Zaak C‑311/18
Data Protection Commissioner
tegen
Facebook Ireland Ltd
en
Maximillian Schrems
[verzoek om een prejudiciële beslissing, ingediend door de High Court (Ierland)]
Arrest van het Hof (Grote kamer) van 16 juli 2020
„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten”
1. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Werkingssfeer – Begrip verwerking van persoonsgegevens – Doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde marktdeelnemer aan een andere in een derde land gevestigde marktdeelnemer – Daaronder begrepen – Gegevens die door de autoriteiten van het betrokken derde land kunnen verwerkt worden voor doeleinden van nationale veiligheid – Geen invloed
[Verordening 2016/679 van het Europees Parlement en de Raad, art. 2, lid 1 en lid 2, a), b), en d), en art. 4, punt 2]
(zie punten 82, 83, 85‑89, dictum 1)
2. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Doorgifte van persoonsgegevens naar derde landen – Doorgifte met passende waarborgen op basis van standaardbepalingen inzake gegevensbescherming – Begrip passend beschermingsniveau dat bij een dergelijke doorgifte moet worden gewaarborgd door het betrokken derde land – Uitlegging in het licht van het Unierecht – Beoordelingscriteria
[Handvest van de grondrechten van de Europese Unie, art. 52, lid 3; verordening 2016/679 van het Europees Parlement en de Raad, art. 46, lid 1 en lid 2, c)]
(zie punten 92‑96, 98‑101, 103‑105, dictum 2)
3. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Doorgifte van persoonsgegevens naar derde landen – Doorgifte met passende waarborgen op basis van standaardbepalingen inzake gegevensbescherming – Nationale toezichthoudende autoriteiten – Bevoegdheden – Toezicht op de doorgifte van persoonsgegevens naar derde landen – Verplichting om een dergelijke doorgifte op te schorten of te verbieden in geval van schending van het passende beschermingsniveau in het betrokken derde land – Voorwaarden
[Handvest van de grondrechten van de Europese Unie, art. 8, lid 3; verordening 2016/679 van het Europees Parlement en de Raad, art. 45, 46, 51, lid 1, 57, lid 1, a) en f), en 58, lid 1, lid 2, f) en j)]
(zie punten 107, 108, 112‑121, dictum 3)
4. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Doorgifte van persoonsgegevens naar derde landen – Doorgifte met passende waarborgen op basis van standaardbepalingen inzake gegevensbescherming – Besluit 2010/87 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de in de Unie gevestigde verantwoordelijken voor een dergelijke verwerking en door de toezichthoudende autoriteiten – Verplichting voor deze autoriteiten om de doorgifte op te schorten of te verbieden in geval van schending van de betreffende bepalingen – Recht op eerbiediging van het privéleven, de bescherming van de persoonsgegevens en op een effectieve voorziening in rechte – Geen schending – Geldigheid van het besluit
[Handvest van de grondrechten van de Europese Unie, art. 7, 8 en 47; verordening 2016/679 van het Europees Parlement en de Raad, art. 46, lid 1 en lid 2, c); besluit 2010/87 van de Commissie, bijlage]
(zie punten 128‑130, 133‑145, 148, 149, dictum 4)
5. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Doorgifte van persoonsgegevens naar derde landen – Vaststelling door de Commissie van een besluit waarbij wordt geconstateerd dat het niveau van bescherming in een derde land passend is – Besluit 2016/1250 waarbij wordt geconstateerd dat het Europese Unie-Verenigde Staten-privacyschild een passend beschermingsniveau waarborgt – Nationale toezichthoudende autoriteit waarbij een vordering wordt ingediend waarin de gepastheid van het in dit derde land gewaarborgde beschermingsniveau in twijfel wordt getrokken – Verplichting voor deze autoriteit om de vordering te onderzoeken – Toetsing van de geldigheid van besluit 2016/1250
(Art. 288, vierde alinea, VWEU; verordening 2016/679 van het Europees Parlement en de Raad, art. 45, lid 3, en 77, lid 1; besluit 2016/1250 van de Commissie, bijlage II)
(zie punten 151‑161)
6. Grondrechten – Handvest van de grondrechten van de Europese Unie – Eerbiediging van het privéleven – Bescherming van persoonsgegevens – Bewaring van en toegang tot persoonsgegevens met het oog op het gebruik ervan door de overheidsinstanties – Inmenging in deze grondrechten – Beperkingen aan de uitoefening van deze rechten – Eerbiediging van het evenredigheidsbeginsel
(Handvest van de grondrechten van de Europese Unie, art. 7, 8, 52, lid 1, tweede volzin; verordening 2016/679 van het Europees Parlement en de Raad)
(zie punten 170‑176)
7. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Doorgifte van persoonsgegevens naar derde landen – Vaststelling door de Commissie van een besluit waarbij wordt geconstateerd dat het niveau van bescherming in een derde land passend is – Besluit 2016/1250 waarbij wordt geconstateerd dat het Europese Unie-Verenigde Staten-privacyschild een passend beschermingsniveau waarborgt – Geen beschermingsniveau dat in grote lijnen overeenkomt met het niveau dat in het Unierecht wordt gewaarborgd – Schending van het recht op eerbiediging van het privéleven, de bescherming van persoonsgegevens en het recht op een effectieve voorziening in rechte van de personen waarop deze doorgifte betrekking heeft – Invoering van een ombudsmanmechanisme in het kader van het privacyschild – Geen invloed op de schending van het recht op een effectieve voorziening in rechte – Ongeldigheid van het besluit
(Handvest van de grondrechten van de Europese Unie, art. 7, 8, 47, 52, lid 1, tweede volzin; verordening 2016/679 van het Europees Parlement en de Raad, art. 45, lid 2, a), en lid 3; besluit 2016/1250 van de Commissie, bijlage II)
(zie punten 180‑185, 187‑192, 195‑201, dictum 5)
8. Prejudiciële vragen – Geldigheidstoetsing – Ongeldigverklaring van een Uniehandeling – Besluit 2016/1250 waarbij wordt geconstateerd dat het Europese Unie-Verenigde Staten-privacyschild een passend beschermingsniveau waarborgt – Gevolgen – Beperking in de tijd – Geen
(Art. 267 VWEU; verordening 2016/679 van het Europees Parlement en de Raad, art. 49; besluit 2016/1250 van de Commissie)
(zie punt 202)
Samenvatting
Het Hof verklaart besluit 2016/1250 betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming ongeldig
Besluit 2010/87 van de Commissie betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers is volgens het Hof daarentegen wel geldig.
De algemene verordening gegevensbescherming(1) (AVG) bepaalt dat de doorgifte van persoonsgegevens naar een derde land in beginsel slechts kan plaatsvinden indien het derde land een passend beschermingsniveau waarborgt. Volgens deze verordening kan de Commissie vaststellen dat een derde land op basis van zijn nationale wetgeving of internationale toezeggingen een passend beschermingsniveau waarborgt.(2) Als er geen adequaatheidsbesluit is genomen, mag een dergelijke doorgifte alleen worden uitgevoerd indien de in de Unie gevestigde gegevensexporteur passende waarborgen biedt die met name kunnen voortvloeien uit de door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming, en indien de betrokkenen beschikken over afdwingbare rechten en doeltreffende rechtsmiddelen.(3) Verder bepaalt de AVG op nauwkeurige wijze welke voorwaarden gelden voor een dergelijke doorgifte bij het ontbreken van een adequaatheidsbesluit of passende waarborgen.(4)
Maximillian Schrems is een Oostenrijks staatsburger die in Oostenrijk woont en die sinds 2008 Facebook gebruikt. Zoals het geval is bij andere Facebookgebruikers in de Unie, worden de persoonsgegevens van Schrems door Facebook Ireland geheel of gedeeltelijk doorgegeven naar servers van Facebook Inc. in de Verenigde Staten en worden zij daar verwerkt. Schrems heeft bij de Ierse toezichthoudende autoriteit een klacht ingediend en in essentie verzocht om deze doorgiften te verbieden. Hij heeft aangevoerd dat het in de Verenigde Staten geldende recht en de daar gangbare praktijk geen waarborgen bieden voor voldoende bescherming tegen de toegang door de overheid tot de naar dit land doorgegeven gegevens. Deze klacht is afgewezen, onder meer omdat de Commissie in haar beschikking 2000/520(5) (zogenoemde veiligehavenbeschikking) had vastgesteld dat de Verenigde Staten een passend beschermingsniveau waarborgden. Bij arrest van 6 oktober 2015 heeft het Hof naar aanleiding van een prejudiciële vraag van de High Court (rechter in eerste aanleg, Ierland) deze beschikking ongeldig verklaard (hierna: „Schrems I-arrest”)(6).
Na het Schrems I-arrest en de daaropvolgende nietigverklaring door de Ierse rechter van de beslissing waarbij de klacht van Schrems werd afgewezen, heeft de Ierse toezichthoudende autoriteit Schrems uitgenodigd om zijn klacht te herformuleren, gezien de ongeldigverklaring door het Hof van beschikking 2000/520. In zijn geherformuleerde klacht blijft Schrems erbij dat de Verenigde Staten geen passende bescherming bieden met betrekking tot naar dat land doorgegeven gegevens. Hij verzoekt de doorgifte van zijn persoonsgegevens vanuit de Unie naar de Verenigde Staten – die Facebook Ireland ondertussen uitvoert op grond van de standaardbepalingen inzake gegevensbescherming uit de bijlage bij besluit 2010/87(7) – op te schorten of voor de toekomst te verbieden. De Ierse toezichthoudende autoriteit is van oordeel dat de behandeling van de klacht van Schrems vooral afhankelijk is van de geldigheid van besluit 2010/87 en heeft zich daarom tot de High Court (rechter in eerste aanleg) gewend met het oog op de voorlegging van prejudiciële vragen aan het Hof. Na de inleiding van deze procedure heeft de Commissie besluit 2016/1250 betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming(8) (zogenoemd „privacyschildbesluit”) vastgesteld.
Met zijn verzoek om een prejudiciële beslissing stelt de verwijzende rechter het Hof vragen over de toepasselijkheid van de AVG op de doorgifte van persoonsgegevens op basis van de bij besluit 2010/87 vastgestelde standaardbepalingen inzake gegevensbescherming, het door de AVG vereiste beschermingsniveau bij een dergelijke doorgifte, en de verplichtingen die in dit verband rusten op toezichthoudende autoriteiten. Bovendien vraagt de High Court het Hof of besluit 2010/87 en besluit 2016/1250 geldig zijn.
In zijn arrest van vandaag stelt het Hof vast dat bij de toetsing van besluit 2010/87 aan het Handvest van de grondrechten niet is gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten. Besluit 2016/1250 wordt daarentegen ongeldig verklaard.
Het Hof is eerst en vooral van oordeel dat het Unierecht, en met name de AVG, van toepassing is op een doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde onderneming naar een andere in een derde land gevestigde onderneming, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en staatsveiligheid. Het Hof wijst erop dat een dergelijke verwerking van persoonsgegevens door de autoriteiten van een derde land niet kan worden uitgesloten van de werkingssfeer van de verordening.
Wat het vereiste beschermingsniveau bij een dergelijke doorgifte betreft, oordeelt het Hof dat de eisen in de AVG met betrekking tot passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen aldus moeten worden uitgelegd dat aan personen van wie persoonsgegevens naar een derde land worden doorgegeven op basis van standaardbepalingen inzake gegevensbescherming, een beschermingsniveau moet worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest. Het Hof geeft aan dat bij de beoordeling van dit beschermingsniveau rekening moet worden gehouden met zowel de contractuele bepalingen die zijn overeengekomen tussen de in de Unie gevestigde gegevensexporteur en de in het betrokken derde land gevestigde ontvanger van de doorgifte, als, wat de eventuele toegang van de overheidsinstanties van dat derde land tot de doorgegeven gegevens betreft, de relevante aspecten van het rechtsstelsel van dat land.
Met betrekking tot de verplichtingen die de toezichthoudende autoriteiten bij de doorgifte hebben, oordeelt het Hof dat, tenzij de Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, deze autoriteiten verplicht zijn om een doorgifte van gegevens naar een derde land op te schorten of te verbieden wanneer zij, gelet op alle omstandigheden van die doorgifte, van oordeel zijn dat de standaardbepalingen inzake gegevensbescherming in dat derde land niet worden of niet kunnen worden nageleefd en dat de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde exporteur de doorgifte niet zelf heeft opgeschort of beëindigd.
Het Hof onderzoekt vervolgens de geldigheid van besluit 2010/87. Volgens het Hof kan het enkele feit dat de daarin opgenomen standaardbepalingen inzake gegevensbescherming door hun contractuele aard niet bindend zijn voor de autoriteiten van het derde land waarnaar persoonsgegevens kunnen worden doorgegeven, niet afdoen aan de geldigheid van dat besluit. Voor de geldigheid is daarentegen bepalend of dat besluit doeltreffende mechanismen bevat waarmee in de praktijk kan worden gewaarborgd dat het door het Unierecht vereiste beschermingsniveau in acht wordt genomen en dat de doorgifte van persoonsgegevens op basis van dergelijke bepalingen wordt opgeschort of verboden ingeval die bepalingen worden geschonden of onmogelijk kunnen worden nageleefd. Het Hof stelt vast dat besluit 2010/87 dergelijke mechanismen bevat. Het benadrukt dat dit besluit een verplichting invoert voor de gegevensexporteur en de ontvanger van de doorgifte om vooraf na te gaan of het beschermingsniveau in acht wordt genomen in het derde land, en dat het besluit de ontvanger verplicht om de gegevensexporteur in kennis te stellen indien hij niet in staat zou zijn om de standaardbepalingen inzake gegevensbescherming na te leven. De gegevensexporteur moet in dat geval de doorgifte van gegevens opschorten en/of de overeenkomst met de ontvanger beëindigen.
Ten slotte toetst het Hof de geldigheid van besluit 2016/1250 aan de eisen van de AVG, gelezen tegen de achtergrond van de bepalingen van het Handvest die de eerbiediging van het privéleven en van het familie- en gezinsleven, de bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte waarborgen. Het constateert dat dit besluit, net als besluit 2000/520, bepaalt dat de eisen inzake nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben, waardoor inmenging mogelijk wordt in de grondrechten van de personen van wie persoonsgegevens naar de Verenigde Staten worden doorgegeven. Volgens het Hof zijn de door de Commissie in besluit 2016/1250 beoordeelde beperkingen op de bescherming van persoonsgegevens die voortvloeien uit de interne regeling van de Verenigde Staten inzake de toegang tot en het gebruik door de Amerikaanse overheidsinstanties van dergelijke gegevens die vanuit de Unie naar de Verenigde Staten worden doorgegeven, niet zodanig afgebakend dat wordt voldaan aan eisen die in grote lijnen overeenkomen met die welke in het Unierecht door het evenredigheidsbeginsel worden gesteld, aangezien de op deze interne regeling gebaseerde surveillanceprogramma’s niet tot het strikt noodzakelijke zijn beperkt. Op basis van de constateringen in dit besluit merkt het Hof op dat voor sommige surveillanceprogramma’s op geen enkele wijze uit die regeling blijkt dat er beperkingen gelden voor de daarin vervatte bevoegdheid tot uitvoering van die programma’s of dat er garanties bestaan voor niet-Amerikanen die potentieel in het oog worden gehouden. Het Hof voegt hieraan toe dat die regeling weliswaar eisen stelt die door de Amerikaanse autoriteiten moeten worden nageleefd bij de uitvoering van surveillanceprogramma’s, maar dat aan de betrokkenen geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten worden toegekend.
Wat de vereiste rechterlijke bescherming betreft, oordeelt het Hof dat, anders dan de Commissie in besluit 2016/1250 heeft overwogen, het in dit besluit bedoelde ombudsmanmechanisme aan deze personen geen mogelijkheid biedt om in beroep te gaan bij een orgaan dat waarborgen biedt die in grote lijnen overeenkomen met die welke door het Unierecht worden vereist, en die zowel de onafhankelijkheid van de ombudsman waarin dit mechanisme voorziet, als het bestaan van regels die de ombudsman de bevoegdheid verlenen om besluiten te nemen die bindend zijn voor de Amerikaanse inlichtingendiensten, kunnen verzekeren. Om al deze redenen verklaart het Hof besluit 2016/1250 ongeldig.