av artikel 25.6 andra stycket framgår att ett sådant beslut riktar sig till medlemsstaterna, som ska vidta de åtgärder som är nödvändiga för att följa beslutet. I enlighet med artikel 288 FEUF fjärde stycket är beslutet bindande för alla de medlemsstater som det riktar sig till, och det är således bindande för alla organ i dessa stater, i den utsträckning det medför tillåtelse att överföra personuppgifter från medlemsstaterna till det tredjeland som avses i beslutet.

Så länge som kommissionens beslut inte har ogiltigförklarats av domstolen, som är exklusivt behörig att förklara en unionsrättsakt ogiltig, kan således medlemsstaternas och deras organ, däribland deras oberoende tillsynsmyndigheter, förvisso inte vidta åtgärder som strider mot ett sådant kommissionsbeslut, såsom rättsakter i vilka det med bindande verkan konstateras att det tredjeland som avses i beslutet inte säkerställer en adekvat skyddsnivå. Unionsinstitutionernas rättsakter presumeras nämligen vara lagenliga och har rättsverkan så länge de inte har återkallats, eller förklarats vara ogiltiga efter en talan om ogiltigförklaring eller till följd av en begäran om förhandsavgörande eller invändning om rättsstridighet.

De nationella domstolarna har förvisso rätt att undersöka giltigheten av en unionsrättsakt. Dessa domstolar har emellertid inte befogenhet att själva ogiltigförklara en sådan rättsakt. Än mindre har de nationella tillsynsmyndigheterna, när de utreder en begäran i den mening som avses i artikel 28.4 i direktiv 95/46 angående huruvida ett kommissionsbeslut är förenligt med skyddet för privatlivet och enskilda personers grundläggande fri- och rättigheter, rätt att själva ogiltigförklara ett sådant beslut.

För det fall att en nationell tillsynmyndighet kommer fram till att det saknas fog för de argument som anförts till stöd för begäran och därför avslår den, följer det av artikel 28.3 andra stycket i direktiv 95/46, jämförd med artikel 47 i Europeiska unionens stadga om de grundläggande rättigheterna, att den person som inkommit med denna begäran ska ha tillgång till rättsmedel med vilka han eller hon vid nationella domstolar kan angripa det beslut som gått vederbörande emot. Under dessa förhållanden är dessa domstolar skyldiga att vilandeförklara målet och hänskjuta en giltighetsfråga till EU-domstolen för förhandsavgörande, för det fall att en nationell domstol bedömer att det finns fog för en eller flera av de grunder som parterna åberopar – eller som nämnda domstol i förekommande fall prövar ex officio – till stöd för att unionsakten ska anses ogiltig.

Om den nationella tillsynsmyndigheten däremot anser att det finns fog för de invändningar som framförts av den person som inkommit med en begäran till myndigheten om skydd för vederbörandes fri- och rättigheter med avseende på behandlingen av personuppgifter, måste myndigheten, i enlighet med artikel 28.3 första stycket tredje strecksatsen i direktiv 95/46, särskild jämförd med artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna, ha befogenhet att inleda rättsliga förfaranden. Det ankommer härvidlag på den nationella lagstiftaren att föreskriva rättsmedel som gör det möjligt för den nationella tillsynsmyndigheten att vid nationella domstolar göra gällande de invändningar som den anser att det finns fog för, så att nationella domstolar, för det fall att de delar myndighetens tvivel angående kommissionsbeslutet giltighet, kan hänskjuta en begäran om förhandsavgörande för att pröva detta besluts giltighet.

(se punkterna 51, 52, 61, 62, 64 och 65)

5.        Artikel 25.6 i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, jämförd med artiklarna 7, 8 och 47 i Europeiska unionens stadga om de grundläggande rättigheterna, ska tolkas så, att ett beslut som har antagits med stöd av denna bestämmelse, genom vilket kommissionen konstaterar att ett tredjeland säkerställer en adekvat skyddsnivå, inte utgör hinder för att en medlemsstats tillsynsmyndighet, i den mening som avses i artikel 28 i direktivet, prövar en persons begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter rörande vederbörande, vilka har överförts från en medlemsstat till detta tredjeland, när denna person gör gällande att detta tredjelands rätt och praxis inte säkerställer en adekvat skyddsnivå.

I annat fall skulle de personer vilkas personuppgifter har överförts, eller kan komma att överföras, till det aktuella tredjelandet berövas den rätt att lämna in en begäran till de nationella tillsynsmyndigheterna, vilken garanteras i artikel 8.1 och 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna, i syfte att skydda sina grundläggande rättigheter.

Vidare gäller att en begäran i den mening som avses i artikel 28.4 i direktiv 95/46, genom vilken en person gör gällande att det aktuella tredjelandets rätt och praxis inte säkerställer en adekvat skyddsnivå, trots det som kommissionen konstaterat i ett beslut antaget med stöd av artikel 25.6 i direktivet, ska förstås som gällande i huvudsak huruvida detta beslut är förenligt med skyddet för privatlivet och enskilda personers grundläggande fri- och rättigheter. Under dessa förhållanden ankommer det på en nationell tillsynsmyndighet att med vederbörlig omsorg utreda en sådan begäran som framställts av en person vars personuppgifter överförts, eller kan komma att överföras, till ett tredjeland som varit föremål för ett kommissionsbeslut med stöd av artikel 25.6 i direktiv 95/46.

(se punkterna 58, 59, 63 och 66 samt punkt 1 i domslutet)

6.        Begreppet ”adekvat skyddsnivå” artikel 25.6 i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter ska förstås så, att det krävs att detta tredjeland, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, de facto säkerställer en nivå för skyddet av grundläggande fri- och rättigheter som är väsentligen likvärdig med den skyddsnivå som garanteras inom unionen enligt direktiv 95/46 jämfört med Europeiska unionens stadga om de grundläggande rättigheterna.

Vid undersökningen av den skyddsnivå som erbjuds av ett tredjeland är kommissionen mot denna bakgrund skyldig att bedöma innehållet i de regler som är tillämpliga i detta land till följd av dess interna lagstiftning eller dess internationella förpliktelser samt praxis vad gäller att säkerställa iakttagandet av dessa regler. I enlighet med artikel 25.2 i direktiv 95/46 ska kommissionen härvidlag beakta alla de förhållanden som har samband med en överföring av personuppgifter till ett tredjeland. Mot bakgrund av omständigheten att den skyddsnivå som säkerställs i ett tredjeland kan komma att förändras, ankommer det dessutom på kommissionen, efter det att den antagit ett beslut med stöd av artikel 25.6 i direktiv 95/46, att regelbundet kontrollera att konstaterandet att det aktuella tredjelandet säkerställer en adekvat skyddsnivå fortfarande är sakligt och rättsligt motiverat. En sådan kontroll krävs under alla förhållanden när det finns uppgifter som ger upphov till tvivel i detta hänseende.

Kommissionens utrymme för skönsmässig bedömning av huruvida den skyddsnivå som säkerställs i ett tredjeland är adekvat är begränsat, med hänsyn till den stora betydelse som skyddet för personuppgifter har för den grundläggande rätten till respekt för privatlivet och med hänsyn till det stora antal personer som riskerar att få sina grundläggande rättigheter kränkta vid en överföring av personuppgifter till ett tredjeland som inte säkerställer en adekvat skyddsnivå. Det ska därför göras en strikt kontroll av de krav som följer av artikel 25 i direktiv 95/46 jämförd med Europeiska unionens stadga om de grundläggande rättigheterna.

(se punkterna 73, 75, 76 och 78)

7.        För att kommissionen ska kunna anta ett beslut med stöd av artikel 25.6 i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, såsom beslut 2000/520, om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat, krävs att kommissionen har fastställt och vederbörligen motiverat att det aktuella tredjelandet, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, de facto säkerställer en nivå för skyddet av de grundläggande rättigheterna som är väsentligen likvärdig med den nivå som garanteras i unionens rättsordning.

Eftersom kommissionen i beslut 2000/520 inte har angett något sådant, åsidosatte artikel 1 beslutet de krav som slås fast i artikel 25.6 i direktiv 95/46 jämförd med Europeiska unionens stadga om de grundläggande rättigheterna, och artikeln är därmed ogiltig. Safe harbor-principerna är nämligen uteslutande tillämpliga på självcertifierade amerikanska organisationer som erhåller personuppgifter från unionen, utan att det krävs att amerikanska myndigheter ska iaktta dessa principer. Vidare möjliggör beslut 2000/520 ingrepp – grundade på krav avseende nationell säkerhet, allmänintresset eller intern lagstiftning i Förenta staterna – i de grundläggande rättigheterna för personer vilkas personuppgifter överförs eller kan komma att överföras från unionen till Förenta staterna, samtidigt som beslutet inte innehåller något konstaterande beträffande förekomsten i Förenta staterna av regler som antagits av staten och som syftar till att begränsa eventuella ingrepp i dessa rättigheter. Inte heller anges att det finns något effektivt rättsligt skydd mot denna typ av ingrepp.

Vidare har kommissionen genom att anta artikel 3 i beslut 2000/520 överskridit den befogenhet som kommissionen tilldelas i artikel 25.6 i direktiv 95/46 jämförd med Europeiska unionens stadga om de grundläggande rättigheterna, och att denna artikel därmed är ogiltig. Denna artikel ska förstås så, att den berövar de nationella tillsynsmyndigheterna de befogenheter de har i enlighet med artikel 28 i direktiv 95/46, när en person i samband med en begäran i enlighet med denna bestämmelse anför omständigheter som innebär att det kan ifrågasättas huruvida ett beslut i vilket kommissionen med stöd av artikel 25.6 i direktivet konstaterat att ett tredjeland säkerställer en adekvat skyddsnivå, är förenligt med skyddet för privatlivet och enskilda personers grundläggande fri- och rättigheter. De genomförandebefogenheter som unionslagstiftaren gett kommissionen i artikel 25.6 i direktiv 95/46 ger emellertid inte denna institution befogenheten att inskränka dessa befogenheter för nämnda nationella tillsynsmyndigheter.

Eftersom artiklarna 1 och 3 i beslut 2000/520 inte kan avskiljas från artiklarna 2 och 4 i beslutet, eller från bilagorna till beslutet, påverkar ogiltigheten av artiklarna 1 och 3 giltigheten för beslutet i dess helhet.

(se punkterna 82, 87–89, 96–98 och 102–105 samt punkt 2 i domslutet)

8.        En unionslagstiftning som innebär ett ingrepp i de grundläggande rättigheter som garanteras av artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna, måste föreskriva tydliga och precisa bestämmelser som reglerar räckvidden och tillämpligheten av en åtgärd och slå fast minimikrav, så att de personer vilkas personuppgifter berörs har tillräckliga garantier som möjliggör ett effektivt skydd av deras uppgifter mot risker för missbruk och otillåten åtkomst eller användning. Behovet av sådana garantier är av än större betydelse när personuppgifterna är föremål för automatisk behandling och risken för otillåten åtkomst till uppgifterna är stor. Vidare, och framför allt, kräver skyddet av den grundläggande rätten till respekt för privatlivet på unionsnivå att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt.

En lagstiftning är således inte begränsad till vad som är strängt nödvändigt när den generellt tillåter lagring av samtliga personuppgifter om alla personer vilkas uppgifter har överförts från unionen, utan att det görs några åtskillnader, begränsningar eller undantag med beaktande av det eftersträvade syftet och utan att det föreskrivs något objektivt kriterium som gör det möjligt att avgränsa myndigheternas åtkomst till uppgifterna och att avgränsa deras senare användning till bestämda, strängt begränsade syften som kan motivera det ingrepp som såväl åtkomst som användning av uppgifterna innebär.

I synnerhet måste en lagstiftning som tillåter myndigheterna generell åtkomst till innehållet i elektroniska kommunikationer anses kränka det väsentliga innehållet i den grundläggande rätten till respekt för privatlivet, som garanteras i artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna.

En lagstiftning i vilken det inte föreskrivs någon möjlighet för enskilda att använda rättsmedel för att erhålla tillgång till, rätta eller radera uppgifter som rör dem, respekterar inte det väsentliga innehållet i den grundläggande rätten till effektivt domstolsskydd, vilken är stadfäst i artikel 47 i Europeiska unionens stadga om de grundläggande rättigheterna. I artikel 47 första stycket i stadgan föreskrivs nämligen att var och en vars unionsrättsligt garanterade fri- och rättigheter har kränkts har rätt till ett effektivt rättsmedel inför en domstol, med beaktande av de villkor som föreskrivs i den artikeln. Möjligheten till en effektiv domstolsprövning i syfte att säkerställa iakttagandet av unionsrätten är härvidlag i sig en grundförutsättning för en rättsstat.

(se punkterna 91–95)