Language of document :

Unionin tuomioistuimen tuomio (suuri jaosto) 16.7.2020 (ennakkoratkaisupyyntö, jonka on esittänyt Hight Court – Irlanti) – Data Protection Commissioner v. Facebook Ireland Limited ja Maximillian Schrems

(asia C-311/18)1

(Ennakkoratkaisupyyntö – Yksilöiden suojelu henkilötietojen käsittelyssä – Euroopan unionin perusoikeuskirja – 7, 8 ja 47 artikla – Asetus (EU) 2016/679 – 2 artiklan 2 kohta – Soveltamisala – Henkilötietojen siirto kolmanteen maahan kaupallisissa tarkoituksissa – 45 artikla ‒ Tietosuojan riittävyyttä koskeva komission päätös – 46 artikla – Siirrot asianmukaisia suojatoimia soveltaen – 58 artikla – Valvontaviranomaisten toimivaltuudet – Kolmannen maan viranomaisten toteuttama siirrettyjen tietojen käsittely kansallista turvallisuutta varten – Kolmannen maan tietosuojan riittävyyden arviointi – Päätös 2010/87/EU – Tietosuojaa koskevat vakiolausekkeet henkilötietojen kolmanteen maahan siirtoa varten – Rekisterinpitäjän tarjoamat asianmukaiset suojatoimet – Pätevyys – Täytäntöönpanopäätös (EU) 2016/1250 – EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyys – Pätevyys – Luonnollisen henkilön, jonka tiedot on siirretty Euroopan unionista Yhdysvaltoihin, tekemä kantelu)

Oikeudenkäyntikieli: englanti

Ennakkoratkaisua pyytänyt tuomioistuin

High Court

Pääasian asianosaiset

Kantaja: Data Protection Commissioner

Vastaajat: Facebook Ireland Limited ja Maximillian Schrems

Muut osapuolet: Amerikan Yhdysvallat, Electronic Privacy Information Centre, BSA Business Software Alliance Inc. ja Digitaleurope

Tuomiolauselma

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 2 artiklan 1 ja 2 kohtaa on tulkittava siten, että tämän asetuksen soveltamisalaan kuuluu henkilötietojen siirto, jonka jäsenvaltioon sijoittautunut talouden toimija toteuttaa kaupallisessa tarkoituksessa siirtämällä tiedot kolmanteen maahan sijoittautuneelle talouden toimijalle, riippumatta siitä, että kyseisen kolmannen maan viranomaiset voivat tämän siirron kuluessa tai sen jälkeen käsitellä näitä tietoja yleistä turvallisuutta, puolustusta ja valtion turvallisuutta varten.

Asetuksen 2016/679 46 artiklan 1 kohtaa ja 2 kohdan c alakohtaa on tulkittava siten, että näissä säännöksissä vaadituilla asianmukaisilla suojatoimenpiteillä, täytäntöönpanokelpoisilla oikeuksilla ja tehokkailla oikeussuojakeinoilla on varmistettava, että henkilöiden, joiden henkilötietoja siirretään kolmanteen maahan tietosuojaa koskevien vakiolausekkeiden perusteella, saavat sellaisen suojan tason, joka pääosiltaan vastaa tasoa, joka taataan Euroopan unionissa tämän asetuksen, luettuna Euroopan unionin perusoikeuskirjan valossa, nojalla. Tätä varten tällaisen siirron yhteydessä varmistetun suojan tason arvioinnissa on muun muassa otettava huomioon yhtäältä unioniin sijoittautuneen rekisterinpitäjän tai sen henkilötietojen käsittelijän ja asianomaiseen kolmanteen maahan sijoittautuneen siirron vastaanottajan välillä sovitut sopimusmääräykset ja toisaalta, siltä osin kuin kyse on tämän kolmannen maan viranomaisten mahdollisesta pääsystä näin siirrettyihin henkilötietoihin, tämän maan oikeusjärjestelmään liittyvät merkitykselliset tekijät, erityisesti mainitun asetuksen 45 artiklan 2 kohdassa mainitut tekijät.

Asetuksen 2016/679 58 artiklan 2 kohdan f ja j alakohtaa on tulkittava siten, että jollei Euroopan komissio ole pätevästi tehnyt tietosuojan riittävyyttä koskevaa päätöstä, toimivaltaisen valvontaviranomaisen on keskeytettävä tai kiellettävä komission antamiin tietosuojaa koskeviin vakiolausekkeisiin perustuva henkilötietojen siirto kolmanteen maahan, jos tämä valvontaviranomainen katsoo kaikkien tämän siirron olosuhteiden valossa, että näitä lausekkeita ei noudateta tai voida noudattaa tässä kolmannessa maassa ja että unionin oikeudessa, erityisesti tämän asetuksen 45 ja 46 artiklassa ja perusoikeuskirjassa, vaadittua siirrettyjen tietojen suojaa ei voida varmistaa muilla keinoilla, siltä osin kuin unioniin sijoittautunut rekisterinpitäjä tai sen henkilötietojen käsittelijä ei itse ole keskeyttänyt tai lopettanut siirtoa.

Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille 5.2.2010 annetun komission päätöksen 2010/87/EU, sellaisena kuin se on muutettuna 16.12.2016 annetulla komission täytäntöönpanopäätöksellä (EU) 2016/2297, perusoikeuskirjan 7, 8 ja 47 artiklan perusteella suoritetussa tarkastelussa ei ole tullut esiin mitään seikkaa, joka vaikuttaisi tämän päätöksen pätevyyteen.

Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä 12.7.2016 annettu komission täytäntöönpanopäätös (EU) 2016/1250 on pätemätön.

____________

1 EUVL C 249, 16.7.2018.