Language of document :

Решение на Съда (голям състав) от 16 юли 2020 г. (преюдициално запитване от High Court (Ирландия) - Ирландия) — Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems

(Дело C-311/18)1

(Преюдициално запитване — Защита на физическите лица при обработването на лични данни — Харта на основните права на Европейския съюз — Членове 7, 8 и 47 — Регламент (ЕС) 2016/679 — Член 2, параграф 2 — Приложно поле — Предаване на лични данни на трети държави за търговски цели — Член 45 — Решение на Комисията относно адекватното ниво на защита —Член 46 — Предаване на данни с подходящи гаранции — Член 58 — Правомощия на надзорните органи — Обработване на предаваните данни от публичните органи на трета държава за цели, свързани с националната сигурност — Преценка на адекватността на нивото на защита, осигурено в третата държава — Решение 2010/87/ЕС — Стандартни клаузи за защита при предаването на лични данни на трети държави — Подходящи гаранции, предоставени от администратора — Валидност — Решение за изпълнение (ЕС) 2016/1250 — Адекватност на защитата, осигурявана от Щита за личните данни в отношенията между Европейския съюз и Съединените щати — Валидност — Жалба на физическо лице, чиито данни са предадени от Европейския съюз на Съединените щати)

Език на производството: английски

Запитваща юрисдикция

High Court (Irlande)

Страни в главното производство

Data Protection Commissioner

Facebook Ireland Limited, Maximillian Schrems

в присъствието на: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope

Диспозитив

Член 2, параграфи 1 и 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че предаване на лични данни за търговски цели от икономически оператор, установен в държава членка, към друг икономически оператор, установен в трета държава, попада в приложното поле на този регламент, независимо че по време на предаването или след него тези данни могат да се обработват от органите на съответната трета държава за целите на обществената сигурност, отбраната и държавната сигурност.

Член 46, параграф 1 и член 46, параграф 2, буква в) от Регламент 2016/679 трябва да се тълкуват в смисъл, че изискваните от тези разпоредби подходящи гаранции, приложими права и ефективни правни средства за защита трябва да гарантират, че правата на лицата, чиито лични данни са предадени на трета държава въз основа на стандартни клаузи за защита на данните, се ползват с ниво на защита, което по същество е равностойно на гарантираното в Европейския съюз с този регламент, разглеждан в светлината на Хартата на основните права на Европейския съюз. За тази цел при оценката на гарантираното в контекста на такова предаване ниво на защита трябва по-специално да се вземат предвид както договорните клаузи, уговорени между администратора или обработващия лични данни, установени в Европейския съюз, и получателя на предаването, установен в съответната трета държава, така и, що се отнася до евентуалния достъп на публичните органи на тази трета държава до така предадените лични данни, релевантните елементи на нейната правна система, и по-специално посочените в член 45, параграф 2 от този регламент.

Член 58, параграф 2, букви е) и й) от Регламент 2016/679 трябва да се тълкува в смисъл, че, освен ако съществува надлежно прието от Европейската комисия решение относно адекватното ниво на защита, компетентният надзорен орган е длъжен да спре или да забрани предаването на данни на трета държава, основаващо се на приети от Комисията стандартни клаузи за защита на данните, когато с оглед на всички обстоятелства във връзка с това предаване надзорният орган счита, че тези клаузи не са или не могат да бъдат спазени в тази трета държава и че защитата на предаваните данни, изисквана от правото на Съюза, по-специално от членове 45 и 46 от този регламент и от Хартата на основните права, не може да бъде осигурена с други средства, в случай че самият установен в Съюза администратор или обработващ лични данни не е спрял или прекратил предаването.

При разглеждането на Решение 2010/87/ЕС на Комисията от 5 февруари 2010 година относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета, изменено с Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 г., с оглед на членове 7, 8 и 47 от Хартата на основните права не се установяват обстоятелства, които могат да засегнат валидността на това решение.

Решение за изпълнение (ЕС) 2016/1250 на Комисията от 12 юли 2016 година съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ, е невалидно.

____________

1 ОВ C 249, 16.7.2018 г.