bC‑311/18. sz. ügy
Data Protection Commissioner
kontra
Facebook Ireland Ltd
és
Maximillian Schrems
(a High Court [Írország] által benyújtott előzetes döntéshozatal iránti kérelem)
A Bíróság ítélete (nagytanács), 2020. július 16.
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Az Európai Unió Alapjogi Chartája – 7., 8. és 47. cikk – (EU) 2016/679 rendelet – A 2. cikk (2) bekezdése – Hatály – Személyes adatok kereskedelmi célú továbbítása harmadik országokba – 45. cikk – A Bizottság megfelelőségi határozata – 46. cikk – Megfelelő garanciák alapján történő adattovábbítások – 58. cikk – A felügyeleti hatóságok jogkörei – A továbbított adatoknak valamely harmadik ország hatóságai által nemzetbiztonsági célból történő kezelése – A harmadik országban biztosított védelmi szint megfelelőségének értékelése – 2010/87/EU határozat – Személyes adatok harmadik országokba történő továbbítására vonatkozó általános adatvédelmi kikötések – Az adatkezelő által nyújtott megfelelő garanciák – Érvényesség – (EU) 2016/1250 végrehajtási határozat – Az Európai Unió–Egyesült Államok adatvédelmi pajzs által biztosított védelem megfelelősége – Érvényesség – Olyan természetes személy panasza, akinek az adatait az Európai Unióból az Egyesült Államokba továbbították”
1. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Hatály – A személyes adatok kezelésének fogalma – Személyes adatoknak valamely tagállamban letelepedett gazdasági szereplő által valamely harmadik országban letelepedett másik gazdasági szereplő részére kereskedelmi célból végzett továbbítása – Bennfoglaltság – Olyan adatok, amelyeket az érintett harmadik ország hatóságai nemzetbiztonsági célból kezelhetnek – Hatás hiánya
(2016/679 európai parlamenti és tanácsi rendelet, 2. cikk, (1) bekezdés, és (2) bekezdés, a), b) és d) pont, és 4. cikk, 2. pont)
(lásd: 82., 83., 85–89. pont és a rendelkező rész 1. pontja)
2. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Személyes adatok harmadik országokba való továbbítása – Általános szerződéses adatvédelmi kikötéseken alapuló, megfelelő garanciák melletti továbbítások – Az ilyen továbbítások esetén az érintett harmadik ország által biztosítandó megfelelő védelmi szint fogalma – Az uniós jogra tekintettel történő értelmezés – Értékelési szempontok
(Az Európai Unió Alapjogi Chartája, 52. cikk, (3) bekezdés; 2016/679 európai parlamenti és tanácsi rendelet, 46. cikk, (1) bekezdés, és (2) bekezdés, c) pont)
(lásd: 92–96., 98–101.,103–105. pont és a rendelkező rész 2. pontja)
3. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – A személyes adatok harmadik országokba való továbbítása – Általános szerződéses adatvédelmi kikötéseken alapuló, megfelelő garanciák melletti továbbítások – Nemzeti felügyeleti hatóságok – Hatáskörök – A személyes adatok harmadik országokba való továbbításának felügyelete – Azon kötelezettség, hogy felfüggesszék vagy megtiltsák az ilyen továbbításokat a megfelelő védelmi szintnek az érintett harmadik országban való megsértése esetén – Feltételek
(Az Európai Unió Alapjogi Chartája, 8. cikk, (3) bekezdés; 2016/679 európai parlamenti és tanácsi rendelet, 45., 46., 51. cikk, (1) bekezdés, 57. cikk, (1) bekezdés, a) és f) pont, és 58. cikk, (1) bekezdés, és (2) bekezdés f) és j) pont)
(lásd: 107., 108., 112–121. pont és a rendelkező rész 3. pontja)
4. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – A személyes adatok harmadik országokba való továbbítása – Általános szerződéses adatvédelmi kikötéseken alapuló, megfelelő garanciák melletti továbbítások – A személyes adatok harmadik országokba való továbbítására vonatkozó általános szerződési feltételek bevezetéséről szóló 2010/87 határozat – Az ilyen kezelést végző, Unióban letelepedett adatkezelők és a felügyeleti hatóságok által nyújtott megfelelő garanciák – E hatóságok azon kötelezettsége, hogy felfüggesszék vagy megtiltsák az ilyen továbbításokat az említett kikötések megsértése esetén – A magánélet tiszteletben tartásához, a személyes adatok védelméhez és a hatékony bírói jogvédelemhez való jog – A megsértés hiánya – A határozat érvényessége
(Az Európai Unió Alapjogi Chartája, 7.. 8. és 47. cikk; 2016/679 európai parlamenti és tanácsi rendelet, 46. cikk, (1) bekezdés, és (2) bekezdés, c) pont; 2010/87 bizottsági határozat, melléklet)
(lásd: 128–130., 133–145., 148., 149. pont és a rendelkező rész 4. pontja)
5. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Személyes adatok harmadik országokba való továbbítása – Valamely harmadik országban a védelem megfelelő szintjét megállapító határozat elfogadása a Bizottság által – Az Európai Unió–Egyesült Államok adatvédelmi pajzs által biztosított megfelelő védelmi szint megállapításáról szóló 2016/1250 határozat – Nemzeti felügyeleti hatóság, amelyhez az e harmadik országban biztosított védelmi szint megfelelőségét megkérdőjelező kérelmet nyújtottak be – E hatóságnak a kérelem vizsgálatára vonatkozó kötelezettsége – A 2016/1250 határozat érvényességére vonatkozó vizsgálat
(EUMSZ 288. cikk, negyedik bekezdés; 2016/679 európai parlamenti és tanácsi irányelv, 45. cikk, (3) bekezdés, és 77. cikk, (1) bekezdés; 2016/1250 bizottsági határozat, II. melléklet)
(lásd: 151–161. pont)
6. Alapvető jogok – Az Európai Unió Alapjogi Chartája – A magánélet tiszteletben tartása – A személyes adatok védelme – A személyes adatok megőrzése és az azokhoz való hozzáférés a hatóságok általi felhasználásuk céljából – Az ezen alapvető jogokba való beavatkozás – E jogok gyakorlásának korlátozásai – Az arányosság elvének tiszteletben tartása
(Az Európai Unió Alapjogi Chartája, 7., 8., 52. cikk, (1) bekezdés, második mondat; 2016/679 európai parlamenti és tanácsi rendelet)
(lásd: 170–176. pont)
7. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Személyes adatok harmadik országokba való továbbítása – Valamely harmadik országban a védelem megfelelő szintjét megállapító határozat elfogadása a Bizottság által – Az Európai Unió–Egyesült Államok adatvédelmi pajzs által biztosított megfelelő védelmi szint megállapításáról szóló 2016/1250 határozat – Az uniós jogban biztosított védelmi szinttel lényegében azonos védelmi szint hiánya – Az e továbbítások által érintett személyeknek a magánélet tiszteletben tartásához, a személyes adatok védelméhez és a hatékony bírói jogvédelemhez való joga megsértése – Ombudsmani mechanizmus létrehozása az adatvédelmi pajzs keretében – A hatékony bírói jogvédelemhez való jog megsértésére gyakorolt hatás hiánya – A határozat érvénytelensége
(Az Európai Unió Alapjogi Chartája, 7., 8., 47., 52. cikk, (1) bekezdés, második mondat; 2016/679 európai parlamenti és tanácsi rendelet, 45. cikk, (2) bekezdés, a) pont, és (3) bekezdés; 2016/1250 bizottsági határozat, II. melléklet)
(lásd: 180–185., 187–192., 195–201. pont és a rendelkező rész 5. pontja)
8. Előzetes döntéshozatalra előterjesztett kérdések – Az érvényesség megítélése – Uniós jogi aktus érvénytelenségének megállapítása – Az Európai Unió–Egyesült Államok adatvédelmi pajzs által biztosított megfelelő védelmi szint megállapításáról szóló 2016/1250 határozat – Joghatások – Időbeli korlátozás – Hiány
(EUMSZ 267. cikk; 2016/679 európai parlamenti és tanácsi rendelet, 49. cikk; 2016/1250 bizottsági határozat)
(lásd: 202. pont)
Összefoglalás
A Bíróság érvénytelennek nyilvánítja az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló 2016/1250 határozatot
Ezzel szemben a Bíróság úgy ítéli meg, hogy a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2010/87 bizottsági határozat érvényes.
Az általános adatvédelmi rendelet(1) (GDPR) úgy rendelkezik, hogy az ilyen adatok főszabály szerint csak akkor továbbíthatók valamely harmadik országba, ha az adott harmadik ország ezen adatok számára megfelelő védelmi szintet biztosít. E rendelet szerint a Bizottság megállapíthatja, hogy a harmadik ország a belföldi joga vagy a nemzetközi kötelezettségei alapján megfelelő védelmi szintet biztosít.(2) Az ilyen megfelelőségi határozat hiányában az ilyen továbbítás csak akkor végezhető el, ha a személyes adatok Unióban letelepedett átadója megfelelő garanciákat ír elő, amelyek különösen a Bizottság által elfogadott általános adatvédelmi kikötéseken alapulhatnak, és ha az érintett személyek érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel rendelkeznek.(3) Egyébiránt a GDPR pontosan meghatározza azokat a feltételeket, amelyek mellett a megfelelőségi határozat vagy a megfelelő garanciák hiányában sor kerülhet az ilyen továbbításra.(4)
Maximillian Schrems, Ausztriában lakóhellyel rendelkező osztrák állampolgár 2008 óta a Facebook felhasználója. Az Unió területén lakó többi felhasználóhoz hasonlóan M. Schrems személyes adatait a Facebook Ireland részben vagy egészben a Facebook Inc. Egyesült Államokban található szervereire továbbítja, és azokat ott kezelik. M. Schrems panaszt nyújtott be az ír felügyeleti hatósághoz, amely lényegében arra irányul, hogy utóbbi tiltsa meg ezen adattovábbításokat. Arra hivatkozott, hogy az Egyesült Államok joga és gyakorlatai nem biztosítanak elégséges védelmet azzal szemben, hogy az ezen országba továbbított adatokhoz a hatóságok hozzáférjenek. Ezt a panaszt többek között azzal az indokkal utasították el, hogy a Bizottság a 2000/520 határozatában(5) (az úgynevezett „biztonságos kikötőről” szóló határozat) megállapította, hogy az Egyesült Államok megfelelő védelmi szintet biztosít. 2015. október 6‑án hozott ítéletében a Bíróság, amely a High Court (felsőbíróság, Írország) által előzetes döntéshozatal céljából előterjesztett kérdés alapján járt el, e határozatot érvénytelennek nyilvánította (a továbbiakban: Schrems I ítélet).(6)
A Schrems I ítélet nyomán, és azt követően, hogy az ír bíróság ez alapján megsemmisítette az e panaszt elutasító határozatot, az ír felügyeleti hatóság felhívta M. Schremset, hogy fogalmazza újra a panaszát figyelemmel arra, hogy a Bíróság érvénytelennek nyilvánította a 2000/520 határozatot. Az újrafogalmazott panaszában M. Schrems fenntartja, hogy az Egyesült Államok nem nyújt elégséges védelmet az ezen országba továbbított adatok számára. Kéri, hogy a jövőre nézve függesszék fel vagy tiltsák meg a személyes adatainak az Unióból az Egyesült Államokba történő továbbítását, amelyet a Facebook Ireland immár a 2010/87 határozat(7) mellékletében szereplő általános adatvédelmi kikötések alapján végez. Mivel az ír felügyeleti hatóság úgy vélte, hogy M. Schrems panaszának kezelése többek között a 2010/87 határozat érvényességétől függ, eljárást indított a High Court (felsőbíróság) előtt annak érdekében, hogy ez utóbbi előzetes döntéshozatal iránti kérelmet nyújtson be a Bírósághoz. Ezen eljárás megindítását követően a Bizottság elfogadta az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló 2016/1250 határozatot(8) (az úgynevezett „adatvédelmi pajzsról” szóló határozat).
Az előzetes döntéshozatal iránti kérelmében az előterjesztő bíróság a GDPR‑nek a 2010/87 határozatban szereplő általános adatvédelmi kikötéseken alapuló személyesadat‑továbbításra való alkalmazhatóságáról, az ilyen továbbítás keretében az e rendelet által megkövetelt védelmi szintről és az ebben az összefüggésben a felügyeleti hatóságokra háruló kötelezettségekről kérdezi a Bíróságot. Továbbá a High Court felveti mind a 2010/87 határozat, mind pedig a 2016/1250 határozat érvényességének kérdését.
A mai napon kihirdetett ítéletében a Bíróság megállapítja, hogy a 2010/87 határozatnak az Alapjogi Chartára tekintettel történő vizsgálata nem tárt fel olyan tényezőt, amely e határozat érvényességét érintené. Ezzel szemben a Bíróság érvénytelennek nyilvánítja a 2016/1250 határozatot.
A Bíróság mindenekelőtt úgy ítéli meg, hogy az uniós jog és különösen a GDPR alkalmazandó a személyes adatoknak a valamely tagállamban letelepedett gazdasági szereplő által valamely harmadik országban letelepedett másik gazdasági szereplő részére kereskedelmi célból végzett továbbítására, még abban az esetben is, ha ezeket az adatokat e továbbítás során vagy azt követően az érintett harmadik ország hatóságai közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik. A Bíróság pontosítja, hogy a valamely harmadik ország hatóságai általi adatkezelés e típusa nem zárhatja ki az ilyen továbbítást a rendelet hatálya alól.
Az ilyen továbbítás keretében megkövetelt védelmi szint tekintetében a Bíróság úgy ítéli meg, hogy a GDPR rendelkezései által e célból előírt követelményeket, amelyek a megfelelő garanciákra, az érvényesíthető jogokra és a hatékony jogorvoslati lehetőségekre vonatkoznak, úgy kell értelmezni, hogy azon személyeknek, akiknek a személyes adatait az általános adatvédelmi kikötések alapján továbbítják harmadik országba, olyan védelmi szinttel kell rendelkezniük, amely lényegében azonos a Charta fényében értelmezett e rendelet által az Unióban biztosított védelmi szinttel. Ezzel összefüggésben a Bíróság kimondja, hogy e védelmi szint értékelésének figyelembe kell vennie mind az Unióban letelepedett adatkezelő és a továbbításnak az érintett harmadik országban letelepedett címzettje között létrejött szerződéses kikötéseket, mind pedig – e harmadik ország hatóságainak az így továbbított adatokhoz való esetleges hozzáférését illetően – az ezen ország jogrendszerének releváns elemeit.
Az ilyen továbbítással összefüggésben a felügyeleti hatóságokra háruló kötelezettségek kapcsán a Bíróság úgy ítéli meg, hogy e hatóságok – feltéve, hogy nem létezik a Bizottság által érvényesen elfogadott megfelelőségi határozat – többek között kötelesek felfüggeszteni vagy megtiltani a személyes adatok harmadik országba irányuló továbbítását, ha úgy vélik e továbbítás sajátos körülményeire tekintettel, hogy az általános adatvédelmi kikötéseket ebben az országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok védelme, amelyet az uniós jog megkövetel, más eszközzel nem biztosítható, amennyiben az Unióban letelepedett adatkezelő maga nem függesztette fel vagy fejezte be az ilyen továbbítást.
A Bíróság ezt követően a 2010/87 határozat érvényességét vizsgálja. A Bíróság szerint e határozat érvényességét nem kérdőjelezi meg önmagában az, hogy az e határozatban szereplő általános adatvédelmi kikötések szerződéses jellegük miatt nem kötik azon harmadik ország hatóságait, amelybe az adatokat továbbíthatják. Ezzel szemben a Bíróság kimondja, hogy ez az érvényesség attól függ, hogy az említett határozat tartalmaz‑e olyan hatékony mechanizmusokat, amelyek a gyakorlatban lehetővé teszik annak biztosítását, hogy az uniós jog által megkövetelt védelmi szintet tiszteletben tartsák, és hogy a személyes adatok ilyen kikötéseken alapuló továbbítását az e kikötések megsértése, illetve tiszteletben tartásuk lehetetlensége esetén felfüggesszék vagy megtiltsák. A Bíróság megállapítja, hogy a 2010/87 határozat ilyen mechanizmusokat alakít ki. E tekintetben többek között azt hangsúlyozza, hogy e határozat bevezeti az adatkezelő és az adattovábbítás címzettje azon kötelezettségét, hogy előzetesen ellenőrizzék, hogy az érintett harmadik országban tiszteletben tartják‑e ezen védelmi szintet, és e címzettet arra kötelezi, hogy tájékoztassa az adatátadót arról, ha esetleg nem képes eleget tenni az általános adatvédelmi kikötéseknek, ez utóbbi pedig köteles felfüggeszteni az adattovábbítást és/vagy az előbbivel kötött szerződéstől elállni.
A Bíróság végül a 2016/1250 határozat érvényességét vizsgálja azokra a követelményekre tekintettel, amelyek a GDPR‑ből következnek, utóbbit a Chartának a magán‑ és családi élet tiszteletben tartására, a személyes adatok védelmére és a hatékony bírói jogvédelemre vonatkozó rendelkezései fényében értelmezve. E tekintetben a Bíróság megállapítja, hogy e határozat a 2000/520 határozathoz hasonlóan a nemzetbiztonság, a közérdek és a bűnüldözés követelményeinek elsőbbségét fejezi ki, amely így lehetővé teszi a beavatkozást azon személyek alapvető jogaiba, akiknek az adatait az Unióból e harmadik országba továbbítják. A Bíróság szerint a személyes adatok védelmének korlátozásai, amelyek az Egyesült Államok azon belső szabályozásából erednek, amelyek az amerikai hatóságok által az Unióból e harmadik országba továbbított ilyen adatokhoz való hozzáférésre és azok felhasználására vonatkoznak, és amely korlátozásokat a Bizottság a 2016/1250 határozatban értékelt, nem úgy lettek szabályozva, hogy megfeleljenek az uniós jogban az arányosság elve által megkövetelt követelményekkel lényegében azonos követelményeknek, amennyiben az e szabályozáson alapuló megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak. Az e határozatban szereplő megállapítások alapján a Bíróság kimondja, hogy egyes megfigyelési programok esetében az említett szabályozásból semmilyen módon nem következik, hogy létezne az abban foglalt, e programok végrehajtására vonatkozó felhatalmazás korlátozása, sem pedig az, hogy fennállnának az esetlegesen érintett, nem amerikai személyek számára szóló garanciák. A Bíróság hozzáteszi, hogy bár ugyanez a szabályozás tartalmaz olyan követelményeket, amelyeket be kell tartaniuk az amerikai hatóságoknak az érintett megfigyelési programok végrehajtása során, nem biztosít az érintett személyek számára az amerikai hatóságokkal szemben a bíróságok előtt érvényesíthető jogokat.
A bírói jogvédelem létezése kapcsán a Bíróság úgy ítéli meg, hogy ellentétben azzal, amit a Bizottság a 2016/1250 határozatban megállapított, az e határozatban szereplő ombudsmani mechanizmus nem biztosít e személyek számára jogorvoslati lehetőséget olyan szerv előtt, amely az uniós jogban megkövetelt garanciákkal lényegében azonos garanciákat nyújtana, amelyek biztosíthatnák mind az e mechanizmus által előírt ombudsman függetlenségét, mind pedig az olyan normák meglétét, amelyek felhatalmazzák az említett ombudsmant arra, hogy az amerikai hírszerzési szervezetekkel szemben kötelező erejű határozatokat hozzon. Mindezen indokok alapján a Bíróság megállapítja a 2016/1250 érvénytelenségét.