Domstolens dom (stora avdelningen) av den 16 juli 2020 (begäran om förhandsavgörande från High Court (Irland) - Irland) – Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems

( C-311/20)(¹ )

(Begäran om förhandsavgörande – Skydd för enskilda personer med avseende på behandling av personuppgifter – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 47 – Förordning (EU) 2016/679 – Artikel 2.2 – Tillämpningsområde – Överföring av personuppgifter till tredje land för kommersiella syften – Artikel 45 – Kommissionens beslut om adekvat skyddsnivå – Artikel 46 – Överföringar som omfattas av lämpliga skyddsåtgärder – Artikel 58 – Tillsynsmyndigheternas befogenhet – Behandling av de överförda uppgifterna som utförs av myndigheterna i ett tredjeland för syften som avser den nationella säkerheten – Bedömning av huruvida en adekvat skyddsnivå säkerställs i ett tredjeland – Beslut 2010/87/EU – Standardiserade skyddsklausuler för överföring av personuppgifter till tredjeland – Lämpliga skyddsåtgärder som vidtas av den personuppgiftsansvarige – Giltighet – Genomförandebeslut (EU) 2016/1250 – Säkerställande av adekvat skydd genom skölden för skydd av privatlivet i Europeiska unionen-Förenta staterna – Giltighet – Klagomål från en enskild person vars uppgifter har överförts från Europeiska unionen till Förenta staterna)

Rättegångsspråk: engelska

Hänskjutande domstol

High Court (Irland)

Parter i målet vid den nationella domstolen

Klagande: Data Protection Commissioner

Motpart: Facebook Ireland Limited och Maximillian Schrems

ytterligare deltagare i rättegången: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc. och Digitaleurope

Domslut

Artikel 2.1 och 2.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas så, att en överföring av personuppgifter i kommersiellt syfte från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett tredjeland, omfattas av denna förordnings tillämpningsområde, trots att dessa uppgifter, under eller efter denna överföring, kan komma att behandlas av myndigheterna i det tredjelandet för ändamål som avser säkerhet, försvar och nationell säkerhet.

Artikel 46.1 och 46.2 c i förordning 2016/679 ska tolkas så, att de lämpliga skyddsåtgärder, lagstadgade rättigheter och effektiva rättsmedel som krävs enligt dessa bestämmelser ska säkerställa att personer vars personuppgifter överförs till ett tredjeland med stöd av standardiserade dataskyddsbestämmelser åtnjuter en skyddsnivå som är väsentligen likvärdig med den som garanteras inom Europeiska unionen genom denna förordning, jämförd med Europeiska unionens stadga om de grundläggande rättigheterna. Vid bedömningen av den skyddsnivå som säkerställs i samband med en sådan överföring ska hänsyn tas till såväl de avtalsvillkor som överenskommits mellan den personuppgiftsansvarige eller personuppgiftsbiträdet, som är etablerade i unionen, och mottagaren av överföringen i det berörda tredjelandet, som de relevanta delarna av rättssystemet i det tredjelandet, särskilt de som anges i artikel 45.2 i förordningen, såvitt avser den åtkomst som myndigheterna i det tredjelandet eventuellt har till överförda personuppgifter.

Artikel 58.2 f och j i förordning 2016/679 ska tolkas så, att såvida det inte finns ett giltigt beslut från Europeiska kommissionen om adekvat skyddsnivå är den behöriga tillsynsmyndigheten skyldig att avbryta eller förbjuda en överföring av uppgifter till ett tredjeland som sker på grundval av standardiserade dataskyddsbestämmelser som antagits av kommissionen, när tillsynsmyndigheten, med beaktande av samtliga omständigheter i samband med denna överföring, anser att dessa klausuler inte iakttas eller inte kan iakttas i det tredjelandet och att det skydd för överförda personuppgifter som krävs enligt unionsrätten, särskilt enligt artiklarna 45 och 46 i nämnda förordning och stadgan om de grundläggande rättigheterna, inte kan säkerställas med andra medel, förutsatt att den personuppgiftsansvarige eller dennes personuppgiftsbiträde som är etablerade i unionen inte själv har avbrutit eller upphört med överföringen.

Vid prövningen av kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG, i dess lydelse enligt kommissionens genomförandebeslut (EU) 2016/2297 av den 16 december 2016, mot bakgrund av artiklarna 7, 8 och 47 i stadgan om de grundläggande rättigheterna har det inte framkommit någon omständighet som påverkar beslutets giltighet.

Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna är ogiltigt.

____________