Domstolens dom (Store Afdeling) af 16. juli 2020 – Data Protection Commissioner mod Facebook Ireland Limited og Maximillian Schrems (anmodning om præjudiciel afgørelse fra High Court (Irlande) – (Irland)

(Sag C-311/18) ¹

(Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – forordning (EU) 2016/679 – artikel 2, stk. 2 – anvendelsesområde – overførsel af personoplysninger til tredjelande til forretningsmæssige formål – artikel 45 – Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet – artikel 46 – overførsler omfattet af fornødne garantier – artikel 58 – tilsynsmyndighedernes beføjelser – behandling af de overførte oplysninger, som de offentlige myndigheder i et tredjeland foretager af hensyn til den nationale sikkerhed – vurdering af tilstrækkeligheden af det beskyttelsesniveau, der er sikret i tredjelandet – afgørelse 2010/87/EU – standardbestemmelser om beskyttelse ved overførsel af personoplysninger til tredjelande – fornødne garantier, der gives af den dataansvarlige – gyldighed – gennemførelsesafgørelse (EU) 2016/1250 – tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af Den Europæiske Unions og USA’s værn om privatlivets fred – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet overført fra Den Europæiske Union til USA)

Processprog: engelsk

Den forelæggende ret

High Court (Irlande)

Parter i hovedsagen

Sagsøger: Data Protection Commissioner

Sagsøgte: Facebook Ireland Limited og Maximillian Schrems

Procesdeltagere: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc. og Digitaleurope

Konklusion

Artikel 2, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en overførsel af personoplysninger, som foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, er omfattet af denne forordnings anvendelsesområde, uanset at disse oplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed.

Artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forordning 2016/679 skal fortolkes således, at de fornødne garantier, de rettigheder, som kan håndhæves, og de effektive retsmidler, som kræves ved disse bestemmelser, skal sikre, at der for de rettigheder, som tilkommer personer, hvis oplysninger overføres til et tredjeland på grundlag af standardbestemmelser om databeskyttelse, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i Den Europæiske Union ved denne forordning, sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder. Med henblik herpå skal der ved vurderingen af det beskyttelsesniveau, som er sikret i forbindelse med en sådan overførsel, navnlig tages hensyn til både de kontraktvilkår, som er aftalt mellem den dataansvarlige eller dennes databehandler, der er etableret i Den Europæiske Union, og modtageren af overførslen, der er etableret i det pågældende tredjeland, og – for så vidt angår en eventuel adgang for dette tredjelands offentlige myndigheder til de således overførte personoplysninger – til de relevante forhold i dettes retssystem, herunder navnlig de elementer, som er opregnet i den nævnte forordnings artikel 45, stk. 2.

Artikel 58, stk. 2, litra f) og j), i forordning 2016/679 skal fortolkes således, at medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er gyldigt vedtaget af Europa-Kommissionen, har den kompetente tilsynsmyndighed pligt til at suspendere eller forbyde en overførsel af oplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, såfremt denne tilsynsmyndighed i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at disse standardbestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, herunder navnlig denne forordnings artikel 45 og 46 og chartret om grundlæggende rettigheder, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør.

Undersøgelsen af Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF, som ændret ved Kommissionens gennemførelsesafgørelse (EU) 2016/2297 af 16. december 2016, i lyset af artikel 7, 8 og 47 i chartret om grundlæggende rettigheder har intet frembragt, der kan påvirke gyldigheden af denne afgørelse.

Kommissionens gennemførelsesafgørelse (EU) 2016/1250 af 12. juli 2016 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, er ugyldig.

____________