Language of document : ECLI:EU:C:2015:650

C‑362/14. sz. ügy

Maximillian Schrems

kontra

Data Protection Commissioner

(a High Court [Írország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal iránti kérelem – Személyes adatok – A természetes személyek védelme az ilyen adatok kezelése vonatkozásában – Az Európai Unió Alapjogi Chartája – 7., 8. és 47. cikk – 95/46/EK irányelv – 25. és 28. cikk – Személyes adatok harmadik országokba való továbbítása – 2000/520/EK határozat – Személyes adatok Egyesült Államokba való továbbítása – Nem megfelelő védelmi szint – Érvényesség – Olyan természetes személy panasza, akinek az adatait az Európai Unióból az Egyesült Államokba továbbították – A nemzeti felügyelő hatóságok jogkörei”

Összefoglaló – A Bíróság ítélete (nagytanács), 2015. október 6.

1.        Jogszabályok közelítése – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46 irányelv – Az alapvető jogok fényében való értelmezés

(Az Európai Unió Alapjogi Chartája; 95/46 európai parlamenti és tanácsi irányelv)

2.        Jogszabályok közelítése – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46 irányelv – Nemzeti felügyelő hatóságok – A függetlenség követelménye

(EUMSZ 16. cikk, (2) bekezdés; az Európai Unió Alapjogi Chartája, 8. cikk, (3) bekezdés; 95/46 európai parlamenti és tanácsi irányelv, (62) preambulumbekezdés és 28. cikk, (1) bekezdés)

3.        Jogszabályok közelítése – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46 irányelv – Nemzeti felügyelő hatóságok – Hatáskörök – A személyes adatok harmadik országokba való továbbításának felügyelete – Bennfoglaltság

(Az Európai Unió Alapjogi Chartája, 8. cikk, (3) bekezdés; 95/46 európai parlamenti és tanácsi irányelv, 28. cikk)

4.        Jogszabályok közelítése – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46 irányelv – A személyes adatok harmadik országokba való továbbítása – Valamely harmadik országban a védelem megfelelő szintjét megállapító határozat elfogadása a Bizottság által – Minden címzett tagállam számára kötelező erővel rendelkező határozat – Az ilyen határozat érvényességének vizsgálata – A nemzeti felügyelő hatóságok, illetve a nemzeti bíróságok szerepe

(EUMSZ 288. cikk, negyedik bekezdés; az Európai Unió Alapjogi Chartája, 8. cikk, (3) bekezdés és 47. cikk; 95/46 európai parlamenti és tanácsi irányelv, 25. cikk, (6) bekezdés és 28. cikk, (3) és (4) bekezdés)

5.        Jogszabályok közelítése – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46 irányelv – A személyes adatok harmadik országokba való továbbítása – Valamely harmadik országban a védelem megfelelő szintjét megállapító határozat elfogadása a Bizottság által – Nemzeti felügyelő hatóság, amelyhez a kérelmezőt érintő adatok kezelése tekintetében a jogok és szabadságok védelmére irányuló kérelmet nyújtottak be – A megfelelő védelmi szint e harmadik országban való fennállását vitató kérelmező – Az említett hatóság kötelezettsége arra, hogy e kérelmet megvizsgálja – A vizsgálat terjedelme

(Az Európai Unió Alapjogi Chartája, 7. 8. és 47. cikk; 95/46 európai parlamenti és tanácsi irányelv, 25. cikk, (6) bekezdés és 28. cikk)

6.        Jogszabályok közelítése – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46 irányelv – A személyes adatok harmadik országokba való továbbítása – Valamely harmadik országban a védelem megfelelő szintjét megállapító határozat elfogadása a Bizottság által – A megfelelő védelmi szint fogalma – Értékelési szempontok – A Bizottság mérlegelési jogköre

(95/46 európai parlamenti és tanácsi irányelv, 25. cikk, (2) és (6) bekezdés)

7.        Jogszabályok közelítése – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46 irányelv – A személyes adatok harmadik országokba való továbbítása – Valamely harmadik országban a védelem megfelelő szintjét megállapító határozat elfogadása a Bizottság által – Az Egyesült Államok megfelelő védelmi szintjét megállapító 2000/520 határozat – Érvénytelenség

(Az Európai Unió Alapjogi Chartája; 95/46 európai parlamenti és tanácsi irányelv, 25. cikk, (6) bekezdés és 28. cikk; 2000/520 bizottsági határozat, 1–4. cikk)

8.        Alapvető jogok – A magánélet tiszteletben tartása – A személyes adatok védelme – Az ezen alapvető jogokba való beavatkozást magában foglaló uniós szabályozás – Feltételek – A visszaélésekkel szembeni elegendő garancia – Az arányosság elvének tiszteletben tartása

(Az Európai Unió Alapjogi Chartája, 7. és 8. cikk)

1.        Lásd a határozat szövegét.

(vö. 38. pont)

2.        Lásd a határozat szövegét.

(vö. 40., 41. pont)

3.        A nemzeti felügyelő hatóságok a jogkörök széles skálájával rendelkeznek, és – a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46 irányelv 28. cikkének (3) bekezdésében nem kimerítő jelleggel felsorolt – e jogkörök feladataik teljesítéséhez szükséges különböző eszközöknek minősülnek, amint azt ezen irányelv (63) preambulumbekezdése kiemeli. Így az említett hatóságok rendelkeznek többek között vizsgálati jogkörökkel, mint például a felügyeleti feladatok ellátásához szükséges valamennyi információ összegyűjtésére vonatkozó jogosultság; és tényleges beavatkozási jogosultságokkal, mint például az adatkezelés átmeneti vagy végleges tilalmának elrendelése; valamint a bírósági eljárásokban való részvétel jogával.

Ami a személyes adatok harmadik országokba irányuló továbbításának felügyeletére vonatkozó hatáskört illeti, a 95/46 irányelv 28. cikkének (1) és (6) bekezdéséből kétségtelenül következik, hogy a nemzeti felügyelő hatóságok jogkörei e hatóságok joghatósági területén végzett személyesadat‑kezelésre vonatkoznak, és így e 28. cikk alapján nem rendelkeznek jogkörökkel a harmadik országok területén végzett ilyen adatkezelés tekintetében. Mindazonáltal a személyes adatok valamely tagállamból egy harmadik országba való továbbítására irányuló művelet önmagában a 95/46 irányelv 2. cikke b) pontjának értelmében vett, valamely tagállam területén végzett személyesadat‑kezelésnek minősül. Következésképpen, mivel az Európai Unió Alapjogi Chartája 8. cikkének (3) bekezdésével és a 95/46 irányelv 28. cikkével összhangban a nemzeti felügyelő hatóságok feladata a természetes személyek számára a személyes adatok kezelése vonatkozásában biztosított védelemre vonatkozó uniós szabályok tiszteletben tartásának felügyelete, mindegyik hatóság hatáskörrel rendelkezik annak ellenőrzésére, hogy ezen adatoknak azon tagállamból valamely harmadik országba való továbbítása, amelyre a hatóság joghatósága kiterjed, tiszteletben tartja‑e a szóban forgó irányelvben támasztott követelményeket.

(vö. 43–45., 47. pont)

4.        A Bizottság a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46 irányelv 25. cikkének (6) bekezdése alapján határozatot fogadhat el, amelyben megállapítja, hogy a harmadik ország megfelelő védelmi szintet biztosít. Az ilyen határozatnak e rendelkezés második albekezdése értelmében a tagállamok a címzettjei, amelyek megteszik a szükséges intézkedéseket e határozat teljesítésére. Az EUMSZ 288. cikk negyedik bekezdése értelmében e határozat kötelező valamennyi címzett tagállamra nézve, és így valamennyi szervükre is kötelező, mivel az a következménye, hogy engedélyezi a személyes adatok tagállamokból való továbbítását azon harmadik országokba, amelyekre e határozat vonatkozik.

Így amíg a Bíróság – amely egyedül rendelkezik hatáskörrel az uniós jogi aktusok érvénytelenségének megállapítására – nem állapítja meg a Bizottság határozatának érvénytelenségét, a tagállamok és a szerveik, köztük a független felügyelő hatóságaik, kétségkívül nem fogadhatnak el e határozattal ellentétes olyan intézkedéseket, mint az annak kötelező erejű megállapítására irányuló jogi aktusok, hogy az a harmadik ország, amelyre az említett határozat vonatkozik, nem biztosít megfelelő védelmi szintet. Az uniós intézmények jogi aktusait ugyanis főszabály szerint megilleti a jogszerűség vélelme, és ennélfogva mindaddig joghatásokat váltanak ki, amíg azokat vissza nem vonják, megsemmisítés iránti kereset alapján meg nem semmisítik, illetve előzetes döntéshozatal iránti kérelem vagy jogellenességi kifogás következtében nem nyilvánítják érvénytelennek.

Habár a nemzeti bíróságok kétségtelenül jogosultak arra, hogy megvizsgálják az uniós jogi aktusok érvényességét, nem rendelkeznek azonban hatáskörrel arra, hogy maguk állapítsák meg az ilyen aktus érvénytelenségét. Az ilyen bizottsági határozatnak a személyek magánélete, valamint alapvető jogai és szabadságai védelmével való összeegyeztethetőségére vonatkozó, az említett irányelv 28. cikkének (4) bekezdése szerinti kérelem vizsgálata során a nemzeti felügyelő hatóságok még kevésbé jogosultak az ilyen határozat érvénytelenségének megállapítására.

Amennyiben az említett hatóság arra a következtetésre jut, hogy az ilyen kérelem alátámasztására felhozott bizonyítékok megalapozatlanok, és ezért elutasítja azt, az említett panaszt benyújtó személynek – amint a 95/46 irányelvnek az Európai Unió Alapjogi Chartája 47. cikkével összefüggésben értelmezett 28. cikke (3) bekezdésének második albekezdéséből következik – olyan bírósági jogorvoslati lehetőségekkel kell rendelkeznie, amelyek lehetővé teszik számára, hogy az ilyen, számára sérelmet okozó aktust a nemzeti bíróságok előtt vitassa. Ilyen feltételek mellett e bíróságok kötelesek felfüggeszteni az eljárást, és az érvényesség vizsgálata érdekében előzetes döntéshozatal iránti kérelemmel fordulni a Bírósághoz, amennyiben úgy ítélik meg, hogy a felek által felhozott vagy a hivatalból megvizsgált egy vagy több érvénytelenségi ok megalapozott.

Ellenkező esetben, ha az említett hatóság megalapozottnak ítéli meg a személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatos kérelmet benyújtó személy által felhozott kifogásokat, ugyanezen hatóságnak – a 95/46 irányelvnek az Európai Unió Alapjogi Chartája 8. cikke (3) bekezdésével összefüggésben értelmezett 28. cikke (3) bekezdése harmadik albekezdésének harmadik francia bekezdése alapján – lehetőséggel kell rendelkeznie ahhoz, hogy bírósági eljárást indítson. Ezzel összefüggésben a nemzeti jogalkotó feladata, hogy előírja azon jogorvoslati lehetőségeket, amelyek lehetővé teszik az érintett nemzeti felügyelő hatóság számára, hogy a nemzeti bíróságok előtt az általa megalapozottnak talált kifogásokra hivatkozzon annak érdekében, hogy amennyiben az utóbbiak osztják e hatóságnak a bizottsági határozat érvényessége tekintetében fennálló kétségeit, előzetes döntéshozatali eljárást kezdeményezhessenek e határozat érvényességének vizsgálata céljából.

(vö. 51., 52., 61., 62., 64., 65. pont)

5.        A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46 irányelv 25. cikkének (6) bekezdését az Európai Unió Alapjogi Chartája 7., 8. és 47. cikkével összefüggésben úgy kell értelmezni, hogy az e rendelkezés alapján elfogadott határozat, amelyben a Bizottság megállapítja, hogy valamely harmadik ország megfelelő védelmi szintet biztosít, nem akadályozza meg azt, hogy az ezen irányelv 28. cikke szerinti tagállami felügyelő hatóság megvizsgálja a személy által benyújtott, a valamely tagállamból e harmadik országba továbbított és őt érintő személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatos kérelmet, amennyiben e személy arra hivatkozik, hogy az ezen országban hatályos jog és gyakorlatok nem biztosítanak megfelelő védelmi szintet.

Ha nem lennének erre jogosultak, azokat a személyeket, akiknek a személyes adatait valamely harmadik országba továbbították vagy továbbíthatják, megfosztanák az Európai Unió Alapjogi Chartája 8. cikkének (1) és (3) bekezdésében biztosított azon jogtól, hogy az alapvető jogaik védelmére irányuló kérelemmel forduljanak a nemzeti felügyelő hatóságokhoz.

Ezenfelül a 95/46 irányelv 28. cikkének (4) bekezdése szerinti azon kérelmet, amelyben az ilyen személy arra hivatkozik, hogy ezen ország joga és gyakorlatai – a Bizottság által az ezen irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatban tett megállapítás ellenére – nem biztosítanak megfelelő védelmi szintet, úgy kell érteni, hogy az lényegében e határozatnak a személyek magánélete, valamint alapvető jogai és szabadságai védelmével való összeegyeztethetőségére vonatkozik. Ilyen feltételek mellett, amennyiben valamely személy, akinek a személyes adatait olyan harmadik országba továbbították vagy továbbíthatják, amely a Bizottság által a 95/46 irányelv 25. cikkének (6) bekezdése alapján hozott határozat tárgyát képezi, ilyen kérelemmel fordul a nemzeti felügyelő hatósághoz, e hatóság feladata, hogy kellő gondossággal megvizsgálja az említett kérelmet.

(vö. 58., 59., 63., 66. pont és a rendelkező rész 1. pontja)

6.        A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46 irányelv 25. cikkének (6) bekezdésében szereplő „megfelelő védelmi szint” kifejezést úgy kell érteni, mint amely megköveteli, hogy e harmadik ország – belföldi joga, vagy vállalt nemzetközi kötelezettségei alapján – az Unióban az Európai Unió Alapjogi Chartájával összefüggésben értelmezett 95/46 irányelv által biztosított védelmi szinttel lényegében azonos védelmi szintet biztosítson ténylegesen az alapvető jogok és szabadságok számára.

E körülmények mellett, a harmadik ország által biztosított védelmi szint vizsgálata során a Bizottság köteles értékelni a belföldi jogából, vagy a vállalt nemzetközi kötelezettségeiből eredően ebben az országban alkalmazandó szabályok tartalmát, valamint az e szabályok tiszteletben tartásának biztosítására szolgáló gyakorlatot, mivel ezen intézménynek a 95/46 irányelv 25. cikke (2) bekezdésének megfelelően figyelembe kell vennie a személyes adatok harmadik országba való továbbítására vonatkozó valamennyi feltételt. Ehhez hasonlóan, tekintettel arra, hogy a harmadik ország által biztosított védelmi szint változhat, a Bizottságnak, azt követően, hogy a 95/46 irányelv 25. cikkének (6) bekezdése alapján határozatot fogadott el, rendszeresen meg kell vizsgálnia, hogy a szóban forgó harmadik ország által biztosított védelem megfelelő szintjére vonatkozó megállapítás továbbra is ténybelileg és jogilag igazolt‑e. Ezen vizsgálat minden esetben szükséges, amikor a valószínűsítő körülmények alapján kétségek merülhetnek fel e tekintetben.

Figyelembe véve egyrészt azt a jelentős szerepet, amelyet a személyes adatok védelme a magánélet tiszteletben tartásához való alapvető jogra tekintettel betölt, másrészt azon személyek nagy számát tekintve, akiknek az alapjogai sérülhetnek, ha a személyes adatokat olyan harmadik országba továbbítják, amely nem biztosít megfelelő védelmi szintet, a Bizottság e védelmi szint megfelelő mivoltát érintő mérlegelési jogköre korlátozott, és ezért azt szigorú felülvizsgálatnak kell alávetni a 95/46 irányelvnek a Chartával összefüggésben értelmezett 25. cikkéből eredő követelmények tekintetében.

(vö. 73., 75., 76., 78. pont)

7.        Az olyan határozatnak a Bizottság általi, a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46 irányelv 25. cikkének (6) bekezdése alapján való elfogadása, mint az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló 2000/520 határozat, megköveteli, hogy ezen intézmény kellően megindokolja azon megállapítását, hogy az érintett harmadik ország – belföldi joga, vagy vállalt nemzetközi kötelezettségei alapján – ténylegesen az Unió jogrendjében biztosított védelmi szinttel lényegében megegyező védelmi szintet biztosít az alapvető jogok számára.

Márpedig, mivel a Bizottság erről nem győződött meg a 2000/520 határozatában, e határozat 1. cikke sérti a 95/46 irányelvnek az Európai Unió Alapjogi Chartájával összefüggésben értelmezett 25. cikke (6) bekezdésében megállapított követelményeket, és ezért az érvénytelen. Ugyanis a "biztonságos kikötőre" vonatkozó elvek tehát csak azokra az amerikai szervezetekre alkalmazandók, amelyek öntanúsítással rendelkeznek, és személyes adatokat kapnak az Unióból, az amerikai hatóságokra azonban nem vonatkozik ezen elvek tiszteletben tartásának követelménye. Ezenfelül a 2000/520 határozat a nemzetbiztonságra, a közérdekre vagy a bűnüldözésre vonatkozó követelmények alapján lehetővé teszi a beavatkozást azon személyek alapvető jogaiba, akiknek a személyes adatait az Unióból az Egyesült Államokba továbbítják vagy továbbíthatják, anélkül hogy tartalmazna bármilyen megállapítást azzal kapcsolatban, hogy az Egyesült Államokban léteznek az ilyen jogokba való esetleges beavatkozások korlátozására irányuló állami szabályok, illetve azzal kapcsolatban, hogy hatékony bírói védelem létezne az ilyen jellegű beavatkozásokkal szemben.

Ezenfelül a Bizottság túllépte a részére a 95/46 irányelvnek az Európai Unió Alapjogi Chartájával összefüggésben értelmezett 25. cikke (6) bekezdésében biztosított hatáskört a 2000/520 határozat 3. cikkének elfogadásával, és ezért az ezen okból érvénytelen. Ugyanis e cikket úgy kell értelmezni, hogy az megfosztja a nemzeti felügyelő hatóságokat a 95/46 irányelv 28. cikkéből fakadó jogköreiktől, amennyiben valamely személy az e rendelkezés alapján benyújtott kérelem keretében olyan bizonyítékokat terjeszt elő, amelyek alkalmasak a Bizottság azon határozatának a személyek magánélete, valamint alapvető jogai és szabadságai védelmével való összeegyeztethetőségének vitatására, amely ezen irányelv 25. cikkének (6) bekezdése alapján megállapította, hogy valamely harmadik ország megfelelő védelmi szintet biztosít. Márpedig az uniós jogalkotó által a 95/46 irányelv 25. cikkének (6) bekezdésében a Bizottságra ruházott végrehajtási jogkör nem biztosítja ezen intézmény számára azon hatáskört, hogy korlátozza a nemzeti felügyelő hatóságok említett jogköreit.

Mivel a 2000/520 határozat 1. és 3. cikke elválaszthatatlan annak 2. és 4. cikkétől, valamint a mellékleteitől, az érvénytelenségük e határozat egészének érvényességét befolyásolja.

(vö. 82., 87–89., 96–98., 102–105. pont és a rendelkező rész 2. pontja)

8.        Az olyan uniós szabályozásnak, amely beavatkozást jelent az Európai Unió Alapjogi Chartája 7. és 8. cikkében biztosított alapvető jogokba, egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatálya és alkalmazása vonatkozásában, és minimális követelményeket kell előírnia annak érdekében, hogy azon személyek, akiknek a személyes adatai érintettek, elegendő olyan biztosítékkal rendelkezzenek, amely lehetővé teszi az adataiknak a visszaélések veszélyeivel, valamint az ezen adatokat érintő minden jogellenes hozzáféréssel és felhasználással szembeni hatékony védelmét. Az ilyen biztosítékokkal való rendelkezés szükségessége még fontosabb abban az esetben, ha a személyes adatokat automatikusan kezelik és jelentős veszélye áll fenn az említett adatokhoz való jogellenes hozzáférésnek. Ezen túlmenően ráadásul a magánélet tiszteletben tartásához való alapvető jog védelme uniós szinten megköveteli, hogy a személyes adatok védelme alóli kivételek és e védelem korlátozásai a feltétlenül szükséges határokon belül maradjanak.

Így nem a feltétlenül szükségesre korlátozódik az olyan szabályozás, amely általános jelleggel lehetővé teszi minden olyan személy összes személyes adatának tárolását, akiknek az adatait az Unióból továbbították, anélkül hogy a kitűzött cél alapján bármilyen különbségtételt, korlátozást vagy kivételt alkalmazna, és anélkül, hogy olyan objektív kritériumot írna elő, amely lehetővé tenné a hatóságok adatokhoz való hozzáférésének és azok későbbi felhasználásának meghatározott célokra történő, szigorúan behatárolt, valamint az ezen adatokhoz való hozzáférés és az azok felhasználása által okozott beavatkozás igazolására alkalmas korlátozását.

Konkrétan azon olyan szabályozást, amely lehetővé teszi a hatóságok számára, hogy általános jelleggel hozzáférjenek az elektronikus kommunikációk tartalmához, úgy kell tekinteni, hogy az a magánélet tiszteletben tartásához való, az Európai Unió Alapjogi Chartája 7. cikkében biztosított alapvető jog lényegét sérti.

Ehhez hasonlóan az olyan szabályozás, amely nem biztosít a jogalany számára semmilyen jogorvoslati lehetőséget abból a célból, hogy a rá vonatkozó személyes adatokhoz hozzáférést kapjon, vagy azokat helyesbíttesse, illetve töröltesse, nem tartja tiszteletben a hatékony bírói jogvédelemhez való jog lényegét, amelyet az Európai Unió Alapjogi Chartája 47. cikke mond ki. E cikk első bekezdése ugyanis megköveteli, hogy mindenkinek, akinek az Unió joga által biztosított jogait és szabadságait megsértették, a hivatkozott cikkben megállapított feltételek mellett joga van a bíróság előtti hatékony jogorvoslathoz. Az uniós rendelkezések tiszteletben tartásának biztosítására irányuló bírói felülvizsgálat fennállása e tekintetben a jogállamiság létének velejárója.

(vö. 91–95. pont)