Language of document : ECLI:EU:C:2020:559

Byla C311/18

Data Protection Commissioner

prieš

Facebook Ireland Ltd
ir
Maximillian Schrems

(High Court (Airija) prašymas priimti prejudicinį sprendimą)

 2020 m. liepos 16 d. Teisingumo Teismo (didžioji kolegija) sprendimas

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Europos Sąjungos pagrindinių teisių chartija – 7, 8 ir 47 straipsniai – Reglamentas (ES) 2016/679–2 straipsnio 2 dalis – Taikymo sritis – Asmens duomenų perdavimai į trečiąsias valstybes komerciniais tikslais – 45 straipsnis – Komisijos sprendimas dėl tinkamumo – 46 straipsnis – Duomenų perdavimas taikant tinkamas apsaugos priemones – 58 straipsnis – Priežiūros institucijų įgaliojimai – Trečiosios valstybės valdžios institucijų atliekamas perduotų duomenų tvarkymas nacionalinio saugumo tikslais – Trečiojoje valstybėje užtikrinamo tinkamo apsaugos lygio vertinimas – Sprendimas 2010/87/ES – Standartinės į trečiąsias valstybes perduodamų asmens duomenų apsaugos sąlygos – Duomenų valdytojo užtikrinamos tinkamos apsaugos priemonės – Galiojimas – Įgyvendinimo sprendimas (ES) 2016/1250 – Europos Sąjungos ir Jungtinių Amerikos Valstijų „privatumo skydo“ užtikrinamos apsaugos tinkamumas – Galiojimas – Fizinio asmens, kurio duomenys buvo perduoti iš Europos Sąjungos į Jungtines Amerikos Valstijas, skundas“

1.        Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Taikymo sritis – Asmens duomenų tvarkymo sąvoka – Asmens duomenų perdavimas, kurį komerciniais tikslais atlieka valstybėje narėje įsteigtas ūkio subjektas kitam trečiojoje šalyje įsteigtam ūkio subjektui – Įtraukimas – Duomenys, kuriuos gali tvarkyti atitinkamos trečiosios šalies valdžios institucijos nacionalinio saugumo tikslais – Poveikio nebuvimas

(Europos Parlamento ir Tarybos reglamento 2016/679 2 straipsnio 1 dalis ir 2 dalies a, b ir d punktai ir 4 straipsnio 2 punktas)

(žr. 82, 83, 85–89 punktus ir rezoliucinės dalies 1 punktą)

2.        Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Asmens duomenų perdavimas į trečiąsias šalis – Perdavimas taikant tinkamas apsaugos priemones, grindžiamas standartinėmis duomenų apsaugos sutarčių sąlygomis – Tinkamo apsaugos lygio, kurį turi užtikrinti atitinkama trečioji šalis, kai atliekamas toks perdavimas, sąvoka – Aiškinimas atsižvelgiant į Sąjungos teisę – Vertinimo kriterijai

(Europos Sąjungos pagrindinių teisių chartijos 52 straipsnio 3 dalis; Europos Parlamento ir Tarybos reglamento 2016/679 46 straipsnio 1 dalis ir 2 dalies c punktas)

(žr. 92–96, 98–101, 103–105 punktus ir rezoliucinės dalies 2 punktą)

3.        Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Asmens duomenų perdavimas į trečiąsias šalis – Perdavimas taikant tinkamas apsaugos priemones, grindžiamas standartinėmis duomenų apsaugos sutarčių sąlygomis – Nacionalinės priežiūros institucijos – Įgaliojimai – Asmens duomenų perdavimo į trečiąsias šalis kontrolė – Pareiga sustabdyti arba uždrausti tokį perdavimą atitinkamoje trečiojoje šalyje pažeidus tinkamą apsaugos lygį – Sąlygos

(Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 3 dalis; Europos Parlamento ir Tarybos reglamento 2016/679 45 ir 46 straipsniai, 51 straipsnio 1 dalis, 57 straipsnio 1 dalies a ir f punktai, 58 straipsnio 1 dalis ir 2 dalies f ir j punktai)

(žr. 107, 108, 112–121 punktus ir rezoliucinės dalies 3 punktą)

4.        Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Asmens duomenų perdavimas į trečiąsias šalis – Perdavimas taikant tinkamas apsaugos priemones, grindžiamas standartinėmis duomenų apsaugos sutarčių sąlygomis – Sprendimas 2010/87, kuriuo nustatomos standartinės sutarčių sąlygos asmens duomenų perdavimui į trečiąsias šalis – Sąjungoje įsteigtų duomenų valdytojų ir priežiūros institucijų užtikrinamos tinkamos apsaugos priemonės – Šių institucijų pareiga sustabdyti arba uždrausti tokį perdavimą pažeidus minėtas sąlygas – Teisės į privatų ir šeimos gyvenimą, į asmens duomenų apsaugą ir į veiksmingą teisminę gynybą – Pažeidimo nebuvimas – Sprendimo galiojimas

(Europos Sąjungos pagrindinių teisių chartijos 7, 8 ir 47 straipsniai; Europos Parlamento ir Tarybos reglamento 2016/679 46 straipsnio 1 dalis ir 2 dalies c punktas; Komisijos sprendimo 2010/87 priedas)

(žr. 128–130, 133–145, 148, 149 punktus ir rezoliucinės dalies 4 punktą)

5.        Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Asmens duomenų perdavimas į trečiąsias šalis – Komisijos sprendimo, kuriuo konstatuojamas tinkamas apsaugos lygis trečiojoje šalyje, priėmimas – Sprendimas 2016/1250, kuriuo konstatuotas Europos Sąjungos ir Jungtinių Amerikos Valstijų „privatumo skydo“ užtikrinamos apsaugos tinkamas lygis – Nacionalinė priežiūros institucija, gavusi skundą, kuriuo ginčijamas šioje trečiojoje šalyje užtikrinamos apsaugos lygio tinkamumas – Šios institucijos pareiga išnagrinėti skundą – Sprendimo 2016/1250 galiojimo nagrinėjimas

(SESV 288 straipsnio ketvirta pastraipa; Europos Parlamento ir Tarybos reglamento 2016/679 45 straipsnio 3 dalis ir 77 straipsnio 1 dalis; Komisijos sprendimo 2016/1250 II priedas)

(žr. 151–161 punktus)

6.        Pagrindinės teisės – Europos Sąjungos pagrindinių teisių chartija – Teisė į privatų gyvenimą – Asmens duomenų apsauga – Asmens duomenų saugojimas ir prieiga prie jų, kad juos galėtų naudoti valdžios institucijos – Šių pagrindinių teisių suvaržymai – Naudojimosi šiomis teisėmis apribojimai – Proporcingumo principo paisymas

(Europos Sąjungos pagrindinių teisių chartijos 7 ir 8 straipsniai, 52 straipsnio 1 dalies antras sakinys; Europos Parlamento ir Tarybos reglamentas 2016/679)

(žr. 170–176 punktus)

7.        Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Asmens duomenų perdavimas į trečiąsias šalis – Komisijos sprendimo, kuriuo konstatuojamas tinkamas apsaugos lygis trečiojoje šalyje, priėmimas – Sprendimas 2016/1250, kuriuo konstatuotas Europos Sąjungos ir Jungtinių Amerikos Valstijų „privatumo skydo“ užtikrinamos apsaugos tinkamas lygis – Apsaugos lygio, iš esmės lygiaverčio tam, kuris garantuojamas Sąjungos teisėje, nebuvimas – Asmenų, kurių duomenys taip perduodami, teisių į privatų gyvenimą, į asmens duomenų apsaugą ir į veiksmingą teisminę gynybą pažeidimas – Ombudsmeno mechanizmo nustatymas pagal „privatumo skydą“ – Poveikio teisės į veiksmingą teisminę gynybą pažeidimui nebuvimas – Sprendimo negaliojimas

(Europos Sąjungos pagrindinių teisių chartijos 7, 8 ir 47 straipsniai ir 52 straipsnio 1 dalies antras sakinys; Europos Parlamento ir Tarybos reglamento 2016/679 45 straipsnio 2 dalies a punktas ir 3 dalis; Komisijos sprendimo 2016/1250 II priedas)

(žr. 180–185, 187–192, 195–201 punktus ir rezoliucinės dalies 5 punktą)

8.        Prejudiciniai klausimai – Galiojimo vertinimas – Sąjungos teisės akto pripažinimas negaliojančiu – Sprendimas 2016/1250, kuriuo konstatuotas Europos Sąjungos ir Jungtinių Amerikos Valstijų „privatumo skydo“ užtikrinamos apsaugos tinkamas lygis – Pasekmės – Ribojimas laiko atžvilgiu – Nebuvimas

(SESV 267 straipsnis; Europos Parlamento ir Tarybos reglamento 2016/679 49 straipsnis; Komisijos sprendimas 2016/1250)

(žr. 202 punktą)

Santrauka

Teisingumo Teismas pripažino negaliojančiu Sprendimą 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo

Tačiau jis nusprendė, kad Komisijos sprendimas 2010/87 dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams, yra galiojantis.

Bendrajame duomenų apsaugos reglamente(1) (BDAR) nurodyta, kad iš principo galima perduoti tokius duomenis į trečiąją šalį, tik jei atitinkama trečioji šalis užtikrina tinkamą šių duomenų apsaugos lygį. Pagal šį reglamentą Komisija gali konstatuoti, kad trečioji šalis savo nacionalinės teisės aktais arba tarptautiniais įsipareigojimais užtikrina tinkamą apsaugos lygį(2). Nesant tokio sprendimo dėl tinkamumo, tokį perdavimą galima atlikti, tik jei Sąjungoje įsteigtas asmens duomenų eksportuotojas numato tinkamas apsaugos priemones, kurios, be kita ko, gali kilti iš Komisijos priimtų standartinių duomenų apsaugos sąlygų, ir jei duomenų subjektai turi įgyvendinamas teises ir veiksmingas teisių gynimo priemones(3). Be to, BDAR aiškiai nustatytos sąlygos, kuriomis galima atlikti tokį perdavimą nesant sprendimo dėl tinkamumo arba tinkamų apsaugos priemonių(4).

Maximillian Schrems yra Austrijoje gyvenantis šios šalies pilietis; nuo 2008 m. jis yra Facebook naudotojas. M. Schrems, kaip ir kitų Sąjungoje teritorijoje gyvenančių naudotojų, asmens duomenis (visus arba jų dalį) Facebook Ireland perduoda į Jungtinių Amerikos Valstijų teritorijoje esančius Facebook Inc. priklausančius serverius ir jie ten tvarkomi. M. Schrems pateikė Airijos priežiūros institucijai skundą, jame iš esmės prašė uždrausti šį duomenų perdavimą. Jis tvirtino, kad Jungtinių Amerikos Valstijų teisė ir praktika neužtikrina pakankamos apsaugos nuo valdžios institucijų prieigos prie į šią šalį perduodamų duomenų. Šis skundas buvo atmestas, be kita ko, remiantis tuo, kad Sprendime 2000/520(5) (vadinamajame „saugaus uosto“ sprendime) Komisija konstatavo, kad Jungtinės Amerikos Valstijos užtikrina tinkamą apsaugos lygį. Gavęs High Court (Aukštasis Teismas, Airija) prejudicinį klausimą, 2015 m. spalio 6 d. sprendimu Teisingumo Teismas pripažino šį Komisijos sprendimą negaliojančiu (toliau – Sprendimas Schrems)(6).

Paskelbus Sprendimą Schrems ir vėliau Airijos teismui panaikinus sprendimą, kuriuo buvo atmestas M. Schrems skundas, Airijos priežiūros institucija paprašė jo performuluoti savo skundą atsižvelgiant į tai, kad Teisingumo Teismas pripažino negaliojančiu Sprendimą 2000/520. Performuluotame skunde M. Schrems teigė, kad Jungtinės Amerikos Valstijos neužtikrina pakankamos į šią šalį perduodamų asmens duomenų apsaugos. Jis prašė sustabdyti jo asmens duomenų perdavimą iš Sąjungos į Jungtines Amerikos Valstijas, kurį Facebook Ireland dabar atlieka remdamasi Sprendimo 2010/87(7) priede pateiktomis standartinėmis apsaugos sąlygomis, arba uždrausti tokį perdavimą ateityje. Manydama, kad M. Schrems skundo išnagrinėjimas, be kita ko, priklauso nuo Sprendimo 2010/87 galiojimo, priežiūros institucija inicijavo procesą High Court (Aukštasis Teismas), kad šis Teisingumo Teismui pateiktų prašymą priimti prejudicinį sprendimą. Po šio proceso pradėjimo Komisija priėmė Sprendimą 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo(8) (vadinamąjį „privatumo skydo“ sprendimą“).

Prašymu priimti prejudicinį sprendimą šį prašymą pateikęs teismas paklausė Teisingumo Teismo dėl BDAR taikytinumo asmens duomenų perdavimui remiantis Sprendime 2010/87 pateiktomis standartinėmis apsaugos sąlygomis, dėl šiuo reglamentu reikalaujamo apsaugos lygio, kai atliekamas toks perdavimas, ir dėl šiomis aplinkybėmis priežiūros institucijoms tenkančių pareigų. Be to, High Court (Aukštasis Teismas) iškėlė klausimą tiek dėl Sprendimo 2010/87, tiek dėl Sprendimo 2016/1250 galiojimo.

Šios dienos sprendimu Teisingumo Teismas konstatuoja, kad išnagrinėjus Sprendimą 2010/87 atsižvelgiant į Pagrindinių teisių chartiją nenustatyta nieko, kas galėtų paveikti jo galiojimą. Tačiau jis pripažįsta Sprendimą 2016/1250 negaliojančiu.

Visų pirma Teisingumo Teismas laikosi nuomonės, kad Sąjungos teisė, be kita ko, BDAR, taikoma asmens duomenų perdavimui, kurį komerciniais tikslais atlieka valstybėje narėje įsteigtas ūkio subjektas kitam trečiojoje šalyje įsteigtam ūkio subjektui, net jei atliekant šį perdavimą arba po jo atitinkamos trečiosios šalies valdžios institucijos gali tvarkyti šiuos duomenis visuomenės saugumo, gynybos ir valstybės saugumo tikslais. Jis pažymi, jog tai, kad trečiosios šalies institucijos atlieka tokį duomenų tvarkymą, nereiškia, kad jis nepatenka į BDAR taikymo sritį.

Dėl reikalaujamo apsaugos lygio atliekant tokį perdavimą Teisingumo Teismas nusprendė, kad šiuo tikslu BDAR nuostatose numatyti reikalavimai, susiję su tinkamomis apsaugos priemonėmis, įgyvendinamomis teisėmis ir veiksmingomis teisių gynimo priemonėmis, turi būti aiškinami taip, kad asmenų, kurių asmens duomenys perduodami į trečiąją šalį remiantis standartinėmis duomenų apsaugos sąlygomis, apsaugos lygis turi būti iš esmės lygiavertis tam, kuris garantuojamas Sąjungoje šiuo reglamentu, siejamu su Chartija. Šiomis aplinkybėmis jis pažymėjo, kad vertinant šį apsaugos lygį turi būti atsižvelgta ir į Sąjungoje įsteigto duomenų eksportuotojo ir atitinkamoje trečiojoje šalyje įsteigto perduodamų duomenų gavėjo sudarytų sutarčių sąlygas, ir, kiek tai susiję su galima šios trečiosios šalies valdžios institucijų prieiga prie taip perduotų asmens duomenų, į atitinkamus šios šalies teisinės sistemos aspektus.

Dėl priežiūros institucijoms tokio perdavimo aplinkybėmis tenkančių pareigų Teisingumo Teismas nusprendė, kad, nebent Komisija yra teisėtai priėmusi sprendimą dėl tinkamumo, šios institucijos, be kita ko, privalo sustabdyti arba uždrausti duomenų perdavimą į trečiąją šalį, jei, atsižvelgdamos į visas konkrečias šio perdavimo aplinkybes, mano, kad šioje trečiojoje šalyje standartinių duomenų apsaugos sąlygų nesilaikoma arba jų negalima laikytis ir kad kitomis priemonėmis negalima užtikrinti pagal Sąjungos teisę reikalaujamos perduodamų duomenų apsaugos, jeigu Sąjungoje įsteigtas eksportuotojas pats nesustabdė arba nenutraukė tokio perdavimo.

Teisingumo Teismas taip pat išnagrinėjo Sprendimo 2010/87 galiojimą. Teisingumo Teismo teigimu, šio sprendimo galiojimo nepaneigia vien tai, kad jame pateiktos standartinės duomenų apsaugos sąlygos dėl savo sutartinio pobūdžio nėra privalomos trečiųjų šalių, į kurias gali būti perduodami asmens duomenys, valdžios institucijoms. Tačiau jis pažymėjo, kad šis galiojimas priklauso nuo to, ar minėtame sprendime yra įtvirtinti veiksmingi mechanizmai, leidžiantys praktiškai užtikrinti, kad būtų laikomasi Sąjungos teisėje reikalaujamo apsaugos lygio ir kad asmens duomenų perdavimas, grindžiamas tokiomis sąlygomis, būtų sustabdytas arba uždraustas pažeidus šias sąlygas arba nesant galimybės jų laikytis. Teisingumo Teismas konstatavo, kad Sprendimu 2010/87 nustatyti tokie mechanizmai. Šiuo klausimu jis, be kita ko, pabrėžė, kad šiuo sprendimu duomenų eksportuotojui ir perduodamų duomenų gavėjui nustatyta pareiga iš anksto patikrinti, ar atitinkamoje trečiojoje šalyje laikomasi šio apsaugos lygio, ir kad pagal šį sprendimą šis gavėjas privalo informuoti duomenų eksportuotoją, jei negali laikytis standartinių apsaugos sąlygų, o šis eksportuotojas tuomet turi sustabdyti duomenų perdavimą ir (arba) nutraukti su duomenų gavėju sudarytą sutartį.

Galiausiai Teisingumo Teismas išnagrinėjo Sprendimo 2016/1250 galiojimą atsižvelgiant į reikalavimus, kylančius iš BDAR, siejamo su Chartijos nuostatomis, garantuojančiomis teisę į privatų ir šeimos gyvenimą, asmens duomenų apsaugą ir teisę į veiksmingą teisminę gynybą. Šiuo klausimu Teisingumo Teismas pažymėjo, kad tame sprendime, kaip ir Sprendime 2000/520, įtvirtinta reikalavimų, susijusių su nacionaliniu saugumu, viešuoju interesu ir JAV teisės aktų laikymusi, viršenybė, taigi remiantis ja galima nustatyti asmenų, kurių asmens duomenys perduodami į šią trečiąją šalį, pagrindinių teisių suvaržymus. Teisingumo Teismo teigimu, asmens duomenų apsaugos apribojimai, kurių kyla iš Jungtinių Amerikos Valstijų nacionalinės teisės aktų, susijusių su JAV valdžios institucijų prieiga prie tokių duomenų, perduodamų iš Sąjungos į šią trečiąją šalį, ir šių institucijų atliekamu jų naudojimu, ir kuriuos Komisija įvertino Sprendime 2016/1250, nėra sureglamentuoti taip, kad atitiktų reikalavimus, iš esmės lygiaverčius tiems, kurie Sąjungos teisėje nustatyti pagal proporcingumo principą, nes šiais teisės aktais grindžiamos stebėjimo programos neapsiriboja tuo, kas griežtai būtina. Remdamasis tame sprendime pateiktomis išvadomis Teisingumo Teismas pažymėjo, jog, kalbant apie tam tikras stebėjimo programas, iš minėtų teisės aktų jokiu būdu nematyti, kad juose yra įtvirtintų įgaliojimų įgyvendinti šias programas apribojimų ar garantijų ne JAV asmenims, kuriems gali būti taikomos šios programos. Teisingumo Teismas pridūrė, kad nors tuose teisės aktuose numatyti reikalavimai, kurių turi laikytis JAV valdžios institucijos įgyvendindamos atitinkamas stebėjimo programas, pagal juos duomenų subjektams nesuteikiamos įgyvendinamos teisės, kuriomis jie galėtų remtis teismuose JAV valdžios institucijų atžvilgiu.

Dėl teisminės apsaugos reikalavimo Teisingumo Teismas nusprendė, kad, priešingai, nei konstatavo Komisija Sprendime 2016/1250, tame sprendime nurodytu ombudsmeno mechanizmu šiems asmenims nesuteikiama teisių gynimo priemonė institucijoje, suteikiančioje garantijas, iš esmės lygiavertes toms, kurios reikalaujamos Sąjungos teisėje, kuria galėtų būti užtikrintas tiek pagal šį mechanizmą numatyto ombudsmeno nepriklausomumas, tiek normų, kuriomis tas ombudsmenas būtų įgaliotas priimti JAV žvalgybos tarnyboms privalomus sprendimus, egzistavimas. Remdamasis visais šiais motyvais, Teisingumo Teismas pripažino Sprendimą 2016/1250 negaliojančiu.


1      2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL L 119, 2016, p. 1).


2      BDAR 45 straipsnis.


3      BDAR 46 straipsnio 1 dalis ir 2 dalies c punktas.


4      BDAR 49 straipsnis.


5      2000 m. liepos 26 d. Komisijos sprendimas dėl Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl saugaus uosto privatumo principų teikiamos apsaugos pakankamumo ir su tuo susijusių JAV komercijos departamento pateiktų Dažnai užduodamų klausimų (OL L 215, 2000, p. 7; 2004 m. specialusis leidimas lietuvių k., 16 sk., 1 t., p. 119).


6      2015 m. spalio 6 d. Sprendimas Schrems, C‑362/14 (taip pat žr. Pranešimą spaudai Nr. 117/15).


7      2010 m. vasario 5 d. Komisijos sprendimas dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Europos Parlamento ir Tarybos direktyvos 95/46/EB nuostatas (OL L 39, 2010, p. 5), iš dalies pakeistas 2016 m. gruodžio 16 d. Komisijos įgyvendinimo sprendimu (ES) 2016/2297 (OL L 344, 2016, p. 100).


8      2016 m. liepos 12 d. Komisijos įgyvendinimo sprendimas (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB (OL L 207, 2016, p. 1).