Asia C‑362/14

Maximillian Schrems

vastaan

Data Protection Commissioner

(High Courtin (Irlanti) esittämä ennakkoratkaisupyyntö)

Ennakkoratkaisupyyntö – Henkilötiedot – Yksilöiden suojelu henkilötietojen käsittelyssä – Euroopan unionin perusoikeuskirja – 7, 8 ja 47 artikla – Direktiivi 95/46/EY – 25 ja 28 artikla – Henkilötietojen siirto kolmansiin maihin – Päätös 2000/520/EY – Henkilötietojen siirto Yhdysvaltoihin – Tietosuojan riittämätön taso – Pätevyys – Luonnollisen henkilön, jonka tiedot on siirretty Euroopan unionista Yhdysvaltoihin, tekemä kantelu – Kansallisten valvontaviranomaisten toimivalta

Tiivistelmä – Unionin tuomioistuimen tuomio (suuri jaosto) 6.10.2015

1.        Jäsenvaltioiden lainsäädännön lähentäminen – Yksilöiden suojelu henkilötietojen käsittelyssä – Direktiivi 95/46 – Tulkinta perusoikeuksien valossa

(Euroopan unionin perusoikeuskirja; Euroopan parlamentin ja neuvoston direktiivi 95/46)

2.        Jäsenvaltioiden lainsäädännön lähentäminen – Yksilöiden suojelu henkilötietojen käsittelyssä – Direktiivi 95/46 – Kansalliset valvontaviranomaiset – Itsenäisyyden vaatimus

(SEUT 16 artiklan 2 kohta; Euroopan unionin perusoikeuskirjan 8 artiklan 3 kohta; Euroopan parlamentin ja neuvoston direktiivin 95/46 johdanto-osan 62 perustelukappale ja 28 artiklan 1 kohta)

3.        Jäsenvaltioiden lainsäädännön lähentäminen – Yksilöiden suojelu henkilötietojen käsittelyssä – Direktiivi 95/46 – Kansalliset valvontaviranomaiset – Toimivalta – Valvonta, joka koskee henkilötietojen siirtoja kolmansiin maihin – Kuuluminen kyseiseen toimivaltaan

(Euroopan unionin perusoikeuskirjan 8 artiklan 3 kohta; Euroopan parlamentin ja neuvoston direktiivin 95/46 28 artikla)

4.        Jäsenvaltioiden lainsäädännön lähentäminen – Yksilöiden suojelu henkilötietojen käsittelyssä – Direktiivi 95/46 – Henkilötietojen siirto kolmansiin maihin – Se, että komissio tekee päätöksen, jossa se toteaa, että tietosuojan taso kolmannessa maassa on riittävä – Päätös, joka sitoo kaikkia jäsenvaltioita, joille se on osoitettu – Tällaisen päätöksen pätevyyden tutkiminen – Yhtäältä kansallisten valvontaviranomaisten ja toisaalta kansallisten tuomioistuinten rooli

(SEUT 288 artiklan neljäs kohta; Euroopan unionin perusoikeuskirjan 8 artiklan 3 kohta ja 47 artikla; Euroopan parlamentin ja neuvoston direktiivin 95/46 25 artiklan 6 kohta ja 28 artiklan 3 ja 4 kohta)

5.        Jäsenvaltioiden lainsäädännön lähentäminen – Yksilöiden suojelu henkilötietojen käsittelyssä – Direktiivi 95/46 – Henkilötietojen siirto kolmansiin maihin – Se, että komissio tekee päätöksen, jossa se toteaa, että tietosuojan taso kolmannessa maassa on riittävä – Kansallinen valvontaviranomainen, jonka käsiteltäväksi henkilö on saattanut vaatimuksen oikeuksiensa ja vapauksiensa suojasta siirrettyjen henkilötietojensa käsittelyssä – Henkilö, jonka mielestä tietosuojan taso kyseisessä kolmannessa maassa ei ole riittävä – Kyseisen viranomaisen velvollisuus tutkia vaatimus – Tutkinnan laajuus

(Euroopan unionin perusoikeuskirjan 7, 8 ja 47 artikla; Euroopan parlamentin ja neuvoston direktiivin 95/46 25 artiklan 6 kohta ja 28 artikla)

6.        Jäsenvaltioiden lainsäädännön lähentäminen – Yksilöiden suojelu henkilötietojen käsittelyssä – Direktiivi 95/46 – Henkilötietojen siirto kolmansiin maihin – Se, että komissio tekee päätöksen, jossa se toteaa, että tietosuojan taso kolmannessa maassa on riittävä – Tietosuojan riittävän tason käsite – Arviointiperusteet – Komission harkintavalta

(Euroopan parlamentin ja neuvoston direktiivin 95/46 25 artiklan 2 ja 6 kohta)

7.        Jäsenvaltioiden lainsäädännön lähentäminen – Yksilöiden suojelu henkilötietojen käsittelyssä – Direktiivi 95/46 – Henkilötietojen siirto kolmansiin maihin – Se, että komissio tekee päätöksen, jossa se toteaa, että tietosuojan taso kolmannessa maassa on riittävä – Päätös 2000/520, jossa tietosuojan taso Yhdysvalloissa todetaan riittäväksi – Pätemättömyys

(Euroopan unionin perusoikeuskirja; Euroopan parlamentin ja neuvoston direktiivin 95/46 25 artiklan 6 kohta ja 28 artikla; komission päätöksen 2000/520 1–4 artikla)

8.        Perusoikeudet – Yksityiselämän kunnioittaminen – Henkilötietojen suoja – Unionin säännöstö, joka merkitsee puuttumista kyseisiin perusoikeuksiin – Edellytykset – Riittävät takeet väärinkäytön vaaroja vastaan – Suhteellisuusperiaatteen noudattaminen

(Euroopan unionin perusoikeuskirjan 7 ja 8 artikla)

1.        Ks. tuomion teksti.

(ks. 38 kohta)

2.        Ks. tuomion teksti.

(ks. 40 ja 41 kohta)

3.        Kansallisilla valvontaviranomaisilla on laaja valikoima toimivaltuuksia, ja näitä valtuuksia, jotka luetellaan – muttei tyhjentävästi – yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46 28 artiklan 3 kohdassa, on pidettävä tarvittavina keinoina kyseisten viranomaisten tehtävien suorittamiseksi, kuten direktiivin johdanto-osan 63 perustelukappaleessa korostetaan. Niinpä näillä viranomaisilla on muun muassa tutkintavaltuudet, kuten valtuudet kerätä kaikki valvontatehtävänsä suorittamiseksi tarvittavat tiedot, tehokkaat toimintavaltuudet, kuten valtuudet kieltää tietojen käsittely väliaikaisesti tai lopullisesti, tai valtuudet olla asianosaisena oikeudenkäynnissä.

Siltä osin kuin kyse on toimivallasta valvoa henkilötietojen siirtoja kolmansiin maihin, direktiivin 95/46 28 artiklan 1 ja 6 kohdasta tosin ilmenee, että kansallisten valvontaviranomaisten toimivalta koskee jäsenvaltion, johon nämä viranomaiset kuuluvat, alueella toteutettuja henkilötietojen käsittelyjä, joten niillä ei ole mainitun 28 artiklan nojalla toimivaltaa kolmannen maan alueella toteutettujen henkilötietojen käsittelyjen osalta. On kuitenkin niin, että toimenpiteessä, jolla henkilötietoja siirretään jäsenvaltiosta kolmanteen maahan, on sellaisenaan kyse direktiivin 95/46 2 artiklan b alakohdassa tarkoitetusta henkilötietojen käsittelystä jäsenvaltion alueella. Kansallisilla valvontaviranomaisilla on Euroopan unionin perusoikeuskirjan 8 artiklan 3 kohdan ja direktiivin 95/46 28 artiklan mukaisesti tehtävänä valvoa yksilöiden suojaa henkilötietojen käsittelyssä koskevien unionin sääntöjen noudattamista, joten kukin niistä on toimivaltainen selvittämään, onko henkilötietojen siirto kolmanteen maahan jäsenvaltiosta, johon kyseinen viranomainen kuuluu, mainitussa direktiivissä säädettyjen vaatimusten mukaista.

(ks. 43–45 ja 47 kohta)

4.        Komissio voi tehdä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46 25 artiklan 6 kohdan nojalla päätöksen, jossa se toteaa, että kolmas maa takaa tietosuojan riittävän tason. Tällaisen päätöksen adressaatteina ovat mainitun säännöksen toisen alakohdan mukaisesti jäsenvaltiot, joiden on toteutettava tarvittavat toimenpiteet noudattaakseen kyseistä päätöstä. Päätös sitoo SEUT 288 artiklan neljännen kohdan nojalla kaikkia jäsenvaltioita, joille se on osoitettu, ja velvoittaa siten kaikkia niiden elimiä siltä osin kuin sen vaikutuksesta henkilötietoja on sallittua siirtää jäsenvaltioista kyseisen päätöksen kohteena olevaan kolmanteen maahan.

Niin kauan kuin unionin tuomioistuin, joka on ainoana toimivaltainen toteamaan unionin toimen pätemättömyyden, ei ole todennut komission päätöstä pätemättömäksi, jäsenvaltiot ja niiden elimet, joihin niiden itsenäiset valvontaviranomaiset kuuluvat, eivät siis voi toteuttaa kyseisen päätöksen vastaisia toimenpiteitä, kuten toimia, joilla olisi tarkoitus todeta sitovasti, ettei päätöksen kohteena oleva kolmas maa takaa tietosuojan riittävää tasoa. Unionin toimielinten toimia nimittäin koskee pääsääntöisesti lainmukaisuusolettama, ja niillä on näin ollen oikeusvaikutuksia niin kauan kuin niitä ei ole peruutettu, kumottu kumoamiskanteen johdosta tai todettu pätemättömiksi ennakkoratkaisupyynnön tai lainvastaisuusväitteen seurauksena.

Vaikka kansallisilla tuomioistuimilla tosin onkin oikeus tutkia unionin toimen pätevyys, niillä ei ole toimivaltaa itse todeta tällaista toimea pätemättömäksi. A fortiori on katsottava, että tutkiessaan direktiivin 28 artiklan 4 kohdassa tarkoitetun vaatimuksen, joka koskee kyseisen komission päätöksen yhteensoveltuvuutta henkilöiden yksityiselämän sekä perusvapauksien ja -oikeuksien suojan kanssa, kansallisilla valvontaviranomaisilla ei ole oikeutta itse todeta tällaisen päätöksen pätemättömyyttä.

Mikäli kyseinen viranomainen päätyy katsomaan, että tällaisen vaatimuksen tueksi esitetyt seikat ovat perusteettomia, ja tästä syystä hylkää vaatimuksen, henkilöllä, joka kyseisen vaatimuksen on esittänyt, on oltava – kuten ilmenee direktiivin 95/46 28 artiklan 3 kohdan toisesta alakohdasta, luettuna Euroopan unionin perusoikeuskirjan 47 artiklan valossa – mahdollisuus käyttää tuomioistuimissa oikeussuojakeinoja, joiden avulla hän voi riitauttaa kyseisen itselleen vastaisen päätöksen kansallisissa tuomioistuimissa. Tästä on todettava, että näiden tuomioistuinten on lykättävä asian käsittelyä ja pyydettävä unionin tuomioistuimelta pätevyyden arviointia ennakkoratkaisumenettelyssä, kun ne katsovat, että yksi tai useampi asianosaisten esittämistä tai mahdollisesti viran puolesta tutkittavista pätemättömyysperusteista on perusteltu.

Päinvastaisessa tapauksessa, jossa kyseinen viranomainen pitää henkilön, joka on saattanut sen käsiteltäväksi vaatimuksen oikeuksiensa ja vapauksiensa suojelusta henkilötietojensa käsittelyssä, esittämiä perusteita perusteltuina, on niin, että saman viranomaisen on direktiivin 95/46 28 artiklan 3 kohdan ensimmäisen alakohdan kolmannen luetelmakohdan, luettuna erityisesti Euroopan unionin perusoikeuskirjan 8 artiklan 3 kohdan valossa, mukaisesti voitava olla asianosaisena oikeudenkäynnissä. Tässä yhteydessä kansallisen lainsäätäjän asiana on säätää oikeussuojakeinoista, joiden avulla asianomainen kansallinen valvontaviranomainen voi esittää perusteltuina pitämänsä perusteet kansallisissa tuomioistuimissa, jotta nämä voisivat, mikäli ne kyseisen viranomaisen tavoin epäilevät komission päätöksen pätevyyttä, pyytää ennakkoratkaisua päätöksen pätevyyden tutkimiseksi.

(ks. 51, 52, 61, 62, 64 ja 65 kohta)

5.        Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46 25 artiklan 6 kohtaa, luettuna Euroopan unionin perusoikeuskirjan 7, 8 ja 47 artiklan valossa, on tulkittava siten, että kyseiseen säännökseen perustuva päätös, jolla komissio toteaa kolmannen maan takaavan tietosuojan riittävän tason, ei ole esteenä sille, että direktiivin 28 artiklassa tarkoitettu jäsenvaltion valvontaviranomainen tutkii vaatimuksen, jonka henkilö on esittänyt oikeuksiensa ja vapauksiensa suojasta jäsenvaltiosta kyseiseen kolmanteen maahan siirrettyjen henkilötietojensa käsittelyssä, kun henkilön mukaan kyseisessä maassa voimassa olevat oikeussäännöt ja käytännöt eivät takaa tietosuojan riittävää tasoa.

Jos näin ei olisi, henkilöiltä, joiden henkilötiedot on siirretty tai voitaisiin siirtää asianomaiseen kolmanteen maahan, vietäisiin Euroopan unionin perusoikeuskirjan 8 artiklan 1 ja 3 kohdassa taattu oikeus saattaa kansallisten valvontaviranomaisten käsiteltäväksi vaatimus perusoikeuksiensa suojaamisesta.

Lisäksi direktiivin 95/46 28 artiklan 4 kohdassa tarkoitettu vaatimus, jolla tällainen henkilö vetoaa siihen, ettei kyseisen maan oikeudessa ja käytännöissä taata tietosuojan riittävää tasoa huolimatta siitä, mitä komissio on todennut direktiivin 25 artiklan 6 kohtaan perustuvassa päätöksessä, on ymmärrettävä siten, että se koskee pääasiallisesti kyseisen päätöksen yhteensoveltuvuutta henkilöiden yksityiselämän sekä perusvapauksien ja ‑oikeuksien suojan kanssa. On siis niin, että kun henkilö, jonka henkilötiedot on siirretty tai voitaisiin siirtää direktiivin 95/46 25 artiklan 6 kohtaan perustuvan komission päätöksen kohteena olevaan kolmanteen maahan, saattaa kansallisen valvontaviranomaisen käsiteltäväksi kyseisen vaatimuksen, mainitun viranomaisen asiana on tutkia tämä vaatimus kaikkea asianmukaista huolellisuutta noudattaen.

(ks. 58, 59, 63 ja 66 kohta sekä tuomiolauselman 1 kohta)

6.        Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46 25 artiklan 6 kohtaan sisältyvä ilmaisu ”tietosuojan riittävä taso” on ymmärrettävä siten, että sillä tarkoitetaan vaatimusta, että kolmas maa tosiasiallisesti takaa maan sisäisen lainsäädäntönsä tai kansainvälisten sitoumustensa johdosta perusvapauksien ja -oikeuksien suojan sellaisen tason, joka pääosiltaan vastaa tasoa, joka taataan unionissa kyseisen direktiivin, luettuna Euroopan unionin perusoikeuskirjan valossa, nojalla.

Komissio on siis kolmannen maan tarjoamaa tietosuojan tasoa tutkiessaan velvollinen arvioimaan tämän maan sisäisen lainsäädännön tai kansainvälisten sitoumusten johdosta tässä maassa sovellettavien sääntöjen sisältöä ja näiden sääntöjen noudattamisen varmistamiseen tarkoitettua käytäntöä, koska komission on direktiivin 95/46 25 artiklan 2 kohdan mukaisesti otettava huomioon kaikki olosuhteet, jotka liittyvät henkilötietojen siirtoon kolmanteen maahan. Samoin on niin, että koska kolmannen maan takaama tietosuojan taso voi muuttua, komission asiana on direktiivin 95/46 25 artiklan 6 kohtaan perustuvan päätöksen tekemisen jälkeen tarkastaa säännöllisin väliajoin, onko kyseessä olevan kolmannen maan takaamasta tietosuojan riittävästä tasosta tehty toteamus edelleen perusteltu tosiasiallisesti ja oikeudellisesti. Tällainen tarkastus on joka tapauksessa tehtävä silloin, kun asiasta herää epäilyksiä.

Kun otetaan huomioon yhtäältä henkilötietojen suojan tärkeä rooli yksityiselämän kunnioitusta koskevan perusoikeuden kannalta ja toisaalta sellaisten henkilöiden merkittävä määrä, joiden perusoikeudet voivat tulla loukatuiksi siirrettäessä henkilötietoja kolmanteen maahan, joka ei takaa tietosuojan riittävää tasoa, komission harkintavalta tämän tason riittävyyden arvioinnissa on pieni, joten direktiivin 95/46 25 artiklasta, luettuna Euroopan unionin perusoikeuskirjan valossa, johtuvien vaatimusten valvonnan on oltava tarkkaa.

(ks. 73, 75, 76 ja 78 kohta)

7.        Komissio voi tehdä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46 25 artiklan 6 kohtaan perustuvan päätöksen, kuten yksityisyyden suojaa koskevien safe harbor -periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä tehdyn päätöksen 2000/520, sillä edellytyksellä, että se toteaa asianmukaisin perusteluin, että asianomainen kolmas maa tosiasiallisesti takaa sisäisen lainsäädäntönsä tai kansainvälisten sitoumustensa johdosta perusoikeuksien suojan sellaisen tason, joka pääosiltaan vastaa unionin oikeusjärjestyksessä taattua tasoa.

Koska komissio ei ole tätä todennut päätöksessään 2000/520, tämän päätöksen 1 artiklassa jätetään huomiotta vaatimukset, joista säädetään direktiivin 95/46 25 artiklan 6 kohdassa, luettuna Euroopan unionin perusoikeuskirjan valossa, joten kyseinen 1 artikla on pätemätön. Safe harbor -periaatteita nimittäin sovelletaan vain oman varmennuksensa antaneisiin henkilötietoja unionista saaviin yhdysvaltalaisiin organisaatioihin, mutta vaatimuksena ei ole, että Yhdysvaltain viranomaiset noudattaisivat kyseisiä periaatteita. Lisäksi päätös 2000/520 mahdollistaa Yhdysvaltojen kansallisen turvallisuuden ja yleisen edun tai sisäisen lainsäädännön vaatimuksiin perustuvan puuttumisen niiden henkilöiden perusoikeuksiin, joiden henkilötiedot siirretään tai voitaisiin siirtää unionista Yhdysvaltoihin, sisältämättä toteamusta siitä, että Yhdysvalloissa olisi valtiollisia sääntöjä, joilla olisi tarkoitus rajoittaa mahdollista puuttumista kyseisiin oikeuksiin, ja sisältämättä mainintaa, että tällaista puuttumista vastaan on olemassa tehokasta oikeussuojaa.

Lisäksi päätöksen 2000/520 3 artiklalla komissio on ylittänyt toimivallan, joka sille annetaan direktiivin 95/46 25 artiklan 6 kohdassa, luettuna Euroopan unionin perusoikeuskirjan valossa, joten kyseinen 3 artikla on pätemätön. Tämä artikla nimittäin on ymmärrettävä siten, että se estää kansallisia valvontaviranomaisia käyttämästä valtuuksia, jotka niillä on direktiivin 95/46 28 artiklan nojalla, kun henkilö esittää tähän säännökseen perustuvan vaatimuksen yhteydessä seikkoja, jotka voivat kyseenalaistaa komission päätöksen, jossa on kyseisen direktiivin 25 artiklan 6 kohdan nojalla todettu kolmannen maan takaavan tietosuojan riittävän tason, yhteensoveltuvuuden henkilöiden yksityiselämän sekä perusvapauksien ja ‑oikeuksien suojan kanssa. Unionin lainsäätäjän komissiolle direktiivin 95/46 25 artiklan 6 kohdassa antama täytäntöönpanovalta ei merkitse komissiolle toimivaltaa rajoittaa kyseisiä kansallisten valvontaviranomaisten valtuuksia.

Koska päätöksen 2000/520 1 ja 3 artiklaa ei voida erottaa päätöksen 2 ja 4 artiklasta eikä päätöksen liitteistä, niiden pätemättömyys vaikuttaa koko päätöksen pätevyyteen.

(ks. 82, 87–89, 96–98 ja 102–105 kohta sekä tuomiolauselman 2 kohta)

8.        Unionin säännöstössä, jolla puututaan Euroopan unionin perusoikeuskirjan 7 ja 8 artiklassa taattuihin perusoikeuksiin, on säädettävä selvistä ja täsmällisistä toimenpiteen laajuutta ja soveltamista koskevista säännöistä, joissa asetetaan vähimmäisvaatimukset, jotta henkilöillä, joiden henkilötiedot ovat kyseessä, on riittävät takeet, joiden avulla heidän tietonsa voidaan tehokkaasti suojata väärinkäytön vaaroilta sekä kaikenlaiselta näiden tietojen laittomalta saannilta ja käytöltä. Tarve tällaisista takeista on tärkeä varsinkin silloin, kun henkilötietoja käsitellään automaattisesti ja on olemassa huomattava vaara laittomasta pääsystä näihin tietoihin. Lisäksi ja varsinkin on huomattava, että yksityiselämän kunnioitusta koskevan perusoikeuden suoja unionin tasolla edellyttää, että henkilötietojen suojaa koskevat poikkeukset ja rajoitukset toteutetaan sen rajoissa, mikä on ehdottomasti tarpeen.

Siihen, mikä on ehdottomasti tarpeen, ei siis rajoitu säännöstö, jossa sallitaan yleisesti kaikkien henkilöiden, joiden henkilötiedot on siirretty unionista, kaikkien henkilötietojen säilyttäminen tekemättä mitään erottelua, rajoitusta tai poikkeusta tavoiteltavan päämäärän mukaan ja säätämättä objektiivisesta perusteesta, jolla voitaisiin rajoittaa viranomaisten pääsyä tietoihin ja rajata niiden myöhempi käyttö tarkoituksiin, jotka ovat täsmällisiä, täysin rajallisia ja omiaan oikeuttamaan puuttumisen, jota niin henkilötietoihin pääsy kuin niiden käyttökin merkitsevät.

Säännöstöstä, jonka nojalla viranomaiset pääsevät yleisesti sähköisen viestinnän sisältöön, on erityisesti katsottava, että sillä loukataan yksityiselämän kunnioitusta koskevan perusoikeuden, sellaisena kuin se taataan Euroopan unionin perusoikeuskirjan 7 artiklassa, keskeistä sisältöä.

Myöskään säännöstö, jossa yksityisille ei anneta mitään mahdollisuutta käyttää oikeussuojakeinoja, jotta he saisivat tutustua henkilötietoihinsa tai voisivat saada tällaiset tiedot oikaistuiksi tai poistetuiksi, ei ole tehokasta oikeussuojaa koskevan perusoikeuden, sellaisena kuin se vahvistetaan Euroopan unionin perusoikeuskirjan 47 artiklassa, keskeisen sisällön mukainen. Tämän artiklan ensimmäisessä kohdassa nimittäin edellytetään, että jokaisella, jonka unionin oikeudessa taattuja oikeuksia ja vapauksia on loukattu, on oltava tässä artiklassa määrättyjen edellytysten mukaisesti käytettävissään tehokkaat oikeussuojakeinot tuomioistuimessa. Tässä yhteydessä on huomattava, että unionin oikeuden määräysten ja säännösten noudattamisen varmistamiseen tarkoitetun tehokkaan tuomioistuinvalvonnan itse olemassaolo kuuluu erottamattomana osana oikeusvaltioon.

(ks. 91–95 kohta)