Language of document : ECLI:EU:C:2020:559

Lieta C311/18

Data Protection Commissioner

pret

Facebook Ireland Ltd
un
Maximillian Schrems

(High Court (Īrija) lūgums sniegt prejudiciālu nolēmumu)

 Tiesas (virspalāta) 2020. gada 16. jūlija spriedums

Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Eiropas Savienības Pamattiesību harta – 7., 8. un 47. pants – Regula (ES) 2016/679 – 2. panta 2. punkts – Piemērojamība – Personas datu nosūtīšana trešajām valstīm komerciāliem mērķiem – 45. pants – Komisijas lēmums par aizsardzības līmeņa pietiekamību – 46. pants – Pārsūtīšana, kurai piemērojamas atbilstošas garantijas – 58. pants – Uzraudzības iestāžu pilnvaras – Datu, kurus trešās valsts publiskās iestādes pārsūta valsts drošības nolūkos, apstrāde – Trešajā valstī nodrošinātā aizsardzības līmeņa pietiekamības vērtējums – Lēmums 2010/87/ES – Standartklauzulas attiecībā uz personas datu pārsūtīšanu uz trešajām valstīm – Pārziņa sniegtās atbilstošās garantijas – Spēkā esamība – Īstenošanas lēmums (ES) 2016/1250 – Eiropas Savienības un Amerikas Savienoto Valstu privātuma vairoga nodrošinātās aizsardzības pietiekamība – Spēkā esamība – Fiziskas personas sūdzība, kuras dati ir tikuši pārsūtīti no Eiropas Savienības uz ASV

1.        Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula 2016/679 – Piemērojamība – Jēdziens “personas datu apstrāde” – Personas datu nosūtīšana, ko komerciāliem mērķiem veic dalībvalstī dibināts tirgus dalībnieks trešajā valstī dibinātam tirgus dalībniekam – Iekļaušana – Dati, kurus attiecīgās trešās valsts iestādes varētu apstrādāt valsts drošības nolūkos – Ietekmes neesamība

(Eiropas Parlamenta un Padomes Regulas 2016/679 2. panta 1. punkts un 2. punkta a), b) un d) apakšpunkts, un 4. panta 2. punkts)

(skat. 82., 83., 85.–89. punktu un rezolutīvās daļas 1) punktu)

2.        Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula 2016/679 – Personas datu pārsūtīšana uz trešajām valstīm – Pārsūtīšana, kurai piemērojamas atbilstošas garantijas, kas pamatotas ar datu aizsardzības standartklauzulām – Pietiekama aizsardzības līmeņa, kurš šādai pārsūtīšanai jānodrošina trešajai valstij, jēdziens – Interpretācija attiecībā pret Savienības tiesībām – Novērtēšanas kritēriji

(Eiropas Savienības Pamattiesību hartas 52. panta 3. punkts; Eiropas Parlamenta un Padomes Regulas 2016/679 46. panta 1. punkts un 2. punkta c) apakšpunkts)

(skat. 92.–96., 98.–101., 103.–105. punktu un rezolutīvās daļas 2) punktu)

3.        Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula 2016/679 – Personas datu pārsūtīšana uz trešajām valstīm – Pārsūtīšana, kurai piemērojamas atbilstošas garantijas, kas pamatotas ar datu aizsardzības standartklauzulām – Valsts uzraudzības iestādes – Pilnvaras – Personas datu pārsūtīšanas uz trešajām valstīm kontrole – Pienākums šādu pārsūtīšanu apturēt vai aizliegt, ja attiecīgajā trešajā valstī netiek nodrošināts pietiekams aizsardzības līmenis – Nosacījumi

(Eiropas Savienības Pamattiesību hartas 8. panta 3. punkts; Eiropas Parlamenta un Padomes Regulas 2016/679 45. un 46. pants, 51. panta 1. punkts, 57. panta 1. punkta a) un f) apakšpunkts un 58. panta 1. punkts un 2. punkta f) un j) apakšpunkts)

(skat. 107., 108., 112.–121. punktu un rezolutīvās daļas 3) punktu)

4.        Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula 2016/679 – Personas datu pārsūtīšana uz trešajām valstīm – Pārsūtīšana, kurai piemērojamas atbilstošas garantijas, kas pamatotas ar datu aizsardzības standartklauzulām – Lēmums 2010/87, ar kuru nosaka standartklauzulas attiecībā uz personas datu pārsūtīšanu uz trešajām valstīm – Savienībā dibinātu šādas pārsūtīšanas pārziņu un uzraudzības iestāžu sniegtās atbilstošās garantijas – Šo iestāžu pienākums minēto klauzulu pārkāpuma gadījumā apturēt vai aizliegt šādu pārsūtīšanu – Tiesības uz privātās dzīves neaizskaramību, personas datu aizsardzību un efektīvu tiesību aizsardzību tiesā – Pārkāpuma neesamība – Lēmuma spēkā esamība

(Eiropas Savienības Pamattiesību hartas 7., 8. un 47. pants; Eiropas Parlamenta un Padomes Regulas 2016/679 46. panta 1. punkts un 2. punkta c) apakšpunkts; Komisijas Lēmuma 2010/87 pielikums)

(skat. 128.–130., 133.–145., 148. un 149. punktu un rezolutīvās daļas 4) punktu)

5.        Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula 2016/679 – Personas datu pārsūtīšana uz trešajām valstīm – Komisijas pieņemts lēmums par aizsardzības līmeņa pietiekamību trešajā valstī – Lēmums 2016/1250, ar ko konstatēta Eiropas Savienības un Amerikas Savienoto Valstu privātuma vairoga nodrošinātās aizsardzības līmeņa pietiekamība – Valsts uzraudzības iestāde, kurā iesniegta sūdzība, ar ko apstrīdēta šajā trešajā valstī nodrošinātā aizsardzības līmeņa pietiekamība – Šīs iestādes pienākums izskatīt sūdzību – Lēmuma 2016/1250 spēkā esamības pārbaude

(LESD 288. panta ceturtā daļa; Eiropas Parlamenta un Padomes Regulas 2016/679 45. panta 3. punkts un 77. panta 1. punkts; Komisijas Lēmuma 2016/1250 II pielikums)

(skat. 151.–161. punktu)

6.        Pamattiesības – Eiropas Savienības Pamattiesību harta – Privātās dzīves neaizskaramība – Personas datu aizsardzība – Personas datu glabāšana un piekļuve tiem tā, ka tos var izmantot publiskās iestādes – Iejaukšanās šajās pamattiesībās – Šo tiesību izmantošanas ierobežojumi – Samērīguma principa ievērošana

(Eiropas Savienības Pamattiesību hartas 7. un 8. pants, 52. panta 1. punkta otrais teikums, Eiropas Parlamenta un Padomes Regula 2016/679)

(skat. 170.–176. punktu)

7.        Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula 2016/679 – Personas datu pārsūtīšana uz trešajām valstīm – Komisijas pieņemts lēmums par aizsardzības līmeņa pietiekamību trešajā valstī – Lēmums 2016/1250, ar ko konstatēta Eiropas Savienības un Amerikas Savienoto Valstu privātuma vairoga nodrošinātā aizsardzības līmeņa pietiekamība – Savienības tiesībās nodrošinātajam būtībā līdzvērtīga aizsardzības līmeņa neesamība – Personu, kuras skar datu pārsūtīšana, tiesību uz privātās dzīves neaizskaramību, personas datu aizsardzību un efektīvu tiesību aizsardzību tiesā pārkāpums – Ombuda mehānisma ieviešana datu aizsardzības vairoga ietvaros – Tiesību uz efektīvu tiesību aizsardzību tiesā neietekmēšana – Lēmuma spēkā neesamība

(Eiropas Savienības Pamattiesību hartas 7., 8., 47. pants un 52. panta 1. punkta otrais teikums; Eiropas Parlamenta un Padomes Regulas 2016/679 45. panta 2. punkta a) apakšpunkts un 3. punkts; Komisijas Lēmuma 2016/1250 II pielikums)

(skat. 180.–185., 187.–192., 195.–201. punktu un rezolutīvās daļas 5) punktu)

8.        Prejudiciāli jautājumi – Spēkā esamības novērtējums – Savienības tiesību akta atzīšana par spēkā neesošu – Lēmums 2016/1250, ar ko konstatēta Eiropas Savienības un Amerikas Savienoto Valstu privātuma vairoga nodrošinātās aizsardzības līmeņa pietiekamība – Sekas – Ierobežojums laikā – Neesamība

(LESD 267. pants; Eiropas Parlamenta un Padomes Regulas 2016/679 49. pants; Padomes Lēmums 2016/1250)

(skat. 202. punktu)

Rezumējums

Tiesa atzīst par spēkā neesošu Lēmumu 2016/1250 par Eiropas Savienības un Amerikas Savienoto Valstu privātuma vairoga nodrošinātās aizsardzības pietiekamību

Tomēr tā nospriež, ka Komisijas lēmums 2010/87 par līguma standartklauzulām attiecībā uz personas datu pārsūtīšanu trešās valstīs reģistrētiem apstrādātājiem ir spēkā

Vispārējā datu aizsardzības regulā (1) (VDAR) ir noteikts, ka šādu datu nosūtīšana uz trešajām valstīm principā var notikt tikai tad, ja attiecīgā trešā valsts nodrošina pietiekamu šo datu aizsardzības līmeni. Atbilstoši šai regulai Komisija var konstatēt, ka trešā valsts, pamatojoties uz savu iekšējo tiesisko kārtību vai starptautiskajām saistībām, ko tā uzņēmusies, nodrošina pietiekamu aizsardzības līmeni (2). Ja nav šāda lēmuma par aizsardzības līmeņa pietiekamību, minēto pārsūtīšanu drīkst veikt tikai tad, ja Savienībā reģistrētais personas datu nosūtītājs sniedz atbilstošas garantijas, kas tostarp var izpausties kā Komisijas pieņemtas datu aizsardzības standartklauzulas, un ja datu subjektiem tiek nodrošinātas īstenojamas tiesības un efektīvi tiesiskās aizsardzības līdzekļi (3). Turklāt VDAR ir ietverti precīzi nosacījumi, ar kādiem šāda pārsūtīšana var notikt, ja nav lēmuma par aizsardzības līmeņa pietiekamību vai atbilstošu garantiju (4).

Maximillian Schrems, Austrijā dzīvojošs Austrijas pilsonis, Facebook lieto kopš 2008. gada. M. Schrems, gluži kā pārējo Savienībā dzīvojošo lietotāju, personas dati vai daļa no tiem tiek pārsūtīti uz Facebook Inc. serveriem, kas atrodas ASV teritorijā, kur tie tiek apstrādāti. M. Schrems vērsās ar sūdzību Īrijas uzraudzības iestādē, būtībā vēloties panākt šīs nosūtīšanas aizliegumu. Viņš apgalvoja, ka ASV tiesiskais regulējums un prakse nenodrošina uz šo valsti nosūtīto personas datu pietiekamu aizsardzību pret publisko iestāžu piekļuvi. Šī sūdzība tika noraidīta, pamatojoties it īpaši uz to, ka Komisija Lēmumā 2000/520 (5) (tā saucamais “drošības zonas” lēmums) bija konstatējusi, ka ASV nodrošina pietiekamu aizsardzības līmeni. Ar 2015. gada 6. oktobra spriedumu Tiesa, atbildot uz High Court (Augstā tiesa, Īrija) uzdoto prejudiciālo jautājumu, atzina šo lēmumu par spēkā neesošu (turpmāk tekstā – “spiedums Schrems”) (6).

Pēc sprieduma Schrems pasludināšanas un tam sekojošās lēmuma, ar ko tika noraidīta M. Schrems sūdzība, atcelšanas Īrijas tiesā Īrijas uzraudzības iestāde aicināja viņu pārformulēt savu sūdzību, ņemot vērā, ka Tiesa Lēmumu 2000/520 bija atzinusi par spēkā neesošu. Pārformulētajā sūdzībā M. Schrems uzskata, ka ASV nenodrošina uz šo valsti pārsūtīto datu pietiekamu aizsardzību. Viņš lūdz nākotnē apturēt vai aizliegt viņa personas datu pārsūtīšanu no Savienības uz ASV, ko Facebook Ireland pašlaik veic, pamatojoties uz Lēmuma 2010/87 (7) pielikumā ietvertajām aizsardzības standartklauzulām. Uzskatīdama, ka M. Schrems sūdzības risinājums tostarp ir atkarīgs no Lēmuma 2010/87 spēkā esamības, Īrijas uzraudzības iestāde uzsāka procedūru High Court (Augstā tiesa), lai tā vērstos Tiesā ar lūgumu sniegt prejudiciālu nolēmumu. Pēc šīs procedūras uzsākšanas Komisija pieņēma Lēmumu 2016/1250 par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs (8) (sauktu par “privātuma vairoga” lēmumu).

Ar lūgumu sniegt prejudiciālu nolēmumu iesniedzējtiesa vaicā Tiesai par VDAR piemērojamību tādai personas datu pārsūtīšanai, kas pamatota ar Lēmumā 2010/87 ietvertajām aizsardzības standartklauzulām, par šajā regulā prasīto aizsardzības līmeni šādai pārsūtīšanai un par uzraudzības iestāžu pienākumiem šajā ziņā. High Court arī izvirza jautājumu gan par Lēmuma 2010/87, gan Lēmuma 2016/1250 spēkā esamību.

Šodien pasludinātajā spriedumā Tiesa konstatē, ka Lēmuma 2010/87 pārbaudē – attiecībā pret Pamattiesību hartu – nav atklājies neviens elements, kas ietekmētu tā spēkā esamību. Taču Lēmumu 2016/1250 tā atzīst par spēkā neesošu.

Vispirms Tiesa norāda, ka Savienības tiesības, it īpaši VDAR, ir piemērojamas personas datu pārsūtīšanai komerciālos mērķos, ko veicis dalībvalstī reģistrēts tirgus dalībnieks citam, trešā valstī reģistrētam tirgus dalībniekam, pat ja šīs pārsūtīšanas laikā vai pēc tam šos datus sabiedrības drošības, aizsardzības un valsts drošības nolūkos var apstrādāt attiecīgās trešās valsts publiskās iestādes. Tā precizē, ka šāda veida datu apstrāde, ko veic trešās valsts iestādes, šādu pārsūtīšanu neizslēdz no regulas piemērošanas jomas.

Attiecībā uz šādai pārsūtīšanai nepieciešamo aizsardzības līmeni Tiesa atzīst, ka VDAR normās šajā ziņā paredzētās prasības, kas saistītas ar atbilstošām garantijām, īstenojamām tiesībām un efektīviem tiesību aizsardzības līdzekļiem, ir jāinterpretē tādējādi, ka to personu tiesībām, kuru personas dati tiek pārsūtīti uz trešo valsti, pamatojoties uz datu aizsardzības standartklauzulām, ir jāpiemēro būtībā līdzvērtīgs aizsardzības līmenis tam, kāds ir garantēts Savienībā ar šo regulu, lasot to kopā ar Hartu. Šādā kontekstā tā precizē, ka, izvērtējot šo aizsardzības līmeni, ir jāņem vērā gan līguma noteikumi, par kuriem ir panākta vienošanās starp Savienībā reģistrēto datu nosūtītāju un attiecīgajā trešajā valstī reģistrēto pārsūtīto datu saņēmēju, gan arī – attiecībā uz šīs trešās valsts publisko iestāžu iespējamo piekļuvi šādi nosūtītajiem datiem – šīs trešās valsts tiesību sistēmas atbilstošie elementi.

Attiecībā uz uzraudzības iestāžu pienākumiem šādas pārsūtīšanas kontekstā Tiesa nospriež – ja vien Komisija nav juridiski pamatoti pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību, šīm iestādēm ir pienākums apturēt vai aizliegt personas datu pārsūtīšanu uz trešo valsti, ja tās uzskata, ņemot vērā visus ar šo pārsūtīšanu saistītos apstākļus, ka datu aizsardzības standartklauzulas šajā trešajā valstī netiek vai nevar tikt ievērotas un ka Savienības tiesībās prasīto pārsūtīto datu aizsardzību nav iespējams nodrošināt ar citiem līdzekļiem, ja Savienībā reģistrētais datu nosūtītājs pats nav apturējis vai izbeidzis pārsūtīšanu.

Turpinājumā Tiesa izvērtē Lēmuma 2010/87 spēkā esamību. Tiesa norāda, ka šī lēmuma spēkā esamību neietekmē tikai tas vien, ka tajā ietvertās datu aizsardzības standartklauzulas nav saistošas tādu trešo valstu iestādēm, uz kurām personas dati var tikt pārsūtīti. Tā savukārt precizē, ka šī spēkā esamība ir atkarīga no tā, vai minētais lēmums ietver efektīvus mehānismus, kas praksē ļauj nodrošināt, ka tiek ievērots Savienības tiesībās prasītais aizsardzības līmenis un ka pamatojoties uz šīm klauzulām īstenotā personas datu pārsūtīšana šo klauzulu pārkāpuma gadījumā tiek apturēta vai aizliegta. Tiesa konstatē, ka Lēmumā 2010/87 šādi mehānismi ir ietverti. Šajā ziņā tā jo īpaši uzsver, ka ar minēto lēmumu datu nosūtītājam un to saņēmējam ir noteikts pienākums vispirms pārbaudīt, vai attiecīgajā trešajā valstī ir ievērots šis aizsardzības līmenis, un saņēmējam ir noteikts pienākums informēt datu nosūtītāju, ka tas, iespējams, nevarēs izpildīt aizsardzības standartklauzulu prasības un nosūtītājam tādējādi ir pienākums apturēt datu pārsūtīšanu un/vai lauzt ar saņēmēju noslēgto līgumu.

Visbeidzot Tiesa veic Lēmuma 2016/1250 spēkā esamības pārbaudi attiecībā pret prasībām, kas izriet no VDAR, lasot tās to Hartas normu kontekstā, kurās garantēta privātās un ģimenes dzīves neaizskaramība, personas datu aizsardzība un tiesības uz efektīvu tiesību aizsardzību tiesā. Šajā ziņā Tiesa norāda, ka minētajā lēmumā, gluži kā Lēmumā 2000/520, ir iedibināts ar valsts drošību, sabiedrības interesēm un ASV tiesiskā regulējuma ievērošanu saistīto prasību pārākums, tādējādi padarot iespējamu iejaukšanos to personu pamattiesībās, kuru dati tiek pārsūtīti uz šo trešo valsti. Tiesa norāda, ka personas datu aizsardzības ierobežojumi, kuri izriet no ASV tiesiskā regulējuma par ASV publisko iestāžu piekļuvi no Savienības uz trešo valsti pārsūtītiem personas datiem un šādu datu izmantošanu un kurus Komisija ir izvērtējusi Lēmumā 2016/1250, nav formulēti tādā veidā, lai atbilstu prasībām, kas būtībā ir līdzvērtīgas tām, kuras Savienības tiesībās ir izvirzītas ar samērīguma principu, jo uz šo tiesisko regulējumu balstītās uzraudzības programmas nav ierobežotas līdz absolūti nepieciešamajam. Pamatodamās uz šajā lēmumā ietvertajiem konstatējumiem, Tiesa norāda, ka attiecībā uz atsevišķām uzraudzības programmām no minētā tiesiskā regulējuma nekādā veidā neizriet, ka pastāvētu tajā paredzētie pilnvaru ierobežojumi attiecībā uz šo uzraudzības programmu īstenošanu, ne arī garantiju esamība personām, kuras nav Amerikas pilsoņi un kuras potenciāli skar šīs programmas. Tiesa piebilst – lai arī šajā pašā tiesiskajā regulējumā ir paredzētas prasības, kuras ASV iestādēm ir jāievēro, īstenojot attiecīgās uzraudzības programmas, tomēr tajā datu subjektiem nav piešķirtas tiesības, kuras tās varētu tiesās īstenot pret Amerikas iestādēm.

Attiecībā uz aizsardzību tiesā Tiesa nospriež, ka – pretēji Komisijas paustajam Lēmumā 2016/1250 – ar šo lēmumu izveidotajā ombuda mehānismā nav paredzēti iestādē izmantojami tiesību aizsardzības līdzekļi, kas sniegtu garantijas, kuras būtībā ir līdzvērtīgas Savienības tiesībās prasītajām, lai nodrošinātu gan šajā mehānismā paredzēto ombuda neatkarību, gan to, ka pastāv normas, kas pilnvaro šo ombudu pieņemt ASV izlūkdienestiem saistošus lēmumus. Visu šo iemeslu dēļ Tiesa Lēmumu 2016/1250 pasludina par spēkā neesošu.


1      Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (OV 2016, L 119, 1. lpp.).


2      VDAR 45. pants


3      VDAR 46. panta 1. punkts un 2. punkta c) apakšpunkts.


4      VDAR 49. pants.


5      Komisijas lēmums (2000. gada 26. jūlijs) atbilstīgi Eiropas Parlamenta un Padomes Direktīvai 95/46/EK par pienācīgu aizsardzību, kas noteikta ar privātuma “drošības zonas” principiem un attiecīgajiem visbiežāk uzdotajiem jautājumiem, kurus izdevusi ASV Tirdzniecības ministrija (OV 2000, L 215, 7. lpp.).


6      Tiesas spriedums, 2015. gada 6. oktobris, Schrems, C‑362/14 (skat. arī PP Nr. 117/15)


7      Komisijas Lēmums (2010. gada 5. februāris) par līguma standartklauzulām attiecībā uz personas datu pārsūtīšanu trešās valstīs reģistrētiem apstrādātājiem saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (OV 2010, L 39, 5. lpp.), kurā grozījumi izdarīti ar Komisijas Īstenošanas lēmumu (ES) 2016/2297 (2016. gada 16. decembris) (OV 2016, L 344, 100. lpp.).


8      Komisijas Īstenošanas lēmums (ES) 2016/1250 (2016. gada 12. jūlijs) saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs (OV 2016, L 207, 1. lpp.).