Asia C-311/18
Data Protection Commissioner
vastaan
Facebook Ireland Ltd
ja
Maximillian Schrems
(Ennakkoratkaisupyyntö – High Court (Irlanti))
Unionin tuomioistuimen tuomio (suuri jaosto) 16.7.2020
Ennakkoratkaisupyyntö – Yksilöiden suojelu henkilötietojen käsittelyssä – Euroopan unionin perusoikeuskirja – 7, 8 ja 47 artikla – Asetus (EU) 2016/679 – 2 artiklan 2 kohta – Soveltamisala – Henkilötietojen siirto kolmanteen maahan kaupallisissa tarkoituksissa – 45 artikla – Tietosuojan riittävyyttä koskeva komission päätös – 46 artikla – Siirrot asianmukaisia suojatoimia soveltaen – 58 artikla – Valvontaviranomaisten toimivaltuudet – Kolmannen maan viranomaisten toteuttama siirrettyjen tietojen käsittely kansallista turvallisuutta varten – Kolmannen maan tietosuojan riittävyyden arviointi – Päätös 2010/87/EU – Tietosuojaa koskevat vakiolausekkeet henkilötietojen kolmanteen maahan siirtoa varten – Rekisterinpitäjän tarjoamat asianmukaiset suojatoimet – Pätevyys – Täytäntöönpanopäätös (EU) 2016/1250 – EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyys – Pätevyys – Luonnollisen henkilön, jonka tiedot on siirretty Euroopan unionista Yhdysvaltoihin, tekemä kantelu
1. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Soveltamisala – Henkilötietojen käsittelyn käsite – Henkilötietojen siirto jonka jäsenvaltioon sijoittautunut talouden toimija toteuttaa kaupallisessa tarkoituksessa siirtämällä tiedot kolmanteen maahan sijoittautuneelle talouden toimijalle – Kuuluminen soveltamisalaan – Asianomaisen kolmannen maan viranomaiset voivat käsitellä tietoja kansallista turvallisuutta varten – Ei vaikuta
(Euroopan parlamentin ja neuvoston asetuksen 2016/679 2 artiklan 1 kohta ja 2 kohdan a, b ja d alakohta sekä 4 artiklan 2 kohta)
(ks. 82, 83 ja 85–89 kohta sekä tuomiolauselman 1 kohta)
2. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Henkilötietojen siirrot kolmansiin maihin – Siirrot asianmukaisia suojatoimia soveltaen, jotka perustuvat tietosuojaa koskeviin vakiolausekkeisiin – Kolmannen maan tällaisten siirtojen yhteydessä varmistettavan riittävän tietosuojan tason käsite – Tulkinta unionin oikeuden perusteella – Arviointiperusteet
(Euroopan unionin perusoikeuskirjan 52 artiklan 3 kohta; Euroopan parlamentin ja neuvoston asetuksen 2016/679 46 artiklan 1 kohta ja 2 kohdan c alakohta)
(ks. 92–96, 98–101 ja 103–105 kohta sekä tuomiolauselman 2 kohta)
3. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Henkilötietojen siirrot kolmansiin maihin – Siirrot asianmukaisia suojatoimia soveltaen, jotka perustuvat tietosuojaa koskeviin vakiolausekkeisiin – Kansalliset valvontaviranomaiset – Toimivaltuudet – Valvonta, joka koskee henkilötietojen siirtoja kolmansiin maihin – Velvollisuus kieltää tai keskeyttää tällaiset siirrot, kun asianomaisen kolmannen maan tietosuojan tason ei ole riittävä – Edellytykset
(Euroopan unionin perusoikeuskirjan 8 artiklan 3 kohta; Euroopan parlamentin ja neuvoston direktiivin 2016/679 45 ja 46 artikla, 51 artiklan 1 kohta, 57 artiklan 1 kohdan a ja f alakohta sekä 58 artiklan 1 kohta ja 2 kohdan f ja j alakohta)
(ks. 107, 108 ja 112–121 kohta sekä tuomiolauselman 3 kohta)
4. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Henkilötietojen siirto kolmansiin maihin – Siirrot asianmukaisia suojatoimia soveltaen, jotka perustuvat tietosuojaa koskeviin vakiolausekkeisiin – Mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille annettu komission päätös 2010/87 – Unionin sijoittautuneiden rekisterinpitäjien ja valvontaviranomaisten tarjoamat asianmukaiset suojatoimet – Näiden viranomaisten velvollisuus keskeyttää tai kieltää tällaiset siirrot, kun mainittuja lausekkeita ei noudateta – Oikeutta yksityiselämän kunnioitukseen, henkilötietojen suojaan ja tehokkaisiin oikeussuojakeinoihin ei ole loukattu – Päätöksen pätevyys
(Euroopan unionin perusoikeuskirjan 7, 8 ja 47 artikla; Euroopan parlamentin ja neuvoston asetuksen 2016/679 46 artiklan 1 kohta ja 2 kohdan c alakohta; komission päätöksen 2010/87 liite)
(ks. 128–130, 133–145, 148 ja 149 kohta sekä tuomiolauselman 4 kohta)
5. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Henkilötietojen siirto kolmansiin maihin – Komissio tekee päätöksen, jossa se toteaa, että tietosuojan taso kolmannessa maassa on riittävä – Päätös 2016/1250, jossa todetaan, että tietosuojan riittävä taso taataan EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa – Kansallinen valvontaviranomainen, jonka käsiteltäväksi on saatettu ilmoitus, jossa kyseenalaistetaan tässä kolmannessa maassa varmistetun tietosuojan tason riittävyys – Tämän viranomaisen velvollisuus tutkia ilmoitus – Päätöksen 2016/2150 pätevyyden tutkiminen
(SEUT 288 artiklan neljäs kohta; Euroopan parlamentin ja neuvoston asetuksen 2016/679 45 artiklan 3 kohta ja 77 artiklan 1 kohta; komission päätöksen 2016/1250 liite II)
(ks. 151–161 kohta)
6. Perusoikeudet – Euroopan unionin perusoikeuskirja – Yksityiselämän kunnioittaminen – Henkilötietojen suoja – Henkilötietojen säilyttäminen ja niihin pääsy siinä tarkoituksessa, että viranomaiset voivat käyttää niitä – Puuttuminen näihin perusoikeuksiin – Näiden oikeuksien käyttämisen rajoitukset – Suhteellisuusperiaatteen noudattaminen
(Euroopan unionin perusoikeuskirjan 7 ja 8 artikla, 52 artiklan 1 kohdan toinen virke; Euroopan parlamentin ja neuvoston asetus 2016/679)
(ks. 170–176 kohta)
7. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Henkilötietojen siirto kolmansiin maihin – Komissio tekee päätöksen, jossa se toteaa, että tietosuojan taso kolmannessa maassa on riittävä – Päätös 2016/1250, jossa todetaan, että tietosuojan riittävä taso taataan EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa – Tietosuojan taso ei pääosiltaan vastaa unionin oikeudessa taattua tietosuojan tasoa – Henkilöiden, joita nämä siirrot koskevat, yksityiselämän kunnioitusta henkilötietojen suojaa ja tehokkaita oikeussuojakeinoja koskevia oikeuksia loukataan – Oikeusasiamiesmekanismin käyttöön otto Privacy Shield ‑järjestelyn yhteydessä – Ei vaikuta tehokkaita oikeussuojakeinoja koskevan oikeuden loukkaukseen – Päätöksen pätemättömyys
(Euroopan unionin perusoikeuskirjan 7, 8 ja 47 artikla ja 52 artiklan 1 kohdan toinen virke; Euroopan parlamentin ja neuvoston direktiivin 2016/679 45 artiklan 2 kohdan a alakohta ja 3 kohta; komission päätöksen 2016/1250 liite II)
(ks. 180–185, 187–192 ja 195–201 kohta sekä tuomiolauselman 5 kohta)
8. Ennakkoratkaisukysymykset – Pätevyyden arviointi – Unionin toimen julistaminen pätemättömäksi – Päätös 2016/1250, jossa todetaan, että tietosuojan riittävä taso taataan EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn puitteissa – Vaikutukset – Ajallinen rajoittaminen – Ei ole
(SEUT 267 artikla; Euroopan parlamentin ja neuvoston asetuksen 2016/679 49 artikla; komission päätös 2016/1250)
(ks. 202 kohta)
Tiivistelmä
Unionin tuomioistuin toteaa, että EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyydestä annettu päätös 2016/1250 on pätemätön
Se katsoo sitä vastoin, että mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille annettu komission päätös 2010/87 on pätevä
Yleisessä tietosuoja-asetuksessa(1) säädetään, että tällaisia tietoja voidaan lähtökohtaisesti siirtää kolmanteen maahan vain, jos kyseinen kolmas maa varmistaa näiden tietojen osalta riittävän tietosuojan tason. Kyseisen asetuksen mukaan komissio voi todeta, että kolmas maa varmistaa kansallisen lainsäädäntönsä tai kansainvälisten sitoumustensa vuoksi riittävän tietosuojan tason. (2) Jollei tällaista tietosuojan riittävyyttä koskevaa päätöstä ole tehty, unioniin sijoittautunut henkilötietojen viejä voi toteuttaa tällaisen siirron vain, jos se on toteuttanut asianmukaiset suojatoimet, jotka voivat perustua muun muassa komission antamiin tietosuojaa koskeviin vakiolausekkeisiin, ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.(3) Lisäksi yleisessä tietosuoja-asetuksessa vahvistetaan täsmällisesti edellytykset, joiden vallitessa tällainen siirto voi tapahtua, jollei ole tehty tietosuojan riittävyyttä koskevaa päätöstä tai toteutettu asianmukaisia suojatoimia.(4)
Maximillian Schrems, joka on Itävallan kansalainen ja asuu Itävallassa, on ollut Facebookin käyttäjä vuodesta 2008. Facebook Ireland siirtää Schremsin, kuten muidenkin unionin alueella asuvien Facebookin käyttäjien, henkilötiedot kokonaan tai osittain käsiteltäviksi Facebook Inc:lle kuuluville palvelimille, jotka sijaitsevat Yhdysvaltojen alueella. Schrems teki Irlannin tietosuojavaltuutetulle kantelun, jossa hän pääasiallisesti vaati näiden siirtojen kieltämistä. Hän väitti, että Yhdysvalloissa voimassa olevat oikeussäännöt ja käytännöt eivät takaa sinne siirretyille tiedoille riittävää suojaa viranomaisten tietoihin pääsyä vastaan. Kyseinen kantelu hylättiin erityisesti sillä perusteella, että komissio oli päätöksessään 2000/520(5) (ns. safe harbor ‑päätös) todennut, että Yhdysvalloissa taataan riittävä tietosuojan taso. Unionin tuomioistuin, jolle High Court (ylempi piirituomioistuin, Irlanti) oli esittänyt ennakkoratkaisupyynnön, totesi tämän päätöksen pätemättömäksi 6.10.2015 antamassaan tuomiossa (jäljempänä Schrems I ‑tuomio).(6)
Schrems I ‑tuomion ja sen johdosta, että irlantilainen tuomioistuin kumosi päätöksen, jolla Schremsin kantelu oli hylätty, Irlannin valvontaviranomainen kehotti Schremsiä muotoilemaan kantelunsa uudelleen, kun otettiin huomioon, että unionin tuomioistuin oli todennut päätöksen 2000/520 pätemättömäksi. Schrems väittää uudelleen muotoillussa kantelussaan, että Yhdysvallat ei tarjoa kyseiseen maahan siirretyille tiedoille riittävää suojaa. Hän vaatii näin ollen, että hänen henkilötietojensa siirrot unionista Yhdysvaltoihin, jotka Facebook Ireland nyt toteuttaa päätöksen 2010/87(7) liitteessä olevien tietosuojaa koskevien vakiolausekkeiden perusteella, jatkossa kielletään tai niitä lykätään. Koska Irlannin valvontaviranomainen katsoi, että Schremsin kantelun käsittely riippuu erityisesti päätöksen 2010/87 pätevyydestä, se saattoi High Courtissa vireille menettelyn, jotta High Court esittäisi tämän kysymyksen unionin tuomioistuimelle. Tämän menettelyn aloittamisen jälkeen komissio antoi päätöksen 2016/1250 EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyydestä (8)(ns. Privacy Shield ‑päätös).
Ennakkoratkaisua pyytänyt tuomioistuin kysyy ennakkoratkaisupyynnössään unionin tuomioistuimelta, onko yleinen tietosuoja-asetus sovellettavissa henkilötietojen siirtoihin, jotka perustuvat päätöksessä 2010/87 oleviin tietosuojaa koskeviin vakiolausekkeisiin, millaista tietosuojan tasoa kyseisessä asetuksessa edellytetään tällaisen siirron yhteydessä, ja mitä velvollisuuksia valvontaviranomaisilla on tässä yhteydessä. Lisäksi High Court tuo esiin kysymyksen sekä päätöksen 2010/87 että päätöksen 2016/1250 pätevyydestä.
Unionin tuomioistuin toteaa tänään antamassaan tuomiossa, että päätöksen 2010/87 perusoikeuskirjan perusteella suoritetussa tarkastelussa ei ole tullut esiin mitään seikkaa, joka vaikuttaisi tämän päätöksen pätevyyteen. Se toteaa sitä vastoin, että päätös 2016/1250 on pätemätön.
Unionin tuomioistuin katsoo ensiksi, että unionin oikeutta ja erityisesti yleistä tietosuoja-asetusta sovelletaan henkilötietojen siirtoon, jonka jäsenvaltioon sijoittautunut talouden toimija toteuttaa kaupallisessa tarkoituksessa siirtämällä tiedot kolmanteen maahan sijoittautuneelle talouden toimijalle, vaikka kyseisen kolmannen maan viranomaiset voivat tämän siirron kuluessa tai sen jälkeen käsitellä näitä tietoja yleistä turvallisuutta, puolustusta ja valtion turvallisuutta varten. Se täsmentää, että kolmannen maan viranomaisten tämän tyyppinen tietojen käsittely ei voi sulkea tällaista siirtoa asetuksen soveltamisalan ulkopuolelle.
Siltä osin kuin kyse on tällaisen siirron yhteydessä vaadittavasta suojan tasosta, unionin tuomioistuin katsoo, että yleisen tietosuoja-asetuksen säännöksissä tätä varten säädettyjä vaatimuksia, jotka koskevat asianmukaisia suojatoimia, täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja, on tulkittava siten, että henkilöiden, joiden henkilötietoja siirretään kolmanteen maahan tietosuojaa koskevien vakiolausekkeiden perusteella, on saatava edukseen sellainen tietosuojan taso, joka pääosiltaan vastaa tasoa, joka taataan unionissa tällä asetuksella, luettuna perusoikeuskirjan valossa. Tässä yhteydessä se täsmentää, että tämän suojan tason arvioinnissa on otettava huomioon sekä unioniin sijoittautuneen tietojen viejän ja asianomaiseen kolmanteen maahan sijoittautuneen siirron vastaanottajan välillä sovitut sopimusmääräykset että, siltä osin kuin kyse on tämän kolmannen maan viranomaisten mahdollisesta pääsystä näin siirrettyihin henkilötietoihin, tämän maan oikeusjärjestelmään liittyvät merkitykselliset tekijät.
Siltä osin kuin kyse on valvontaviranomaisille tällaisen siirron yhteydessä kuuluvista velvollisuuksista, unionin tuomioistuin katsoo, että jollei komissio ole pätevästi tehnyt tietosuojan riittävyyttä koskevaa päätöstä, kyseisten viranomaisten on keskeytettävä tai kiellettävä henkilötietojen siirto kolmanteen maahan, jos ne katsovat kaikkien tämän siirron olosuhteiden valossa, että tietosuojaa koskevia vakiolausekkeita ei noudateta tai voida noudattaa tässä maassa ja että unionin oikeudessa vaadittua siirrettyjen tietojen suojaa ei voida varmistaa muilla keinoilla, siltä osin kuin unioniin sijoittautunut rekisterinpitäjä tai sen henkilötietojen käsittelijä ei itse ole keskeyttänyt tai lopettanut siirtoa.
Unionin tuomioistuin tarkastelee sitten päätöksen 2010/87 pätevyyttä. Unionin tuomioistuimen mukaan tämän päätöksen pätevyyttä ei aseta kyseenalaiseksi pelkästään se seikka, että siihen sisältyvät tietosuojaa koskevat vakiolausekkeet eivät sopimusluonteisuutensa vuoksi sido sen kolmannen maan viranomaisia, johon tietoja voitaisiin siirtää. Sen sijaan se täsmentää, että tämä pätevyys riippuu siitä, sisältyykö mainittuun päätökseen tehokkaita mekanismeja, jotka käytännössä varmistavat, että unionin oikeudessa edellytettyä tietosuojan tasoa noudatetaan ja että tällaisiin lausekkeisiin perustuvat henkilötietojen siirrot keskeytetään tai kielletään, jos näitä lausekkeita rikotaan tai niiden noudattaminen on mahdotonta. Unionin tuomioistuin toteaa, että päätöksessä 2010/87 otetaan käyttöön tällaiset mekanismit. Tältä osin se korostaa erityisesti, että kyseisessä päätöksessä asetetaan tietojen viejälle ja siirron vastaanottajalle velvollisuus ennalta varmistaa, että asianomaisessa kolmannessa maassa noudatetaan tätä tietosuojan tasoa, ja että päätöksessä asetetaan siirron vastaanottajalle velvollisuus ilmoittaa tietojen viejälle, jos se ei mahdollisesti voi noudattaa tietosuojaa koskevia vakiolausekkeita, jolloin viimeksi mainitun on keskeytettävä tietojen siirto ja/tai irtisanottava ensiksi mainitun kanssa tehty sopimus.
Unionin tuomioistuin tarkastelee lopuksi päätöksen 2016/1250 pätevyyttä niiden vaatimusten kannalta, jotka johtuvat yleisestä tietosuoja-asetuksesta, luettuna perusoikeuskirjan niiden määräysten valossa, joilla taataan yksityis- ja perhe-elämän suoja, henkilötietojen suoja ja oikeus tehokkaaseen oikeussuojaan. Tältä osin unionin tuomioistuin toteaa, että kyseisessä päätöksessä vahvistetaan päätöksen 2000/520 tavoin kansallisen turvallisuuden ja yleisen edun tai Yhdysvaltojen sisäisen lainsäädännön vaatimusten ensisijaisuus, mikä mahdollistaa puuttumisen niiden henkilöiden perusoikeuksiin, joiden tiedot siirretään tähän kolmanteen maahan. Unionin tuomioistuimen mukaan Yhdysvaltojen sisäisestä säännöstöstä, joka koskee Yhdysvaltojen viranomaisten pääsyä unionista Yhdysvaltoihin siirrettyihin henkilötietoihin ja näiden tietojen käyttöä, johtuvia henkilötietojen suojan rajoituksia, joita komissio on arvioinut päätöksessä 2016/1250, ei ole rajattu tavalla joka täyttäisi vaatimukset, jotka pääosiltaan vastaavat vaatimuksia, jotka unionin oikeudessa liittyvät suhteellisuusperiaatteeseen, koska näihin säännöksiin perustuvia tarkkailuohjelmia ei ole rajattu vain täysin välttämättömään. Unionin tuomioistuin toteaa tähän päätökseen sisältyvien toteamusten perusteella, että eräiden tarkkailuohjelmien osalta kyseisestä säännöstöstä ei millään tavoin ilmene, että olisi olemassa rajoituksia sen sisältämään valtuutukseen, joka koskee näiden ohjelmien käyttöönottoa, eikä myöskään, että ei-yhdysvaltalaisia henkilöitä varten, joita nämä ohjelmat mahdollisesti koskevat, olisi olemassa suojatoimia. Unionin tuomioistuin lisää, että vaikka tässä säännöksessä vahvistetaan vaatimuksia, joita Yhdysvaltojen viranomaisten on tarkkailuohjelmia täytäntöön pannessaan noudatettava, siinä ei anneta rekisteröidyille täytäntöönpanokelpoisia oikeuksia, joihin voitaisiin vedota Yhdysvaltojen viranomaisia vastaan tuomioistuimissa.
Unionin tuomioistuin katsoo tehokasta oikeussuojaa koskevasta vaatimuksesta, että toisin kuin komissio katsoi päätöksessä 2016/1250, kyseisessä päätöksessä tarkoitettu oikeusasiamiesmekanismi ei merkitse näille henkilöille oikeussuojakeinoa sellaisessa elimessä, joka antaa takeet, jotka pääosiltaan vastaavat unionin oikeudessa edellytettyjä takeita; toisin sanoen takeet, joilla varmistetaan sekä tällä mekanismilla vahvistetun oikeusasiamiehen riippumattomuus että sellaisten normien olemassaolo, joiden nojalla mainittu oikeusasiamies voi tehdä Yhdysvaltojen tiedustelupalveluja sitovia päätöksiä. Kaikista näistä syistä unionin tuomioistuin toteaa, että päätös 2016/1250 on pätemätön.