Language of document : ECLI:EU:C:2020:559

Kohtuasi C311/18

Data Protection Commissioner

versus

Facebook Ireland Ltd
ja
Maximillian Schrems

(eelotsusetaotlus, mille on esitanud High Court (Iirimaa))

 Euroopa Kohtu (suurkoda) 16. juuli 2020. aasta otsus

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 47 – Määrus (EL) 2016/679 – Artikli 2 lõige 2 – Kohaldamisala – Isikuandmete edastamine kolmandatesse riikidesse ärilisel eesmärgil – Artikkel 45 – Komisjoni otsus kaitse piisavuse kohta – Artikkel 46 – Edastamine asjakohaste kaitsemeetmete kohaldamisel – Artikkel 58 – Järelevalveasutuste volitused – Edastatud andmete töötlemine kolmanda riigi avaliku võimu asutuste poolt riikliku julgeoleku eesmärgil – Kolmandas riigis tagatud kaitse taseme piisavuse hindamine – Otsus 2010/87/EL – Andmekaitse tüüptingimused isikuandmete edastamiseks kolmandatesse riikidesse – Vastutava töötleja pakutavad asjakohased kaitsemeetmed – Kehtivus – Rakendusotsus (EL) 2016/1250 – ELi-USA andmekaitseraamistikuga Privacy Shield tagatud kaitse piisavus – Kehtivus – Kaebus, mille on esitanud füüsiline isik, kelle andmeid on edastatud Euroopa Liidust Ameerika Ühendriikidesse

1.        Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Kohaldamisala – Mõiste „isikuandmete töötlemine“ – Isikuandmete ärilisel eesmärgil edastamine liikmesriigis asuva äriühingu poolt kolmandas riigis asuvale teisele äriühingule – Hõlmamine – Andmed, mida asjaomase kolmanda riigi ametiasutused võivad töödelda riikliku julgeoleku eesmärgil – Mõju puudumine

(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 2 lõige 1, lõike 2 punktid a, b ja d ning artikli 4 punkt 2)

(vt punktid 82, 83, 85–89 ja resolutsiooni punkt 1)

2.        Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Isikuandmete edastamine kolmandatesse riikidesse – Edastamine lepingulistel andmekaitse tüüptingimustel põhinevate asjakohaste kaitsemeetmete kohaldamisel – Mõiste „piisav kaitse tase“, mille asjaomane kolmas riik peab sellise edastamise korral tagama – Tõlgendamine liidu õiguse alusel – Hindamiskriteeriumid

(Euroopa Liidu põhiõiguste harta, artikli 52 lõige 3; Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 46 lõige 1 ning lõike 2 punkt c)

(vt punktid 92–96, 98–101, 103–105 ja resolutsiooni punkt 2)

3.        Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Isikuandmete edastamine kolmandatesse riikidesse – Edastamine lepingulistel andmekaitse tüüptingimustel põhinevate asjakohaste kaitsemeetmete kohaldamisel – Liikmesriigi järelevalveasutused – Volitused – Järelevalve isikuandmete kolmandatesse riikidesse edastamise üle – Kohustus selline edastamine peatada või keelata, kui asjaomane kolmas riik ei taga piisavat kaitse taset – Tingimused

(Euroopa Liidu põhiõiguste harta, artikli 8 lõige 3; Euroopa Parlamendi ja nõukogu määrus 2016/679, artiklid 45, 46, artikli 51 lõige 1, artikli 57 lõike 1 punktid a ja f ning artikli 58 lõige 1, lõike 2 punktid f ja j)

(vt punktid 107, 108, 112–121 ja resolutsiooni punkt 3)

4.        Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Isikuandmete edastamine kolmandatesse riikidesse – Edastamine lepingulistel andmekaitse tüüptingimustel põhinevate asjakohaste kaitsemeetmete kohaldamisel – Otsus 2010/87, millega kehtestatakse lepingu tüüptingimused isikuandmete edastamiseks kolmandatesse riikidesse – Liidus asuvate sellise töötlemise eest vastutavate töötlejate ja järelevalveasutuste poolt pakutavad asjakohased kaitsemeetmed – Järelevalveasutuste kohustus selline edastamine tüüptingimuste rikkumise korral peatada või keelata – Õigus eraelu puutumatusele, isikuandmete kaitsele ja tõhusale kohtulikule kaitsele – Rikkumise puudumine – Otsuse kehtivus

(Euroopa Liidu põhiõiguste harta, artiklid 7, 8 ja 47; Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 46 lõige 1 ning lõike 2 punkt c; komisjoni otsus 2010/87, lisa)

(vt punktid 128–130, 133–145, 148, 149 ja resolutsiooni punkt 4)

5.        Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Isikuandmete edastamine kolmandatesse riikidesse – Kolmandas riigis tagatud kaitse taseme piisavust tuvastava otsuse vastuvõtmine komisjoni poolt – Otsus 2016/1250, millega tuvastatakse ELi-USA andmekaitseraamistikuga Privacy Shield tagatud kaitse taseme piisavus – Liikmesriigi järelevalveasutus, kellele on esitatud kaebus, millega seatakse selles kolmandas riigis tagatud kaitse tase kahtluse alla – Selle järelevalveasutuse kohustus kaebus läbi vaadata – Otsuse 2016/1250 kehtivuse hindamine

(ELTL artikli 288 neljas lõik; Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 45 lõige 3 ja artikli 77 lõige 1; komisjoni otsus 2016/1250, II lisa)

(vt punktid 151–161)

6.        Põhiõigused – Euroopa Liidu põhiõiguste harta – Eraelu puutumatus – Isikuandmete kaitse – Isikuandmete säilitamine ning isikuandmetele juurdepääs, mis antakse ametiasutustele, et nad saaksid neid andmeid kasutada – Nende põhiõiguste riive – Nende õiguste teostamise piirangud – Proportsionaalsuse põhimõtte järgimine

(Euroopa Liidu põhiõiguste harta, artiklid 7, 8 ja artikli 52 lõike 1 teine lause; Euroopa Parlamendi ja nõukogu määrus 2016/679)

(vt punktid 170–176)

7.        Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Isikuandmete edastamine kolmandatesse riikidesse – Kolmandas riigis tagatud kaitse taseme piisavust tuvastava otsuse vastuvõtmine komisjoni poolt – Otsus 2016/1250, millega tuvastatakse ELi-USA andmekaitseraamistikuga Privacy Shield tagatud kaitse taseme piisavus – Liidu õiguses tagatuga sisuliselt samaväärse kaitse taseme puudumine – Andmeedastusest puudutatud andmesubjektide õiguse eraelu puutumatusele, isikuandmete kaitsele ja tõhusale kohtulikule kaitsele rikkumine – Andmekaitseraamistiku Privacy Shield ombudsmani ametikoha loomine – Mõju puudumine õiguse tõhusale kohtulikule kaitsele rikkumisele – Otsuse kehtetus

(Euroopa Liidu põhiõiguste harta, artiklid 7, 8, 47 ja artikli 52 lõike 1 teine lause; Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 45 lõike 2 punkt a ning lõige 3; komisjoni otsus 2016/1250, II lisa)

(vt punktid 180–185, 187–192, 195–201 ja resolutsiooni punkt 5)

8.        Eelotsuse küsimused – Kehtivuse hindamine – Liidu õigusakti kehtetuks tunnistamine – Otsus 2016/1250, millega tuvastatakse ELi-USA andmekaitseraamistikuga Privacy Shield tagatud kaitse taseme piisavus – Mõju – Ajaline piiramine – Puudumine

(ELTL artikkel 267; Euroopa Parlamendi ja nõukogu määrus 2016/679, artikkel 49; komisjoni otsus 2016/1250)

(vt punkt 202)

Kokkuvõte

Euroopa Kohus tunnistab kehtetuks otsuse 2016/1250 isikuandmete kaitse piisavuse kohta ELiUSA andmekaitseraamistikus Privacy Shield

Samas leiab Euroopa Kohus, et komisjoni otsus 2010/87 kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta on kehtiv

Isikuandmete kaitse üldmääruses(1) on sätestatud, et isikuandmeid võib kolmandasse riiki edastada põhimõtteliselt ainult juhul, kui see kolmas riik tagab nende andmete kaitse piisava taseme. Selle määruse kohaselt võib komisjon tuvastada, et kolmas riik tagab riigisisese õigusega või endale võetud rahvusvaheliste kohustustega kaitse piisava taseme(2). Niisuguse kaitse piisavuse otsuse puudumisel võib isikuandmeid edastada ainult juhul, kui liidus asuv isikuandmete eksportija näeb ette asjakohased kaitsemeetmed, näiteks kohaldades komisjoni poolt vastu võetud andmekaitse tüüptingimusi, ja kui andmesubjektidele on kättesaadavad kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid(3). Peale selle on isikuandmete kaitse üldmääruses üksikasjalikult sätestatud tingimused, mis peavad sellise andmeedastuse korral täidetud olema, kui kaitse piisavuse otsus või asjakohased kaitsemeetmed puuduvad(4).

Austrias elav Austria kodanik Maximillian Schrems on Facebooki kasutaja alates 2008. aastast. Samamoodi nagu teiste liidus elavate Facebooki kasutajate puhul edastab Facebook Ireland ka M. Schremsi isikuandmed kas täielikult või osaliselt Facebook Inc. serveritesse, mis asuvad USA territooriumil, kus neid töödeldakse. M. Schrems esitas Iirimaa järelevalveasutusele kaebuse, milles ta sisuliselt palus see edastamine keelata. Ta väitis, et USAs kehtiv õigus ja valitsev praktika ei taga sellesse riiki edastatavate isikuandmete piisavat kaitset sealsete avaliku võimu asutuste juurdepääsu eest. See kaebus jäeti rahuldamata eelkõige põhjendusega, et komisjon oli otsuses 2000/520(5) (nn Safe Harbori otsus) tõdenud, et USA tagab kaitse piisava taseme. Euroopa Kohus, kellele High Court (kõrge kohus, Iirimaa) viimati nimetatud otsuse kohta eelotsuse küsimuse esitas, tunnistas selle otsuse 6. oktoobri 2015. aasta kohtuotsusega kehtetuks (edaspidi „kohtuotsus Schrems I“)(6).

Kui Iirimaa kohus oli kohtuotsusest Schrems I lähtudes M. Schremsi kaebuse rahuldamata jätmise otsuse tühistanud, palus Iirimaa järelevalveasutus M. Schremsil oma kaebus ümber sõnastada, võttes arvesse asjaolu, et Euroopa Kohus oli otsuse 2000/520 kehtetuks tunnistanud. Ümbersõnastatud kaebuses väidab M. Schrems eelkõige, et USA ei taga sinna edastatavate andmete piisavat kaitset. Ta palub peatada või edaspidi keelata tema isikuandmete liidust USAsse edastamine, mille puhul Facebook Ireland tugineb nüüd otsuse 2010/87(7) lisas olevatele andmekaitse tüüptingimustele. Kuna Iirimaa järelevalveasutus leidis, et M. Schremsi kaebuse lahendus sõltub eelkõige sellest, kas otsus 2010/87 on kehtiv, pöördus ta High Courti (kõrge kohus) poole, et viimane esitaks Euroopa Kohtule eelotsusetaotluse. Pärast selle menetluse alustamist võttis komisjon vastu otsuse 2016/1250 isikuandmete kaitse piisavuse kohta ELi-USA andmekaitseraamistikus Privacy Shield(8) (nn Privacy Shieldi otsus).

Eelotsusetaotluse esitanud kohus küsib oma taotluses Euroopa Kohtult, kas isikuandmete kaitse üldmäärus on kohaldatav otsuses 2010/87 sisalduvate andmekaitse tüüptingimuste alusel toimuvale isikuandmete edastamisele, milline kaitse tase on sellise edastamise korral selle määrusega nõutav ja millised on sellega seoses järelevalveasutuse kohustused. Peale selle on High Court tõstatanud nii otsuse 2010/87 kui ka otsuse 2016/1250 kehtivuse küsimuse.

Tänases kohtuotsuses tõdeb Euroopa Kohus, et otsuse 2010/87 analüüsimisel põhiõiguste harta alusel ei ilmnenud asjaolusid, mis mõjutaksid selle otsuse kehtivust. Otsuse 2016/1250 tunnistab ta seevastu kehtetuks.

Euroopa Kohus leiab kõigepealt, et liidu õigus ja eelkõige isikuandmete kaitse üldmäärus on kohaldatav olukorrale, kus liikmesriigis asuv äriühing edastab ärilisel eesmärgil isikuandmeid kolmandas riigis asuvale teisele äriühingule, olenemata asjaolust, et edastamise käigus või järel võivad kõnealuseid andmeid töödelda asjaomase kolmanda riigi ametiasutused avaliku korra, riigikaitse ja riikliku julgeolekuga seotud eesmärkidel. Ta täpsustab, et andmete selline töötlemine kolmanda riigi ametiasutuste poolt ei tohiks seda edastamist isikuandmete kaitse üldmääruse kohaldamisalast välja jätta.

Sellise edastamise puhul nõutava andmekaitse taseme kohta leiab Euroopa Kohus, et isikuandmete kaitse üldmääruse sätetes sellega seoses ette nähtud nõudeid ehk asjakohaseid kaitsemeetmeid, kohtulikult kaitstavaid õigusi ja tõhusaid õiguskaitsevahendeid tuleb tõlgendada nii, et need peavad tagama isikutele, kelle andmeid edastatakse kolmandasse riiki andmekaitse tüüptingimuste alusel, õiguste kaitse, mille tase on sisuliselt samaväärne sellega, mis on liidus tagatud vastavalt üldmäärusele, tõlgendatuna lähtuvalt hartast. Ta täpsustab sellega seoses, et kaitse taseme hindamiseks tuleb eelkõige arvesse võtta nii liidus asuva vastutava töötleja ja kolmandas riigis asuva isikuandmete vastuvõtja vahel kokku lepitud lepingutingimusi kui ka kolmanda riigi õigussüsteemiga seotud asjakohast teavet, mis puudutab selle riigi ametiasutuste võimalust nõnda edastatavatele isikuandmetele juurde pääseda.

Järelevalveasutuste kohustuste kohta seoses sellise edastamisega otsustab Euroopa Kohus, et kui puudub komisjoni poolt vastu võetud kehtiv kaitse piisavuse otsus, on need asutused kohustatud peatama või keelama isikuandmete edastamise kolmandasse riiki, kui nad kõiki edastamise asjaolusid arvestades leiavad, et selles kolmandas riigis andmekaitse tüüptingimusi ei järgita või ei saa järgida ja liidu õigusega nõutavat edastatavate andmete kaitset ei ole võimalik tagada muude meetmete abil ning liidus asuv vastutav töötleja ei ole ise andmete edastamist peatanud või lõpetanud.

Seejärel analüüsib Euroopa Kohus otsuse 2010/87 kehtivust. Euroopa Kohtu hinnangul ei saa selle otsuse kehtivust mõjutada pelk asjaolu, et selles sisalduvad andmekaitse tüüptingimused ei ole oma lepingulisuse tõttu siduvad sellise kolmanda riigi ametisutustele, kuhu isikuandmeid võidakse edastada. Ta täpsustab, et see kehtivus sõltub seevastu küsimusest, kas otsus sisaldab tõhusaid mehhanisme, mis praktikas võimaldavad tagada, et järgitakse liidu õigusega nõutava kaitse taset ja et selliste tingimuste alusel toimuv isikuandmete edastamine peatatakse või keelatakse juhul, kui neid tingimusi rikutakse või kui neid ei ole võimalik täita. Euroopa Kohus nendib, et otsuses 2010/87 on sellised mehhanismid ette nähtud. Ta rõhutab sellega seoses eelkõige, et see otsus paneb andmeeksportijale ja vastuvõtjale, kellele isikuandmed edastatakse, kohustuse enne kontrollida, kas asjaomases kolmandas riigis on tagatud liidu õigusega nõutav kaitsetase, ja andmete vastuvõtjale kohustuse andmeeksportijat teavitada asjaolust, et tal võib osutuda võimatuks neid tüüptingimusi täita, mispeale andmeeksportijal on kohustus andmete edastamine peatada ja/või andmete vastuvõtjaga sõlmitud leping üles öelda.

Viimasena analüüsib Euroopa Kohus otsuse 2016/1250 kehtivust isikuandmete kaitse üldmäärusest tulenevate nõuete seisukohalt, tõlgendatuna harta sätete alusel, mis tagavad era- ja perekonnaelu puutumatuse, isikuandmete kaitse ning õiguse tõhusale kohtulikule kaitsele. Euroopa Kohus märgib sellega seoses, et selles otsuses on samamoodi nagu otsuses 2000/520 antud esimus riikliku julgeoleku, avaliku huvi ja USA õigusaktide järgmise tagamise vajadustele, see aga teeb võimalikuks nende isikute põhiõiguste riived, kelle isikuandmed sellesse kolmandasse riiki edastatakse. Euroopa Kohus leiab, et isikuandmete kaitse piirangud, mis tulenevad USA-sisestest õigusaktidest, mis reguleerivad USA avaliku võimu asutuste õigust pääseda juurde liidust USAsse edastatavatele isikuandmetele ja neid andmeid kasutada, ja millele komisjon otsuses 2016/1250 hinnangu andis, ei ole piiritletud viisil, mis oleks sisuliselt samaväärne liidu õiguses proportsionaalsuse põhimõttest tulenevate nõuetega, kuna nendel õigusaktidel põhinevad jälgimisprogrammid ei piirdu rangelt vajalikuga. Euroopa Kohus märgib selles otsuses tuvastatu põhjal, et teatavate jälgimisprogrammide kohta ei saa nendest õigusaktidest mingil viisil tuletada piiranguid nende programmide rakendamiseks vajalikele volitustele ega ka kaitsemeetmeid USA-välistele isikutele, kes on nende programmide potentsiaalseks sihtmärgiks. Euroopa Kohus lisab, et kuigi nimetatud õigusaktides on ette nähtud nõuded, mis on USA ametiasutustele nende jälgimisprogrammide rakendamisel siduvad, ei anna need andmesubjektidele õigusi, millele saaks USA ametiasutuste vastu kohtus tugineda.

Kohtuliku kaitse nõude kohta leiab Euroopa Kohus, et erinevalt sellest, mida märkis komisjon otsuses 2016/1250, ei anna selles otsuses käsitletud ombudsmani mehhanism neile isikutele õiguskaitsevahendit sellises organis, kes pakub liidu õiguses ette nähtutega sisuliselt samaväärseid kaitsemeetmeid, mis tagaksid selle mehhanismiga loodud ombudsmani ametikoha sõltumatuse ja selliste normide olemasolu, mis annaksid ombudsmanile pädevuse teha USA luureteenistustele siduvaid otsuseid. Nendest põhjendustest lähtudes tunnistab Euroopa Kohus otsuse 2016/1250 kehtetuks.


1      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46 kehtetuks tunnistamise kohta (ELT 2016, L 119, lk 1; parandus ELT 2018, L 127, lk 3).


2      Isikuandmete kaitse üldmääruse artikkel 45.


3      Isikuandmete kaitse üldmääruse artikli 46 lõige 1 ja lõike 2 punkt c.


4      Isikuandmete kaitse üldmääruse artikkel 49.


5      Komisjoni 26. juuli 2000. aasta otsus vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ piisava kaitse kohta, mis on ette nähtud programmi Safe Harbor põhimõtetega ja sellega seotud korduma kippuvate küsimustega, mille on välja andnud Ameerika Ühendriikide kaubandusministeerium (EÜT 2000, L 215, lk 7; ELT eriväljaanne 16/01, lk 119).


6      Euroopa Kohtu 6. oktoobri 2015. aasta otsus Schrems, C‑362/14 (vt ka pressiteade nr 117/15).


7      Komisjoni 5. veebruari 2010. aasta otsus kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta nõukogu ja Euroopa Parlamendi direktiivi 95/46/EÜ alusel (ELT 2010, L 39, lk 5) (muudetud komisjoni 16. detsembri 2016. aasta rakendusotsusega (EL) 2016/2297 (ELT 2016, L 344, lk 100)).


8      Komisjoni 12. juuli 2016. aasta rakendusotsus (EL) 2016/1250 isikuandmete kaitse piisavuse kohta ELi-USA andmekaitseraamistikus Privacy Shield vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ (ELT 2016, L 207, lk 1).