Language of document :

Begäran om förhandsavgörande framställd av High Court (Irland) den 9 maj 2018 – Data Protection Commissioner mot Facebook Ireland Limited, Maximillian Schrems

(Mål C-311/18)

Rättegångsspråk: engelska

Hänskjutande domstol

High Court (Ireland)

Parter i det nationella målet

Klagande: Data Protection Commissioner

Motpart: Facebook Ireland Limited, Maximillian Schrems

Tolkningsfrågor

I de fall då personuppgifter överförs av ett privat företag från en medlemsstat i Europeiska unionen (EU) till ett privat företag i ett tredje land i kommersiellt syfte enligt beslut 2010/87/EU1 , i dess lydelse enligt kommissionens beslut 2016/22972 (nedan kallat beslutet om standardavtalsklausuler), och kan behandlas ytterligare i det tredje landet av dess myndigheter för att säkerställa den nationella säkerheten, men även för brottsbekämpande syften och genomförandet av utrikespolitiken i tredje land, ska unionsrätten (inklusive Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) tillämpas på överföring av uppgifter trots bestämmelserna i artikel 4.2 FEU i fråga om nationell säkerhet och bestämmelserna i artikel 3.2 första strecksatsen i direktiv 95/46/EG3 (nedan kallat direktivet) i fråga om den allmänna säkerheten, försvaret, statens säkerhet?

(1) Vid fastställandet av huruvida en enskild persons rättigheter har kränkts på grund av överföringen av uppgifter från EU till ett tredje land enligt beslutet om standardavtalsklausuler där de kan bli föremål för vidare behandling för ändamål som berör nationell säkerhet, är den relevanta jämförelsegrunden vid tillämpningen av direktivet:

a)    stadgan, FEU, FEUF, direktivet, Europakonventionen (eller andra unionsrättsliga bestämmelser), eller

b)    den nationella lagstiftningen i en eller fler medlemsstater?

(2) Om den relevanta jämförelsegrunden är b), ska även praxis i samband med den nationella säkerheten i en eller flera medlemsstater också användas som jämförelsegrund?

Vid bedömningen av om ett tredje land garanterar den skyddsnivå som föreskrivs i EU-lagstiftningen för personuppgifter som överförs till det landet i den mening som avses i artikel 26 i direktivet, bör skyddsnivån i tredje land bedömas mot bakgrund av

a)    regler som är tillämpliga i tredje land till följd av dess interna lagstiftning eller dess internationella förpliktelser samt praxis vad gäller att säkerställa iakttagandet av dessa regler, inbegripet de regler för yrkesverksamhet och säkerhet som gäller där,

eller

b)    de regler som avses i punkt a tillsammans med den administrativa praxis, regleringspraxis och efterlevnadspraxis samt politiska skyddsåtgärder, förfaranden, protokoll, tillsynsmekanismer och utomrättsliga åtgärder som gäller i tredje land?

Mot bakgrund av de omständigheter som har fastställts av High Court (Högsta domstolen) med avseende på amerikansk lag, föreligger en kränkning av enskilda personers rättigheter enligt artiklarna 7 och/eller 8 i stadgan om personuppgifter överförs från EU till Förenta staterna enligt beslutet om standardavtalsklausuler?

Mot bakgrund av de omständigheter som har fastställts av High Court med avseende på amerikans lag

a)    är den skyddsnivå som tillhandahålls i Förenta staterna förenlig med det väsentliga innehållet i en enskild persons rätt till domstolsprövning vid kränkning av hans eller hennes rättigheter rörande uppgiftsskydd som garanteras genom artikel 47 i stadgan

om personuppgifter överförs från EU till Förenta staterna enligt beslutet om standardavtalsklausuler?

Om svaret i punkt a är jakande,

b)    Är de begränsningar som föreskrivs i amerikansk lag för en enskild persons rätt till domstolsprövning i samband med Förenta staternas nationella säkerhet proportionerliga i den mening som avses i artikel 52 i stadgan och håller de sig inom ramen för vad som är nödvändigt i ett demokratiskt samhälle för att skydda den nationella säkerheten?

(1) Vilken skyddsnivå ska tilldelas med avseende på personuppgifter som överförts till ett tredje land enligt standardavtalsklausuler som antagits i enlighet med ett kommissionsbeslut enligt artikel 26.4 mot bakgrund av bestämmelserna i direktivet, och i synnerhet artiklarna 25 och 26 jämförda med stadgan?

(2) Vilka faktorer ska beaktas vid bedömningen av om den skyddsnivå som tilldelas med avseende på personuppgifter som överförs till ett tredje land enligt beslutet om standardavtalsklausuler uppfyller kraven i direktivet och stadgan?

Innebär den omständigheten att standardavtalsklausuler tillämpas mellan uppgiftsutföraren och uppgiftsinföraren och är inte bindande för de nationella myndigheterna i tredje land som kan komma att kräva att uppgiftsinföraren ger säkerhetstjänsten i det landet tillgång till de personuppgifter som överförts enligt bestämmelserna i beslutet standardavtalsklausuler för ytterligare behandling av personuppgifter att bestämmelserna inte kan säkerställa en adekvat skyddsnivå som föreskrivs i artikel 26.2 i direktivet?

Om en uppgiftsinförare i ett tredje land omfattas av lagar om övervakning som enligt dataskyddsmyndigheten står i strid med bestämmelserna i bilagan till beslutet om standardavtalsklausuler eller artiklarna 25 och 26 i direktivet och/eller stadgan, är en dataskyddsmyndighet skyldig att utöva sina befogenheter att ingripa enligt artikel 28.3 i direktivet för att avbryta dataflödet eller kan dessa befogenheter enbart utövas i undantagsfall mot bakgrund av skäl 11 i direktivet, eller kan en dataskyddsmyndighet utnyttja sitt utrymme för skönsmässig bedömning för att inte avbryta dataflödet?

(1) Utgör beslut (EU) 2016/12504 (nedan kallat beslutet om skölden för skydd av privatlivet) vid tillämpningen av artikel 25.6 i direktivet, ett konstaterande med allmän giltighet som är bindande för dataskyddsmyndigheter och medlemsstaternas domstolar, vilket innebär att Förenta staterna säkerställer en adekvat skyddsnivå i den mening som avses i artikel 25.2 i direktivet, till följd av dess interna lagstiftning eller de internationella förpliktelser som landet har ingått?

(2) Om så inte är fallet, vilken betydelse, om någon, har beslutet om skölden för skydd av privatlivet vid bedömningen av om de garantier som föreskrivs för uppgifter som överförs till Förenta staterna enligt beslutet om standardavtalsklausuler är adekvata?

Mot bakgrund av vad som fastställts av High Court med avseende på amerikansk rätt, säkerställer en ombudsman för skölden för skydd av privatlivet enligt bilaga A till bilaga III i beslutet om skölden för skydd av privatlivet tillsammans med den befintliga rättsordningen i Förenta staterna att Förenta staterna tillhandahåller ett rättsmedel för registrerade vars personuppgifter överförs till Förenta staterna enligt beslutet om standardavtalsklausuler som är förenligt med artikel 47 i stadgan?

Utgör beslutet om standardavtalsklausuler ett åsidosättande av artiklarna 7, 8 och/eller 47 i stadgan?

____________

1 Kommissionens beslut 2010/87av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (EUT L 39, 2010, s. 5).

2 Kommissionens genomförandebeslut (EU) 2016/2297 av den 16 december 2016 om ändring av beslut 2001/497/EG och 2010/87/EU rörande standardavtalsklausuler för överföring av personuppgifter till tredjeländer och till registerförare etablerade i tredjeländer i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (EUT L 344, 2016, s. 100).

3 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).

4 Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna (EUT L 207, 2016, s. 1).