Mål C-311/18
Data Protection Commissioner
mot
Facebook Ireland Ltd
och
Maximillian Schrems
(begäran om förhandsavgörande från High Court (Irland))
Domstolens dom (stora avdelningen) av den 16 juli 2020
”Begäran om förhandsavgörande – Skydd för enskilda personer med avseende på behandling av personuppgifter – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 47 – Förordning (UE) 2016/679 – Artikel 2.2 – Tillämpningsområde – Överföring av personuppgifter till tredje land för kommersiella syften – Artikel 45 – Kommissionens beslut om adekvat skyddsnivå – Artikel 46 – Överföringar som omfattas av lämpliga skyddsåtgärder – Artikel 58 – Tillsynsmyndigheternas befogenhet – Behandling av de överförda uppgifterna som utförs av myndigheterna i ett tredjeland för syften som avser den nationella säkerheten – Bedömning av huruvida en adekvat skyddsnivå säkerställs i ett tredjeland – Beslut 2010/87/EU – Standardiserade skyddsklausuler för överföring av personuppgifter till tredjeland – Lämpliga skyddsåtgärder som vidtas av den personuppgiftsansvarige – Giltighet – Genomförandebeslut (EU) 2016/1250 – Säkerställande av adekvat skydd genom skölden för skydd av privatlivet i Europeiska unionen-Förenta staterna – Giltighet – Klagomål från en enskild person vars uppgifter har överförts från Europeiska unionen till Förenta staterna”
1. Skydd för enskilda personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Tillämpningsområde – Begreppet behandling av personuppgifter – Överföring av personuppgifter för kommersiella syften från en näringsidkare etablerad i en medlemsstat till en näringsidkare etablerad i tredjeland – Omfattas – Personuppgifter som kan komma att behandlas av myndigheterna i det berörda tredjelandet för syften som rör nationell säkerhet – Saknar betydelse
(Europaparlamentets och rådets förordning 2016/679, artiklarna 2.1, 2.2 a, 2.2 b, 2.2 d och 4.2)
(se punkterna 82, 83 och 85–89 samt punkt 1 i domslutet)
2. Skydd för enskilda personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Överföring av personuppgifter till tredjeland – Överföring med stöd av lämpliga skyddsåtgärder, vilka grundar sig på standardiserade dataskyddsbestämmelser – Begreppet adekvat skyddsnivå som det berörda tredjelandet ska säkerställa i samband med sådana överföringar – Tolkning i enlighet med unionsrätten – Bedömningskriterier
(Europeiska unionens stadga om de grundläggande rättigheterna, artikel 52.3; Europaparlamentets och rådets förordning 2016/679, artikel 46.1 och 46.2 c)
(se punkterna 92–96, 98–101 och 103–105 samt punkt 2 i domslutet)
3. Skydd för enskilda personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Överföring av personuppgifter till tredjeland – Överföring med stöd av lämpliga skyddsåtgärder, vilka grundar sig på standardiserade dataskyddsbestämmelser – Nationella tillsynsmyndigheter – Befogenheter – Kontroll av överföringar av personuppgifter till tredjeland – Skyldighet att avbryta eller förbjuda sådana överföringar om en adekvat skyddsnivå inte iakttas i det berörda tredjelandet – Villkor
(Europeiska unionens stadga om de grundläggande rättigheterna, artikel 8.3; Europaparlamentets och rådets förordning 2016/679, artiklarna 45, 46, 51.1, 57.1 a, 57.1 f, 58.1, 58.2 f och 58.2 j)
(se punkterna 107, 108, 112–121 och punkt 3 i domslutet)
4. Skydd för enskilda personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Överföring av personuppgifter till tredjeland – Överföring med stöd av lämpliga skyddsåtgärder, vilka grundar sig på standardiserade dataskyddsbestämmelser – Beslut 2010/87 om standardavtalsklausuler för överföring av personuppgifter till tredjeland – Lämpliga skyddsåtgärder som erbjuds av personuppgiftsansvariga etablerade i unionen och av tillsynsmyndigheterna – Skyldighet för tillsynsmyndigheterna att avbryta eller förbjuda en sådan överföring vid ett åsidosättande av dessa klausuler – Respekten för privatlivet och familjelivet, skyddet av personuppgifter och rätten till ett effektivt rättsmedel – Åsidosättande föreligger inte –Fastställande av beslutets giltighet
(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8 och 47; Europaparlamentets och rådets förordning 2016/679, artikel 46.1 och 46.2 c; kommissionens beslut 2010/87, bilaga)
(se punkterna 128–130, 133–145, 148 och 149 samt punkt 4 i domslutet)
5. Skydd för enskilda personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Överföring av personuppgifter till tredjeland – Kommissionens antagande av ett beslut i vilket det konstateras att en adekvat skyddsnivå säkerställs i ett tredjeland – Beslut 2016/1250 genom vilket det konstateras att en adekvat skyddsnivå säkerställs genom skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna – En tillsynsmyndighet som mottagit en anmälan i vilken det ifrågasätts huruvida den skyddsnivå som säkerställs i detta tredjeland är adekvat – Skyldighet för denna myndighet att pröva anmälan – Bedömning av giltigheten av beslut 2016/1250
(Artikel 288 fjärde stycket FEUF; Europaparlamentets och rådets förordning 2016/679, artiklarna 45.3 och 77.1; kommissionens beslut 2016/1250, bilaga II)
(se punkterna 151–161)
6. Grundläggande rättigheter – Europeiska unionens stadga om de grundläggande rättigheterna – Respekten för privatlivet – Skydd för personuppgifter – Bevarande av och åtkomst till personuppgifter i syfte att kunna användas av myndigheterna – Ingrepp i grundläggande rättigheter – Begränsningar i utövandet av dessa rättigheter – Iakttagande av proportionalitetsprincipen
(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8 och 52.1 andra meningen; Europaparlamentets och rådets förordning 2016/679)
(se punkterna 170–176)
7. Skydd för enskilda personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Överföring av personuppgifter till tredjeland – Kommissionens antagande av ett beslut i vilket det konstateras att en adekvat skyddsnivå säkerställs i ett tredjeland – Beslut 2016/1250 genom vilket det konstateras att en adekvat skyddsnivå säkerställs genom skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna – En skyddsnivå som är väsentligen likvärdig med den som säkerställs i unionsrätten föreligger inte – Åsidosättande av respekten för privatlivet , skyddet av personuppgifter och rätten till ett effektivt rättsmedel genom dessa överföringar – Inrättandet av en ombudsmannamekanism inom ramen för skölden för skydd av privatlivet – Påverkar inte åsidosättandet av rätten till ett effektivt rättsmedel – Konstaterande av beslutets ogiltighet
(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 47, 52.1 andra meningen; Europaparlamentets och rådets förordning 2016/679, artikel 45.2 a och 45.3; kommissionens beslut 2016/1250, bilaga II]
(se punkterna 180–185, 187–192 och 195–201 samt punkt 5 i domslutet)
8. Begäran om förhandsavgörande – Bedömning av giltigheten – Ogiltigförklaring av en unionsakt – Beslut 2016/1250 genom vilket det konstateras att en adekvat skyddsnivå säkerställs genom skölden för skydd av privatlivet i Europeiska unionen och Förenta staterna – Verkningar – Tidsmässig begränsning – Föreligger inte
(Artikel 267 FEUF; Europaparlamentets och rådets förordning 2016/679, artikel 49; kommissionens beslut 2016/1250)
(se punkt 202)
Resumé
Domstolen ogiltigförklarade beslut 2016/1250 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU-Förenta staterna
Däremot konstaterade domstolen att kommissionens beslut 2010/87 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland är giltigt
I den allmänna dataskyddsförordningen(1) (DSF) föreskrivs att överföring av personuppgifter till ett tredjeland endast får ske under förutsättning att det aktuella tredjelandet säkerställer en adekvat skyddsnivå för dessa uppgifter. Enligt denna förordning kan kommissionen besluta att tredjelandet i fråga, med hänsyn till dess interna lagstiftning och internationella åtaganden, säkerställer en adekvat skyddsnivå.(2) I avsaknad av ett sådant beslut om adekvat skyddsnivå får en sådan överföring endast äga rum efter att uppgiftsutföraren som är etablerad i unionen har vidtagit lämpliga skyddsåtgärder, vilka bland annat kan utgöras av standardiserade dataskyddsbestämmelser som antas av kommissionen, och under förutsättning att det finns lagstadgade rättigheter och effektiva rättsmedel för de registrerade.(3) Vidare innehåller DSF noggranna bestämmelser om villkoren för att en sådan överföring ska få äga rum i avsaknad av ett beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.(4)
Maximillian Schrems är medborgare i Österrike och bosatt i den medlemsstaten. Han har använt Facebook sedan år 2008. Liksom för alla Facebookanvändare i unionen överfördes Maximillian Schrems personuppgifter, helt eller delvis, av Facebook Ireland till servrar tillhörande Facebook Inc., vilka är belägna i Förenta staterna där uppgifterna behandlas. Maximillian Schrems gjorde en anmälan till den irländska dataskyddsmyndigheten och begärde i huvudsak att myndigheten skulle förbjuda dessa överföringar. Han anförde att gällande rätt och praxis i Förenta staterna inte säkerställde ett tillräckligt skydd mot myndigheternas tillgång till personuppgifter som överförs till detta land. Detta klagomål avslogs med motiveringen att kommissionen i beslut 2000/520(5) (kallat Safe Harbour-beslutet) hade konstaterat att Förenta staterna säkerställer en adekvat skyddsnivå. I dom meddelad den 6 oktober 2015 med anledning av en tolkningsfråga som hänskjutits av High Court (Förvaltningsdomstolen, Irland) slog EU-domstolen fast att detta beslut var ogiltigt (kallad domen i målet Schrems I).(6)
Med anledning av domen i målet Schrems I upphävde den irländska domstolen beslutet att avslå Maximillian Schrems klagomål och återförvisade ärendet till dataskyddsmyndigheten. Denna myndighet anmodade därefter Maximillian Schrems att omformulera sitt klagomål med hänsyn till EU-domstolens ogiltigförklaring av beslut 2000/520. I det omformulerade klagomålet vidhöll Maximillian Schrems att Förenta staterna inte säkerställer en tillräcklig skyddsnivå för personuppgifter som överförs till detta land. Han begärde att myndigheten för framtiden skulle avbryta eller förbjuda den överföring av hans personuppgifter från unionen till Förenta staterna som Facebook Ireland numera genomför på grundval av de standardiserade dataskyddsbestämmelser som återfinns i bilagan till beslut 2010/87.(7) Den irländska dataskyddsmyndigheten ansåg att frågan hur klagomålet skulle handläggas var beroende av giltigheten av beslut 2010/87 och inledde därför ett förfarande vid High Court (Förvaltningsdomstolen) i syfte att få denna att vända sig till EU-domstolen med en begäran om förhandsavgörande. Efter att detta förfarande inletts antog kommissionen beslut 2016/1250 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna(8) (kallat beslutet om skölden för skydd av privatlivet).
Med begäran om förhandsavgörande önskade den hänskjutande domstolen att EU-domstolen skulle klargöra tillämpligheten av DSF på överföringar av personuppgifter som grundar sig på de standardiserade dataskyddsbestämmelser som återfinns i beslut 2010/87, dels vad avser den skyddsnivå som krävs enligt denna förordning i samband med en sådan överföring, dels vad avser de skyldigheter som åvilar tillsynsmyndigheterna i detta sammanhang. High Court (Förvaltningsdomstolen) reste även frågan om giltigheten av såväl beslut 2010/87 som beslut 2016/1250.
I den dom som meddelades idag, konstaterade EU-domstolen att det vid prövningen av beslut 2010/87 mot bakgrund av stadgan om de grundläggande rättigheterna inte har framkommit någon omständighet som påverkar beslutets giltighet. Däremot ogiltigförklarade domstolen beslut 2016/1250.
Domstolen fann till att börja med att unionsrätten, och särskilt DSF, är tillämplig på en överföring av personuppgifter i kommersiellt syfte från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett tredjeland, trots att dessa uppgifter, under eller efter denna överföring, kan komma att behandlas av myndigheterna i det tredjelandet för ändamål som avser allmän säkerhet, försvar och nationell säkerhet. Domstolen preciserade att denna typ av behandling av personuppgifter av myndigheterna i ett tredjeland inte innebär att en sådan överföring faller utanför förordningens tillämpningsområde.
När det gäller den skyddsnivå som krävs i samband med en sådan överföring, konstaterade domstolen att kraven enligt bestämmelserna i DSF i detta avseende, som hänför sig till lämpliga skyddsåtgärder, lagstadgade rättigheter och effektiva rättsmedel, ska tolkas så, att personer vars personuppgifter överförs till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser ska åtnjuta en skyddsnivå som är väsentligen likvärdig med den som garanteras inom unionen genom denna förordning, jämförd med stadgan. Domstolen angav härvidlag att vid bedömningen av den skyddsnivå som säkerställs i samband med en sådan överföring ska hänsyn tas till såväl de avtalsvillkor som överenskommits mellan uppgiftsutföraren, som är etablerad i unionen, och mottagaren av överföringen i det berörda tredjelandet, som de relevanta delarna av rättssystemet i det tredjelandet såvitt avser den åtkomst som myndigheterna i det tredjelandet eventuellt har till överförda personuppgifter.
När det gäller de skyldigheter som åvilar tillsynsmyndigheterna i samband med en sådan överföring slog domstolen fast att såvida det inte finns ett giltigt kommissionsbeslut om adekvat skyddsnivå är dessa myndigheter skyldiga att avbryta eller förbjuda en överföring av personuppgifter till tredjeland, när de, med beaktande av samtliga omständigheter i samband med denna överföring, anser att dessa klausuler inte iakttas eller inte kan iakttas i det tredjelandet och att det skydd för överförda personuppgifter som krävs enligt unionsrätten inte kan säkerställas med andra medel, förutsatt att uppgiftsutföraren som är etablerad i unionen inte själv har avbrutit eller upphört med överföringen.
Domstolen prövade därefter giltigheten av beslut 2010/87. Enligt domstolen påverkas inte giltigheten av detta beslut enbart av den omständigheten att de dataskyddsbestämmelser som återfinns i detta beslut, på grund av deras avtalsrättsliga karaktär, inte är bindande för myndigheterna i sådana tredjeländer till vilka personuppgifter kan komma att överföras. Domstolen angav däremot att denna giltighet beror på huruvida ett sådant beslut innehåller effektiva mekanismer som i praktiken gör det möjligt att säkerställa att den skyddsnivå som krävs enligt unionsrätten iakttas och att överföringar av personuppgifter med stöd av sådana dataskyddsbestämmelser avbryts eller förbjuds om dessa bestämmelser åsidosätts eller är omöjliga att iaktta. Domstolen konstaterade att beslut 2010/87 innehåller sådana mekanismer. Domstolen framhöll i detta avseende bland annat att detta beslut innebär en skyldighet för uppgiftsutföraren och mottagaren av överföringen att i förväg kontrollera att den skyddsnivå som krävs enligt unionsrätten iakttas i det berörda tredjelandet. Beslutet innebär även en skyldighet för mottagaren att informera uppgiftsutföraren om att mottagaren eventuellt inte kan iaktta de standardiserade skyddsklausulerna, varvid det åligger uppgiftsutföraren att avbryta överföringen av uppgifter och/eller häva avtalet med den förstnämnde.
Domstolen prövade slutligen giltigheten av beslut 2016/1250 utifrån de krav som följer av DSF, mot bakgrund av bestämmelserna i stadgan som garanterar respekten för privatlivet och familjelivet, skyddet av personuppgifter och rätten till ett effektivt rättsmedel. Domstolen påpekade att detta beslut i likhet med beslut 2000/520 ger företräde för krav avseende nationell säkerhet, allmänintresset och efterlevnaden av amerikansk lagstiftning, vilket således gör ingrepp i personers grundläggande rättigheter möjliga när deras personuppgifter överförs till detta tredjeland. Enligt domstolen är de begränsningar av skyddet av personuppgifter som följer av Förenta staternas interna bestämmelser om åtkomst till och användning av sådana uppgifter som överförts från unionen till Förenta staterna, vilka kommissionen har bedömt i beslut 2016/1250, inte reglerade på ett sådant sätt att de uppfyller krav som är väsentligen likvärdiga med dem som i unionsrätten uppställs genom proportionalitetsprincipen, eftersom de övervakningsprogram som grundar sig på dessa bestämmelser inte är begränsade till vad som är strikt nödvändigt. Domstolen grundade sig på de konstateranden som gjorts i detta beslut och påpekade – när det gäller vissa övervakningsprogram – att det av nämnda bestämmelser inte framgår att det föreligger några begränsningar av behörigheten att genomföra dessa övervakningsprogram och att det inte heller finns några garantier för icke-amerikaner som eventuellt omfattas av dessa. Domstolen angav vidare att även om dessa bestämmelser visserligen innehåller krav som är bindande för amerikanska myndigheter i samband med genomförandet av de berörda övervakningsprogrammen, så innehåller de dock inte några rättigheter till förmån för berörda personer som kan göras gällande mot amerikanska myndigheter vid domstol.
När det gäller kravet på domstolsskydd slog domstolen fast att ombudsmannamekanismen i beslut 2016/1250, tvärtemot kommissionens bedömning i detta beslut, inte tillhandahåller dessa personer något rättsmedel inför ett organ som ger garantier som är väsentligen likvärdiga med dem som krävs enligt unionsrätten, vilka kan säkerställa såväl oavhängigheten hos den ombudsman som avses i denna mekanism som förekomsten av rättsregler som ger ombudsmannen behörighet att anta bindande beslut gentemot amerikanska underrättelsetjänster. Med stöd av dessa skäl ogiltigförklarade domstolen beslut 2016/1250.