Language of document :

Απόφαση του Δικαστηρίου (τμήμα μείζονος συνθέσεως) της 16ης Ιουλίου 2020 [αίτηση του High Court (Irlande) (Ιρλανδία) για την έκδοση προδικαστικής αποφάσεως] – Data Protection Commissioner κατά Facebook Ireland Limited, Maximillian Schrems

(Υπόθεση C-311/18) 1

[Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης – Άρθρα 7, 8 και 47 – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 2, παράγραφος 2 – Πεδίο εφαρμογής – Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες για εμπορικούς σκοπούς – Άρθρο 45 – Απόφαση επάρκειας εκδοθείσα από την Επιτροπή – Άρθρο 46 – Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις – Άρθρο 58 – Εξουσίες των αρχών ελέγχου – Επεξεργασία των διαβιβαζόμενων δεδομένων από τις δημόσιες αρχές τρίτης χώρας για λόγους εθνικής ασφάλειας – Εκτίμηση της επάρκειας του επιπέδου προστασίας που εξασφαλίζεται στην τρίτη χώρα – Απόφαση 2010/87/ΕΕ – Τυποποιημένες ρήτρες προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες – Κατάλληλες εγγυήσεις τις οποίες παρέχει ο υπεύθυνος επεξεργασίας – Κύρος – Εκτελεστική απόφαση (ΕΕ) 2016/1250 – Επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-Ηνωμένων Πολιτειών – Κύρος – Καταγγελία φυσικού προσώπου του οποίου τα δεδομένα διαβιβάστηκαν από την Ευρωπαϊκή Ένωση προς τις Ηνωμένες Πολιτείες]

Γλώσσα διαδικασίας: η αγγλική

Αιτούν δικαστήριο

High Court (Irlande)

Διάδικοι στην υπόθεση της κύριας δίκης

Data Protection Commissioner

κατά

Facebook Ireland Limited, Maximillian Schrems

παρισταμένων των: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope

Διατακτικό

Το άρθρο 2, παράγραφοι 1 και 2, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), έχει την έννοια ότι εμπίπτει στο πεδίο εφαρμογής του κανονισμού αυτού η διαβίβαση δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται για εμπορικούς σκοπούς από οικονομικό φορέα εγκατεστημένο σε κράτος μέλος προς άλλον οικονομικό φορέα εγκατεστημένο σε τρίτη χώρα, ανεξαρτήτως του ότι, κατά τη διάρκεια ή κατόπιν της διαβίβασης αυτής, τα δεδομένα ενδέχεται να υποστούν επεξεργασία από τις αρχές της αντίστοιχης τρίτης χώρας για λόγους δημόσιας ασφάλειας, εθνικής άμυνας και ασφάλειας του κράτους.

Το άρθρο 46, παράγραφος 1, και το άρθρο 46, παράγραφος 2, στοιχείο γ΄, του κανονισμού 2016/679 έχουν την έννοια ότι οι κατάλληλες εγγυήσεις, τα εκτελεστά δικαιώματα και τα αποτελεσματικά μέσα έννομης προστασίας που απαιτούνται κατά τις διατάξεις αυτές πρέπει να διασφαλίζουν ότι τα δικαιώματα των ατόμων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται προς τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας δεδομένων τυγχάνουν ενός επιπέδου προστασίας ουσιαστικά ισοδύναμου με εκείνο που εγγυάται εντός της Ένωσης ο κανονισμός αυτός, όπως ερμηνεύεται σε συνδυασμό με τον Χάρτη. Προς τούτο, κατά την αξιολόγηση του επιπέδου προστασίας που εξασφαλίζεται στο πλαίσιο μιας τέτοιας διαβίβασης πρέπει, μεταξύ άλλων, να λαμβάνονται υπόψη τόσο οι συμβατικοί όροι που έχουν συμφωνηθεί μεταξύ του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης, και του αποδέκτη της διαβίβασης ο οποίος είναι εγκατεστημένος στην οικεία τρίτη χώρα όσο και, σε σχέση με την ενδεχόμενη πρόσβαση των δημοσίων αρχών της εν λόγω τρίτης χώρας στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα, τα κρίσιμα στοιχεία του νομικού συστήματός της, ιδίως εκείνα που μνημονεύονται στο άρθρο 45, παράγραφος 2, του κανονισμού αυτού.

Το άρθρο 58, παράγραφος 2, στοιχεία στ΄ και ι΄, του κανονισμού 2016/679 έχει την έννοια ότι, αν δεν υφίσταται απόφαση επάρκειας εγκύρως εκδοθείσα από την Επιτροπή, η αρμόδια αρχή ελέγχου υποχρεούται να αναστέλλει ή να απαγορεύει τη διαβίβαση δεδομένων προς τρίτη χώρα βάσει τυποποιημένων ρητρών προστασίας δεδομένων οι οποίες έχουν θεσπισθεί από την Επιτροπή, σε περίπτωση που η αρχή ελέγχου εκτιμά, υπό το πρίσμα του συνόλου των περιστάσεων της διαβίβασης αυτής, ότι οι σχετικές ρήτρες δεν τηρούνται ή δεν μπορούν να τηρηθούν στην εν λόγω τρίτη χώρα και ότι η προστασία των διαβιβαζόμενων δεδομένων που απαιτείται από το δίκαιο της Ένωσης, ιδίως δε από τα άρθρα 45 και 46 του ΓΚΠΔ και από τον Χάρτη, δεν είναι δυνατόν να διασφαλιστεί με άλλα μέσα, εφόσον η διαβίβαση δεν έχει ήδη ανασταλεί ή τερματιστεί είτε από τον υπεύθυνο επεξεργασίας είτε από τον εκτελούντα την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης.

Από την εξέταση της αποφάσεως 2010/87/ΕΕ της Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, όπως τροποποιήθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/2297 της Επιτροπής, της 16ης Δεκεμβρίου 2016, υπό το πρίσμα των άρθρων 7, 8 και 47 του Χάρτη δεν προέκυψε κανένα στοιχείο ικανό να θίξει το κύρος της αποφάσεως αυτής.

Η εκτελεστική απόφαση (ΕΕ) 2016/1250 της Επιτροπής, της 12ης Ιουλίου 2016, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ, είναι ανίσχυρη.

____________

1 ΕΕ C 249 της 16.07.2018.