Arrest van het Hof (Grote kamer) van 16 juli 2020 (verzoek om een prejudiciële beslissing ingediend door de High Court (Ierland) – Ierland) – Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems

(Zaak C-311/18)¹

(Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten)

Procestaal: Engels

Verwijzende rechter

High Court (Ierland)

Partijen in het hoofdgeding

Verzoekende partij: Data Protection Commissioner

Verwerende partijen: Facebook Ireland Limited, Maximillian Schrems

in tegenwoordigheid van: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope

Dictum

Artikel 2, leden 1 en 2, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet aldus worden uitgelegd dat de doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde marktdeelnemer aan een andere, in een derde land gevestigde marktdeelnemer binnen de werkingssfeer van deze verordening valt, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het betrokken derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat.

Artikel 46, lid 1, en artikel 46, lid 2, onder c), van verordening 2016/679 moeten aldus worden uitgelegd dat de door deze bepaling vereiste passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen moeten verzekeren dat de rechten van personen wier persoonsgegevens op basis van standaardbepalingen inzake gegevensbescherming naar een derde land worden doorgegeven, in grote lijnen overeenkomen met het beschermingsniveau dat binnen de Europese Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest van de grondrechten van de Europese Unie. Daartoe moet bij de beoordeling van het bij een dergelijke doorgifte gewaarborgde beschermingsniveau rekening worden gehouden met zowel de contractuele bepalingen die zijn overeengekomen tussen de in de Europese Unie gevestigde verwerkingsverantwoordelijke of zijn in de Europese Unie gevestigde verwerker en de in het betrokken derde land gevestigde ontvanger van de doorgifte, als, wat een eventuele toegang van de overheidsinstanties van dat derde land tot de doorgegeven persoonsgegevens betreft, de relevante aspecten van het rechtsstelsel van dat derde land, met name die welke worden vermeld in artikel 45, lid 2, van die verordening.

Artikel 58, lid 2, onder f) en j), van verordening 2016/679 moet aldus worden uitgelegd dat de bevoegde toezichthoudende autoriteit, tenzij de Europese Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, ertoe verplicht is om de doorgifte van gegevens naar een derde land op basis van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming op te schorten of te verbieden, wanneer deze toezichthoudende autoriteit, gelet op alle omstandigheden van die doorgifte, van oordeel is dat die bepalingen in dat derde land niet worden of niet kunnen worden nageleefd en dat de bescherming van de doorgegeven gegevens, zoals vereist door het Unierecht, inzonderheid door de artikelen 45 en 46 van deze verordening en door het Handvest van de grondrechten, niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd.

Bij de toetsing van besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad, zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016, aan de artikelen 7, 8 en 47 van het Handvest van de grondrechten is niet gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten.

Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming is ongeldig.

____________