UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
16 päivänä heinäkuuta 2020 (*)
Ennakkoratkaisupyyntö – Yksilöiden suojelu henkilötietojen käsittelyssä – Euroopan unionin perusoikeuskirja – 7, 8 ja 47 artikla – Asetus (EU) 2016/679 – 2 artiklan 2 kohta – Soveltamisala – Henkilötietojen siirto kolmanteen maahan kaupallisissa tarkoituksissa – 45 artikla – Tietosuojan riittävyyttä koskeva komission päätös – 46 artikla – Siirrot asianmukaisia suojatoimia soveltaen – 58 artikla – Valvontaviranomaisten toimivaltuudet – Kolmannen maan viranomaisten toteuttama siirrettyjen tietojen käsittely kansallista turvallisuutta varten – Kolmannen maan tietosuojan riittävyyden arviointi – Päätös 2010/87/EU – Tietosuojaa koskevat vakiolausekkeet henkilötietojen kolmanteen maahan siirtoa varten – Rekisterinpitäjän tarjoamat asianmukaiset suojatoimet – Pätevyys – Täytäntöönpanopäätös (EU) 2016/1250 – EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyys – Pätevyys – Luonnollisen henkilön, jonka tiedot on siirretty Euroopan unionista Yhdysvaltoihin, tekemä kantelu
Asiassa C‑311/18,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka High Court (ylempi piirituomioistuin, Irlanti) on esittänyt 4.5.2018 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 9.5.2018, saadakseen ennakkoratkaisun asiassa
Data Protection Commissioner
vastaan
Facebook Ireland Ltd ja
Maximillian Schrems,
Amerikan yhdysvaltojen,
Electronic Privacy Information Centren,
BSA Business Software Alliance Inc:n ja
Digitaleuropen osallistuessa asian käsittelyyn
UNIONIN TUOMIOISTUIN (suuri jaosto),
toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti R. Silva de Lapuerta, jaostojen puheenjohtajat A. Arabadjiev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P. G. Xuereb, L. S. Rossi ja I. Jarukaitis, sekä tuomarit M. Ilešič, T. von Danwitz (esittelevä tuomari) ja D. Šváby,
julkisasiamies: H. Saugmandsgaard Øe,
kirjaaja: hallintovirkamies C. Strömholm,
ottaen huomioon kirjallisessa käsittelyssä ja 9.7.2019 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– Data Protection Commissioner, edustajinaan D. Young, solicitor, B. Murray, SC, M. Collins, SC, ja C. Donnelly, BL,
– Facebook Ireland Ltd, edustajinaan P. Gallagher, SC, N. Hyland, SC, A. Mulligan, BL, F. Kieran, BL, sekä P. Nolan, C. Monaghan, C. O’Neill ja R. Woulfe, solicitors,
– Maximillian Schrems, edustajinaan H. Hofmann, Rechtsanwalt, E. McCullough, SC, J. Doherty, SC, S. O’Sullivan, SC, ja G. Rudden, solicitor,
– Amerikan yhdysvallat, asiamiehinään E. Barrington, SC, S. Kingston, BL, sekä S. Barton ja B. Walsh, solicitors,
– Electronic Privacy Information Centre, edustajinaan S. Lucey, solicitor, G. Gilmore, BL, A. Butler, BL, ja C. O’Dwyer, SC,
– BSA Business Software Alliance Inc., edustajinaan B. Van Vooren ja K. Van Quathem, advocaten,
– Digitaleurope, edustajinaan N. Cahill, barrister, J. Cahir, solicitor, ja M. Cush, SC,
– Irlanti, asiamiehinään A. Joyce ja M. Browne, avustajanaan D. Fennelly, BL,
– Belgian hallitus, asiamiehinään J.-C. Halleux ja P. Cottin,
– Tšekin hallitus, asiamiehinään M. Smolek, J. Vláčil, O. Serdula ja A. Kasalická,
– Saksan hallitus, asiamiehinään J. Möller, D. Klebs ja T. Henze,
– Ranskan hallitus, asiamiehenään A.-L. Desjonquères,
– Alankomaiden hallitus, asiamiehinään C. S. Schillemans, M. K. Bulterman ja M. Noort,
– Itävallan hallitus, asiamiehinään J. Schmoll ja G. Kunnert,
– Puolan hallitus, asiamiehenään B. Majczyna,
– Portugalin hallitus, asiamiehinään L. Inez Fernandes, A. Pimenta ja C. Vieira Guerra,
– Yhdistyneen kuningaskunnan hallitus, asiamiehenään S. Brandon, avustajinaan J. Holmes, QC, ja C. Knight, barrister,
– Euroopan parlamentti, asiamiehinään M. J. Martínez Iglesias ja A. Caiola,
– Euroopan komissio, asiamiehinään D. Nardi, H. Krämer ja H. Kranenborg,
– Euroopan tietosuojaneuvosto (EDPB), asiamiehinään A. Jelinek ja K. Behn,
kuultuaan julkisasiamiehen 19.12.2019 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee ennen kaikkea
– yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL 1995, L 281, s. 31) 3 artiklan 2 kohdan ensimmäisen luetelmakohdan, 25 ja 26 artiklan sekä 28 artiklan 3 kohdan tulkintaa, tarkasteltuina yhdessä SEU 4 artiklan 2 kohdan ja Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 7, 8 ja 47 artiklan kanssa,
– Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille 5.2.2010 annetun komission päätöksen 2010/87/EU, sellaisena kuin se on muutettuna 16.12.2016 annetulla komission täytäntöönpanopäätöksellä (EU) 2016/2297 (EUVL 2016, L 344, s. 100; jäljempänä päätös 2010/87) tulkintaa ja pätevyyttä, sekä
– direktiivin 95/46/EY nojalla EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyydestä 12.7.2016 annetun komission täytäntöönpanopäätöksen (EU) 2016/1250 (EUVL 2016, L 207 s. 1; jäljempänä Privacy Shield ‑päätös) tulkintaa ja pätevyyttä.
2 Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat Data Protection Commissioner (tietosuojavaltuutettu, Irlanti; jäljempänä Irlannin tietosuojavaltuutettu) ja Facebook Ireland Ltd ja Maximillian Schrems ja jossa on kyse viimeksi mainitun tekemästä kantelusta, joka koski sitä, että Facebook Ireland oli siirtänyt hänen henkilötietojaan Facebook Inc:lle Yhdysvaltoihin.
Asiaa koskevat oikeussäännöt
1. Direktiivi 95/46
3 Direktiivin 95/46 3 artiklan, jonka otsikkona on ”Soveltamisala”, 2 kohdassa säädettiin seuraavaa:
”Tätä direktiiviä ei sovelleta henkilötietojen käsittelyyn,
– joka suoritetaan sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten toiminta, josta on määrätty Euroopan unionista tehdyn sopimuksen V ja VI osastossa, ja kaikissa tapauksissa käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta (myös valtion taloudellista hyvinvointia, kun käsittelyoperaatio on sidoksissa valtion turvallisuutta koskeviin kysymyksiin) ja rikosoikeuden alalla tapahtuvaa valtion toimintaa,
– –”
4 Direktiivin 25 artiklassa säädettiin seuraavaa:
”1. Jäsenvaltioiden on säädettävä siitä, että – – henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso, jollei tämän direktiivin muiden säännösten mukaisesti säädetyistä kansallisista säännöksistä muuta johdu.
2. Kolmannessa maassa taattavan tietosuojan tason riittävyyttä on arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta; – –
– –
6. Komissio voi 31 artiklan 2 kohdassa vahvistetun menettelyn mukaisesti todeta, että tietyssä kolmannessa maassa taataan tietosuojan riittävä taso tämän artiklan 2 kohdan tarkoittamassa merkityksessä, mikä johtuu kyseisen maan sisäisestä lainsäädännöstä tai kansainvälisistä sitoumuksista, jotka on tehty erityisesti 5 kohdassa tarkoitettujen neuvottelujen yhteydessä henkilöiden yksityiselämän ja perusoikeuksien ja ‑vapauksien turvaamiseksi.
Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä.”
5 Mainitun direktiivin 26 artiklan 2 ja 4 kohdassa säädettiin seuraavaa:
”2. Jäsenvaltio voi hyväksyä henkilötietojen siirron tai siirtojen sarjan sellaiseen kolmanteen maahan, jossa ei taata 25 artiklan 2 kohdassa tarkoitettua tietosuojan riittävää tasoa, jos rekisterinpitäjä antaa riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja ‑vapauksien suojasta sekä vastaavien oikeuksien soveltamisesta, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista; nämä takeet voivat erityisesti johtua soveltuvista sopimuslausekkeista.
– –
4. Jos komissio päättää 31 artiklan 2 kohdassa mainitun menettelyn mukaisesti, että tietyillä mallisopimuslausekkeilla annetaan riittävät tämän artiklan 2 kohdassa tarkoitetut takeet, jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä.”
6 Saman direktiivin 28 artiklan 3 kohdassa säädettiin seuraavaa:
”Kullakin valvontaviranomaisella on erityisesti oltava:
– tutkintavaltuudet, kuten valtuudet saada käsiteltäviä tietoja ja kerätä kaikki valvontatehtävänsä suorittamiseksi tarvittavat tiedot,
– tehokkaat toimintavaltuudet, kuten esimerkiksi valtuudet 20 artiklan mukaisesti antaa lausuntoja ennen käsittelyn toteuttamista ja varmistaa näiden lausuntojen asianmukainen julkistaminen taikka valtuudet määrätä tietojen suojaamisesta, poistamisesta tai tuhoamisesta tai kieltää käsittely väliaikaisesti tai lopullisesti taikka valtuudet antaa rekisterinpitäjälle huomautus tai varoitus taikka valtuudet saattaa asioita käsiteltäväksi kansalliselle parlamentille tai muille poliittisille elimille,
– valtuudet olla asianosaisena oikeudenkäynnissä, jos tämän direktiivin mukaisesti toteutettuja kansallisia toimenpiteitä rikotaan, tai valtuudet saattaa nämä rikkomukset lainkäyttöviranomaisten tietoon.
– –”
Yleinen tietosuoja-asetus
7 Direktiivi 95/46 kumottiin ja korvattiin luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46 kumoamisesta 27.4.2016 annetulla Euroopan parlamentin ja neuvoston asetuksella (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus).
8 Yleisen tietosuoja-asetuksen johdanto-osan 6, 10, 101, 103, 104, 107–109, 114, 116 ja 141 perustelukappaleessa todetaan seuraavaa:
”(6) Teknologian nopea kehitys ja globalisaatio ovat tuoneet henkilötietojen suojeluun uusia haasteita. Henkilötietoja jaetaan ja kerätään nyt merkittävän paljon enemmän. Teknologian ansiosta sekä yksityiset yritykset että viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän laajasti. Myös luonnolliset henkilöt saattavat yhä useammin henkilötietojaan julkisuuteen maailmanlaajuisesti. Teknologia on mullistanut sekä talouden että sosiaalisen elämän. Tulevaisuudessa se helpottanee edelleen henkilötietojen vapaata kulkua unionissa ja tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille ja varmistaa samalla henkilötietojen korkeatasoisen suojan.
– –
(10) Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. Henkilötietojen käsittelyn lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön kansallisia säännöksiä, joilla tämän asetuksen sääntöjen soveltamista voitaisiin täsmentää entisestään. Yhdessä direktiivin 95/46/EY täytäntöön panevan, tietosuojaa koskevan yleisen ja horisontaalisen lainsäädännön kanssa jäsenvaltioilla on useita alakohtaisia lakeja aloilla, joilla tarvitaan yksityiskohtaisempia säännöksiä. Lisäksi tässä asetuksessa annetaan jäsenvaltioille liikkumavaraa sääntöjen täsmentämisen suhteen, mukaan lukien henkilötietojen erityisryhmien, jäljempänä ’arkaluontoiset tiedot’, käsittelyä koskevat säännöt. Näiltä osin tässä asetuksessa ei jätetä soveltamisalan ulkopuolelle jäsenvaltioiden lainsäädäntöä, jossa esitetään erityisiä käsittelytilanteita koskevat olosuhteet, mukaan lukien niiden edellytysten tarkempi määrittely, joiden täyttyessä henkilötietojen käsittely on laillista.
– –
(101) Henkilötietojen rajatylittävät siirrot unionin ulkopuolisiin maihin, kansainvälisiin järjestöihin ja niistä unioniin ovat tarpeen kansainvälisen kaupan ja yhteistyön kehittämiseksi. Tällaisten siirtojen lisääntyminen on synnyttänyt uusia henkilötietojen suojaan liittyviä haasteita ja huolenaiheita. Henkilötietojen siirtäminen unionista kolmansissa maissa tai kansainvälisissä järjestöissä oleville rekisterinpitäjille, henkilötietojen käsittelijöille tai muille vastaanottajille ei saisi kuitenkaan vaarantaa luonnollisten henkilöiden henkilötietojen suojan tasoa, joka unionissa perustuu tähän asetukseen, ei myöskään silloin, kun kolmannesta maasta tai kansainväliseltä järjestöltä vastaanotettuja henkilötietoja siirretään edelleen samassa tai muussa kolmannessa maassa tai muussa kansainvälisessä järjestössä oleville rekisterinpitäjille tai henkilötietojen käsittelijöille. Siirtoja kolmansiin maihin ja kansainvälisille järjestöille voidaan joka tapauksessa toteuttaa ainoastaan tätä asetusta kaikilta osin noudattaen. Siirto voitaisiin toteuttaa ainoastaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä noudattaa tämän asetuksen säännöksissä vahvistettuja edellytyksiä, jotka liittyvät henkilötietojen siirtoon kolmansiin maihin tai kansainvälisille järjestöille, ellei tämän asetuksen muista säännöksistä muuta johdu.
– –
(103) Komissio voi tehdä koko unionia koskevan päätöksen siitä, että tietty kolmas maa tai tietty alue tai tietty sektori jossakin kolmannessa maassa tai tietty kansainvälinen järjestö tarjoaa riittävän tasoisen tietosuojan ja näin varmistaa oikeusvarmuuden ja yhdenmukaisuuden kaikkialla unionissa sen kolmannen maan tai kansainvälisen järjestön osalta, jonka katsotaan tarjoavan tämäntasoista suojaa. Tällöin henkilötietoja voidaan siirtää kyseiseen maahan ilman erillistä lupaa. Komissio voi myös päättää kumota tekemänsä päätöksen ilmoitettuaan asiasta ja toimitettuaan kattavat perustelut asianomaiselle kolmannelle maalle tai kansainväliselle järjestölle.
(104) Unionin perusarvojen ja erityisesti ihmisoikeuksien suojan mukaisesti komission olisi kolmatta maata tai kolmannen maan aluetta tai tiettyä sektoria arvioidessaan otettava huomioon, miten tietyssä kolmannessa maassa noudatetaan oikeusvaltioperiaatetta, oikeussuojaa ja kansainvälisiä ihmisoikeussääntöjä ja ‑normeja sekä kyseisen maan yleistä ja alakohtaista lainsäädäntöä, kuten yleistä turvallisuutta, puolustusta, kansallista turvallisuutta sekä yleistä järjestystä ja rikosoikeutta koskevaa lainsäädäntöä. Hyväksyttäessä päätös kolmannen maan alueen tai tietyn sektorin tietosuojan riittävyydestä olisi otettava huomioon selkeät ja objektiiviset perusteet, kuten erityiset henkilötietojen käsittelytoimet ja kolmannessa maassa sovellettavien oikeusnormien soveltamisala ja voimassa oleva lainsäädäntö. Kolmannen maan olisi tarjottava takeet, joilla varmistetaan riittävä tietosuojan taso, joka vastaa olennaisilta osin Euroopan unionissa taattua suojan tasoa, erityisesti kun henkilötietoja käsitellään yhdellä tai useammalla erityisalalla. Kolmannen maan olisi erityisesti varmistettava tehokas ja riippumaton tietosuojavalvonta ja huolehdittava jäsenvaltioiden tietosuojaviranomaisten kanssa käytettävistä yhteistyömekanismeista, ja rekisteröidyille olisi taattava vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot.
– –
(107) Komissio voi todeta, että jokin kolmas maa, kolmannen maan alue tai tietty sektori taikka kansainvälinen järjestö ei enää tarjoa riittävän tasoista tietosuojaa. Tällöin henkilötietojen siirtäminen kyseiseen kolmanteen maahan tai kyseiselle kansainväliselle järjestölle olisi kiellettävä, elleivät tässä asetuksessa säädetyt edellytykset, jotka liittyvät siirtoihin asianmukaisia suojatoimia soveltaen, myös siirtoihin yritystä koskevien sitovien sääntöjen perusteella, ja erityistilanteita koskeviin poikkeuksiin, täyty. Tällaisessa tapauksessa olisi säädettävä komission ja kyseisten kolmansien maiden tai kansainvälisten järjestöjen välisistä kuulemismenettelyistä. Komission olisi hyvissä ajoin ilmoitettava kolmannelle maalle tai kansainväliselle järjestölle perustelut ja aloitettava sen kanssa neuvottelut tilanteen korjaamiseksi.
(108) Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi. Nämä asianmukaiset suojatoimet voivat tarkoittaa sitä, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita. Näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen, kuten tehokkaiden hallinnollisten ja oikeudellisten muutoksenhakukeinojen ja korvauksenvaatimisoikeuden, saatavuus unionissa tai kolmannessa maassa. Niiden olisi erityisesti liityttävä henkilötietojen käsittelyä koskevien yleisten periaatteiden noudattamiseen sekä sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin. – –
(109) Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin, kuten henkilötietojen käsittelijän toisen henkilötietojen käsittelijän kanssa tekemään sopimukseen, eikä lisäämästä muita lausekkeita tai toteuttamasta muita suojatoimia, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai valvontaviranomaisen hyväksymien vakiosopimuslausekkeiden kanssa eivätkä vaikuta rekisteröidyn perusoikeuksiin tai ‑vapauksiin. Rekisterinpitäjiä ja henkilötietojen käsittelijöitä olisi kannustettava tarjoamaan lisäsuojaa sopimusperusteisilla velvoitteilla, joilla täydennetään vakiosuojalausekkeita.
– –
(114) Jos komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi turvauduttava ratkaisuihin, joilla rekisteröidyille annetaan täytäntöönpanokelpoiset ja tehokkaat oikeudet, jotka koskevat heidän tietojensa käsittelyä unionissa näiden tietojen siirtämisen jälkeen, jotta he voisivat edelleen nauttia perusoikeuksista ja suojatoimista.
– –
(116) Henkilötietojen siirtäminen valtioiden rajojen yli unionin ulkopuolelle voi vaikeuttaa luonnollisten henkilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta. Toisaalta valvontaviranomaiset eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan valtion rajojen ulkopuolella. Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat vaikeuttaa myös riittämättömät toimivaltuudet ennalta ehkäiseviin tai korjaaviin toimiin, oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten resurssipula. – –
– –
(141) Jokaisella rekisteröidyllä olisi oltava oikeus tehdä valitus yhdelle valvontaviranomaiselle, erityisesti asuinjäsenvaltiossaan, sekä oikeus soveltaa tehokkaita oikeussuojakeinoja perusoikeuskirjan 47 artiklan mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele valitusta, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. – –”
9 Kyseisen asetuksen 2 artiklan 1 ja 2 kohdassa säädetään seuraavaa:
”1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,
a) jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;
b) jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;
c) jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa;
d) jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.”
10 Mainitun asetuksen 4 artiklassa säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan:
– –
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,
– –
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
9) ’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti,
– –”
11 Saman asetuksen 23 artiklassa säädetään seuraavaa:
”1. Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja ‑vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata
a) kansallinen turvallisuus;
b) puolustus;
c) yleinen turvallisuus;
d) rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy;
– –
2. Edellä 1 kohdassa tarkoitettujen lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin
a) käsittelytarkoitusta tai käsittelyn ryhmiä;
b) henkilötietoryhmiä;
c) käyttöön otettujen rajoitusten soveltamisalaa;
d) suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen;
e) rekisterinpitäjän tai rekisterinpitäjien ryhmien määrittämistä;
f) tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset;
g) rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä; ja
f) rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen.”
12 Yleisen tietosuoja-asetuksen V luku, jonka otsikko on ”Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille”, sisältää asetuksen 44–50 artiklan. Tämän asetuksen 44 artiklassa, jonka otsikko on ”Siirtoja koskeva yleinen periaate”, säädetään seuraavaa:
”Sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa vahvistettuja edellytyksiä ja ellei tämän asetuksen muista säännöksistä muuta johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle. Kaikkia tämän luvun säännöksiä on sovellettava, jotta varmistetaan, että tällä asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta.”
13 Asetuksen 45 artiklan, jonka otsikko on ”Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella”, 1–3 kohdassa säädetään seuraavaa:
”1. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.
2. Arvioidessaan tietosuojan riittävyyttä komissio ottaa huomioon etenkin seuraavat seikat:
a) oikeusvaltioperiaate, ihmisoikeuksien ja perusvapauksien kunnioitus, sekä yleinen että alakohtainen asiaankuuluva lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä viranomaisten pääsyä henkilötietoihin, sekä tällaisen lainsäädännön täytäntöönpano, tietosuojaa koskevat säännöt, ammatilliset säännöt ja turvatoimet, mukaan lukien asianomaisessa kolmannessa maassa tai kansainvälisessä järjestössä noudatettavat säännöt henkilötietojen siirtämisestä edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, oikeuskäytäntö sekä rekisteröidyille kuuluvat vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot niitä rekisteröityjä varten, joiden henkilötietoja siirretään;
b) se, onko kyseisessä kolmannessa maassa tai siinä kolmannessa maassa, jonka alaisuuteen kansainvälinen järjestö kuuluu, vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisen varmistamisesta ja täytäntöönpanosta, kuten riittävistä valvontavaltuuksista, oikeuksien käyttämistä koskevan avun ja neuvojen tarjoamisesta rekisteröidyille sekä yhteistyön tekemisestä jäsenvaltioiden valvontaviranomaisten kanssa;
c) asianosaisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset tai muut oikeudellisesti sitovista yleissopimuksista tai säädöksistä taikka monenvälisiin tai alueellisiin järjestelmiin osallistumisesta johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaamista.
3. Komissio voi suojan riittävyyttä arvioituaan päättää, että kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö tarjoaa tämän artiklan 2 kohdassa tarkoitetun riittävän tietosuojan tason. Täytäntöönpanosäädöksessä on säädettävä vähintään joka neljäs vuosi tehtävästä määräaikaistarkastelusta, jossa on otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä. Täytäntöönpanosäädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja tarvittaessa nimetään tämän artiklan 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen tai valvontaviranomaiset. Täytäntöönpanosäädös hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.”
14 Mainitun asetuksen 46 artikla, jonka otsikko on ”Siirto asianmukaisia suojatoimia soveltaen”, on muotoiltu seuraavasti:
”1. Jollei 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.
2. Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä valvontaviranomaisen antamaa lupaa:
a) viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline;
b) 47 artiklan mukaiset yritystä koskevat sitovat säännöt;
c) komission 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet;
d) tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa ja jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;
e) 40 artiklassa tarkoitetut hyväksytyt käytännesäännöt yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin;
f) 42 artiklassa tarkoitettu hyväksytty sertifiointimekanismi yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin.
3. Toimivaltaisen valvontaviranomaisen luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:
a) rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai
b) säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.”
15 Saman asetuksen 49 artiklassa, jonka otsikko on ”Erityistilanteita koskevat poikkeukset”, säädetään seuraavaa:
”1. Jos ei ole tehty 45 artiklan 3 kohdan mukaista tietosuojan tason riittävyyttä koskevaa päätöstä tai ei ole toteutettu 46 artiklassa tarkoitettuja asianmukaisia suojatoimia yritystä koskevat sitovat säännöt mukaan lukien, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa jollakin seuraavista edellytyksistä:
a) rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi;
b) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
c) siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi;
d) siirto on tarpeen tärkeää yleistä etua koskevien syiden vuoksi;
e) siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi;
f) siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;
g) siirto tehdään rekisteristä, jonka tarkoituksena on unionin oikeuden tai jäsenvaltion lainsäädännön mukaan tietojen antaminen yleisölle ja joka on yleisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, mutta ainoastaan siltä osin kuin rekisterin käytön edellytykset, joista säädetään unionin oikeudessa tai jäsenvaltion lainsäädännössä, täyttyvät kussakin yksittäisessä tapauksessa.
Jos siirto ei voi perustua 45 tai 46 artiklassa oleviin sääntöihin, kuten yritystä koskeviin sitoviin sääntöihin, eikä mikään tämän kohdan ensimmäisen alakohdan mukaisista erityistilanteita koskevista poikkeuksista sovellu, henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle ainoastaan, jos siirto ei ole toistuva, koskee ainoastaan rajallista määrää rekisteröityjä ja on tarpeen rekisterinpitäjän sellaisten pakottavien ja oikeutettujen etujen toteuttamiseksi, joita rekisteröidyn edut tai perusoikeudet ja ‑vapaudet eivät syrjäytä, sekä jos rekisterinpitäjä on arvioinut kaikkia tiedonsiirtoon liittyviä seikkoja ja toteuttanut tämän arvioinnin perusteella henkilötietojen suojaa koskevat asianmukaiset suojatoimet. Rekisterinpitäjän on ilmoitettava siirrosta valvontaviranomaiselle. Edellä 13 ja 14 artiklassa mainittujen tietojen lisäksi rekisterinpitäjän on annettava rekisteröidylle tiedot siirrosta sekä pakottavista ja oikeutetuista eduista.
2. Edellä olevan 1 kohdan ensimmäisen alakohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietoryhmiä. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto tehdään ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.
3. Edellä olevan 1 kohdan ensimmäisen alakohdan a, b ja c alakohtaa ja toista alakohtaa ei sovelleta toimiin, joita viranomaiset suorittavat osana julkisen vallan käyttöä.
4. Edellä 1 kohdan ensimmäisen alakohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin oikeudessa tai sen jäsenvaltion lainsäädännössä, jota rekisterinpitäjään sovelletaan.
5. Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan tärkeää yleistä etua koskevista syistä nimenomaisesti rajoittaa tiettyjen henkilötietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle. Jäsenvaltioiden on ilmoitettava tällaisista säännöksistä komissiolle.
6. Rekisterinpitäjän tai henkilötietojen käsittelijän on dokumentoitava arviointi ja tämän artiklan 1 kohdan toisessa alakohdassa tarkoitetut asianmukaiset suojatoimet 30 artiklassa tarkoitettuun selosteeseen.”
16 Yleisen tietosuoja-asetuksen 51 artiklan 1 kohdan sanamuoto on seuraava:
”Kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa, jäljempänä ’valvontaviranomainen’.”
17 Tämän asetuksen 55 artiklan 1 kohdassa säädetään, että ”jokaisella valvontaviranomaisella on sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella”.
18 Mainitun asetuksen 57 artiklan 1 kohdassa säädetään seuraavaa:
Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan
a) valvottava tämän asetuksen soveltamista ja pantava se täytäntöön;
– –
f) käsiteltävä rekisteröidyn – – tekemiä valituksia ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;
– –”
19 Asetuksen 58 artiklan 2 ja 4 momentissa säädetään seuraavaa:
”2. Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:
– –
f) asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;
– –
j) määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.
– –
4. Valvontaviranomaiselle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä perusoikeuskirjan mukaisesti.”
20 Yleisen tietosuoja-asetuksen 64 artiklan 2 kohdassa säädetään seuraavaa:
”Jokainen valvontaviranomainen, tietosuojaneuvoston puheenjohtaja tai komissio voi pyytää minkä tahansa yleisluonteisen tai useammassa kuin yhdessä jäsenvaltiossa vaikutuksia tuottavan asian käsittelyä tietosuojaneuvostossa lausunnon saamiseksi, etenkin jos toimivaltainen valvontaviranomainen ei noudata keskinäistä avunantoa koskevia velvollisuuksia 61 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 62 artiklan mukaisesti.”
21 Kyseisen asetuksen 65 artiklan 1 kohdassa säädetään seuraavaa:
”Varmistaakseen, että tätä asetusta sovelletaan yksittäistapauksissa asianmukaisesti ja yhtenäisesti, tietosuojaneuvosto antaa seuraavissa tapauksissa sitovan päätöksen:
– –
c) jos toimivaltainen valvontaviranomainen ei pyydä tietosuojaneuvostolta lausuntoa 64 artiklan 1 kohdassa tarkoitetuissa tapauksissa tai ei noudata tietosuojaneuvoston 64 artiklan nojalla antamaa lausuntoa. Tällöin asianomaiset valvontaviranomaiset tai komissio voivat ilmoittaa asiasta tietosuojaneuvostolle.”
22 Kyseisen asetuksen 77 artiklassa, jonka otsikko on ”Oikeus tehdä valitus valvontaviranomaiselle”, säädetään seuraavaa:
”1. Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.
2. Valvontaviranomaisen, jolle valitus on jätetty, on ilmoitettava valituksen tekijälle valituksen etenemisestä ja ratkaisusta, mukaan lukien 78 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.”
23 Asetuksen 78 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan”, 1 ja 2 kohdassa säädetään seuraavaa:
”1. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.
2. Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 55 ja 56 artiklan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn valituksen etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.”
24 Yleisen tietosuoja-asetuksen 94 artiklassa säädetään seuraavaa:
”1. Kumotaan direktiivi [95/46] 25 päivästä toukokuuta 2018.
2. Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen. Viittauksia direktiivin [95/46] 29 artiklalla perustettuun tietosuojatyöryhmään pidetään viittauksina tällä asetuksella perustettuun Euroopan tietosuojaneuvostoon.”
25 Kyseisen asetuksen 99 artiklassa todetaan seuraavaa:
”1. Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
2. Sitä sovelletaan 25 päivästä toukokuuta 2018.”
Päätös 2010/87
26 Päätöksen 2010/87 johdanto-osan 11 perustelukappaleessa todetaan seuraavaa:
”Tässä sopimusmenettelyssä jäsenvaltioiden valvontaviranomaisilla on keskeinen tehtävä sen varmistamisessa, että henkilötietoja suojataan riittävästi niiden siirron jälkeen. Poikkeustapauksissa, joissa tietojen viejä kieltäytyy antamasta tietojen tuojalle ohjeita tai ei kykene antamaan niitä asianmukaisesti, ja on olemassa välitön vaara vakavasta haitasta rekisteröidyille, mallisopimuslausekkeiden olisi mahdollistettava se, että valvontaviranomaiset voivat tarkastaa tietojen tuojien ja alihankkijoina toimivien käsittelijöiden toimintaa ja tarvittaessa tehdä tietojen tuojia ja alihankkijana toimivia käsittelijöitä velvoittavia päätöksiä. Valvontaviranomaisilla olisi oltava oikeus kieltää tai lykätä mallisopimuslausekkeisiin perustuva tietojen siirto tai siirtojen sarja tietyin edellytyksin niissä poikkeustapauksissa, joissa sopimusperusteisella siirrolla todennäköisesti on merkittävä haitallinen vaikutus takeisiin ja velvoitteisiin, joilla rekisteröidylle annetaan riittävä tietosuoja.”
27 Kyseisen päätöksen 1 artiklassa säädetään seuraavaa:
”Liitteessä olevien mallisopimuslausekkeiden katsotaan antavan riittävät takeet yksityisyyden ja yksilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi ja vastaavien oikeuksien toteutumiseksi direktiivin [95/46] 26 artiklan 2 kohdassa edellytetyllä tavalla.”
28 Mainitun päätöksen 2 artiklan toisessa kohdassa säädetään, että ”tätä päätöstä sovelletaan Euroopan unioniin sijoittautuneiden rekisterinpitäjien suorittamaan henkilötietojen siirtoon vastaanottajille, jotka ovat sijoittautuneet Euroopan unionin alueen ulkopuolelle ja jotka toimivat ainoastaan käsittelijöinä”.
29 Saman päätöksen 3 artiklassa säädetään seuraavaa:
”Tässä päätöksessä käytetään seuraavia määritelmiä:
– –
c) ’tietojen viejällä’ tarkoitetaan rekisterinpitäjää, joka siirtää henkilötietoja;
d) ’tietojen tuojalla’ tarkoitetaan kolmanteen maahan sijoittautunutta henkilötietojen käsittelijää, joka hyväksyy vastaanottavansa tietojen viejältä henkilötietoja, jotka on siirron jälkeen tarkoitus käsitellä tietojen viejän puolesta tämän antamien ohjeiden mukaisesti ja tämän päätöksen mukaisia edellytyksiä noudattaen, ja jota ei koske direktiivin [95/46] 25 artiklan 1 kohdassa tarkoitettu riittävän tietosuojan takaava kolmannen maan järjestelmä;
– –
f) ’sovellettavalla tietosuojalainsäädännöllä’ tarkoitetaan lainsäädäntöä, jolla suojataan yksilöiden perusoikeudet ja ‑vapaudet ja erityisesti näiden yksilöiden oikeus yksityisyyteen henkilötietojen käsittelyssä ja jota sovelletaan rekisterinpitäjään siinä jäsenvaltioissa, johon tietojen viejä on sijoittautunut;
– –”
30 Päätöksen 2010/87 4 artiklan alkuperäisessä, ennen täytäntöönpanopäätöstä 2016/2297 voimassa olleessa versiossa säädettiin seuraavaa:
”1. Jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan kolmansiin maihin suuntautuvien tiedonsiirtojen kieltämiseksi tai lykkäämiseksi suojatakseen yksilöitä näiden henkilötietojen käsittelyssä, sanotun kuitenkaan rajoittamatta kyseisten viranomaisten toimivaltuuksia toteuttaa toimenpiteitä direktiivin [95/46] II, III, V ja VI luvun nojalla annettujen kansallisten säännösten noudattamisen varmistamiseksi, jos
a) todetaan, että tietojen tuojaan tai alihankkijana toimivaan käsittelijään sovellettavaan lainsäädäntöön sisältyy sellaisia vaatimuksia poiketa sovellettavasta tietosuojalainsäädännöstä, joiden rajoitukset menevät pitemmälle kuin on tarpeen demokraattisessa yhteiskunnassa direktiivin [95/46] 13 artiklan mukaan, kun kyseisillä vaatimuksilla on todennäköisesti merkittävä haitallinen vaikutus mallisopimuslausekkeilla annettaviin takeisiin;
b) toimivaltainen viranomainen on todennut, ettei tietojen tuoja tai alihankkijana toimiva käsittelijä ole noudattanut liitteessä olevia mallisopimuslausekkeita; tai
c) on hyvin todennäköistä, että liitteessä olevia mallisopimuslausekkeita ei noudateta tai ei tulla noudattamaan, ja siirron jatkaminen merkitsisi välitöntä vaaraa vakavan haitan aiheutumisesta rekisteröidyille.
2. Edellä olevan 1 kohdan mukainen kielto tai lykkäys poistetaan heti kun lykkäyksen tai kiellon syyt ovat poistuneet.
3. Toteuttaessaan 1 ja 2 kohdan mukaisia toimenpiteitä jäsenvaltioiden on ilmoitettava siitä viipymättä komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.”
31 Sen jälkeen, kun unionin tuomioistuin antoi 6.10.2015 tuomion Schrems (C‑362/14; EU:C:2015:650), annetun täytäntöönpanopäätöksen 2016/2297 johdanto-osan viidennessä perustelukappaleessa todetaan seuraavaa:
”Vastaavasti direktiivin [95/46] 26 artiklan 4 kohdan mukainen komission päätös sitoo kaikkia niiden jäsenvaltioiden elimiä, joille se on osoitettu, mukaan lukien riippumattomat valvontaviranomaiset, siltä osin kuin päätöksessä vahvistetaan, että siirroissa, joissa hyödynnetään päätöksessä määriteltyjä mallisopimuslausekkeita, tarjotaan riittävät takeet siten kuin kyseisen direktiivin 26 artiklan 2 kohdassa edellytetään. Tämä ei estä kansallista valvontaviranomaista käyttämästä valtuuksiaan tietovirtojen valvonnassa, ja kyseinen viranomainen voi esimerkiksi keskeyttää tai kieltää henkilötietojen siirron, jos se katsoo, että tietojen siirrossa on rikottu EU:n tai kansallisen tietosuojalainsäädännön säännöksiä. Tällaisesta rikkomuksesta voi olla kyse esimerkiksi silloin, kun tietojen tuoja ei noudata mallisopimuslausekkeita.”
32 Päätöksen 2010/87 tällä hetkellä voimassa olevan version, joka perustuu täytäntöönpanopäätökseen 2016/2297, 4 artiklassa säädetään seuraavaa:
”Kun jäsenvaltioiden toimivaltaiset viranomaiset käyttävät direktiivin [95/46] 28 artiklan 3 kohdan mukaisia toimivaltuuksiaan ja tästä seuraa se, että tiedonsiirrot kolmansiin maihin keskeytetään väliaikaisesti tai kielletään kokonaan yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.”
33 Päätöksen 2010/87 liite, jonka otsikko on ”Mallisopimuslausekkeet (henkilötietojen käsittelijät)”, sisältää 12 mallilauseketta. Liitteessä olevassa lausekkeessa 3, jonka otsikko puolestaan on ”Kolmatta osapuolta suojaava edunsaajalauseke”, todetaan seuraavaa:
”1. Rekisteröity voi panna täytäntöön tämän lausekkeen, lausekkeen 4 kohdan b–i, lausekkeen 5 kohdan a–e sekä kohdan g–j, lausekkeen 6 kohdan 1 ja 2, lausekkeen 7, lausekkeen 8 kohdan 2 ja lausekkeen 9–12 tietojen viejää vastaan edunsaajana olevan kolmannen osapuolen ominaisuudessa.
2. Rekisteröity voi panna täytäntöön tämän lausekkeen, lausekkeen 5 kohdan a–e ja g, lausekkeen 6 ja 7, lausekkeen 8 kohdan 2 ja lausekkeen 9–12 tietojen tuojaa vastaan tapauksissa, joissa tietojen viejä on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, minkä tuloksena se ottaa vastaan tietojen viejän oikeudet ja velvoitteet, jolloin rekisteröity voi panna lausekkeet täytäntöön tällaista seuraajaa vastaan.
– –”
34 Tässä liitteessä olevassa lausekkeessa 4, jonka otsikko on ”Tietojen viejän velvollisuudet”, todetaan seuraavaa:
”Tietojen viejä hyväksyy ja takaa, että
a) henkilötietojen käsittely, mukaan luettuna itse siirto, on suoritettu ja suoritetaan edelleen sovellettavan tietosuojalainsäädännön asiaankuuluvien säännösten mukaisesti (ja siitä on tarvittaessa ilmoitettu sen jäsenvaltion toimivaltaisille viranomaisille, johon tietojen viejä on sijoittautunut), ja ettei siirrolla rikota kyseisen valtion asiaankuuluvia säännöksiä,
b) tietojen viejä on antanut ohjeet ja antaa koko henkilötietojen käsittelypalvelun kestoajan ohjeita tietojen tuojalle siitä, että tämä käsittelee siirrettyjä henkilötietoja ainoastaan tietojen viejän puolesta ja sovellettavan tietosuojalainsäädännön ja lausekkeiden mukaisesti,
– –
f) jos siirto koskee erityisiä tietoryhmiä, rekisteröidyille on ilmoitettu tai ilmoitetaan ennen siirtoa tai mahdollisimman pian sen jälkeen, että niiden tietoja voidaan siirtää kolmanteen maahan, jossa ei taata direktiivissä [95/46] tarkoitettua tietosuojan riittävää tasoa,
g) tietojen viejä toimittaa tietojen tuojalta tai alihankkijana toimivalta käsittelijältä lausekkeen 5 kohdan b ja lausekkeen 8 kohdan 3 mukaisesti saadun tiedon tietosuojaviranomaisille, kun se päättää jatkaa siirtoa tai lopettaa lykkäyksen,
– –”
35 Mainitussa liitteessä olevassa lausekkeessa 5, jonka otsikko on ”Tietojen tuojan velvollisuudet – –”, todetaan seuraavaa:
”Tietojen tuoja hyväksyy ja takaa, että
a) tietojen tuoja käsittelee henkilötietoja ainoastaan tietojen viejän puolesta tämän antamien ohjeiden ja lausekkeiden mukaisesti, ja jos se ei voi noudattaa näitä ohjeita ja sääntöjä mistä tahansa syystä, se ilmoittaa tästä viipymättä tietojen viejälle, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus,
b) tietojen tuojalla ei ole mitään syytä olettaa, että siihen sovellettava lainsäädäntö estäisi tietojen viejältä saatujen ohjeiden noudattamisen ja tietojen tuojalle sopimuksen mukaan kuuluvien velvoitteiden täyttämisen, ja jos kyseistä lainsäädäntöä muutetaan ja muutoksella on todennäköisesti merkittävä haitallinen vaikutus lausekkeilla annettaviin takeisiin ja lausekkeiden mukaisiin velvoitteisiin, tietojen tuoja antaa muutoksen tiedoksi tietojen viejälle viipymättä saatuaan itse tiedon siitä, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus,
– –
d) tietojen tuoja ilmoittaa viipymättä tietojen viejälle seuraavista seikoista:
i) säännösten täytäntöönpanosta vastaavan viranomaisen oikeudellisesti sitovasta pyynnöstä luovuttaa henkilötietoja, ellei sitä muutoin kielletä esimerkiksi rikoslainsäädännön mukaisella kiellolla lainvalvontaan liittyvien tutkimusten luottamuksellisuuden säilyttämiseksi,
ii) kaikista tahattomista tai luvattomista pääsyistä tietoihin, ja
iii) rekisteröidyiltä suoraan saaduista tiedusteluista niihin vastaamatta, ellei siihen muutoin anneta lupaa,
– –”
36 Alaviitteessä, johon kyseisen lausekkeen 5 otsikossa viitataan, todetaan seuraavaa:
”Tietojen tuojaan sovellettavat kansallisen lainsäädännön sisältämät pakolliset vaatimukset, jotka eivät mene pitemmälle kuin on tarpeen demokraattisessa yhteiskunnassa direktiivin 95/46/EY 13 artiklan 1 kohdassa lueteltujen etujen perusteella, toisin sanoen vaatimukset, jotka ovat välttämättömiä, jotta varmistettaisiin valtion turvallisuus, puolustus, yleinen turvallisuus, rikosten tai, säännellyn ammattitoiminnan osalta, ammattietiikan rikkomusten torjunta, tutkinta, selvittäminen ja syyteharkinta, valtion tärkeä taloudellinen tai rahoituksellinen etu tai rekisteröidyn suojelu tai muiden oikeudet ja vapaudet, ja jotka eivät ole ristiriidassa mallisopimuslausekkeiden kanssa. – –”
37 Päätöksen 2010/87 liitteessä olevassa lausekkeessa 6, jonka otsikko on ”Vastuu”, todetaan seuraavaa:
”1. Sopimuspuolet sopivat, että rekisteröidyllä, jolle on koitunut vahinkoa jonkin sopimuspuolen tai alihankkijana toimivan käsittelijän rikottua lausekkeessa 3 tai lausekkeessa 11 tarkoitettuja velvoitteita, on oikeus saada tietojen viejältä korvaus aiheutuneista vahingoista.
2. Jos rekisteröity ei voi nostaa kohdan 1 mukaista vahingonkorvauskannetta tietojen viejää vastaan, kun tietojen tuoja tai sen alihankkijana toimiva käsittelijä ei ole täyttänyt lausekkeessa 3 tai 11 tarkoitettuja velvoitteitaan, sen vuoksi, että tietojen viejä on tosiasiallisesti lakkautettu, lakannut oikeudellisesti olemasta tai todettu maksukyvyttömäksi, tietojen tuoja hyväksyy, että rekisteröity voi nostaa kanteen tietojen tuojaa vastaan samaan tapaan kuin tietojen viejää vastaan – –.
– –”
38 Tässä liitteessä olevan lausekkeen 8, jonka otsikko on ”Yhteistyö valvontaviranomaisten kanssa”, kohdassa 2 todetaan seuraavaa:
”Sopimuspuolet sopivat, että valvontaviranomaisella on oikeus tehdä tietojen tuojaan ja kaikkiin alihankkijoina toimiviin käsittelijöihin kohdistuvia tarkastuksia samassa laajuudessa ja samoin edellytyksin kuin se voisi tehdä tietojen viejään kohdistuvia tarkastuksia sovellettavan tietosuojalainsäädännön nojalla.”
39 Tässä liitteessä olevassa lausekkeessa 9, jonka otsikko on ”Sovellettava laki”, todetaan, että lausekkeisiin sovelletaan sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut.
40 Tässä samassa liitteessä olevassa lausekkeessa 11, jonka otsikko on ”Alihankintana suoritettava käsittely”, todetaan seuraavaa:
”1. Tietojen tuoja ei anna alihankintana suoritettavaksi mitään tietojen viejän puolesta lausekkeiden mukaisesti hoidettavia käsittelytoimintoja ilman tietojen viejän ennakkoon antamaa kirjallista suostumusta. Jos tietojen tuoja antaa näiden lausekkeiden mukaisia velvoitteitaan suoritettaviksi alihankintana tietojen viejän suostumuksella, sen on tehtävä alihankkijana toimivan käsittelijän kanssa kirjallinen sopimus, jossa tälle määrätään samat velvoitteet kuin lausekkeiden nojalla määrätään tietojen tuojalle. – –
2. Ennakkoon tehdyssä tietojen tuojan ja alihankkijana toimivan käsittelijän välisessä kirjallisessa sopimuksessa on myös oltava lausekkeessa 3 määrätty kolmatta osapuolta suojaava edunsaajalauseke niitä tapauksia varten, joissa rekisteröity ei voi nostaa lausekkeen 6 kohdassa 1 tarkoitettua vahingonkorvauskannetta tietojen viejää tai tietojen tuojaa vastaan, koska ne on tosiasiallisesti lakkautettu, ovat lakanneet oikeudellisesti olemasta tai ne on todettu maksukyvyttömiksi, eikä mikään seuraaja ole ottanut hoitaakseen tietojen viejän tai tietojen tuojan kaikkia oikeudellisia velvoitteita sopimuksen tai lain perusteella. Tällainen alihankkijana toimivan käsittelijän yksityisoikeudellinen vastuu koskee ainoastaan sen lausekkeiden mukaista omaa käsittelytoimintaa.”
41 Päätöksen 2010/87 liitteessä olevan lausekkeen 12, jonka otsikko on ”Tietojen käsittelypalvelujen päättymisen jälkeiset velvoitteet”, kohdassa 1 todetaan seuraavaa:
”Sopimuspuolet sopivat, että tietojen käsittelypalvelujen päättymisen jälkeen tietojen tuojan ja alihankkijana toimivan käsittelijän on tietojen viejän valinnan mukaan palautettava kaikki siirretyt henkilötiedot ja jäljennökset näistä tiedoista tietojen viejälle tai hävitettävä kaikki henkilötiedot ja annettava tietojen viejälle todistus tästä, jollei tietojen tuojaan sovellettavalla lainsäädännöllä estetä tietojen tuojaa palauttamasta tai hävittämästä siirrettyjä henkilötietoja kokonaan tai osittain. – –”
Privacy Shield ‑päätös
42 Unionin tuomioistuin totesi 6.10.2015 antamassaan tuomiossa Schrems (C‑362/14, EU:C:2015:650) pätemättömäksi direktiivin 95/46 mukaisesti yksityisyyden suojaa koskevien safe harbor ‑periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä 26.7.2000 tehdyn komission päätöksen 2000/520/EY (EYVL 2000, L 215, s. 7), jossa komissio oli todennut, että kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso.
43 Mainitun tuomion antamisen jälkeen komissio antoi Privacy Shield ‑päätöksen sen jälkeen, kun se oli sen antamista varten arvioinut Yhdysvaltojen säännöstöä, kuten mainitun päätöksen johdanto-osan 65 perustelukappaleessa täsmennetään:
”Komissio on arvioinut Yhdysvaltojen lainsäädännön mukaiset rajoitukset ja suojatoimet siltä osin kuin on kyse yhdysvaltalaisten viranomaisten pääsystä [Euroopan unionin] ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa siirrettyihin henkilötietoihin ja niiden käytöstä kansallisen turvallisuuden, lainvalvonnan ja muiden yleisen edun mukaisten tarkoitusten nimissä. Lisäksi Yhdysvaltojen hallitus on toimittanut komissiolle kansallisen tiedusteluviraston johtajan (Office of the Director of National Intelligence, ODNI) – – kautta yksityiskohtaisia lausumia ja sitoumuksia, jotka sisältyvät tämän päätöksen liitteeseen VI. Yhdysvaltojen hallitus on myös ulkoministerin allekirjoittamalla ja tämän päätöksen liitteessä III olevalla kirjeellä sitoutunut luomaan uuden valvontamekanismin, joka liittyy tietoihin pääsyyn kansallisen turvallisuuden vuoksi, eli tiedusteluyhteisöstä riippumattoman, tietosuojasta vastaavan oikeusasiamiehen viran. Lisäksi tämän päätöksen liitteeseen VII sisältyvässä Yhdysvaltojen oikeusministeriön lausumassa kuvataan rajoituksia ja suojatoimia, joita sovelletaan viranomaisten pääsyyn tietoihin ja niiden käyttöön lainvalvonnan ja muiden yleisen edun mukaisten tarkoitusten nimissä. Avoimuuden lisäämiseksi ja näiden sitoumusten oikeudellisen luonteen huomioon ottamiseksi jokainen lueteltu ja tämän päätöksen liitteenä oleva asiakirja julkaistaan Yhdysvaltojen Federal Register ‑lehdessä.”
44 Komission näitä rajoituksia ja näitä suojatoimia koskevasta tarkastelusta esitetään yhteenveto Privacy Shield ‑päätöksen johdanto-osan 67–135 perustelukappaleessa, kun taas komission päätelmät riittävästä tietosuojan tasosta Euroopan unionin ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn yhteydessä sisältyvät sen 136–141 perustelukappaleeseen.
45 Erityisesti tämän päätöksen johdanto-osan 68, 69, 76, 77, 109, 112–116, 120, 136 ja 140 perustelukappaleessa todetaan seuraavaa:
”(68) Yhdysvaltojen perustuslain mukaan kansallisen turvallisuuden varmistaminen kuuluu presidentin toimivaltaan armeijan ylipäällikkönä ja ylimpänä toimeenpanevana viranomaisena, ja ulkomaantiedustelun osalta presidentti johtaa Yhdysvaltojen ulkoasioita. – – Vaikka kongressilla on valtuudet asettaa rajoituksia, minkä se onkin tehnyt monessa suhteessa, presidentti voi näissä rajoissa johtaa Yhdysvaltojen tiedusteluyhteisön toimintaa erityisesti toimeenpanoasetusten (Executive Orders) tai presidentin määräysten (Presidential Directives) avulla. – – Tällä hetkellä kaksi keskeistä oikeudellista välinettä tässä yhteydessä ovat toimeenpanoasetus 12333 (’toimeenpanoasetus (E.O.) 12333’) – – ja presidentin määräys ’Presidential Policy Directive 28’.
(69) Presidentin määräyksessä PPD-28 (Presidential Policy Directive 28), joka annettiin 17 päivänä tammikuuta 2014, asetetaan useita rajoituksia signaalitiedustelutoiminnalle. – – Kyseinen määräys sitoo Yhdysvaltojen tiedusteluviranomaisia ja pysyy voimassa Yhdysvaltojen hallinnossa tapahtuvista muutoksista huolimatta – –. PPD-28 on erityisen tärkeä ei-yhdysvaltalaisille henkilöille, myös EU:n rekisteröidyille. – –
– –
(76) Vaikka näitä [PPD-28:n] periaatteita ei olekaan ilmaistu kyseisin oikeudellisin termein, niissä otetaan huomioon tarpeellisuutta ja suhteellisuutta koskevien periaatteiden keskeinen sisältö. – –
(77) Nämä vaatimukset sitovat koko tiedusteluyhteisöä, koska ne sisältyvät presidentin ylimpänä toimeenpanevana viranomaisena antamaan määräykseen, ja ne on pantu täytäntöön sellaisten viraston sääntöjen ja menettelyjen avulla, joilla yleiset periaatteet muunnetaan päivittäisiä toimintoja koskeviksi erityisohjeiksi. – –
– –
(109) Sen sijaan [United States Foreign Intelligence Surveillance Court (FISC) (Yhdysvaltojen ulkomaantiedustelun valvonnasta vastaava tuomioistuin)] ei [ulkomaantiedustelun valvonnasta annetun lain (Foreign Intelligence Surveillance Act (FISA)] 702 §:n nojalla anna lupaa yksittäisille valvontatoimenpiteille. Sen sijaan se hyväksyy valvontaohjelmia (kuten PRISM, UPSTREAM) oikeusministerin [United States Attorney General] ja kansallisen tiedusteluviraston johtajan [Director of National Intelligence (DNI)] valmistelemien vuotuisten sertifiointihakemusten perusteella. – – Kuten edellä todettiin, FISC‑tuomioistuimen antamiin sertifiointipäätöksiin ei sisälly tietoa kohteena olevista yksittäisistä ihmisistä, vaan niiden avulla yksilöidään ulkomaantiedustelutietojen luokat. – – Vaikka FISC‑tuomioistuin ei arvioi todennäköisen syyn perusteella tai muulla tavalla, onko henkilöt kohdennettu asianmukaisesti ulkomaantiedustelutietojen hankkimiseksi – –, se valvoo, että ’hankinnan huomattavana tarkoituksena on hankkia ulkomaantiedustelutietoja’ – –
– –
(112) Ensinnäkin ulkomaantiedustelun valvontaa koskevassa laissa säädetään useista korjaavista toimenpiteistä, jotka ovat myös ei-yhdysvaltalaisten henkilöiden käytettävissä, laittoman sähköisen valvonnan riitauttamiseksi. – – Tähän sisältyy henkilöiden mahdollisuus nostaa Yhdysvaltoja vastaan siviilikanne rahamääräisen vahingonkorvauksen saamiseksi, kun heitä koskevia tietoja on laittomasti ja tahallisesti käytetty tai luovutettu – –; nostaa Yhdysvaltojen hallituksen virkamiehiä vastaan kanne niiden henkilökohtaisessa ominaisuudessa (’lain varjolla’) rahamääräisen vahingonkorvauksen saamiseksi – –; ja riitauttaa valvonnan laillisuus (ja vaatia tietojen hävittämistä) siinä tapauksessa, että Yhdysvaltojen hallitus aikoo käyttää tai luovuttaa mitä tahansa sähköisessä valvonnassa hankittuja tai siitä johdettuja tietoja kyseistä henkilöä vastaan oikeudellisessa tai hallinnollisessa menettelyssä Yhdysvalloissa. – –
(113) Toiseksi Yhdysvaltojen hallitus esitti komissiolle useita muita keinoja, joita EU:n rekisteröidyt voisivat käyttää ryhtyäkseen oikeudellisiin toimenpiteisiin hallituksen virkamiehiä vastaan, kun hallituksen virkamiehet ovat lainvastaisesti päässeet henkilötietoihin tai käyttäneet niitä, myös väitettyihin kansalliseen turvallisuuteen liittyviin tarkoituksiin – –
(114) Lopuksi on todettava, että Yhdysvaltojen hallitus on viitannut [tiedonvapaudesta annettuun lakiin (FOIA)], jota ei-yhdysvaltalaiset henkilöt voivat käyttää keinona saada käyttöönsä liittovaltion virastoissa olevia asiakirjoja, myös silloin, kun niihin sisältyy kyseisen henkilön henkilötietoja. – – FOIAn painopisteen vuoksi yksittäiset henkilöt eivät voi sen nojalla ryhtyä toimenpiteisiin henkilötietoihin pääsyä vastaan, vaikka henkilöt voisivatkin periaatteessa saada sen perusteella käyttöönsä tietoja, jotka ovat kansallisten tiedusteluvirastojen hallussa. – –
(115) Vaikka henkilöiden, myös EU:n rekisteröityjen, käytettävissä on tämän vuoksi useita oikeussuojakeinoja, kun he ovat olleet laittoman (sähköisen) valvonnan kohteena kansallisen turvallisuuden nimissä, on kuitenkin selvää, että tämä ei koske eräitä Yhdysvaltojen tiedusteluviranomaisten käytössä olevia oikeusperustoja (esim. toimeenpanoasetus (E.O.) 12333). Lisäksi on todettava, että vaikka periaatteessa ei-yhdysvaltalaisten henkilöiden käytettävissä on oikeussuojakeinoja, esimerkiksi kun on kyse FISAn mukaisesta valvonnasta, käytössä olevat kanneperusteet ovat vähäiset – – ja henkilöiden (myös yhdysvaltalaisten) nostamat kanteet jätetään tutkimatta, jos ne eivät pysty osoittamaan kanneoikeuttaan – –. Tämä rajoittaa pääsyä yleisiin tuomioistuimiin – –.
(116) Tarjotakseen kaikille EU:n rekisteröidyille ylimääräisen oikeussuojakeinon, Yhdysvaltojen hallitus on päättänyt perustaa uuden oikeusasiamiesmekanismin, kuten tämän päätöksen liitteessä III olevassa Yhdysvaltojen ulkoministerin kirjeessä komissiolle esitetään. Tämän järjestelmän perustana on PPD-28:n perusteella nimettävä johtava koordinaattori (valtiosihteeri), joka toimii ulkoministeriössä yhteyspisteenä ja jonka kautta ulkomaiset hallitukset voivat esittää Yhdysvaltojen signaalitiedustelua koskevia kysymyksiä, mutta oikeusasiamiehen tehtävä menee tätä alkuperäistä suunnitelmaa huomattavasti pidemmälle.
– –
(120) – – Yhdysvaltojen hallitus sitoutuu varmistamaan, että oikeusasiamies voi tehtävissään tukeutua muiden Yhdysvaltojen lainsäädännön mukaisten valvonnasta ja sääntöjen noudattamisesta vastaavien mekanismien kanssa tehtävään yhteistyöhön. – – Jos jokin näistä valvontaelimistä toteaa, että periaatteita ei ole noudatettu, kyseisen tiedusteluyhteisön toimijan (esim. tiedusteluviraston) on korjattava tilanne, sillä vain siten oikeusasiamies voi antaa Yhdysvaltojen hallituksen sitoumuksen mukaisen ’positiivisen’ vastauksen henkilölle (toisin sanoen sen, että mahdollinen noudattamatta jättäminen on korjattu). – –
– –
(136) Komissio katsoo edellä esitetyn perusteella, että Yhdysvallat takaa riittävän suojan henkilötiedoille, jotka siirretään [Euroopan unionin] ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa unionista Yhdysvalloissa oleville oman varmennuksen antaneille organisaatioille.
– –
(140) Lisäksi komissio katsoo Yhdysvaltojen oikeusjärjestystä koskevien käytettävissä olevien tietojen, mukaan lukien Yhdysvaltojen hallituksen antamat lausumat ja sitoumukset, perusteella, että Yhdysvaltojen viranomaisten mahdollinen puuttuminen niiden henkilöiden perusoikeuksiin, joiden tietoja siirretään Privacy Shield ‑järjestelyn puitteissa unionista Yhdysvaltoihin, kansallisen turvallisuuden, lainvalvonnan tai muun yleisen edun nimissä ja tästä seuraavat rajoitukset, joita asetetaan oman varmennuksen antaneille organisaatioille yksityiseen suojaa koskevien periaatteiden noudattamisen osalta, rajoitetaan siihen, mikä on ehdottomasti tarpeen oikeutetun tavoitteen saavuttamiseksi, ja että tällaista perusoikeuksiin puuttumista vastaan on olemassa tehokkaita oikeussuojakeinoja.”
46 Privacy Shield ‑päätöksen 1 artiklassa säädetään seuraavaa:
”1. Komissio katsoo direktiivin [95/46] 25 artiklan 2 kohdan soveltamiseksi, että Yhdysvallat takaa riittävän suojan henkilötiedoille, jotka siirretään [Euroopan unionin] ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa unionista Yhdysvalloissa oleville organisaatioille.
2. [Euroopan unionin] ja Yhdysvaltojen välinen Privacy Shield ‑järjestely muodostuu Yhdysvaltojen kauppaministeriön 7 päivänä heinäkuuta 2016 antamista järjestelyn periaatteista, jotka on esitetty liitteessä II, ja virallisista lausumista ja sitoumuksista, jotka sisältyvät liitteissä I ja III–VII lueteltuihin asiakirjoihin.
3. Edellä olevan 1 kohdan soveltamiseksi henkilötietoja siirretään [Euroopan unionin] ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa silloin, kun ne siirretään unionista sellaisille Yhdysvalloissa oleville organisaatioille, jotka on sisällytetty Yhdysvaltojen kauppaministeriön liitteessä II esitettyjen järjestelyn periaatteiden I ja III jakson mukaisesti ylläpitämään ja julkisesti saataville asettamaan Privacy Shield ‑luetteloon.”
47 Privacy Shield ‑päätöksen liitteessä II, jonka otsikko on ”Yhdysvaltojen kauppaministeriön hyväksymät [Euroopan unionin] ja Yhdysvaltojen Privacy Shield ‑järjestelyn periaatteet”, olevassa I.5 kohdassa todetaan, että järjestelyn periaatteiden noudattamista voidaan rajoittaa muun muassa ”kansallisen turvallisuuden, julkisen edun tai lainvalvonnan vaatimusten vuoksi”.
48 Tämän päätöksen liitteessä III on silloisen Secretary of Staten (ulkoministeri, Yhdysvallat) John Kerryn 7.7.2016 päivätty, oikeus-, kuluttaja- ja tasa-arvoasioista vastaavalle komission jäsenelle osoitettu kirje, johon on liitteenä A liitetty muistio, jonka otsikko on ”[Euroopan unionin] ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn signaalitiedustelua koskeva oikeusasiamiesmekanismi” ja johon sisältyy seuraava kappale:
”[Euroopan unionin] ja Yhdysvaltojen Privacy Shield ‑järjestely on tärkeä, ja sitä silmällä pitäen tässä muistiossa selostetaan menettelyt, joiden mukaisesti pannaan täytäntöön presidentin määräyksen 28 (PPD-28) mukainen signaalitiedustelua koskeva mekanismi.
– – Presidentti Obama ilmoitti antavansa uuden presidentin määräyksen, PPD‑28:n, ’määrätäkseen tarkasti, mitä me teemme ja mitä me emme tee, kun kyse on meidän ulkomaille suuntautuvasta tarkkailutoiminnastamme’.
PPD-28:n 4 § d kohdassa määrätään ulkoministeri nimeämään tietotekniikkaan liittyvän kansainvälisen diplomatian johtava koordinaattori. Tämä ’toimii yhteyspisteenä, jonka kautta ulkomaiset hallitukset voivat esittää Yhdysvalloille sen signaalitiedustelutoimintaa koskevia kysymyksiä’.
– –
1) – – Johtava koordinaattori toimii Privacy Shield ‑järjestelyn oikeusasiamiehenä ja – – toimii läheisessä yhteistyössä muiden ministeriöiden ja virastojen asianomaisten virkamiesten kanssa, jotka ovat vastuussa kysymysten käsittelystä Yhdysvaltojen sovellettavien lakien ja toimintaperiaatteiden mukaisesti. Oikeusasiamies on riippumaton tiedusteluyhteisöstä. Oikeusasiamies raportoi suoraan ulkoministerille. Tämä varmistaa, että oikeusasiamies suorittaa tehtävänsä puolueettomasti ja ettei mikään vaikuta epäasianmukaisesti oikeusasiamiehen antamiin vastauksiin.
– –”
49 Privacy Shield ‑päätöksen liitteeseen VI sisältyy kansallisen tiedusteluviraston johtajan (Office of the Director of National Intelligence) Yhdysvaltojen kauppaministerille ja kauppaministeriön kansainvälisen kaupan osastolle osoittama, 21.6.2016 päivätty kirje, jossa täsmennetään, että PPD-28 mahdollistaa ”valikoimattoman” keruun, joka koskee ”verrattain suuren tietomäärän hankkimista signaalitiedustelun avulla olosuhteissa, joissa tiedusteluyhteisöllä ei ole käytössään tiettyyn kohteeseen liittyvää tunnistetta – – eikä keruuta voi tästä syystä kohdentaa tuohon nimenomaiseen kohteeseen”.
Pääasia ja ennakkoratkaisukysymykset
50 Maximillian Schrems, joka on Itävallan kansalainen ja asuu Itävallassa, on ollut Facebook-verkkoyhteisöpalvelun (jäljempänä Facebook) käyttäjä vuodesta 2008.
51 Kukin unionin alueella asuva henkilö, joka haluaa käyttää Facebookia, joutuu siihen liittyessään tekemään sopimuksen Facebook Irelandin kanssa; tämä on Facebook Inc:n, jonka kotipaikka on Yhdysvalloissa, tytäryhtiö. Unionin alueella asuvien Facebookin käyttäjien henkilötiedot siirretään kokonaan tai osittain käsiteltäviksi Facebook Inc:lle kuuluville palvelimille, jotka sijaitsevat Yhdysvaltojen alueella.
52 Schrems teki 25.6.2013 Irlannin tietosuojavaltuutetulle kantelun, jossa hän pääasiallisesti vaati tätä kieltämään Facebook Irelandia siirtämästä hänen henkilötietojaan Yhdysvaltoihin ja väitti, että kyseisessä maassa voimassa olevat oikeussäännöt ja käytännöt eivät takaa sen alueella säilytetyille henkilötiedoille riittävää suojaa viranomaisten siellä harjoittamaa tarkkailutoimintaa vastaan. Kantelu hylättiin erityisesti sillä perusteella, että komissio oli päätöksessään 2000/520 todennut, että Yhdysvalloissa taataan riittävä tietosuojan taso.
53 High Court (ylempi piirituomioistuin, Irlanti), jossa Schrems nosti kanteen kantelunsa hylkäävästä päätöksestä, esitti unionin tuomioistuimelle ennakkoratkaisukysymyksen päätöksen 2000/520 tulkinnasta ja pätevyydestä. Unionin tuomioistuin totesi 6.10.2015 antamassaan tuomiossa Schrems (C‑362/14, EU:C:2015:650) tämän päätöksen pätemättömäksi.
54 Ennakkoratkaisua pyytänyt tuomioistuin kumosi tuomion Schrems seurauksena päätöksen, jolla Schremsin kantelu oli hylätty, ja palautti sen Irlannin tietosuojavaltuutetun käsiteltäväksi. Viimeksi mainitun aloittaman tutkinnan yhteydessä Facebook Ireland selitti, että suuri osa henkilötiedoista siirrettiin Facebook Inc:lta päätöksen 2010/87 liitteessä olevien tietosuojaa koskevien vakiolausekkeiden perusteella. Nämä seikat huomioon ottaen Irlannin tietosuojavaltuutettu kehotti Schremsiä muotoilemaan kantelunsa uudelleen.
55 Schrems väitti uudelleen muotoillussa kantelussaan, jonka hän teki 1.12.2015, muun muassa, että Yhdysvaltojen oikeudessa Facebook Inc. velvoitetaan saattamaan sille siirretyt henkilötiedot Yhdysvaltojen viranomaisten, kuten National Security Agencyn (NSA) ja Federal Bureau of Investigationin (FBI) saataville. Hän väitti, että koska näitä tietoja käytetään erilaisten tarkkailuohjelmien yhteydessä tavalla, joka on ristiriidassa perusoikeuskirjan 7, 8 ja 47 artiklan kanssa, päätös 2010/87 ei voi olla perusteena näiden tietojen Yhdysvaltoihin siirrolle. Schrems vaati näin ollen Irlannin tietosuojavaltuutettua kieltämään henkilötietojensa siirron Facebook Inc:lle tai lykkäämään sitä.
56 Irlannin tietosuojavaltuutettu julkaisi 24.5.2016 päätösluonnoksen, johon sisältyi yhteenveto hänen suorittamansa tutkinnan alustavista päätelmistä. Hän katsoi päätösluonnoksessa alustavasti, että on vaarana, että Yhdysvaltojen viranomaiset käsittelevät unionin kansalaisten Yhdysvaltoihin siirrettyjä henkilötietoja perusoikeuskirjan 7 ja 8 artiklan kanssa yhteensopimattomalla tavalla ja että Yhdysvaltojen oikeudessa ei anneta näille kansalaisille perusoikeuskirjan 47 artiklan kanssa yhteensopivia oikeussuojakeinoja. Irlannin tietosuojavaltuutettu katsoi, että päätöksen 2010/87 liitteessä olevat tietosuojaa koskevat vakiolausekkeet eivät korjaa tätä puutetta, koska niillä annetaan rekisteröidyille vain sopimukseen perustuvia oikeuksia tietojen viejää ja tuojaa vastaan eivätkä ne kuitenkaan sido Yhdysvaltojen viranomaisia.
57 Koska Irlannin tietosuojavaltuutettu katsoi tässä tilanteessa, että Schremsin uudelleen muotoiltu kantelu nosti esiin kysymyksen päätöksen 2010/87 pätevyydestä, hän saattoi 6.10.2015 annettuun tuomioon Schrems (C‑362/14, EU:C:2015:650, 65 kohta) nojautuen High Courtissa 31.5.2016 vireille menettelyn, jotta tämä esittäisi tämän kysymyksen unionin tuomioistuimelle. High Court saattoi 4.5.2018 tekemällään päätöksellä nyt käsiteltävänä olevan ennakkoratkaisupyynnön unionin tuomioistuimen käsiteltäväksi.
58 High Court liitti tähän ennakkoratkaisupyyntöön 3.10.2017 antamansa tuomion, johon se oli sisällyttänyt sille kansallisessa menettelyssä – johon Yhdysvaltojen hallitus osallistui – esitettyjen todisteiden tutkimisen tulokset.
59 Kyseisessä tuomiossa, johon ennakkoratkaisupyynnössä useaan otteeseen viitataan, ennakkoratkaisua pyytänyt tuomioistuin totesi, että lähtökohtaisesti sillä on oikeus mutta myös velvollisuus tutkia kaikki sille esitetyt tosiseikat ja argumentit ja ratkaista niiden perusteella, tarvitaanko ennakkoratkaisua vai ei. Sen on joka tapauksessa otettava huomioon muutokset, jotka lainsäädäntöön mahdollisesti on tehty kanteen nostamisen ja istuntokäsittelyn välisenä aikana. Kyseinen tuomioistuin täsmensi, että pääasiassa sen oma arviointi ei rajoitu Irlannin tietosuojavaltuutetun esittämiin pätemättömyysperusteisiin, vaan se voi ottaa viran puolesta huomioon muita pätemättömyysperusteita ja päättää niiden perusteella esittää ennakkoratkaisupyynnön.
60 Kyseisessä tuomiossa esitettyjen toteamusten mukaan Yhdysvaltojen viranomaisten Yhdysvaltoihin siirrettyjä henkilötietoja koskeva tiedustelutoiminta perustuu erityisesti FISA:n 702 §:ään ja E.O. 12333:een.
61 Ennakkoratkaisua pyytänyt tuomioistuin täsmentää samassa tuomiossa FISA:n 702 §:n osalta, että kyseisen pykälän mukaan oikeusministeri ja kansallisen tiedusteluviraston johtaja voivat, FISC‑tuomioistuimen annettua hyväksyntänsä, yhdessä antaa ”ulkomaantiedustelutietojen” hankkimiseksi luvan tarkkailla henkilöitä, jotka eivät ole Yhdysvaltojen kansalaisia ja jotka eivät oleskele Yhdysvaltojen alueella, ja joka toimii erityisesti PRISM- ja UPSTREAM‑tarkkailuohjelmien perustana. Tämän tuomioistuimen tekemien toteamusten mukaan PRISM-ohjelmassa internetpalvelujen tarjoajien on toimitettava NSA:lle kaikki sen ilmoittaman valintakriteerin ”lähtevä” tai ”saapuva” viestintä, ja osa tästä viestinnästä toimitetaan myös FBI:lle ja Central Intelligence Agencylle (CIA) (keskustiedustelupalvelu).
62 Mainittu tuomioistuin totesi UPSTREAM-ohjelmasta, että tässä ohjelmassa sähköisen viestinnän yritykset, jotka ylläpitävät internetin runkoverkkoa – eli kaapeliverkkoja, verkkokytkimiä ja verkkoreitittimiä – ovat velvollisia antamaan NSA:n kopioida ja suodattaa internetliikennettä sellaisen henkilön, joka ei ole Yhdysvaltojen kansalainen ja johon on yhdistetty valintakriteeri, lähtevän tai saapuvan viestinnän tai tätä henkilöä koskevan viestinnän hankkimiseksi. Saman tuomioistuimen tekemien toteamusten mukaan NSA:lla on tämän ohjelman puitteissa pääsy sekä metatietoihin että viestinnän sisältöön.
63 Siltä osin kuin kyse on E.O. 12333:sta, ennakkoratkaisua pyytänyt tuomioistuin toteaa, että se mahdollistaa NSA:n pääsyn tietoihin, joita ollaan siirtämässä Yhdysvaltoihin, merenalaisten kaapeleiden kautta, jotka sijaitsevat Atlantin valtameren pohjassa, sekä näiden tietojen keräämisen ja säilyttämisen ennen kuin ne saapuvat Yhdysvaltoihin, jossa niihin sovelletaan FISA:n säännöksiä. Se täsmentää, että E.O. 12333:een perustuvia toimintoja ei säännellä lailla.
64 Siltä osin kuin kyse on tiedustelutoiminnalle asetetuista rajoituksista, ennakkoratkaisua pyytänyt tuomioistuin korostaa, että ei-yhdysvaltalaisiin henkilöihin sovelletaan ainoastaan PPD-28:aa ja että siinä todetaan vain, että tiedustelutoiminnan on oltava ”mahdollisimman räätälöityä” (as tailored as feasible). Ennakkoratkaisua pyytänyt tuomioistuin katsoo näiden toteamusten perusteella, että Yhdysvallat harjoittaa valikoimatonta tietojen käsittelyä takaamatta suojaa, joka pääosiltaan vastaisi perusoikeuskirjan 7 ja 8 artiklassa taattua suojaa.
65 Oikeussuojan osalta tämä tuomioistuin toteaa, että unionin kansalaisilla ei ole käytettävissään samoja oikeussuojakeinoja kuin Yhdysvaltojen kansalaisilla Yhdysvaltojen viranomaisten käsitellessä heidän henkilötietojaan, koska Yhdysvaltojen perustuslain (Constitution of the United States) neljäs lisäys, joka Yhdysvaltojen oikeudessa muodostaa tärkeimmän suojan lainvastaista valvontaa vastaan, ei ole sovellettavissa unionin kansalaisiin. Ennakkoratkaisua pyytänyt tuomioistuin täsmentää tältä osin, että viimeksi mainittujen käytettäviksi jäävien oikeussuojakeinojen käytölle on huomattavia esteitä, erityisesti velvollisuus osoittaa asiavaltuus, mikä sen mukaan on kohtuuttoman vaikeasti täytettävissä. Lisäksi tämän tuomioistuimen toteamusten mukaan NSA:n E.O. 12333:een perustuviin tehtäviin ei kohdistu tuomioistuinvalvonta eikä niiden osalta ole käytettävissä oikeussuojakeinoja. Kyseinen tuomioistuin katsoo, että koska sen mukaan Privacy Shield ‑järjestelyn oikeusasiamies ei ole perusoikeuskirjan 47 artiklassa tarkoitettu tuomioistuin, Yhdysvaltojen oikeudessa ei varmisteta unionin kansalaisille suojan tasoa, joka pääosiltaan vastaa tässä artiklassa vahvistetulla perusoikeudella taatun suojan tasoa.
66 Ennakkoratkaisua pyytänyt tuomioistuin täsmentää ennakkoratkaisupyynnössään vielä, että pääasian asianosaiset ovat eri mieltä erityisesti siitä, sovelletaanko unionin oikeutta sellaisiin kolmanteen maahan tehtäviin siirtoihin, jotka koskevat henkilötietoja, joita kyseisen maan viranomaiset voivat käsitellä muun muassa kansallista turvallisuutta varten, sekä siitä, mitä seikkoja on otettava huomioon arvioitaessa kyseisen maan varmistaman suojan tason riittävyyttä. Erityisesti tämä tuomioistuin huomauttaa, että Facebook Irelandin mukaan kolmannen maan varmistaman suojan tason riittävyyttä koskevat komission toteamukset, sellaisina kuin ne esitetään Privacy Shield ‑päätöksessä, sitovat valvontaviranomaisia myös sellaisen henkilötietojen siirron yhteydessä, joka perustuu päätöksen 2010/87 liitteessä oleviin tietosuojaa koskeviin vakiolausekkeisiin.
67 Siltä osin kuin kyse on tietosuojaa koskevista vakiolausekkeista, kyseinen tuomioistuin pohtii, voidaanko päätöstä 2010/87 pitää pätevänä, vaikka kyseisen tuomioistuimen mukaan nämä lausekkeet eivät ole luonteeltaan asianomaisen kolmannen maan viranomaisia sitovia eivätkä ne siis korjaa riittävän suojan tason mahdollista puuttumista tässä maassa. Se katsoo tältä osin, että päätöksen 2010/87, sellaisena kuin se oli voimassa ennen täytäntöönpanopäätöksen 2016/2297 voimaantuloa, 4 artiklan 1 kohdan a alakohdassa jäsenvaltion toimivaltaisille viranomaisille annettu mahdollisuus kieltää henkilötietojen siirto kolmanteen maahan, joka asettaa tietojen tuojalle velvollisuuksia, jotka ovat yhteensopimattomia näihin samoihin lausekkeisiin sisältyvien takeiden kanssa, osoittaa, että kolmannen maan oikeuden tila voi olla perusteena tietojen siirron kieltämiselle, vaikka siirto toteutettaisiin päätöksen 2010/87 liitteessä olevien tietosuojaa koskevien vakiolausekkeiden perusteella, ja siitä voidaan päätellä, että lausekkeet eivät välttämättä riitä varmistamaan riittävää suojaa. Ennakkoratkaisua pyytänyt tuomioistuin pohtii silti, minkä laajuinen on Irlannin tietosuojavaltuutetun valta kieltää näihin lausekkeisiin perustuva tietojen siirto, mutta se katsoo kuitenkin, että valtuutetun harkintavalta ei voi riittää varmistamaan riittävää suojaa.
68 Näissä olosuhteissa High Court päätti lykätä ratkaisun antamista ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Olosuhteissa, joissa yksityinen yritys siirtää henkilötietoja [unionin] jäsenvaltiosta yksityiselle yritykselle kolmanteen maahan kaupallisessa tarkoituksessa [päätöksen 2010/87] nojalla ja näitä tietoja voivat edelleen käsitellä kolmannessa maassa sen viranomaiset kansallista turvallisuutta varten mutta myös lainvalvontaa ja kolmannen maan ulkosuhteiden hoitamista varten, sovelletaanko unionin oikeutta (mukaan lukien perusoikeuskirja) tietojensiirtoon huolimatta SEU 4 artiklan 2 kohdan kansallista turvallisuutta koskevista määräyksistä ja direktiivin [95/46] 3 artiklan 2 kohdan ensimmäisen luetelmakohdan yleistä turvallisuutta, puolustusta ja valtion turvallisuutta koskevista säännöksistä?
2) a) Määritettäessä, onko kyseessä henkilön oikeuksien loukkaus, kun tietoja siirretään [päätöksen 2010/87] nojalla unionista kolmanteen maahan, jossa niitä voidaan edelleen käsitellä kansallista turvallisuutta varten, onko vertailuperusteena direktiivin [95/46] mukaisesti
i) perusoikeuskirja, EU-sopimus, EUT-sopimus, direktiivi [95/46], [Roomassa 4.11.1950 allekirjoitettu ihmisoikeuksien ja perusvapauksien suojaamiseksi tehty yleissopimus (jäljempänä Euroopan ihmisoikeussopimus)] (tai jokin muu unionin oikeussääntö) vai
ii) yhden tai useamman jäsenvaltion lainsäädäntö?
b) Jos vertailuperuste on ii, onko kansalliseen turvallisuuteen liittyvät käytännöt yhdessä tai useammassa jäsenvaltiossa myös sisällytettävä vertailuperusteeseen?
3) Arvioitaessa, takaako kolmas maa sinne lähetetyille henkilötiedoille unionin lainsäädännössä edellytetyn suojan tason direktiivin [95/46] 26 artiklan mukaisesti, onko suojan tasoa kolmannessa maassa arvioitava käyttäen perusteena
a) kolmannessa maassa sovellettavia sääntöjä, jotka seuraavat sen omasta lainsäädännöstä tai kansainvälisistä sitoumuksista, ja näiden sääntöjen noudattamisen varmistamiseen tarkoitettua käytäntöä, mukaan lukien ammatilliset säännöt ja turvatoimenpiteet, joita noudatetaan kolmannessa maassa,
vai
b) edellä a kohdassa mainittuja sääntöjä yhdessä sellaisten hallinnollisten käytäntöjen, sääntelykäytäntöjen ja valvontakäytäntöjen, toimintaperiaatteisiin liittyvien suojakeinojen, menettelyiden, protokollien, seurantajärjestelmien ja tuomioistuimen ulkopuolisten oikeussuojakeinojen kanssa, jotka kolmannessa maassa ovat käytössä?
4) Kun otetaan huomioon High Courtin Yhdysvaltojen lainsäädännöstä tekemät tosiseikkoja koskevat toteamukset, loukkaako henkilötietojen siirto unionista Yhdysvaltoihin [päätöksen 2010/87] nojalla perusoikeuskirjan 7 ja/tai 8 artiklassa tarkoitettuja yksilöiden oikeuksia?
5) Kun otetaan huomioon High Courtin Yhdysvaltojen lainsäädännöstä tekemät tosiseikkoja koskevat toteamukset, siirrettäessä henkilötietoja unionista Yhdysvaltoihin [päätöksen 2010/87] nojalla,
a) kunnioittaako Yhdysvaltojen tarjoama suojan taso yksilölle perusoikeuskirjan 47 artiklassa taatun oikeussuojakeinoa koskevan oikeuden keskeistä sisältöä siinä tapauksessa, että yksilön tietosuojaoikeuksia loukataan?
Jos viidennen kysymyksen a kohtaan vastataan myöntävästi,
b) ovatko rajoitukset, joita Yhdysvaltojen lainsäädännössä asetetaan yksilön oikeussuojakeinoa koskevalle oikeudelle Yhdysvaltojen kansallisen turvallisuuden yhteydessä, suhteellisuusperiaatteen mukaisia perusoikeuskirjan 52 artiklassa tarkoitetulla tavalla ja sellaisia, että ne eivät mene yli sen, mikä on tarpeen demokraattisessa yhteiskunnassa kansallisen turvallisuuden perusteella?
6) a) Minkä tasoista suojaa edellytetään annettavan henkilötiedoille, jotka on siirretty kolmanteen maahan mallisopimuslausekkeiden mukaisesti, jotka on annettu [direktiivin 95/46] 26 artiklan 4 kohdan nojalla annetun komission päätöksen mukaisesti, [tämän] direktiivin säännösten valossa ja erityisesti [sen] 25 ja 26 artiklan valossa, kun ne luetaan perusoikeuskirjan valossa?
b) Mitä seikkoja on otettava huomioon arvioitaessa, täyttääkö [päätöksen 2010/87] nojalla kolmanteen maahan siirretyille tiedoille annettu suojan taso direktiivissä [95/46] ja perusoikeuskirjassa asetetut vaatimukset?
7) Onko se, että mallisopimuslausekkeita sovelletaan tietojen viejän ja tietojen tuojan välillä ja ne eivät sido kansallisia viranomaisia kolmannessa maassa, joka voi pyytää tietojen tuojaa asettamaan turvallisuuspalvelujensa saataville edelleen käsittelyä varten [päätöksen 2010/87] lausekkeiden mukaisesti siirretyt henkilötiedot, esteenä sille, että lausekkeet voisivat tarjota direktiivin [95/46] 26 artiklan 2 kohdassa tarkoitetut riittävät takeet?
8) Jos kolmannen maan tietojen tuojaan sovelletaan tarkkailulainsäädäntöä, joka [valvontaviranomaisen] näkökulmasta on ristiriidassa [mallisopimuslausekkeiden] tai direktiivin [95/46] 25 ja 26 artiklan ja/tai perusoikeuskirjan kanssa, onko [valvontaviranomaisen] käytettävä direktiivin [95/46] 28 artiklan 3 kohdan mukaisia lainvalvontavaltuuksiaan keskeyttääkseen tietojensiirrot, vai onko näiden valtuuksien käyttö rajattu vain poikkeuksellisiin tapauksiin [päätöksen 2010/87] johdanto-osan 11 perustelukappaleen valossa, vai voiko [valvontaviranomainen] käyttää harkintavaltaansa ja olla keskeyttämättä tietojensiirtoa?
9) a) Onko [Privacy Shield ‑päätös] direktiivin [95/46] 25 artiklan 6 kohdassa tarkoitettu yleisesti sovellettava toteamus, joka sitoo jäsenvaltioiden [valvontaviranomaisia] ja tuomioistuimia ja jonka mukaan Yhdysvallat varmistaa direktiivin [95/46] 25 artiklan 2 kohdassa tarkoitetun riittävän suojan tason kansallisessa lainsäädännössään tai kansainvälisissä sitoumuksissaan?
b) Jos näin ei ole, mitä merkitystä Privacy Shield ‑päätöksellä on arvioitaessa niiden takeiden riittävyyttä, jotka [päätöksen 2010/87] mukaisesti annetaan Yhdysvaltoihin siirretyille tiedoille?
10) Kun otetaan huomioon High Courtin tekemät toteamukset Yhdysvaltojen lainsäädännöstä, varmistaako Privacy Shield ‑päätöksen [liitteessä III olevaan liitteeseen A] sisältyvä Privacy Shield ‑oikeusasiamiesjärjestelmä, kun sitä tarkastellaan yhdessä Yhdysvaltojen olemassa olevan järjestelmän kanssa, että Yhdysvallat tarjoaa rekisteröidyille, joiden henkilötietoja on siirretty Yhdysvaltoihin [päätöksen 2010/87] perusteella, oikeussuojakeinon, joka on yhteensopiva perusoikeuskirjan 47 artiklan kanssa?
11) Loukataanko [päätöksellä 2010/87] perusoikeuskirjan 7, 8 ja/tai 47 artiklaa?”
Ennakkoratkaisupyynnön tutkittavaksi ottaminen
69 Facebook Ireland sekä Saksan ja Yhdistyneen kuningaskunnan hallitukset katsovat, että ennakkoratkaisupyyntö on jätettävä tutkimatta.
70 Facebook Ireland toteaa esittämässään väitteessä, että direktiivin 95/46 säännökset, joihin ennakkoratkaisukysymykset perustuvat, on kumottu yleisellä tietosuoja-asetuksella.
71 Tästä on todettava, että vaikka direktiivi 95/46 kumottiin yleisen tietosuoja-asetuksen 94 artiklan 1 kohdan nojalla 25.5.2018 alkavin vaikutuksin, se oli vielä voimassa 4.5.2018, kun tämä ennakkoratkaisupyyntö, joka saapui unionin tuomioistuimeen 9.5.2018, esitettiin. Lisäksi direktiivin 95/46 3 artiklan 2 kohdan ensimmäinen luetelmakohta, 25 ja 26 artikla sekä 28 artiklan 3 kohta, joihin ennakkoratkaisupyynnöissä viitataan, on pääosin toistettu yleisen tietosuoja-asetuksen 2 artiklan 2 kohdassa sekä 45, 46 ja 58 artiklassa. Lisäksi on syytä palauttaa mieleen, että unionin tuomioistuimen tehtävänä on tulkita kaikkia unionin oikeuden säännöksiä ja määräyksiä, joita kansalliset tuomioistuimet tarvitsevat ratkaistessaan niiden käsiteltäväksi saatettuja asioita, vaikka näitä säännöksiä ja määräyksiä ei olisi nimenomaisesti mainittu kansallisten tuomioistuinten unionin tuomioistuimelle esittämissä kysymyksissä (tuomio 2.4.2020, Ruska Federacija, C‑897/19 PPU, EU:C:2020:262, 43 kohta oikeuskäytäntöviittauksineen). Näistä eri syistä se, että ennakkoratkaisua pyytänyt tuomioistuin muotoili ennakkoratkaisukysymykset viittaamalla ainoastaan direktiivin 95/46 säännöksiin, ei voi merkitä sitä, että tämä ennakkoratkaisupyyntö on jätettävä tutkimatta.
72 Saksan hallitus puolestaan perustaa oikeudenkäyntiväitteensä yhtäältä siihen, että Irlannin tietosuojavaltuutettu on ilmaissut vain epäilyksiä eikä lopullista mielipidettä päätöksen 2010/87 pätevyydestä, ja toisaalta siihen, että ennakkoratkaisua pyytänyt tuomioistuin ei ole tarkistanut, oliko Schrems epäilyksettä antanut suostumuksensa pääasiassa kyseessä olevien tietojen siirtoon, mikä, jos näin olisi, tekisi vastauksen antamisen tähän kysymykseen tarpeettomaksi. Lopuksi Yhdistyneen kuningaskunnan hallituksen mukaan ennakkoratkaisukysymykset ovat hypoteettisia, koska kyseinen tuomioistuin ei ole todennut, että nämä tiedot oli tosiasiallisesti siirretty tämän päätöksen perusteella.
73 Unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan yksinomaan kansallisen tuomioistuimen, jossa asia on vireillä ja joka vastaa annettavasta ratkaisusta, tehtävänä on kunkin asian erityispiirteiden perusteella harkita, onko ennakkoratkaisu tarpeen asian ratkaisemiseksi ja onko sen unionin tuomioistuimelle esittämillä kysymyksillä merkitystä asian kannalta. Jos esitetyt kysymykset koskevat unionin oikeusäännön tulkintaa tai pätevyyttä, unionin tuomioistuimen on siten lähtökohtaisesti ratkaistava ne. Tästä seuraa, että unionin oikeutta koskevilla kysymyksillä oletetaan olevan merkitystä asian ratkaisemisen kannalta. Unionin tuomioistuin voi kieltäytyä vastaamasta kansallisen tuomioistuimen esittämään ennakkoratkaisukysymykseen vain, jos ilmenee, että unionin oikeuden tulkitsemisella, jota kansallinen tuomioistuin on pyytänyt, ei ole mitään yhteyttä kansallisessa tuomioistuimessa käsiteltävän asian tosiseikkoihin tai kohteeseen, tai jos kyseinen ongelma on luonteeltaan hypoteettinen taikka unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyihin kysymyksiin (tuomio 16.6.2015, Gauweiler ym., C‑62/14, EU:C:2015:400, 24 ja 25 kohta; tuomio 2.10.2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, 45 kohta ja tuomio 19.12.2019, Dobersberger, C‑16/18, EU:C:2019:1110, 18 ja 19 kohta).
74 Käsiteltävässä asiassa ennakkoratkaisupyynnön esittämisestä tehty päätös sisältää riittävät tosiseikat ja oikeudelliset seikat ennakkoratkaisukysymysten ulottuvuuden ymmärtämiseksi. Lisäksi ja ennen kaikkea on niin, että unionin tuomioistuimen käytettävissä olevassa asiakirja-aineistossa ei ole mitään, minkä perusteella voitaisiin katsoa, että pyydetyllä unionin oikeuden tulkinnalla ei olisi yhteyttä kansallisessa tuomioistuimessa käsiteltävän asian tosiseikkoihin tai kohteeseen tai että se olisi luonteeltaan hypoteettinen, erityisesti siitä syystä, että pääasiassa kyseessä oleva henkilötietojen siirto perustuisi rekisteröidyn tähän siirtoon antamaan nimenomaiseen suostumukseen eikä päätökseen 2010/87. Tässä pyynnössä esitettyjen tietojen mukaan Facebook Ireland on näet myöntänyt, että se siirtää Facebook Inc:lle unionissa asuvien käyttäjiensä henkilötiedot ja että suuri osa näistä siirroista, joiden laillisuuden Schrems riitauttaa, toteutetaan päätöksen 2010/87 liitteessä olevien tietosuojaa koskevien vakiolausekkeiden perusteella.
75 Lisäksi tämän ennakkoratkaisupyynnön tutkittavaksi ottamiseen ei vaikuta se, että Irlannin tietosuojavaltuutettu ei ole esittänyt lopullista mielipidettä tämän päätöksen pätevyydestä, koska ennakkoratkaisua pyytänyt tuomioistuin katsoo, että vastaus ennakkoratkaisukysymyksiin, jotka koskevat unionin oikeussääntöjen tulkintaa ja pätevyyttä, on tarpeen pääasian ratkaisemiseksi.
76 Tästä seuraa, että ennakkoratkaisupyyntö on otettava tutkittavaksi.
Ennakkoratkaisukysymysten tarkastelu
77 Aluksi on syytä palauttaa mieleen, että käsiteltävänä olevan ennakkoratkaisupyynnön taustalla on Schremsin tekemä kantelu, jolla hän pyrki saamaan Irlannin tietosuojavaltuutetun keskeyttämään tai kieltämään tulevaisuudessa sen, että Facebook Ireland siirtää henkilötietoja Facebook Inc:lle. Vaikka ennakkoratkaisukysymyksissä viitataan direktiivin 95/46 säännöksiin, on kiistatonta, että Irlannin tietosuojavaltuutettu ei vielä ollut tehnyt tästä kantelusta lopullista päätöstä, kun kyseinen direktiivi kumottiin ja korvattiin yleisellä tietosuoja-asetuksella 25.5.2018 alkavin vaikutuksin.
78 Tämä kansallisen päätöksen puuttuminen erottaa pääasiassa kyseessä olevan tilanteen tilanteista, jotka johtivat 24.9.2019 annettuun tuomioon Google (Hakutulosten luettelosta poistamisen alueellinen ulottuvuus) (C‑507/17, EU:C:2019:772) ja 1.10.2019 annettuun tuomioon Planet49 (C‑673/17, EU:C:2019:801), joissa kyseessä olivat ennen mainitun direktiivin kumoamista annetut päätökset.
79 Ennakkoratkaisukysymyksiin on siis vastattava yleisen tietosuoja-asetuksen säännösten eikä direktiivin 95/46 säännösten perusteella.
Ensimmäinen kysymys
80 Ennakkoratkaisua pyytänyt tuomioistuin haluaa ensimmäisellä kysymyksellään selvittää ennen kaikkea, onko yleisen tietosuoja-asetuksen 2 artiklan 1 kohtaa ja 2 artiklan 2 kohdan a, b ja d alakohtaa, luettuina yhdessä SEU 4 artiklan 2 kohdan kanssa, tulkittava siten, että tämän asetuksen soveltamisalaan kuuluu henkilötietojen siirto, jonka jäsenvaltioon sijoittautunut talouden toimija toteuttaa siirtämällä tiedot kolmanteen maahan sijoittautuneelle talouden toimijalle, kun kyseisen kolmannen maan viranomaiset voivat tämän siirron kuluessa tai sen jälkeen käsitellä näitä tietoja yleistä turvallisuutta, puolustusta ja valtion turvallisuutta varten.
81 Tältä osin on aluksi todettava, että SEU 4 artiklan 2 kohtaan sisältyvä määräys, jonka mukaan unionissa kansallinen turvallisuus säilyy yksinomaan kunkin jäsenvaltion vastuulla, koskee ainoastaan unionin jäsenvaltioita. Tämä määräys ei näin ollen ole tässä tapauksessa merkityksellinen yleisen tietosuoja-asetuksen 2 artiklan 1 kohdan ja 2 artiklan 2 kohdan a, b ja d alakohdan tulkitsemiseksi.
82 Yleisen tietosuoja-asetuksen 2 artiklan 1 kohdan mukaan tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Kyseisen asetuksen 4 artiklan 2 kohtaan sisältyvän määritelmän mukaan ”käsittelyllä” tarkoitetaan ”toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti”, ja siinä mainitaan esimerkkeinä ”tietojen luovuttami[nen] siirtämällä, levittämällä tai asettamalla ne muutoin saataville” tekemättä eroa sen mukaan, toteutetaanko nämä toiminnot unionin sisällä vai onko niillä yhteys kolmanteen maahan. Lisäksi kyseisessä asetuksessa henkilötietojen siirtoa kolmansiin maihin koskevat erityiset säännökset, jotka sisältyvät sen V lukuun, jonka otsikko on ”Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille”, ja siinä annetaan lisäksi valvontaviranomaisille tätä varten erityisiä toimivaltuuksia, jotka sisältyvät asetuksen 58 artiklan 2 kohdan j alakohtaan.
83 Tästä seuraa, että toiminnossa, jolla henkilötietoja siirretään jäsenvaltiosta kolmanteen maahan, on sellaisenaan kyse yleisen tietosuoja-asetuksen 4 artiklan 2 kohdassa tarkoitetusta henkilötietojen käsittelystä jäsenvaltion alueella; tähän käsittelyyn sovelletaan asetusta sen 2 artiklan 1 kohdan nojalla (ks. analogisesti direktiivin 95/46 2 artiklan b alakohdasta ja 3 artiklan 1 kohdasta tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 45 kohta oikeuskäytäntöviittauksineen).
84 Siltä osin kuin kyse on siitä, voidaanko tällaisen toimenpiteen katsoa jäävän yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle sen 2 artiklan 2 kohdan nojalla, on muistettava, että kyseisessä säännöksessä säädetään poikkeuksista direktiivin 2 artiklan 1 kohdassa määriteltyyn soveltamisalaan ja että näitä poikkeuksia on tulkittava suppeasti (ks. analogisesti direktiivin 95/46 3 artiklan 2 kohdasta tuomio 10.7.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, 37 kohta oikeuskäytäntöviittauksineen).
85 Koska pääasiassa kyseessä olevan henkilötietojen siirron suorittaa Facebook Ireland Facebook Inc:lle eli siirto on kahden oikeushenkilön välinen, se ei kuulu yleisen tietosuoja-asetuksen 2 artiklan 2 kohdan c alakohdan, joka koskee tietojenkäsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa, soveltamisalaan. Mainittu siirto ei kuulu myöskään tämän asetuksen 2 artiklan 2 kohdan a, b ja d alakohdassa tarkoitettujen poikkeusten alaan, koska niissä esimerkkeinä mainitut toimet ovat kussakin tapauksessa valtiolle tai valtion viranomaisille tyypillisiä toimintoja, jotka eivät liity yksityisten henkilöiden toiminta-aloihin (ks. analogisesti direktiivin 95/46 3 artiklan 2 kohdasta tuomio 10.7.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, 38 kohta oikeuskäytäntöviittauksineen).
86 Se mahdollisuus, että kyseisen kolmannen maan viranomaiset käsittelevät kahden talouden toimijan välillä kaupallisissa tarkoituksissa siirrettyjä henkilötietoja siirron yhteydessä tai sen jälkeen yleistä turvallisuutta, puolustusta ja valtion turvallisuutta varten, ei voi sulkea tätä siirtoa yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle.
87 Lisäksi on niin, että kun tämän asetuksen 45 artiklan 2 kohdan a alakohdassa nimenomaisesti asetetaan komissiolle velvollisuus, arvioidessaan kolmannen maan tarjoaman tietosuojan tason riittävyyttä, ottaa huomioon muun muassa ”sekä yleinen että alakohtainen asiaankuuluva lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä viranomaisten pääsyä henkilötietoihin, sekä tällaisen lainsäädännön täytäntöönpano”, kyseissä säännöksessä tuodaan esiin, että se, että kolmas maa mahdollisesti käsittelee asianomaisia tietoja yleistä turvallisuutta, puolustusta ja valtion turvallisuutta varten, ei saata kyseenalaiseksi mainitun asetuksen sovellettavuutta kyseessä olevaan siirtoon.
88 Tästä seuraa, että tällainen siirto ei voi jäädä yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle siitä syystä, että kyseisen kolmannen maan viranomaiset voivat tämän siirron kuluessa tai sen jälkeen käsitellä näitä tietoja yleistä turvallisuutta, puolustusta ja valtion turvallisuutta varten.
89 Ensimmäiseen kysymykseen on siis vastattava, että yleisen tietosuoja-asetuksen 2 artiklan 1 ja 2 kohtaa on tulkittava siten, että tämän asetuksen soveltamisalaan kuuluu henkilötietojen siirto, jonka jäsenvaltioon sijoittautunut talouden toimija toteuttaa kaupallisessa tarkoituksessa siirtämällä tiedot kolmanteen maahan sijoittautuneelle talouden toimijalle, riippumatta siitä, että kyseisen kolmannen maan viranomaiset voivat tämän siirron kuluessa tai sen jälkeen käsitellä näitä tietoja yleistä turvallisuutta, puolustusta ja valtion turvallisuutta varten.
Toinen, kolmas ja kuudes kysymys
90 Ennakkoratkaisua pyytänyt tuomioistuin kysyy toisella, kolmannella ja kuudennella kysymyksellään unionin tuomioistuimelta ennen kaikkea yleisen tietosuoja-asetuksen 46 artiklan 1 kohdassa ja 2 kohdan c alakohdassa vaadittavasta tietosuojan tasosta siinä yhteydessä, kun henkilötietoja siirretään kolmanteen maahan tietosuojaa koskevien vakiolausekkeiden nojalla. Erityisesti kyseinen tuomioistuin pyytää unionin tuomioistuinta täsmentämään, mitkä seikat on otettava huomioon ratkaistaessa, varmistetaanko tämä suojan taso tällaisen siirron yhteydessä.
91 Siltä osin kuin kyse on vaadittavasta suojan tasosta, näistä säännöksistä yhdessä luettuina seuraa, että jollei tämän asetuksen 45 artiklan 3 kohdan mukaista tietosuojan riittävyyttä koskevaa päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan vain, jos se on toteuttanut ”asianmukaiset suojatoimet” ja jos rekisteröityjen saatavilla on ”täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja”; nämä asianmukaiset suojatoimet voidaan tarjota muun muassa komission antamilla tietosuojaa koskevilla vakiolausekkeilla.
92 Vaikka yleisen tietosuoja-asetuksen 46 artiklassa ei täsmennetä niiden vaatimusten luonnetta, jotka johtuvat tästä viittauksesta ”asianmukaisiin suojatoimiin”, ”täytäntöönpanokelpoisiin oikeuksiin” ja ”tehokkaisiin oikeussuojakeinoihin”, on syytä huomauttaa, että kyseinen artikla sisältyy asetuksen V lukuun ja että sitä on siis luettava asetuksen 44 artiklan valossa, jonka otsikko on ”Siirtoja koskeva yleinen periaate” ja jossa säädetään, että ”kaikkia tämän luvun säännöksiä on sovellettava, jotta varmistetaan, että tällä asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta”. Tämän suojan taso on näin ollen varmistettava riippumatta siitä, minkä kyseisen luvun säännöksen nojalla henkilötietojen siirto kolmanteen maahan on toteutettu.
93 Kuten julkisasiamies on todennut ratkaisuehdotuksensa 117 kohdassa, yleisen tietosuoja-asetuksen V luvun säännöksillä pyritään varmistamaan tämän suojan korkean tason jatkuvuus, kun henkilötietoja siirretään unionin ulkopuolelle, kyseisen asetuksen johdanto-osan kuudennessa perustelukappaleessa täsmennetyn tavoitteen mukaisesti.
94 Yleisen tietosuoja-asetuksen 45 artiklan 1 kohdan ensimmäisessä virkkeessä säädetään, että henkilötietojen siirto johonkin kolmanteen maahan voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori varmistaa riittävän tietosuojan tason. Tältä osin ilman että vaadittaisiin, että asianomainen kolmas maa takaa täysin saman suojan kuin unionin oikeusjärjestyksessä taataan, ilmaus ”tietosuojan riittävä taso” on ymmärrettävä, kuten tämän asetuksen johdanto-osan 104 perustelukappale vahvistaa, siten, että se edellyttää, että tämä kolmas maa tosiasiallisesti takaa maan sisäisen lainsäädäntönsä tai kansainvälisten sitoumustensa johdosta perusvapauksien ja ‑oikeuksien suojan sellaisen tason, joka pääosiltaan vastaa tasoa, joka taataan unionissa tämän asetuksen, luettuna perusoikeuskirjan valossa, nojalla. Jollei tällaista vaatimusta asetettaisi, tämän tuomion edellisessä kohdassa mainittu tavoite jäisi huomiotta (ks. analogisesti direktiivin 95/46 25 artiklan 6 kohdasta tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 73 kohta).
95 Tässä asiayhteydessä yleisen tietosuoja-asetuksen johdanto-osan 107 perustelukappaleessa todetaan, että jos ”jokin kolmas maa – – ei enää tarjoa riittävän tasoista tietosuojaa – – henkilötietojen siirtäminen kyseiseen kolmanteen maahan – – olisi kiellettävä, elleivät tässä asetuksessa säädetyt edellytykset, jotka liittyvät siirtoihin asianmukaisia suojatoimia soveltaen, – –, täyty”. Mainitun asetuksen johdanto-osan 108 perustelukappaleessa täsmennetään, että jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava saman asetuksen 46 artiklan 1 kohdan mukaisesti asianmukaiset suojatoimet ”kolmannen maan puutteellisen tietosuojan kompensoimiseksi” ja niillä olisi ”varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen”.
96 Tästä seuraa, kuten julkisasiamies on todennut ratkaisuehdotuksensa 115 kohdassa, että näillä asianmukaisilla suojatoimilla on varmistettava, että henkilöt, joiden henkilötietoja siirretään kolmanteen maahan tietosuojaa koskevien vakiolausekkeiden perusteella, saavat, samoin kuin tietosuojan riittävyyttä koskevaan päätökseen perustuvassa siirrossa, hyväkseen suojan tason, joka pääosiltaan vastaa unionissa taattua suojan tasoa.
97 Ennakkoratkaisua pyytänyt tuomioistuin pohtii myös sitä, onko tämä suojan taso, joka pääosiltaan vastaa unionissa taattua suojan tasoa, määritettävä unionin oikeuden ja erityisesti perusoikeuskirjassa taattujen oikeuksien perusteella ja/vai ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (jäljempänä Euroopan ihmisoikeussopimus) perusteella vaiko jäsenvaltioiden kansallisen lainsäädännön perusteella.
98 Tältä osin on muistettava, että vaikka SEU 6 artiklan 3 kohdassa vahvistetuin tavoin Euroopan ihmisoikeussopimuksessa tunnustetut perusoikeudet ovat osa unionin oikeutta yleisinä periaatteina ja vaikka perusoikeuskirjan 52 artiklan 3 kohdassa määrätään, että perusoikeuskirjan oikeuksilla, jotka vastaavat Euroopan ihmisoikeussopimuksessa taattuja oikeuksia, on sama merkitys ja sama ulottuvuus kuin mainitussa sopimuksessa, sopimusta ei voida pitää – niin kauan kuin unioni ei ole siihen liittynyt – muodollisesti unionin oikeusjärjestykseen sisältyvänä oikeudellisena välineenä (tuomio 26.2.2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, 44 kohta oikeuskäytäntöviittauksineen ja tuomio 20.3.2018, Menci, C‑524/15, EU:C:2018:197, 22 kohta).
99 Näissä olosuhteissa unionin tuomioistuin on katsonut, että unionin oikeutta on tulkittava ja unionin toimien pätevyyttä tutkittava perusoikeuskirjassa taattujen perusoikeuksien perusteella (ks. analogisesti tuomio 20.3.2018, Menci, C‑524/15, EU:C:2018:197, 24 kohta).
100 Vakiintuneessa oikeuskäytännössä on lisäksi katsottu, että unionin oikeussääntöjen pätevyyttä ja – jos nimenomaista viittausta jäsenvaltioiden kansalliseen oikeuteen ei ole – niiden tulkintaa ei voida arvioida tämän kansallisen oikeuden perusteella, ei edes perustuslain tasoisen oikeuden, erityisesti niiden perustuslaissa vahvistettujen perusoikeuksien, perusteella (ks. vastaavasti tuomio 17.12.1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, 3 kohta; tuomio 13.12.1979, Hauer, 44/79, EU:C:1979:290, 14 kohta ja tuomio 18.10.2016, Nikiforidis, C‑135/15, EU:C:2016:774, 28 kohta oikeuskäytäntöviittauksineen).
101 Tästä seuraa, että kun yhtäältä pääasiassa kysymyksessä olevan kaltainen henkilötietojen siirto, jonka jäsenvaltioon sijoittautunut talouden toimija toteuttaa siirtämällä tiedot kaupallisissa tarkoituksissa kolmanteen maahan sijoittautuneelle toiselle talouden toimijalle, kuuluu, kuten ensimmäiseen kysymykseen annetusta vastauksesta ilmenee, yleisen tietosuoja-asetuksen soveltamisalaan ja kun toisaalta tällä asetuksella pyritään erityisesti, kuten sen johdanto-osan kymmenennestä perustelukappaleesta ilmenee, varmistamaan luonnollisten henkilöiden yhdenmukainen ja korkeatasoinen suojelu unionissa ja tätä varten varmistamaan näiden henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen kaikkialla unionissa, tämän asetuksen 46 artiklan 1 kohdassa edellytetty perusoikeuksien suojan taso on määritettävä tämän saman asetuksen säännösten perusteella, luettuina perusoikeuskirjassa taattujen perusoikeuksien valossa.
102 Ennakkoratkaisua pyytänyt tuomioistuin haluaa vielä tietää, mitä seikkoja on otettava huomioon määritettäessä suojan tason riittävyyttä, kun henkilötietoja siirretään kolmanteen maahan yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c alakohdan nojalla annettujen tietosuojaa koskevien vakiolausekkeiden perusteella.
103 Tältä osin on niin, että vaikka mainitussa säännöksessä ei luetella niitä eri seikkoja, jotka on otettava huomioon tällaisen siirron yhteydessä noudatettavan tietosuojan tason riittävyyden arvioinnissa, saman asetuksen 46 artiklan 1 kohdassa täsmennetään, että rekisteröityjen on saatava edukseen asianomaiset suojatoimet ja heidän saatavillaan on oltava täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.
104 Arvioinnissa, jota tätä varten edellytetään tällaisen siirron yhteydessä, on muun muassa otettava huomioon yhtäältä unioniin sijoittautuneen rekisterinpitäjän tai sen henkilötietojen käsittelijän ja asianomaiseen kolmanteen maahan sijoittautuneen siirron vastaanottajan välillä sovitut sopimusmääräykset ja toisaalta, siltä osin kuin kyse on tämän kolmannen maan viranomaisten mahdollisesta pääsystä siirrettyihin henkilötietoihin, tämän maan oikeusjärjestelmään liittyvät merkitykselliset tekijät. Viimeksi mainituilta osin tämän asetuksen 46 artiklan yhteydessä huomioon otettavat seikat vastaavat niitä, jotka on ilmaistu – esimerkinomaisesti – sen 45 artiklan 2 kohdassa.
105 Toiseen, kolmanteen ja kuudenteen kysymykseen on siis vastattava, että yleisen tietosuoja-asetuksen 46 artiklan 1 kohtaa ja 2 kohdan c alakohtaa on tulkittava siten, että näissä säännöksissä vaadituilla asianmukaisilla suojatoimenpiteillä, täytäntöönpanokelpoisilla oikeuksilla ja tehokkailla oikeussuojakeinoilla on varmistettava, että henkilöiden, joiden henkilötietoja siirretään kolmanteen maahan tietosuojaa koskevien vakiolausekkeiden perusteella, saavat edukseen sellaisen tietosuojan tason, joka pääosiltaan vastaa tasoa, joka taataan unionissa tällä asetuksella, luettuna perusoikeuskirjan valossa. Tätä varten tällaisen siirron yhteydessä varmistetun suojan tason arvioinnissa on muun muassa otettava huomioon yhtäältä unioniin sijoittautuneen rekisterinpitäjän tai sen henkilötietojen käsittelijän ja asianomaiseen kolmanteen maahan sijoittautuneen siirron vastaanottajan välillä sovitut sopimusmääräykset ja toisaalta, siltä osin kuin kyse on tämän kolmannen maan viranomaisten mahdollisesta pääsystä näin siirrettyihin henkilötietoihin, tämän maan oikeusjärjestelmään liittyvät merkitykselliset tekijät, erityisesti mainitun asetuksen 45 artiklan 2 kohdassa mainitut tekijät.
Kahdeksas kysymys
106 Ennakkoratkaisua pyytänyt tuomioistuin pyrkii kahdeksannella kysymyksellään selvittämään ennen kaikkea, onko yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f ja j alakohtaa tulkittava siten, että toimivaltaisen valvontaviranomaisen on keskeytettävä tai kiellettävä komission antamiin tietosuojaa koskeviin vakiolausekkeisiin perustuva henkilötietojen siirto kolmanteen maahan, jos tämä valvontaviranomainen katsoo, että näitä lausekkeita ei noudateta tai voida noudattaa tässä kolmannessa maassa ja jos unionin oikeudessa, erityisesti yleisessä tietosuoja-asetuksen 45 ja 46 artiklassa sekä perusoikeuskirjassa vaadittua siirrettyjen tietojen suojaa ei voida varmistaa, vai siten, että tämän toimivallan käyttö on rajattu poikkeuksellisiin tilanteisiin.
107 Perusoikeuskirjan 8 artiklan 3 kohdan ja yleisen tietosuoja-asetuksen 51 artiklan 1 kohdan ja 57 artiklan 1 kohdan a alakohdan mukaan kansalliset valvontaviranomaiset ovat vastuussa niiden unionin säännösten noudattamisen valvonnasta, jotka koskevat luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä. Näin ollen kukin niistä on toimivaltainen selvittämään, onko henkilötietojen siirto kolmanteen maahan jäsenvaltiosta, johon kyseinen viranomainen kuuluu, tässä asetuksessa säädettyjen vaatimusten mukaista (ks. analogisesti direktiivin 95/46 28 artiklasta tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 47 kohta).
108 Näistä säännöksistä johtuu, että valvontaviranomaisten ensisijainen tehtävä on valvoa yleisen tietosuoja-asetuksen soveltamista ja huolehtia sen täytäntöönpanosta. Tämän tehtävän toteuttamisella on erityinen merkitys siirrettäessä henkilötietoja kolmanteen maahan, koska, kuten mainitun asetuksen johdanto-osan 116 perustelukappaleen sanamuodosta käy ilmi, ”henkilötietojen siirtäminen valtioiden rajojen yli unionin ulkopuolelle voi vaikeuttaa luonnollisten henkilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta”. Tässä tilanteessa on niin, kuten samassa perustelukappaleessa täsmennetään, että ”valvontaviranomaiset eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan valtion rajojen ulkopuolella”.
109 Lisäksi yleisen tietosuoja-asetuksen 57 artiklan 1 kohdan f alakohdan nojalla jokaisen valvontaviranomaisen on alueellaan käsiteltävä valitukset, joita tämän asetuksen 77 artiklan 1 kohdan mukaan jokaisella rekisteröidyllä on oikeus tehdä, jos hän katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta. Valvontaviranomaisen asiana on tutkia tällainen valitus kaikkea asianmukaista huolellisuutta noudattaen (ks. analogisesti direktiivin 95/46 25 artiklan 6 kohdasta tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 63 kohta).
110 Yleisen tietosuoja-asetuksen 78 artiklan 1 ja 2 kohdassa tunnustetaan jokaiselle oikeus käyttää tehokkaita oikeussuojakeinoja muun muassa silloin, jos valvontaviranomainen ei käsittele hänen valitustaan. Tämän asetuksen johdanto-osan 141 perustelukappaleessa viitataan niin ikään tähän ”oikeu[teen] soveltaa tehokkaita oikeussuojakeinoja perusoikeuskirjan 47 artiklan mukaisesti”, jos ”valvontaviranomainen ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi”.
111 Yleisen tietosuoja-asetuksen 58 artiklan 1 kohdassa annetaan kullekin valvontaviranomaiselle valitusten käsittelemistä varten merkittävät tutkintavaltuudet. Jos tällainen viranomainen tutkintansa päätteeksi katsoo, että rekisteröity, jonka henkilötietoja on siirretty kolmanteen maahan, ei saa siellä hyväkseen riittävää tietosuojan tasoa, viranomaisen on unionin oikeuden mukaisesti reagoitava asianmukaisesti todetun puutteellisuuden korjaamiseksi ja näin on riippumatta tämän puutteellisuuden alkuperästä tai luonteesta. Tätä varten asetuksen 58 artiklan 2 kohdassa luetellaan korjaavat toimenpiteet, joita valvontaviranomainen voi käyttää.
112 Vaikka asianmukaisen ja tarpeellisen keinon valinta on valvontaviranomaisen tehtävä ja vaikka sen on tehtävä tämä valinta kyseessä olevan henkilötietojen siirron kaikki olosuhteet huomioon ottaen, tämän viranomaisen on kuitenkin suoritettava kaikkea vaadittavaa huolellisuutta noudattaen tehtävänsä, joka koskee tietosuoja-asetuksen kaikilta osin noudattamisen valvontaa.
113 Tältä osin, kuten julkisasiamies on myös todennut ratkaisuehdotuksensa 148 kohdassa, on niin, että valvontaviranomaisen on kyseisen asetuksen 58 artiklan 2 kohdan f ja j alakohdan nojalla keskeytettävä tai kiellettävä henkilötietojen siirto kolmanteen maahan, jos se katsoo tämän siirron kaikkien olosuhteiden valossa, että tietosuojaa koskevia vakiolausekkeita ei noudateta tai voida noudattaa tässä kolmannessa maassa ja että unionin oikeudessa edellytettyä siirrettyjen tietojen suojaa ei voida varmistaa muilla keinoilla, siltä osin kuin unioniin sijoittautunut rekisterinpitäjä tai sen henkilötietojen käsittelijä ei itse ole keskeyttänyt tai lopettanut siirtoa.
114 Edellisessä kohdassa esitettyä tulkintaa ei horjuta Irlannin tietosuojavaltuutetun väite, jonka mukaan päätöksen 2010/87 4 artiklassa, sellaisena kuin se oli ennen täytäntöönpanopäätöksen 2016/2297 voimaantuloa, luettuna yhdessä päätöksen 2010/87 johdanto-osan 11 perustelukappaleen kanssa, rajoitettiin tiettyihin poikkeuksellisiin tilanteisiin valvontaviranomaisen toimivalta keskeyttää tai kieltää henkilötietojen siirto kolmanteen maahan. Päätöksen 2010/87 4 artiklan täytäntöönpanopäätöksen 2016/2297 mukaisessa versiossa tuodaan näet esiin näillä viranomaisilla nykyisin yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f ja j alakohdassa oleva toimivalta keskeyttää tai kieltää tällainen siirto, eikä siinä millään tavoin rajoiteta tämän toimivallan käyttöä poikkeuksellisiin olosuhteisiin.
115 Joka tapauksessa on niin, että yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c alakohdassa komissiolle annettu täytäntöönpanovalta tietosuojaa koskevien vakiolausekkeiden antamista varten ei merkitse sitä, että komissiolla olisi toimivalta rajoittaa valtuuksia, jotka kansallisilla valvontaviranomaisilla on saman asetuksen 58 artiklan 2 kohdan nojalla (ks. analogisesti direktiivin 95/46 25 artiklan 6 kohdasta ja 28 artiklasta tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 102 ja 103 kohta). Lisäksi täytäntöönpanopäätöksen 2016/2297 johdanto-osan viides perustelukappale vahvistaa, että päätös 2010/87 ”ei estä kansallista valvontaviranomaista käyttämästä valtuuksiaan tietovirtojen valvonnassa, ja kyseinen viranomainen voi esimerkiksi keskeyttää tai kieltää henkilötietojen siirron, jos se katsoo, että tietojen siirrossa on rikottu EU:n tai kansallisen tietosuojalainsäädännön säännöksiä”.
116 On kuitenkin täsmennettävä, että toimivaltaisen valvontaviranomaisen on valtuuksiaan käyttäessään kaikilta osin noudatettava päätöstä, jolla komissio tarvittaessa yleisen tietosuoja-asetuksen 45 artiklan 1 kohdan ensimmäisen virkkeen mukaisesti toteaa, että tietty kolmas maa varmistaa tietosuojan riittävän tason. Tällaisessa tilanteessa asetuksen 45 artiklan 1 kohdan toisesta virkkeestä, luettuna yhdessä asetuksen johdanto-osan 103 perustelukappaleen kanssa, seuraa, että henkilötietojen siirroille asianomaiseen kolmanteen maahan ei tarvita erityistä lupaa.
117 Komission tietosuojan riittävyydestä tekemä päätös sitoo SEUT 288 artiklan neljännen kohdan nojalla kaikilta osiltaan kaikkia jäsenvaltioita, joille se on osoitettu, ja velvoittaa siten kaikkia niiden elimiä siltä osin kuin siinä todetaan, että asianomainen kolmas maa varmistaa riittävän tietosuojan tason, ja sen vaikutuksesta tämä tietojen siirto on sallittu (ks. analogisesti direktiivin 95/46 25 artiklan 6 kohdasta tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 51 kohta oikeuskäytäntöviittauksineen).
118 Niin kauan kuin unionin tuomioistuin ei ole todennut tietosuojan riittävyydestä tehtyä päätöstä pätemättömäksi, jäsenvaltiot ja niiden elimet, joihin niiden itsenäiset valvontaviranomaiset kuuluvat, eivät siis voi toteuttaa kyseisen päätöksen vastaisia toimenpiteitä, kuten toimia, joilla olisi tarkoitus todeta sitovasti, ettei päätöksen kohteena oleva kolmas maa varmista tietosuojan riittävää tasoa (tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 52 kohta oikeuskäytäntöviittauksineen), ja tämän johdosta keskeyttää tai kieltää henkilötietojen siirtoa tähän kolmanteen maahan.
119 Komission yleisen tietosuoja-asetuksen 45 artiklan 3 kohdan perusteella tekemä tietosuojan riittävyyttä koskeva päätös ei kuitenkaan voi estää henkilöitä, joiden henkilötiedot on siirretty tai voitaisiin siirtää kolmanteen maahan, saattamasta toimivaltaisen kansallisen valvontaviranomaisen käsiteltäväksi yleisen tietosuoja-asetuksen 77 artiklan 1 kohdan mukaisesti valitusta, joka koskee hänen oikeuksiensa ja vapauksiensa suojelua näiden tietojen käsittelyssä. Tällainen päätös ei myöskään voi tehdä tyhjäksi eikä heikentää valtuuksia, jotka kansallisille valvontaviranomaisille nimenomaisesti annetaan perusoikeuskirjan 8 artiklan 3 kohdassa ja mainitun asetuksen 51 artiklan 1 kohdassa ja 57 artiklan 1 kohdan a alakohdassa (ks. analogisesti direktiivin 95/46 25 artiklan 6 kohdasta ja 28 artiklasta tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 53 kohta).
120 Niinpä silloinkin, kun komissio on tehnyt tietosuojan riittävyyttä koskevan päätöksen, toimivaltaisen kansallisen valvontaviranomaisen, jonka käsiteltäväksi henkilö on saattanut valituksen oikeuksiensa ja vapauksiensa suojelusta henkilötietojensa käsittelyssä, on voitava tutkia täysin itsenäisesti, noudatetaanko näiden tietojen siirrossa yleisessä tietosuoja-asetuksessa säädettyjä vaatimuksia, ja tarvittaessa nostaa kanne kansallisissa tuomioistuimissa, jotta nämä voisivat, mikäli ne yhtyvät kyseisen viranomaisen epäilyihin tietosuojan riittävyyttä koskevan päätöksen pätevyydestä, pyytää ennakkoratkaisua tästä pätevyydestä (ks. analogisesti direktiivin 95/46 25 artiklan 6 kohdasta ja 28 artiklasta tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 57 ja 65 kohta).
121 Edellä esitetyn perusteella kahdeksanteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f ja j alakohtaa on tulkittava siten, että jollei komissio ole pätevästi tehnyt tietosuojan riittävyyttä koskevaa päätöstä, toimivaltaisen valvontaviranomaisen on keskeytettävä tai kiellettävä komission antamiin tietosuojaa koskeviin vakiolausekkeisiin perustuva henkilötietojen siirto kolmanteen maahan, jos tämä valvontaviranomainen katsoo kaikkien tämän siirron olosuhteiden valossa, että näitä lausekkeita ei noudateta tai voida noudattaa tässä kolmannessa maassa ja että unionin oikeudessa, erityisesti yleisen tietosuoja-asetuksen 45 ja 46 artiklassa ja perusoikeuskirjassa, vaadittua siirrettyjen tietojen suojaa ei voida varmistaa muilla keinoilla, siltä osin kuin unioniin sijoittautunut rekisterinpitäjä tai sen henkilötietojen käsittelijä ei itse ole keskeyttänyt tai lopettanut siirtoa.
Seitsemäs ja yhdestoista kysymys
122 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee seitsemännellä ja yhdennellätoista kysymyksellään, joita on syytä tarkastella yhdessä, unionin tuomioistuimen näkemystä päätöksen 2010/87 pätevyydestä perusoikeuskirjan 7, 8 ja 47 artiklan kannalta.
123 Erityisesti, kuten seitsemännen kysymyksen sanamuodosta ja siihen liittyvistä, ennakkoratkaisupyyntöön sisältyvistä selityksistä ilmenee, ennakkoratkaisua pyytänyt tuomioistuin pohtii, voiko päätös 2010/87 varmistaa kolmanteen maahan siirrettyjen henkilötietojen riittävän suojan tason siltä osin kuin siinä säädetyt tietosuojaa koskevat vakiolausekkeet eivät sido näiden kolmansien maiden viranomaisia.
124 Päätöksen 2010/87 1 artiklassa säädetään, että sen liitteessä olevien mallisopimuslausekkeiden katsotaan antavan riittävät takeet yksityisyyden ja yksilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi direktiivin 95/46 26 artiklan 2 kohdassa edellytetyllä tavalla. Viimeksi mainittu säännös on pääosin toistettu yleisen tietosuoja-asetuksen 46 artiklan 1 kohdassa ja 2 kohdan c alakohdassa.
125 Vaikka nämä lausekkeet sitovat unioniin sijoittautunutta rekisterinpitäjää ja kolmanteen maahan sijoittautunutta henkilötietojen siirron vastaanottajaa, jos ne ovat tehneet näiden lausekkeiden mukaisen sopimuksen, on kuitenkin riidatonta, että nämä lausekkeet eivät voi sitoa tämän kolmannen maan viranomaisia, koska viimeksi mainitut eivät ole sopimuspuolia.
126 Vaikka näin ollen on olemassa tilanteita, joissa asianomaisen kolmannen maan lainsäädännön tilan ja siellä vallitsevien käytäntöjen vuoksi tällaisen siirron vastaanottaja kykenee varmistamaan tarvittavan tietosuojan yksin tietosuojaa koskevien vakiolausekkeiden perusteella, on olemassa muita tilanteita, joissa näihin lausekkeisiin sisältyvät määräykset eivät voi olla riittävä keino, jonka avulla voidaan käytännössä varmistaa asianomaiseen kolmanteen maahan siirrettyjen henkilötietojen tehokas suoja. Näin on muun muassa silloin, kun tämän kolmannen maan viranomaiset voivat sen lainsäädännön nojalla puuttua rekisteröityjen näitä tietoja koskeviin oikeuksiin.
127 Esiin tulee siis kysymys siitä, onko tietosuojaa koskevia vakiolausekkeita koskeva komission päätös, joka on annettu yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c alakohdan perusteella, pätemätön, jos tähän päätökseen ei sisälly suojatoimia, joihin voidaan vedota sen kolmannen maan viranomaisia vastaan, johon henkilötiedot on siirretty tai voidaan siirtää näiden lausekkeiden perusteella.
128 Yleisen tietosuoja-asetuksen 46 artiklan 1 kohdassa säädetään, että jollei tietosuojan riittävyyttä koskevaa päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan vain, jos se on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja. Tämän asetuksen 46 artiklan 2 kohdan c alakohdan mukaan näitä suojatoimia voivat olla komission antamat tietosuojaa koskevat vakiolausekkeet. Näissä säännöksissä ei kuitenkaan todeta, että kaikista mainituista suojatoimista olisi välttämättä säädettävä päätöksen 2010/87 kaltaisella komission päätöksellä.
129 Tältä osin on todettava, että tällainen päätös poikkeaa yleisen tietosuoja-asetuksen 45 artiklan 3 kohdan nojalla annetusta tietosuojan riittävyyttä koskevasta päätöksestä, jonka tarkoituksena on asianomaisen kolmannen maan säännöstön arvioinnin, jossa otetaan huomioon erityisesti kansallista turvallisuutta koskeva merkityksellinen lainsäädäntö ja viranomaisten pääsy henkilötietoihin, perusteella todeta sitovasti, että kolmas maa tai sen alue tai yksi tai useampi sen tietty sektori tarjoaa riittävän tietosuojan tason ja että näin ollen se, että mainituilla kolmannen maan viranomaisilla on pääsy tällaisiin tietoihin, ei estä tietojen siirtoa tähän kolmanteen maahan. Komissio voi tehdä tällaisen tietosuojan riittävyyttä koskevan päätöksen siis vain sillä edellytyksellä, että se on todennut, että kolmannen maan tämän alan merkityksellinen lainsäädäntö tosiasiallisesti sisältää kaikki vaadittavat suojatoimet, joiden perusteella voidaan katsoa, että se varmistaa riittävän tietosuojan tason.
130 Sitä vastoin tarkasteltaessa päätöksen 2010/87 kaltaista komission päätöstä, jossa annetaan tietosuojaa koskevia vakiolausekkeita ja joka ei koske kolmatta maata, sen maan aluetta tai sen yhtä tai useampaa tiettyä sektoria, yleisen tietosuoja-asetuksen 46 artiklan 1 kohdasta ja 2 kohdan c alakohdasta ei voida päätellä, että komission olisi ennen tällaisen päätöksen antamista arvioitava sen kolmannen maan tietosuojan tason riittävyys, johon henkilötiedot voitaisiin tällaisten lausekkeiden perusteella siirtää.
131 Tältä osin on muistettava, että kyseisen asetuksen 46 artiklan 1 kohdassa säädetään, että jollei komissio ole tehnyt tietosuojan riittävyyttä koskevaa päätöstä, unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava asianmukaiset suojatoimet. Mainitun asetuksen johdanto-osan 108 ja 114 perustelukappale vahvistavat, että jos komissio ei ole tehnyt tietosuojan riittävyyttä koskevaa päätöstä, rekisterinpitäjän tai tarvittaessa sen henkilötietojen käsittelijän ”olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi”, ja että ”näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen – – saatavuus unionissa tai kolmannessa maassa”.
132 Näin ollen on niin, että kuten tämän tuomion 125 kohdasta ilmenee, tietosuojaa koskevien vakiolausekkeiden sopimusluonteisuuteen kuuluu se, että ne eivät voi sitoa kolmannen maan viranomaisia, mutta koska yleisen tietosuoja-asetuksen 44 artiklassa sekä 46 artiklan 1 kohdassa ja 2 kohdan c alakohdassa, luettuina perusoikeuskirjan 7, 8 ja 47 artiklan valossa, vaaditaan, että tässä asetuksessa luonnollisille henkilöille taattua tietosuojan tasoa ei vaaranneta, voi osoittautua tarpeelliseksi täydentää tietosuojaa koskeviin vakiolausekkeisiin sisältyviä suojatoimia. Tältä osin mainitun asetuksen johdanto-osan 109 perustelukappaleessa todetaan, että ”se, että rekisterinpitäjä – – voi käyttää – – komission – – hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää – – lisäämästä muita lausekkeita tai toteuttamasta muita suojatoimia”, ja täsmennetään erityisesti, että niitä ”olisi kannustettava tarjoamaan lisäsuojaa – –, joilla täydennetään [tietosuojaa koskevia] vakiosuojalausekkeita”.
133 On siis ilmeistä, että komission saman asetuksen 46 artiklan 2 kohdan c alakohdan nojalla antamilla tietosuojaa koskevilla vakiolausekkeilla pyritään ainoastaan tarjoamaan unioniin sijoittautuneille rekisterinpitäjille tai henkilötietojen käsittelijöille sopimukseen perustuvia suojatoimia, joita sovelletaan yhtenäisesti kaikissa kolmansissa maissa ja näin ollen riippumatta kussakin maassa varmistetusta tietosuojan tasosta. Siltä osin kuin nämä tietosuojaa koskevat vakiolausekkeet eivät luonteensa vuoksi voi tarjota suojatoimia, jotka menevät yli sopimusperusteisen velvollisuuden huolehtia siitä, että unionin oikeudessa vaadittua tietosuojan tasoa noudatetaan, jossakin kolmannessa maassa vallitsevan tilanteen perusteella voi olla näiden lausekkeiden täydentämiseksi tarpeen, että rekisterinpitäjä toteuttaa lisätoimenpiteitä varmistaakseen tämän suojan tason noudattamisen.
134 Tältä osin, kuten julkisasiamies on todennut ratkaisuehdotuksensa 126 kohdassa, on niin, että yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c alakohdassa säädetty sopimusmekanismi perustuu siihen, että vastuu asetetaan unioniin sijoittautuneelle rekisterinpitäjälle tai sen henkilötietojen käsittelijälle ja toissijaisesti valvontaviranomaisille. Tämän rekisterinpitäjän tai sen henkilötietojen käsittelijän on näin ollen ennen kaikkea tapauskohtaisesti ja tarvittaessa yhteistyössä siirron vastaanottajan kanssa tarkistettava, varmistetaanko kohdemaana olevan kolmannen maan oikeudessa tietosuojaa koskevien vakiolausekkeiden perusteella siirrettyjen henkilötietojen asianmukainen suoja unionin oikeuden kannalta, ja järjestettävä tarvittaessa näillä lausekkeilla tarjottujen suojatoimien täydentämiseksi lisäsuojatoimia.
135 Jos unioniin sijoittautunut rekisterinpitäjä tai sen henkilötietojen käsittelijä ei voi toteuttaa riittäviä lisätoimenpiteitä tällaisen suojan varmistamiseksi, sen – tai toissijaisesti toimivaltaisen valvontaviranomaisen – on keskeytettävä tai lopetettava henkilötietojen siirto asianomaiseen kolmanteen maahan. Näin on erityisesti silloin, jos kyseisen kolmannen maan oikeudessa asetetaan unionista lähtöisin olevien henkilötietojen siirron vastaanottajalle velvollisuuksia, jotka ovat näiden lausekkeiden vastaisia ja siis omiaan horjuttamaan sopimukseen perustuvaa taetta riittävästä suojan tasosta mainitun kolmannen maan viranomaisten näihin tietoihin pääsyä vastaan.
136 Niinpä pelkästään se, että komission yleisen tietosuoja-asetuksen 46 artiklan 2 kohdan c alakohdan nojalla tekemään päätökseen sisältyvät päätöksen 2010/87 liitteessä olevan kaltaiset tietosuojaa koskevat vakiolausekkeet eivät sido sen kolmannen maan viranomaisia, johon henkilötietoja voidaan siirtää, ei voi vaikuttaa tämän päätöksen pätevyyteen.
137 Tämä pätevyys sen sijaan riippuu siitä, sisältyykö tällaiseen päätökseen yleisen tietosuoja-asetuksen 46 artiklan 1 kohdasta ja 2 kohdan c alakohdasta, tulkittuina perusoikeuskirjan 7, 8 ja 47 artiklan valossa, johtuvan vaatimuksen mukaisesti tehokkaita mekanismeja, jotka käytännössä varmistavat, että unionin oikeudessa edellytettyä tietosuojan tasoa noudatetaan ja että tällaisiin lausekkeisiin perustuvat henkilötietojen siirrot keskeytetään tai kielletään, jos näitä lausekkeita rikotaan tai niiden noudattaminen on mahdotonta.
138 Siltä osin kuin kyse on päätöksen 2010/87 liitteessä oleviin tietosuojaa koskeviin vakiolausekkeisiin sisältyvistä suojatoimista, lausekkeen 4 kohdista a ja b, lausekkeen 5 kohdasta a, lausekkeesta 9 sekä lausekkeen 11 kohdasta 1 käy ilmi, että unioniin sijoittautunut rekisterinpitäjä, henkilötietojen siirron vastaanottaja ja viimeksi mainitun mahdollinen henkilötietojen käsittelijä sitoutuvat vastavuoroisesti siihen, että näiden tietojen käsittely, mukaan lukien niiden siirto, on toteutettu ja tullaan edelleen toteuttamaan ”sovellettavan tietosuojalainsäädännön mukaisesti”, jolla mainitun päätöksen 3 artiklan f alakohtaan sisältyvän määritelmän mukaan tarkoitetaan ”lainsäädäntöä, jolla suojataan yksilöiden perusoikeudet ja ‑vapaudet ja erityisesti näiden yksilöiden oikeus yksityisyyteen henkilötietojen käsittelyssä ja jota sovelletaan rekisterinpitäjään siinä jäsenvaltioissa, johon tietojen viejä on sijoittautunut”. Yleisen tietosuoja-asetuksen säännökset, perusoikeuskirjan valossa luettuina, ovat osa tätä lainsäädäntöä.
139 Lisäksi kolmanteen maahan sijoittautunut henkilötietojen siirron vastaanottaja sitoutuu lausekkeen 5 kohdan a nojalla ilmoittamaan viipymättä unioniin sijoittautuneelle rekisterinpitäjälle, jos se ei voi noudattaa tehdyn sopimuksen nojalla sille kuuluvia velvoitteita. Erityisesti mainitun lausekkeen 5 kohdan b mukaan tämä vastaanottaja vakuuttaa, että sillä ei ole mitään syytä olettaa, että siihen sovellettava lainsäädäntö estäisi sille sopimuksen mukaan kuuluvien velvoitteiden täyttämisen, ja jos kansallista lainsäädäntöä muutetaan ja muutoksella on todennäköisesti merkittävä haitallinen vaikutus päätöksen 2010/87 liitteenä olevilla tietosuojaa koskevilla vakiolausekkeilla annettaviin takeisiin ja lausekkeiden mukaisiin velvoitteisiin, se antaa muutoksen tiedoksi rekisterinpitäjälle viipymättä saatuaan itse tiedon siitä. Lisäksi on niin, että vaikka saman lausekkeen 5 kohdan d alakohdan i nojalla henkilötietojen siirron vastaanottaja voi silloin, kun kyse on lainsäädännössä esitetystä kiellosta – kuten rikoslainsäädännön mukainen kielto lainvalvontaan liittyvien tutkimusten luottamuksellisuuden säilyttämiseksi – olla antamatta unioniin sijoittautuneelle rekisterinpitäjälle tiedoksi täytäntöönpanosta vastaavan viranomaisen oikeudellisesti sitovaa pyyntöä luovuttaa henkilötietoja, sen on kuitenkin päätöksen 2010/87 lausekkeen 5 kohdan a nojalla ilmoitettava rekisterinpitäjälle, että se ei voi noudattaa mallisopimuslausekkeita.
140 Lausekkeen 5 kohdissa a ja b tarkoitetuissa kahdessa tilanteessa annetaan unioniin sijoittautuneelle rekisterinpitäjälle oikeus keskeyttää tietojen siirtoa ja/tai irtisanoa sopimus. Kun otetaan huomioon yleisen tietosuoja-asetuksen 46 artiklan 1 kohdasta ja 2 kohdan c alakohdasta johtuvat vaatimukset, luettuina perusoikeuskirjan 7 ja 8 artiklan valossa, tietojen siirron keskeyttäminen ja/tai sopimuksen irtisanominen ovat rekisterinpitäjään nähden pakottavia, kun siirron vastaanottaja ei voi tai ei enää voi noudattaa tietosuojaa koskevia vakiolausekkeita. Muutoin rekisterinpitäjä jättäisi noudattamatta vaatimuksia, jotka sille johtuvat päätöksen 2010/87 liitteessä olevan lausekkeen 4 kohdasta a, tulkittuna yleisen tietosuoja-asetuksen ja perusoikeuskirjan valossa.
141 On siis ilmeistä, että tässä liitteessä olevan lausekkeen 4 kohdassa a ja lausekkeen 5 kohdissa a ja b asetetaan unioniin sijoittautuneelle rekisterinpitäjälle ja henkilötietojen siirron vastaanottajalle velvollisuus varmistautua siitä, että kohdemaana olevan kolmannen maan lainsäädäntö mahdollistaa sen, että mainittu vastaanottaja voi noudattaa päätöksen 2010/87 liitteessä olevia tietosuojaa koskevia vakiolausekkeita, ennen kuin henkilötietoja siirretään tähän kolmanteen maahan. Siltä osin kuin kyse on tästä tarkistuksesta, mainittuun lausekkeeseen 5 liittyvässä alaviitteessä täsmennetään, että tämän lainsäädännön sisältämät pakolliset vaatimukset, jotka eivät mene pitemmälle kuin on tarpeen demokraattisessa yhteiskunnassa, muun muassa valtion turvallisuuden, puolustuksen ja yleisen turvallisuuden varmistamiseksi, eivät ole ristiriidassa näiden tietosuojaa koskevien vakiolausekkeiden kanssa. Kääntäen, kuten julkisasiamies on todennut ratkaisuehdotuksensa 131 kohdassa, näiden lausekkeiden noudattamatta jättämistä kohdemaana olevan kolmannen maan oikeuteen perustuvan sellaisen velvollisuuden noudattamiseksi, jolla ylitetään se, mikä on tätä varten tarpeen, on pidettävä kyseisten lausekkeiden rikkomisena. Näiden toimijoiden on arvioidessaan tällaisen velvollisuuden tarpeellisuutta otettava tarvittaessa huomioon komission yleisen tietosuoja-asetuksen 45 artiklan 3 kohdan nojalla tekemään tietosuojan riittävyyttä koskevaan päätökseen sisältyvä toteamus asianomaisen kolmannen maan varmistaman tietosuojan riittävyydestä.
142 Tästä seuraa, että unioniin sijoittautuneen rekisterinpitäjän ja henkilötietojen siirron vastaanottajan on ennalta varmistettava, että asianomaisessa kolmannessa maassa noudatetaan unionin oikeudessa edellytettyä tietosuojan tasoa. Tämän siirron vastaanottajalla on tarvittaessa saman lausekkeen 5 kohdan b nojalla velvollisuus ilmoittaa rekisterinpitäjälle, jos se ei voi noudattaa näitä lausekkeita, jolloin viimeksi mainitun on keskeytettävä tietojen siirto ja/tai irtisanottava sopimus.
143 Jos kolmanteen maahan siirrettävien henkilötietojen vastaanottaja ilmoittaa rekisterinpitäjälle päätöksen 2010/87 liitteessä olevan lausekkeen 5 kohdan b nojalla, että se ei asianomaisen kolmannen maan lainsäädännön vuoksi voi noudattaa tässä liitteessä olevia tietosuojaa koskevia vakiolausekkeita, tässä liitteessä olevasta lausekkeesta 12 ilmenee, että kaikki tähän kolmanteen maahan jo siirretyt henkilötiedot ja jäljennökset näistä tiedoista on palautettava tai hävitettävä. Joka tapauksessa on niin, että samassa liitteessä olevan lausekkeen 6 mukaan näiden lausekkeiden rikkomisesta seuraa, että rekisteröidyllä on oikeus saada korvaus aiheutuneista vahingoista.
144 Lisättäköön, että päätöksen 2010/87 liitteessä olevan lausekkeen 4 kohdan f mukaan on niin, että jos erityisiä tietoryhmiä voitaisiin siirtää kolmanteen maahan, jossa ei taata tietosuojan riittävää tasoa, rekisterinpitäjä sitoutuu ilmoittamaan tästä rekisteröidylle ennen siirtoa tai mahdollisimman pian sen jälkeen. Tämä ilmoitus mahdollistaa sen, että rekisteröity voi käyttää hänelle tässä liitteessä olevan lausekkeen 3 kohdassa 1 tunnustettua oikeussuojakeinoa rekisterinpitäjää vastaan, jotta tämä lykkää aiottua siirtoa, irtisanoo henkilötietojen siirron vastaanottajan kanssa tehdyn sopimuksen tai tarvittaessa vaatii viimeksi mainittua palauttamaan tai tuhoamaan siirretyt tiedot.
145 Lopuksi mainitussa liitteessä olevan lausekkeen 4 kohdan g nojalla unioniin sijoittautuneen rekisterinpitäjän on silloin, kun henkilötietojen siirron vastaanottaja ilmoittaa sille liitteessä olevan lausekkeen 5 kohdan b mukaisesti, että sitä koskevaan lainsäädäntöön tehtävällä muutoksella on todennäköisesti merkittävä haitallinen vaikutus lausekkeilla annettaviin takeisiin ja tietosuojaa koskevien vakiolausekkeiden mukaisiin velvoitteisiin, toimitettava tämä tieto toimivaltaiselle valvontaviranomaiselle, kun se päättää jatkaa siirtoa tai lopettaa lykkäyksen tästä ilmoituksesta huolimatta. Tällaisen tiedon toimittaminen valvontaviranomaiselle ja tämän oikeus tehdä henkilötietojen siirron vastaanottajaan kohdistuvia tarkastuksia lausekkeen 8 kohdan 2 mukaisesti mahdollistaa sen, että valvontaviranomainen voi tarkistaa, onko aiotun siirron lykkäämiseen tai kieltämiseen syytä riittävän tietosuojan tason varmistamiseksi.
146 Tässä yhteydessä päätöksen 2010/87 4 artikla, luettuna täytäntöönpanopäätöksen 2016/2297 johdanto-osan viidennen perustelukappaleen valossa, vahvistaa, että päätös 2010/87 ei millään tavoin estä toimivaltaista viranomaista keskeyttämästä tai kieltämästä tarvittaessa tämän päätöksen liitteessä oleviin tietosuojaa koskeviin vakiolausekkeisiin perustuvaa henkilötietojen siirtoa kolmanteen maahan. Tältä osin, kuten kahdeksanteen kysymyksen annetusta vastauksesta ilmenee, on niin, että jollei komissio ole pätevästi tehnyt tietosuojan riittävyyttä koskevaa päätöstä, toimivaltaisen valvontaviranomaisen on yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f ja j alakohdan nojalla keskeytettävä tai kiellettävä tällainen siirto, jos se katsoo tämän siirron kaikkien olosuhteiden valossa, että näitä lausekkeita ei noudateta tai voida noudattaa tässä kolmannessa maassa ja että unionin oikeudessa edellytettyä siirrettyjen tietojen suojaa ei voida varmistaa muilla keinoilla, siltä osin kuin unioniin sijoittautunut rekisterinpitäjä tai sen henkilötietojen käsittelijä ei itse ole keskeyttänyt tai lopettanut siirtoa.
147 Siltä osin kuin kyse on siitä Irlannin tietosuojavaltuutetun esiin tuomasta seikasta, että henkilötietojen siirto tällaiseen kolmanteen maahan voi johtaa eri jäsenvaltioiden valvontaviranomaisten toisistaan poikkeaviin ratkaisuihin, on lisättävä, että kuten yleisen tietosuoja-asetuksen 55 artiklan 1 kohdasta ja 57 artiklan 1 kohdan a alakohdasta käy ilmi, tämän asetuksen noudattamisen valvontaa koskeva tehtävä on annettu lähtökohtaisesti jokaiselle valvontaviranomaiselle oman jäsenvaltionsa alueella. Lisäksi toisistaan poikkeavien ratkaisujen välttämiseksi mainitun asetuksen 64 artiklan 2 kohdassa säädetään valvontaviranomaisen, joka katsoo, että tietojen siirto kolmanteen maahan pitäisi yleisesti kieltää, mahdollisuudesta saattaa asia tietosuojaneuvoston käsiteltäväksi; tietosuojaneuvosto voi saman asetuksen 65 artiklan 1 kohdan c alakohdan mukaisesti tehdä sitovan päätöksen muun muassa silloin, kun valvontaviranomainen ei noudata annettua lausuntoa.
148 Päätöksessä 2010/87 säädetään näin ollen tehokkaista mekanismeista, joilla voidaan käytännössä varmistaa, että henkilötietojen siirto kolmanteen maahan tämän päätöksen liitteessä olevien tietosuojaa koskevien vakiolausekkeiden perusteella keskeytetään tai kielletään, jos siirron vastaanottaja ei noudata näitä lausekkeita tai ei voi noudattaa niitä.
149 Kaiken edellä esitetyn perusteella seitsemänteen ja yhdenteentoista kysymykseen on vastattava, että perusoikeuskirjan 7, 8 ja 47 artiklan kannalta suoritetussa päätöksen 2010/87 tarkastelussa ei ole tullut esiin mitään seikkaa, joka vaikuttaisi tämän päätöksen pätevyyteen.
Neljäs, viides, yhdeksäs ja kymmenes kysymys
150 Ennakkoratkaisua pyytänyt tuomioistuin haluaa yhdeksännellä kysymyksellään ennen kaikkea tietää, sitovatko jäsenvaltion valvontaviranomaista Privacy Shield ‑päätökseen sisältyvät toteamukset, joiden mukaan Yhdysvallat varmistaa riittävän tietosuojan tason, ja jos sitovat, missä määrin. Ennakkoratkaisua pyytänyt tuomioistuin kysyy neljännellä, viidennellä ja kymmenennellä kysymyksellään ennen kaikkea, loukkaako – kun otetaan huomioon sen omat Yhdysvaltojen oikeutta koskevat toteamukset – henkilötietojen siirto päätöksen 2010/87 liitteessä olevien tietosuojaa koskevien vakiolausekkeiden perusteella perusoikeuskirjan 7, 8 ja 47 artiklassa taattuja oikeuksia, ja tiedustelee unionin tuomioistuimelta erityisesti, onko Privacy Shield ‑päätöksen liitteessä III mainitun oikeusasiamiesmekanismin käyttöönotto yhteensopivaa tämän 47 artiklan kanssa.
151 Aluksi on huomattava, että vaikka Irlannin tietosuojavaltuutetun pääasiassa nostamassa kanteessa asetetaan kyseenalaiseksi ainoastaan päätös 2010/87, kanne nostettiin ennakkoratkaisua pyytäneessä tuomioistuimessa ennen Privacy Shield ‑päätöksen antamista. Siltä osin kuin kyseinen tuomioistuin tiedustelee neljännellä ja viidennellä kysymyksellään unionin tuomioistuimelta yleisesti suojasta, joka tällaisen siirron yhteydessä on perusoikeuskirjan 7, 8 ja 47 artiklan nojalla varmistettava, unionin tuomioistuimen on tarkastelussaan otettava huomioon seuraukset, jotka johtuvat siitä, että tällä välin annettiin Privacy Shield ‑päätös. Näin on sitäkin suuremmalla syyllä, koska ennakkoratkaisua pyytänyt tuomioistuin kysyy kymmenennellä kysymyksellään nimenomaisesti, varmistetaanko tässä 47 artiklassa edellytetty suoja viimeksi mainitussa päätöksessä mainitun oikeusasiamiehen avulla.
152 Ennakkoratkaisupyyntöön sisältyvistä tiedoista käy lisäksi ilmi, että pääasian oikeudenkäynnissä Facebook Ireland väitti, että Privacy Shield ‑päätös tuottaa suhteessa Irlannin tietosuojavaltuutettuun sitovia vaikutuksia siltä osin kuin kyse on Yhdysvaltojen varmistaman suojan tason riittävyyttä koskevasta toteamuksesta ja tämän vuoksi päätöksen 2010/87 liitteessä olevien tietosuojaa koskevien vakiolausekkeiden perusteella toteutetun henkilötietojen Yhdysvaltoihin siirtämisen laillisuudesta.
153 Kuten tämän tuomion 59 kohdasta ilmenee, ennakkoratkaisua pyytänyt tuomioistuin korosti ennakkoratkaisupyynnön liitteenä olevassa 3.10.2017 antamassaan tuomiossa, että sen oli otettava huomioon muutokset, jotka lainsäädäntöön on tehty kanteen nostamisen ja istuntokäsittelyn välisenä aikana. Kyseisen tuomioistuimen on ilmeisesti pääasian ratkaisemisessa otettava huomioon Privacy Shield ‑päätöksen antamisesta aiheutunut olosuhteiden muutos sekä sen mahdolliset sitovat vaikutukset.
154 Erityisesti niiden sitovien vaikutusten olemassaololla, jotka liittyvät siihen, että Privacy Shield ‑päätöksessä todetaan riittävä suojan taso Yhdysvalloissa, on merkitystä arvioitaessa sekä tämän tuomion 141 ja 142 kohdassa mainittuja velvollisuuksia, jotka rekisterinpitäjällä ja siirron vastaanottajalla on päätöksen 2010/87 liitteessä olevien tietosuojaa koskevien vakiolausekkeiden perusteella toteutetun henkilötietojen kolmanteen maahan siirron yhteydessä, että arvioitaessa velvollisuuksia, jotka valvontaviranomaisella tarvittaessa on tällaisen siirron keskeyttämisen tai kieltämisen osalta.
155 Siltä osin kuin kyse on Privacy Shield ‑päätöksen sitovista vaikutuksista, päätöksen 1 artiklan 1 kohdassa säädetään, että yleisen tietosuoja-asetuksen 45 artiklan 1 kohdan soveltamiseksi ”Yhdysvallat takaa riittävän suojan henkilötiedoille, jotka siirretään [Euroopan unionin] ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa unionista Yhdysvalloissa oleville organisaatioille”. Kyseisen päätöksen 1 artiklan 3 kohdan mukaan henkilötietoja siirretään Privacy Shield ‑järjestelyn puitteissa silloin, kun ne siirretään unionista sellaisille Yhdysvalloissa oleville organisaatioille, jotka on sisällytetty Yhdysvaltojen kauppaministeriön liitteessä II esitettyjen järjestelyn periaatteiden I ja III jakson mukaisesti ylläpitämään ja julkisesti saataville asettamaan Privacy Shield ‑luetteloon.
156 Kuten tämän tuomion 117 ja 118 kohdassa mainitusta oikeuskäytännöstä ilmenee, Privacy Shield ‑päätös on luonteeltaan valvontaviranomaisia sitova siltä osin kuin siinä todetaan, että Yhdysvallat takaa riittävän tietosuojan, ja siis sallitaan henkilötietojen siirtäminen Euroopan unionista Yhdysvaltoihin Privacy Shield ‑järjestelyn puitteissa. Näin ollen niin kauan kuin unionin tuomioistuin ei ole todennut tätä päätöstä pätemättömäksi, toimivaltainen valvontaviranomainen ei voi keskeyttää tai kieltää henkilötietojen siirtoa tähän järjestelyyn kuuluvalle järjestölle sillä perusteella, että se katsoo – toisin kuin komissio mainitussa päätöksessä – että Yhdysvaltojen lainsäädännössä, joka koskee pääsyä tämän järjestelyn puitteissa siirrettyihin henkilötietoihin ja sitä, miten tämän kolmannen maan viranomaiset käyttävät näitä tietoja kansallisen turvallisuuden, lainvalvonnan ja muiden yleisen edun mukaisten tarkoitusten nimissä, ei varmisteta riittävää suojan tasoa.
157 On kuitenkin niin, että tämän tuomion 119 ja 120 kohdassa mainitun oikeuskäytännön mukaisesti toimivaltaisen valvontaviranomaisen, jonka käsiteltäväksi henkilö on saattanut valituksen, on voitava tutkia täysin itsenäisesti, noudatetaanko näiden tietojen siirrossa yleisessä tietosuoja-asetuksessa säädettyjä vaatimuksia, ja siinä tapauksessa, että se pitää kyseisen henkilön tietosuojan riittävyyttä koskevan päätöksen pätevyydestä esittämiä väitteitä perusteltuina, nostaa kanne kansallisissa tuomioistuimissa, jotta nämä voisivat, mikäli ne yhtyvät kyseisen viranomaisen epäilyihin, pyytää ennakkoratkaisua kyseisen päätöksen pätevyydestä.
158 Yleisen tietosuoja-asetuksen 77 artiklan 1 kohdan nojalla tehty valitus, jossa henkilö, jonka henkilötiedot on siirretty tai voitaisiin siirtää kolmanteen maahan, vetoaa siihen, ettei kyseisen maan oikeudessa ja käytännöissä taata tietosuojan riittävää tasoa huolimatta siitä, mitä komissio on todennut saman asetuksen 45 artiklan 3 kohtaan perustuvassa päätöksessä, on ymmärrettävä siten, että se koskee pääasiallisesti kyseisen päätöksen yhteensoveltuvuutta henkilöiden yksityiselämän sekä perusvapauksien ja ‑oikeuksien suojan kanssa (ks. analogisesti direktiivin 95/46 25 artiklan 6 kohdasta ja 28 artiklan 4 kohdasta tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 59 kohta).
159 Tässä tapauksessa Schrems on pyytänyt Irlannin tietosuojaviranomaista kieltämään tai keskeyttämään henkilötietojen siirron Facebook Irelandilta Yhdysvaltoihin sijoittautuneelle Facebook Inc:lle siitä syystä, että tämä kolmas maa ei varmista riittävää tietosuojan tasoa. Kun Irlannin tietosuojavaltuutettu tutkittuaan Schremsin väitteet saattoi asian ennakkoratkaisua pyytäneen tuomioistuimen käsiteltäväksi, viimeksi mainittu vaikuttaa sille esitettyjen todisteiden ja siinä käydyn kontradiktorisen menettelyn perusteella pohtivan, ovatko Schremsin epäilyt mainitussa kolmannessa maassa tarjottavan tietosuojan tason riittävyydestä perusteltuja, huolimatta siitä, mitä komissio on tällä välin todennut Privacy Shield ‑päätöksessä, mikä johti siihen, että tämä tuomioistuin esitti unionin tuomioistuimelle neljännen, viidennen ja kymmenennen ennakkoratkaisukysymyksen.
160 Kuten julkisasiamies on todennut ratkaisuehdotuksensa 175 kohdassa, nämä ennakkoratkaisukysymykset on ymmärrettävä siten, että niillä lähinnä asetetaan kyseenalaiseksi Privacy Shield ‑päätökseen sisältyvä komission toteamus, jonka mukaan Yhdysvallat takaa riittävän suojan henkilötiedoille, jotka siirretään unionista tähän kolmanteen maahan, ja siis tämän päätöksen pätevyys.
161 Tämän tuomion 121 ja 157–160 kohdassa esiin tuotujen seikkojen perusteella ja kattavan vastauksen antamiseksi ennakkoratkaisua pyytäneelle tuomioistuimelle on siis tutkittava, onko Privacy Shield ‑päätös yleisestä tietosuoja-asetuksesta, luettuna perusoikeuskirjan valossa, johtuvien vaatimusten mukainen (ks. analogisesti tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 67 kohta).
162 Komissio voi tehdä yleisen tietosuoja-asetuksen 45 artiklan 3 kohtaan perustuvan tietosuojan riittävyyttä koskevan päätöksen sillä edellytyksellä, että tämä toimielin toteaa asianmukaisin perusteluin, että asianomainen kolmas maa tosiasiallisesti takaa sisäisen lainsäädäntönsä tai kansainvälisten sitoumustensa johdosta perusoikeuksien suojan sellaisen tason, joka pääosiltaan vastaa unionin oikeusjärjestyksessä taattua tasoa (ks. analogisesti direktiivin 95/46 25 artiklan 6 kohdasta tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 96 kohta).
Privacy Shield ‑päätöksen sisältö
163 Komissio on Privacy Shield ‑päätöksen 1 artiklan 1 kohdassa todennut, että Yhdysvallat takaa riittävän suojan henkilötiedoille, jotka siirretään Euroopan unionin ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa unionista Yhdysvalloissa oleville organisaatioille, ja tämä järjestely muodostuu tämän päätöksen 1 artiklan 2 kohdan mukaan muun muassa Yhdysvaltojen kauppaministeriön 7.7.2016 antamista järjestelyn periaatteista, jotka on esitetty tämän päätöksen liitteessä II, ja virallisista lausumista ja sitoumuksista, jotka sisältyvät saman päätöksen liitteissä I ja III–VII lueteltuihin asiakirjoihin.
164 Privacy Shield ‑päätöksen liitteessä II, jonka otsikko on ”[Euroopan unionin] ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn periaatteet”, olevassa I.5 kohdassa kuitenkin täsmennetään myös, että näiden periaatteiden noudattamista voidaan rajoittaa muun muassa ”kansallisen turvallisuuden, julkisen edun tai lainvalvonnan vaatimusten vuoksi.” Niinpä tässä päätöksessä vahvistetaan, kuten päätöksessä 2000/520, näiden vaatimusten ensisijaisuus mainittuihin periaatteisiin nähden, eli ensisijaisuus, jonka nojalla yhdysvaltalaisorganisaatiot, jotka ovat antaneet oman varmennuksensa ja jotka saavat henkilötietoja unionista, ovat velvollisia syrjäyttämään mainitut periaatteet rajoituksetta silloin, kun nämä ovat ristiriidassa ja osoittautuvat siis yhteensoveltumattomiksi kyseisten vaatimusten kanssa (ks. analogisesti päätöksestä 2000/520 tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 86 kohta).
165 Kun Privacy Shield ‑päätöksen liitteessä II olevaan I.5 kohtaan sisältyvän poikkeuksen yleinen luonne otetaan huomioon, päätös mahdollistaa siten Yhdysvaltojen kansallisen turvallisuuden ja yleisen edun tai sisäisen lainsäädännön vaatimuksiin perustuvan puuttumisen niiden henkilöiden perusoikeuksiin, joiden henkilötietoja siirretään tai voitaisiin siirtää unionista Yhdysvaltoihin (ks. analogisesti päätöksestä 2000/520 tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 87 kohta). Erityisemmin, ja kuten Privacy Shield ‑päätöksessä on todettu, tällaiset puuttumiset voivat johtua siitä, että Yhdysvaltojen viranomaiset saavat unionista Yhdysvaltoihin siirrettyjä henkilötietoja ja käyttävät näitä tietoja FISA:n 702 §:n nojalla perustettujen PRISM- ja UPSTREAM-tarkkailuohjelmien puitteissa sekä E.O. 12333:n perusteella.
166 Tässä yhteydessä komissio arvioi Privacy Shield ‑päätöksen johdanto-osan 67–135 perustelukappaleessa Yhdysvaltojen säännöstössä, erityisesti FISA:n 702 §:ssä, E.O. 12333:ssa ja PPD-28:ssa, vahvistetut rajoitukset ja suojatoimet siltä osin kuin on kyse yhdysvaltalaisten viranomaisten pääsystä unionin ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa siirrettyihin henkilötietoihin ja niiden käytöstä kansallisen turvallisuuden, lainvalvonnan ja muiden yleisen edun mukaisten tarkoitusten nimissä.
167 Komissio totesi tämän arvioinnin päätteeksi kyseisen päätöksen johdanto-osan 136 perustelukappaleessa, että ”Yhdysvallat takaa riittävän suojan henkilötiedoille, jotka siirretään – – unionista Yhdysvalloissa oleville oman varmennuksen antaneille organisaatioille”, ja katsoi mainitun päätöksen 140 perustelukappaleessa, että ”Yhdysvaltojen oikeusjärjestystä koskevien käytettävissä olevien tietojen – – perusteella, että Yhdysvaltojen viranomaisten mahdollinen puuttuminen niiden henkilöiden perusoikeuksiin, joiden tietoja siirretään Privacy Shield ‑järjestelyn puitteissa unionista Yhdysvaltoihin, kansallisen turvallisuuden, lainvalvonnan tai muun yleisen edun nimissä ja tästä seuraavat rajoitukset, joita asetetaan oman varmennuksen antaneille organisaatioille – – periaatteiden noudattamisen osalta, rajoitetaan siihen, mikä on ehdottomasti tarpeen oikeutetun tavoitteen saavuttamiseksi, ja että tällaista perusoikeuksiin puuttumista vastaan on olemassa tehokkaita oikeussuojakeinoja”.
Tietosuojan riittävää tasoa koskeva toteamus
168 Komission Privacy Shield ‑päätöksessä mainitsemien seikkojen ja ennakkoratkaisua pyytäneen tuomioistuimen pääasiassa toteamien seikkojen vuoksi kyseisellä tuomioistuimella on epäilyksiä siitä, varmistetaanko Yhdysvaltojen oikeudessa tosiasiallisesti yleisen tietosuoja-asetuksen 45 artiklassa, luettuna perusoikeuskirjan 7, 8 ja 47 artiklassa vahvistettujen perusoikeuksien valossa, vaadittu riittävä tietosuojan taso. Erityisesti ennakkoratkaisua pyytänyt tuomioistuin katsoo, että tämän kolmannen maan oikeudessa ei säädetä tarvittavista rajoituksista ja suojatoimista sen kansallisessa säännöstössä sallittujen puuttumisten varalta, eikä myöskään varmisteta tehokasta oikeussuojaa näitä puuttumisia vastaan. Viimeksi mainituilta osin se lisää, että Privacy Shield ‑järjestelyn oikeusasiamiesmekanismin käyttöönotto ei sen mukaan voi korjata näitä puutteita, koska oikeusasiamiestä ei voida rinnastaa perusoikeuskirjan 47 artiklassa tarkoitettuun tuomioistuimeen.
169 Siltä osin kuin kyse on ensiksi perusoikeuskirjan 7 ja 8 artiklasta, jotka liittyvät unionissa vaadittavaan tietosuojan tasoon, jonka noudattaminen komission on todettava ennen kuin se tekee tietosuojan riittävyyttä koskevan päätöksen yleisen tietosuoja-asetuksen 45 artiklan 1 kohdan nojalla, on muistettava, että perusoikeuskirjan 7 artiklassa taataan jokaiselle oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Perusoikeuskirjan 8 artiklan 1 kohdassa puolestaan tunnustetaan nimenomaisesti jokaiselle oikeus henkilötietojensa suojaan.
170 Niinpä luonnollisen henkilön henkilötietoihin pääsy niiden säilyttämistä tai käyttöä varten vaikuttaa tämän henkilön perusoikeuskirjan 7 artiklassa taattuun yksityiselämän kunnioittamista koskevaan perusoikeuteen, ja tämä oikeus liittyy kaikkeen yksilöityä tai yksilöitävissä olevaa luonnollista henkilöä koskevaan tietoon. Tällainen tietojen käsittely kuuluu myös perusoikeuskirjan 8 artiklan soveltamisalaan, koska se merkitsee tässä artiklassa tarkoitettua henkilötietojen käsittelyä ja sen on näin ollen välttämättä täytettävä tästä artiklasta johtuvat tietojen suojan vaatimukset (ks. vastaavasti tuomio 9.11.2010, Volker und Markus Schecke ja Eifert, C‑92/09 ja C‑93/09, EU:C:2010:662, 49 ja 52 kohta; tuomio 8.4.2014, Digital Rights Ireland ym., C‑293/12 ja C‑594/12, EU:C:2014:238, 29 kohta ja lausunto 1/15 (EU:n ja Kanadan välinen PNR-tietoja koskeva sopimus), 26.7.2017, EU:C:2017:592; 122 ja 123 kohta).
171 Unionin tuomioistuin on jo katsonut, että henkilötietojen välittäminen kolmannelle, kuten viranomaiselle, merkitsee puuttumista perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin perusoikeuksiin välitettyjen tietojen myöhemmästä käytöstä riippumatta. Sama koskee henkilötietojen säilyttämistä sekä pääsyä kyseisiin tietoihin niiden käyttämiseksi viranomaisissa riippumatta siitä, ovatko kyseessä olevat yksityiselämään liittyvät tiedot arkaluonteisia vai eivät tai onko asianomaisille mahdollisesti aiheutunut haittaa tästä puuttumisesta (ks. vastaavasti tuomio 20.5.2003, Österreichischer Rundfunk ym., C‑465/00, C‑138/01 ja C‑139/01, EU:C:2003:294, 74 ja 75 kohta; tuomio 8.4.2014, Digital Rights Ireland ym., C‑293/12 ja C‑594/12, EU:C:2014:238, 33–36 kohta ja lausunto 1/15 (EU:n ja Kanadan välinen PNR-tietoja koskeva sopimus), 26.7.2017, EU:C:2017:592; 124 ja 126 kohta).
172 Perusoikeuskirjan 7 ja 8 artiklassa vahvistetut oikeudet eivät kuitenkaan ole ehdottomia, vaan ne on suhteutettava siihen tehtävään, joka niillä on yhteiskunnassa (ks. vastaavasti tuomio 9.11.2010, Volker und Markus Schecke ja Eifert, C‑92/09 ja C‑93/09, EU:C:2010:662, 48 kohta oikeuskäytäntöviittauksineen; tuomio 17.10.2013, Schwarz, C‑291/12, EU:C:2013:670, 33 kohta oikeuskäytäntöviittauksineen ja lausunto 1/15 (EU:n ja Kanadan välinen PNR-tietoja koskeva sopimus), 26.7.2017, EU:C:2017:592, 136 kohta).
173 Tässä yhteydessä on huomattava myös, että perusoikeuskirjan 8 artiklan 2 kohdan mukaan henkilötietojen käsittelyn on muun muassa ”tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla”.
174 Perusoikeuskirjan 52 artiklan 1 kohdan ensimmäisen virkkeen mukaan siinä tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien keskeistä sisältöä kunnioittaen. Perusoikeuskirjan 52 artiklan 1 kohdan toisessa virkkeessä määrätään, että suhteellisuusperiaatteen mukaisesti näille oikeuksille ja vapauksille voidaan säätää rajoituksia ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.
175 Viimeksi mainituilta osin on lisättävä, että edellytys, jonka mukaan perusoikeuksien käyttämistä voidaan rajoittaa ainoastaan lailla, tarkoittaa sitä, että itse siinä oikeusperustassa, joka mahdollistaa puuttumisen näihin oikeuksiin, on määritettävä asianomaisen oikeuden käyttämiselle asetettavien rajoitusten laajuus (lausunto 1/15 (EU:n ja Kanadan välinen PNR-tietoja koskeva sopimus), 26.7.2017, EU:C:2017:592, 139 kohta oikeuskäytäntöviittauksineen).
176 Sen oikeasuhteisuutta koskevan edellytyksen täyttämiseksi, jonka mukaan henkilötietojen suojaa koskevat poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa, kyseessä olevassa säännöstössä, joka merkitsee puuttumista kyseiseen suojaan, on säädettävä selvistä ja täsmällisistä asianomaisen toimenpiteen laajuutta ja soveltamista koskevista säännöistä, joissa asetetaan vähimmäisvaatimukset, jotta henkilöillä, joiden tietoja on siirretty, on riittävät takeet, joiden avulla heidän henkilötietojaan voidaan tehokkaasti suojata väärinkäytön vaaroilta. Siinä on erityisesti mainittava, missä olosuhteissa ja millä edellytyksillä tällaisten tietojen käsittelyä koskeva toimenpide voidaan toteuttaa, jotta taataan, että puuttuminen rajoittuu täysin välttämättömään. Tarve tällaisista takeista on tärkeä varsinkin silloin, kun henkilötietoja käsitellään automaattisesti (ks. vastaavasti lausunto 1/15 (EU:n ja Kanadan välinen PNR-tietoja koskeva sopimus), 26.7.2017, EU:C:2017:592, 140 ja 141 kohta oikeuskäytäntöviittauksineen)
177 Yleisen tietosuoja-asetuksen 45 artiklan 2 kohdan a alakohdassa täsmennetään tässä tarkoituksessa, että arvioidessaan kolmannen maan varmistaman tietosuojan riittävyyttä komissio ottaa huomioon muun muassa niille ”rekisteröidyille kuuluvat vaikuttavat ja täytäntöönpanokelpoiset oikeudet”, joiden henkilötietoja siirretään.
178 Nyt käsiteltävässä tapauksessa komission Privacy Shield ‑päätöksessä tekemä toteamus, jonka mukaan Yhdysvallat varmistaa tietosuojan sellaisen tason, joka pääosiltaan vastaa tasoa, joka unionissa varmistetaan yleisellä tietosuoja-asetuksella, luettuna perusoikeuskirjan 7 ja 8 artiklan valossa, on kyseenalaistettu muun muassa sillä perusteella, että FISA:n 702 §:ään ja E.O. 12333:een perustuvista tarkkailuohjelmista johtuvia puuttumisia eivät koske vaatimukset, joilla suhteellisuusperiaatetta noudattaen varmistetaan suoja, joka pääosiltaan vastaa perusoikeuskirjan 52 artiklan 1 kohdan toisessa virkkeessä taattua suojaa. On siis tutkittava, toteutetaanko nämä tarkkailuohjelmat näitä vaatimuksia noudattaen, eikä ole tarpeen ennalta selvittää, noudattaako kyseinen kolmas maa edellytyksiä, jotka pääosiltaan vastaavat perusoikeuskirjan 52 artiklan 1 kohdan ensimmäisessä virkkeessä määrättyjä edellytyksiä.
179 Siltä osin kuin kyse on FISA:n 702 §:ään perustuvista tarkkailuohjelmista komissio on todennut Privacy Shield ‑päätöksen johdanto-osan 109 perustelukappaleessa, että kyseisen pykälän mukaan ”FISC‑tuomioistuin ei – – anna lupaa yksittäisille valvontatoimenpiteille. Sen sijaan se hyväksyy valvontaohjelmia (kuten PRISM, UPSTREAM) oikeusministerin ja kansallisen tiedusteluviraston johtajan valmistelemien vuotuisten sertifiointihakemusten perusteella”. Kuten samasta perustelukappaleesta ilmenee, FISC‑tuomioistuin valvoo, vastaavatko nämä tarkkailuohjelmat tavoitteeseen hankkia ulkomaantiedustelutietoja, mutta sen valvonta ei koske sitä, ”onko henkilöt kohdennettu asianmukaisesti ulkomaantiedustelutietojen hankkimiseksi”.
180 FISA:n 702 §:stä ei siis millään tavoin ilmene, että olisi olemassa rajoituksia sen sisältämään valtuutukseen, joka koskee tarkkailuohjelmien käyttöönottoa ulkomaantiedustelua varten, eikä myöskään, että ei-yhdysvaltalaisia henkilöitä varten, joita nämä ohjelmat mahdollisesti koskevat, olisi olemassa suojatoimia. Näin ollen, ja kuten julkisasiamies on todennut lähinnä ratkaisuehdotuksensa 291, 292 ja 297 kohdassa, on niin, että tällä pykälällä ei voida varmistaa tietosuojan tasoa, joka pääosiltaan vastaa suojaa, joka on taattu perusoikeuskirjassa, sellaisena kuin sitä on tulkittu tämän tuomion 175 ja 176 kohdassa mainitussa oikeuskäytännössä, jonka mukaan oikeusperustassa, joka mahdollistaa puuttumisen perusoikeuksiin, on, jotta suhteellisuusperiaatetta noudatetaan, itsessään määritettävä asianomaisen oikeuden käyttämiselle asetettavien rajoitusten laajuus ja säädettävä kyseisen toimenpiteen laajuutta ja soveltamista koskevista selkeistä ja täsmällisistä säännöistä, joissa asetetaan vähimmäisvaatimuksia.
181 Privacy Shield ‑päätökseen sisältyvien toteamusten mukaan FISA:n 702 §:ään perustuvat tarkkailuohjelmat on tosin pantava täytäntöön PPD-28:sta johtuvia vaatimuksia noudattaen. Vaikka komissio on Privacy Shield ‑päätöksen johdanto-osan 69 ja 77 perustelukappaleessa korostanut, että PPD‑28:sta johtuvat vaatimukset sitovat Yhdysvaltojen tiedustelupalveluja, Yhdysvaltojen hallitus myönsi unionin tuomioistuimen esittämään kysymykseen antamassaan vastauksessa, että PPD‑28:lla ei anneta rekisteröidyille oikeuksia, joihin voitaisiin vedota Yhdysvaltojen viranomaisia vastaan tuomioistuimissa. Sillä ei näin ollen voida varmistaa tietosuojan tasoa, joka pääosiltaan vastaa perusoikeuskirjasta johtuvaa tasoa, mikä on ristiriidassa yleisen tietosuoja-asetuksen 45 artiklan 2 kohdan a alakohdan kanssa, jonka mukaan tällaista tasoa koskeva toteamus edellyttää muun muassa sitä, että olemassa ovat vaikuttavat ja täytäntöönpanokelpoiset oikeudet niitä rekisteröityjä varten, joiden henkilötietoja siirretään.
182 Siltä osin kuin kyse on E.O. 12333:een perustuvista tarkkailuohjelmista, unionin tuomioistuimen käytettävissä olevasta asiakirja-aineistosta ilmenee, että tässä toimeenpanoasetuksessa ei myöskään anneta oikeuksia, joihin voitaisiin vedota Yhdysvaltojen viranomaisia vastaan tuomioistuimissa.
183 On syytä lisätä, että PPD‑28:ssa, jota on noudatettava kahdessa edellisessä kohdassa mainittuja ohjelmia sovellettaessa, sallitaan ”valikoimaton” keruu, joka koskee ”verrattain suuren tietomäärän hankkimista signaalitiedustelun avulla olosuhteissa, joissa tiedusteluyhteisöllä ei ole käytössään tiettyyn kohteeseen liittyvää tunnistetta – – eikä keruuta voi tästä syystä kohdentaa tuohon nimenomaiseen kohteeseen”, kuten todetaan Privacy Shield ‑päätöksen liitteeseen VI sisältyvässä kansallisen tiedusteluviraston johtajan (Office of the Director of National Intelligence) Yhdysvaltojen kauppaministerille ja kansainvälisen kaupan osastolle osoittamassa, 21.6.2016 päivätyssä kirjeessä. Tämä mahdollisuus, joka sallii E.O. 12333:een perustuvien tarkkailuohjelmien yhteydessä pääsyn Yhdysvaltoihin siirrettäviin tietoihin ilman että tähän pääsyyn kohdistuisi minkäänlaista tuomioistuinvalvontaa, ei kuitenkaan missään tapauksessa rajaa riittävän selvästi ja täsmällisesti tällaisen valikoimattoman henkilötietojen keruun ulottuvuutta.
184 On näin ollen ilmeistä, etteivät FISA:n 702 § ja E.O. 12333, luettuina yhdessä PPD‑28:n kanssa, täytä niitä vähimmäisvaatimuksia, jotka unionin oikeudessa liittyvät suhteellisuusperiaatteeseen, joten ei voida katsoa, että näihin säännöksiin perustuvat tarkkailuohjelmat olisi rajattu vain täysin välttämättömään.
185 Näissä olosuhteissa Yhdysvaltojen sisäisestä säännöstöstä, joka koskee Yhdysvaltojen viranomaisten pääsyä unionista Yhdysvaltoihin siirrettyihin henkilötietoihin ja näiden tietojen käyttöä, johtuvia henkilötietojen suojan rajoituksia, joita komissio on arvioinut Privacy Shield ‑päätöksessä, ei ole rajattu tavalla, joka täyttäisi vaatimukset, jotka pääosiltaan vastaavat vaatimuksia, jotka unionin oikeudessa sisältyvät perusoikeuskirjan 52 artiklan 1 kohdan toiseen virkkeeseen.
186 Siltä osin kuin toiseksi on kyse perusoikeuskirjan 47 artiklasta, joka myös liittyy unionissa vaadittavaan tietosuojan tasoon, jonka noudattaminen komission on todettava ennen kuin se tekee yleisen tietosuoja-asetuksen 45 artiklan 1 kohdan nojalla tietosuojan riittävyyttä koskevan päätöksen, on muistutettava, että tämän 47 artiklan ensimmäisessä kohdassa edellytetään, että jokaisella, jonka unionin oikeudessa taattuja oikeuksia ja vapauksia on loukattu, on oltava tässä artiklassa määrättyjen edellytysten mukaisesti käytettävissään tehokkaat oikeussuojakeinot tuomioistuimessa. Tämän artiklan toisen kohdan mukaan jokaisella on oikeus oikeudenkäyntiin riippumattomassa ja puolueettomassa tuomioistuimessa.
187 Vakiintuneen oikeuskäytännön mukaan unionin oikeuden määräysten ja säännösten noudattamisen varmistamiseen tarkoitetun tehokkaan tuomioistuinvalvonnan itse olemassaolo kuuluu erottamattomana osana oikeusvaltioon. Niinpä säännöstö, jossa yksityisille ei anneta mitään mahdollisuutta käyttää oikeussuojakeinoja, jotta he saisivat tutustua henkilötietoihinsa tai voisivat saada tällaiset tiedot oikaistuiksi tai poistetuiksi, ei ole tehokasta oikeussuojaa koskevan perusoikeuden, sellaisena kuin se vahvistetaan perusoikeuskirjan 47 artiklassa, keskeisen sisällön mukainen (tuomio 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, 95 kohta oikeuskäytäntöviittauksineen).
188 Yleisen tietosuoja-asetuksen 45 artiklan 2 kohdan a alakohdassa edellytetään tässä tarkoituksessa, että arvioidessaan kolmannen maan varmistaman tietosuojan riittävyyttä komissio ottaa huomioon muun muassa ”tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot niitä rekisteröityjä varten, joiden henkilötietoja siirretään”. Yleisen tietosuoja-asetuksen johdanto-osan 104 perustelukappaleessa korostetaan tältä osin, että kolmannen maan ”olisi erityisesti varmistettava tehokas ja riippumaton tietosuojavalvonta ja huolehdittava jäsenvaltioiden tietosuojaviranomaisten kanssa käytettävistä yhteistyömekanismeista”, ja täsmennetään, että ”rekisteröidyille olisi taattava vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot”.
189 Sillä, että asianomaisessa kolmannessa maassa on olemassa tehokkaat muutoksenhakukeinot, on erityinen merkitys siirrettäessä henkilötietoja tähän kolmanteen maahan, koska, kuten yleisen tietosuoja-asetuksen johdanto-osan 116 perustelukappaleesta ilmenee, rekisteröidyt voivat joutua toteamaan, että jäsenvaltioiden hallinto- ja oikeusviranomaisilla on riittämättömät toimivaltuudet ja keinot käsitellä heidän valituksiaan, jotka koskevat heidän näin siirrettyjen tietojensa väitetysti lainvastaista käsittelyä tässä kolmannessa maassa, mikä johtaa siihen, että heidän on käännyttävä tämän kolmannen maan viranomaisten ja tuomioistuinten puoleen.
190 Nyt käsiteltävässä tapauksessa komission Privacy Shield ‑päätöksessä tekemä toteamus, jonka mukaan Yhdysvallat varmistaa tietosuojan sellaisen tason, joka pääosiltaan vastaa tasoa, joka varmistetaan perusoikeuskirjan 47 artiklassa, on kyseenalaistettu muu muassa sillä perusteella, että Privacy Shield ‑järjestelmän oikeusasiamiesmekanismin käyttöön ottaminen ei poista puutteita, jotka komissio itse on todennut niiden henkilöiden oikeussuojassa, joiden henkilötietoja on siirretty tähän kolmanteen maahan.
191 Komissio on tältä osin todennut Privacy Shield ‑päätöksen johdanto-osan 115 perustelukappaleessa, että vaikka ”henkilöiden, myös EU:n rekisteröityjen, käytettävissä on tämän vuoksi useita oikeussuojakeinoja, kun he ovat olleet laittoman (sähköisen) valvonnan kohteena kansallisen turvallisuuden nimissä, on kuitenkin selvää, että tämä ei koske eräitä Yhdysvaltojen tiedusteluviranomaisten käytössä olevia oikeusperustoja (esim. toimeenpanoasetus (E.O.) 12333)”. Se korosti siis E.O. 12333:n osalta kyseisessä 115 perustelukappaleessa kaikkien oikeussuojakeinojen puuttumista. Tämän tuomion 187 kohdassa mainitun oikeuskäytännön mukaan on kuitenkin niin, että tällainen puute oikeussuojassa presidentin toimeenpanoasetukseen perustuviin tiedusteluohjelmiin liittyviä puuttumisia vastaan on esteenä sellaisen päätelmän tekemiselle, jonka komissio on tehnyt Privacy Shield ‑päätöksessä ja jonka mukaan Yhdysvaltojen oikeudessa varmistetaan tietosuojan taso, joka pääosiltaan vastaa tasoa, joka taataan perusoikeuskirjan 47 artiklan nojalla.
192 Lisäksi siltä osin kuin kyse on sekä FISA:n 702 §:ään että E.O. 12333:een perustuvista tarkkailuohjelmista, tämän tuomion 181 ja 182 kohdassa on todettu, ettei PPD-28:lla eikä E.O. 12333:lla anneta rekisteröidyille oikeuksia, joihin voidaan vedota Yhdysvaltojen viranomaisia vastaan tuomioistuimissa, joten näillä rekisteröidyillä ei ole käytettävissään tehokasta oikeussuojakeinoa.
193 Komissio on kuitenkin Privacy Shield ‑päätöksen johdanto-osan 115 ja 116 perustelukappaleessa todennut, että sen vuoksi, että olemassa on Yhdysvaltojen viranomaisten käyttöön ottama oikeusasiamiesmekanismi, joka on kuvattu tämän päätöksen liitteessä III olevassa Yhdysvaltojen ulkoministerin kirjeessä oikeus-, kuluttaja- ja tasa-arvoasioista vastaavalle komission jäsenelle, ja oikeusasiamiehelle uskotun tehtävän laadun vuoksi, joka tässä tapauksessa on ”tietotekniikkaan liittyvän kansainvälisen diplomatian johtava koordinaattori”, Yhdysvaltojen voidaan katsoa takaavan tietosuojan sellaisen taso, joka pääosiltaan vastaa tasoa, joka taataan perusoikeuskirjan 47 artiklan nojalla.
194 Sen tutkimisen, onko Privacy Shield ‑päätöksessä tarkoitettu oikeusasiamiesmekanismi luonteeltaan tosiasiallisesti sellainen, että sillä korjataan komission toteamat tehokasta oikeussuojaa koskevaan oikeuteen liittyvät puutteet, on perusoikeuskirjan 47 artiklasta ja tämän tuomion 187 kohdassa mainitusta oikeuskäytännöstä johtuvien vaatimusten mukaisesti lähdettävä siitä periaatteesta, että yksityisillä on oltava mahdollisuus käyttää oikeussuojakeinoja riippumattomassa ja puolueettomassa tuomioistuimessa, jotta he saisivat tutustua henkilötietoihinsa tai voisivat saada tällaiset tiedot oikaistuiksi tai poistetuiksi.
195 Tämän tuomion 193 kohdassa mainitussa kirjeessä Privacy Shield ‑järjestelyn oikeusasiamiehen tosin kuvataan olevan ”riippumaton tiedusteluyhteisöstä”, mutta siinä todetaan myös, että hän ”raportoi suoraan ulkoministerille. Tämä varmistaa, että oikeusasiamies suorittaa tehtävänsä puolueettomasti ja ettei mikään vaikuta epäasianmukaisesti oikeusasiamiehen antamiin vastauksiin”. Sen lisäksi, että komissio on todennut kyseisen päätöksen johdanto-osan 116 perustelukappaleessa, että ulkoministeri nimeää oikeusasiamiehen ja että tämä kuuluu erottamattomasti Yhdysvaltojen ulkoasiainministeriöön, mainitussa päätöksessä ei, kuten julkisasiamies on todennut ratkaisuehdotuksensa 337 kohdassa, ole mitään viitettä siitä, että oikeusasiamiehen irtisanomiseen tai nimityksen kumoamiseen liittyisi erityisiä takeita, mikä on omiaan asettamaan kyseenalaiseksi hänen riippumattomuutensa toimeenpanovallasta (ks. vastaavasti tuomio 21.2.2020, Banco de Santander, C‑274/14, EU:C:2020:17, 60 ja 63 kohta oikeuskäytäntöviittauksineen).
196 Kuten julkisasiamies on korostanut ratkaisuehdotuksensa 338 kohdassa, on samoin niin, että vaikka Privacy Shield ‑päätöksen johdanto-osan 120 perustelukappaleessa tuodaan esiin, että Yhdysvaltojen hallitus on sitoutunut siihen, että tiedustelupalvelujen asianomaisen toimijan on korjattava kaikki oikeusasiamiehen havaitsemat sovellettavien sääntöjen rikkomiset, mainittuun päätökseen ei sisälly mitään viitettä siitä, että kyseisellä oikeusasiamiehellä olisi toimivalta tehdä näitä toimijoita sitovia päätöksiä, eikä siinä myöskään viitata lakisääteisiin takeisiin, jotka liittyisivät tähän sitoumukseen ja joihin kyseiset henkilöt voisivat vedota.
197 Näin ollen Privacy Shield ‑päätöksessä tarkoitettu oikeusasiamiesmekanismi ei merkitse oikeussuojakeinoa sellaisessa elimessä, joka antaa henkilöille, joiden tiedot on siirretty Yhdysvaltoihin, takeet, jotka pääosiltaan vastaavat perusoikeuskirjan 47 artiklassa edellytettyjä takeita.
198 Kun siis komissio on Privacy Shield ‑päätöksen 1 artiklan 1 kohdassa todennut, että Yhdysvallat takaa riittävän suojan henkilötiedoille, jotka siirretään unionin ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa unionista Yhdysvalloissa oleville organisaatioille, se on jättänyt noudattamatta yleisen tietosuoja-asetuksen 45 artiklan 1 kohdasta, luettuna perusoikeuskirjan 7, 8 ja 47 artiklan valossa, johtuvia vaatimuksia.
199 Tästä seuraa, että Privacy Shield ‑päätöksen 1 artikla ei ole yhteensopiva yleisen tietosuoja-asetuksen 45 artiklan 1 kohdan kanssa, luettuna perusoikeuskirjan 7, 8 ja 47 artiklan valossa, ja että se on tämän vuoksi pätemätön.
200 Koska Privacy Shield ‑päätöksen 1 artiklaa ei voida erottaa päätöksen 2–6 artiklasta eikä päätöksen liitteistä, 1 artiklan pätemättömyys vaikuttaa koko päätöksen pätevyyteen.
201 Kaiken edellä esitetyn perusteella on katsottava, että Privacy Shield ‑päätös on pätemätön.
202 Siltä osin kuin kyse on siitä, onko tämän päätöksen vaikutukset pysytettävä lakiaukon muodostumisen välttämiseksi (ks. vastaavasti tuomio 28.4.2016, Borealis Polyolefine ym., C‑191/14, C‑192/14, C‑295/14, C‑389/14 ja C‑391/14–C‑393/14, EU:C:2016:311, 106 kohta), todettakoon, että joka tapauksessa yleisen tietosuoja-asetuksen 49 artiklan valossa Privacy Shield ‑päätöksen kaltaisen tietosuojan riittävyyttä koskevan päätöksen kumoaminen ei ole omiaan luomaan tällaista lakiaukkoa. Tässä artiklassa näet vahvistetaan täsmällisesti edellytykset, joiden täyttyessä henkilötietoja voidaan siirtää kolmanteen maahan, jos ei ole tehty mainitun asetuksen 45 artiklan 3 kohdan mukaista tietosuojan tason riittävyyttä koskevaa päätöstä tai ei ole toteutettu saman asetuksen 46 artiklassa tarkoitettuja asianmukaisia suojatoimia.
Oikeudenkäyntikulut
203 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:
1) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 2 artiklan 1 ja 2 kohtaa on tulkittava siten, että tämän asetuksen soveltamisalaan kuuluu henkilötietojen siirto, jonka jäsenvaltioon sijoittautunut talouden toimija toteuttaa kaupallisessa tarkoituksessa siirtämällä tiedot kolmanteen maahan sijoittautuneelle talouden toimijalle, riippumatta siitä, että kyseisen kolmannen maan viranomaiset voivat tämän siirron kuluessa tai sen jälkeen käsitellä näitä tietoja yleistä turvallisuutta, puolustusta ja valtion turvallisuutta varten.
2) Asetuksen 2016/679 46 artiklan 1 kohtaa ja 2 kohdan c alakohtaa on tulkittava siten, että näissä säännöksissä vaadituilla asianmukaisilla suojatoimenpiteillä, täytäntöönpanokelpoisilla oikeuksilla ja tehokkailla oikeussuojakeinoilla on varmistettava, että henkilöiden, joiden henkilötietoja siirretään kolmanteen maahan tietosuojaa koskevien vakiolausekkeiden perusteella, saavat sellaisen suojan tason, joka pääosiltaan vastaa tasoa, joka taataan Euroopan unionissa tämän asetuksen, luettuna Euroopan unionin perusoikeuskirjan valossa, nojalla. Tätä varten tällaisen siirron yhteydessä varmistetun suojan tason arvioinnissa on muun muassa otettava huomioon yhtäältä unioniin sijoittautuneen rekisterinpitäjän tai sen henkilötietojen käsittelijän ja asianomaiseen kolmanteen maahan sijoittautuneen siirron vastaanottajan välillä sovitut sopimusmääräykset ja toisaalta, siltä osin kuin kyse on tämän kolmannen maan viranomaisten mahdollisesta pääsystä näin siirrettyihin henkilötietoihin, tämän maan oikeusjärjestelmään liittyvät merkitykselliset tekijät, erityisesti mainitun asetuksen 45 artiklan 2 kohdassa mainitut tekijät.
3) Asetuksen 2016/679 58 artiklan 2 kohdan f ja j alakohtaa on tulkittava siten, että jollei Euroopan komissio ole pätevästi tehnyt tietosuojan riittävyyttä koskevaa päätöstä, toimivaltaisen valvontaviranomaisen on keskeytettävä tai kiellettävä komission antamiin tietosuojaa koskeviin vakiolausekkeisiin perustuva henkilötietojen siirto kolmanteen maahan, jos tämä valvontaviranomainen katsoo kaikkien tämän siirron olosuhteiden valossa, että näitä lausekkeita ei noudateta tai voida noudattaa tässä kolmannessa maassa ja että unionin oikeudessa, erityisesti tämän asetuksen 45 ja 46 artiklassa ja perusoikeuskirjassa, vaadittua siirrettyjen tietojen suojaa ei voida varmistaa muilla keinoilla, siltä osin kuin unioniin sijoittautunut rekisterinpitäjä tai sen henkilötietojen käsittelijä ei itse ole keskeyttänyt tai lopettanut siirtoa.
4) Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille 5.2.2010 annetun komission päätöksen 2010/87/EU, sellaisena kuin se on muutettuna 16.12.2016 annetulla komission täytäntöönpanopäätöksellä (EU) 2016/2297, perusoikeuskirjan 7, 8 ja 47 artiklan perusteella suoritetussa tarkastelussa ei ole tullut esiin mitään seikkaa, joka vaikuttaisi tämän päätöksen pätevyyteen.
5) Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyydestä 12.7.2016 annettu komission täytäntöönpanopäätös (EU) 2016/1250 on pätemätön.
Allekirjoitukset