Zadeva C‑311/18
Data Protection Commissioner
proti
Facebook Ireland Ltd
in
Maximillianu Schremsu
(Predlog za sprejetje predhodne odločbe, ki ga je vložilo High Court (višje sodišče, Irska))
Sodba Sodišča (veliki senat) z dne 16. julija 2020
„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Listina Evropske unije o temeljnih pravicah – Členi 7, 8 in 47 – Uredba (EU) 2016/679 – Člen 2(2) – Področje uporabe – Prenosi osebnih podatkov v tretjo državo v komercialne namene – Člen 45 – Sklep Komisije o ustreznosti – Člen 46 – Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi – Člen 58 – Pooblastila nadzornih organov – Obdelava prenesenih podatkov, ki jo javni organi tretje države izvajajo zaradi nacionalne varnosti – Presoja ustreznosti ravni varstva, ki se zagotavlja v tretji državi – Sklep 2010/87/EU – Standardna določila o varstvu za prenos osebnih podatkov v tretje države – Ustrezni zaščitni ukrepi, ki jih zagotovi upravljavec – Veljavnost – Izvedbeni sklep (EU) 2016/1250 – Ustreznost varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA – Veljavnost – Pritožba fizične osebe, katere podatki so bili iz Evropske unije preneseni v Združene države“
1. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Področje uporabe – Pojem obdelave osebnih podatkov – Prenos osebnih podatkov, ki ga gospodarski subjekt s sedežem v državi članici v komercialne namene opravi drugemu gospodarskemu subjektu s sedežem v tretji državi – Vključitev – Podatki, v zvezi s katerimi obstaja možnost, da jih bodo organi zadevne tretje države obdelovali za namene državne varnosti – Nevplivanje
(Uredba Evropskega parlamenta in Sveta 2016/679, člen 2(1) in (2)(a), (b) in (d) in člen 4, točka 2)
(Glej točke 82, 83 in od 85 do 89 ter točko 1 izreka.)
2. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Prenosi osebnih podatkov v tretjo državo – Prenosi na podlagi ustreznih zaščitnih ukrepov, ki temeljijo na standardnih pogodbenih določilih o varstvu podatkov – Pojem ustrezne ravni varstva, ki ga mora zadevna tretja država zagotoviti pri takem prenosu – Razlaga z vidika prava Unije – Merila presoje
(Listina Evropske unije o temeljnih pravicah, člen 52(3); Uredba Evropskega parlamenta in Sveta 2016/679, člen 46(1) in 2(c))
(Glej točke od 92 do 96, od 98 do 101 in od 103 do 105 ter točko 2 izreka.)
3. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Prenosi osebnih podatkov v tretjo državo – Prenosi na podlagi ustreznih zaščitnih ukrepov, ki temeljijo na standardnih pogodbenih določilih o varstvu podatkov – Nacionalni nadzorni organi – Pooblastila – Nadzor nad prenosi osebnih podatkov v tretje države – Obveznost, da se prenos začasno ustavi ali prepove, če zadevna tretja država ne zagotavlja ustrezne ravni varstva – Pogoji
(Listina Evropske unije o temeljnih pravicah, člen 8(3); Uredba Evropskega parlamenta in Sveta 2016/679, členi 45, 46, 51(1), 57(1)(a) in (f) in 58(1) in (2)(f) in (j))
(Glej točke 107, 108 in od 112 do 121 ter točko 3 izreka.)
4. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Prenosi osebnih podatkov v tretjo državo – Prenosi na podlagi ustreznih zaščitnih ukrepov, ki temeljijo na standardnih pogodbenih določilih o varstvu podatkov – Sklep 2010/87 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah – Ustrezni zaščitni ukrepi, ki jih zagotovijo upravljavci s sedežem v Uniji in nadzorni organi – Obveznost teh organov, da začasno ustavijo ali prepovejo tak prenos v primeru kršitve teh klavzul – Pravice do spoštovanja zasebnega življenja, varstva osebnih podatkov in učinkovitega sodnega varstva – Neobstoj kršitve – Veljavnost sklepa
(Listina Evropske unije o temeljnih pravicah, členi 7, 8 in 47; Uredba Evropskega parlamenta in Sveta 2016/679, člen 46(1) in (2)(c); Sklep Komisije 2010/87, Priloga)
(Glej točke od 128 do 130, od 133 do 145, 148 in 149 ter točko 4 izreka.)
5. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Prenos osebnih podatkov v tretje države – Sprejetje odločbe o ugotovitvi ustrezne ravni varstva v tretjih državah s strani Komisije – Sklep 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU‑ZDA – Nacionalni nadzorni organ, pri katerem je bila vložena zahteva, v kateri se oporeka ustreznosti ravni varstva, ki je zagotovljena v tej tretji državi – Obveznost tega organa, da preuči zahtevo – Preizkus veljavnosti Sklepa 2016/1250
(člen 288, četrti odstavek, PDEU; Uredba Evropskega parlamenta in Sveta 2016/679, člena 45(3) in 77(1); Sklep Komisije 2016/1250, Priloga II)
(Glej točke od 151 do 161.)
6. Temeljne pravice – Listina Evropske unije o temeljnih pravicah – Spoštovanje zasebnega življenja – Varstvo osebnih podatkov – Hramba in dostop do osebnih podatkov z namenom, da jih uporabijo javni organi – Poseg v temeljne pravice – Omejitev izvrševanja teh pravic – Spoštovanje načela sorazmernosti
(Listina Evropske unije o temeljnih pravicah, členi 7, 8 in 52(1), drugi stavek; Uredba Evropskega parlamenta in Sveta 2016/679)
(Glej točke od 170 do 176.)
7. Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2016/679 – Prenos osebnih podatkov v tretje države – Sprejetje odločbe o ugotovitvi ustrezne ravni varstva v tretjih državah s strani Komisije – Sklep 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU‑ZDA – Neobstoj ravni varstva, ki bi bila v bistvu enakovredna ravni, ki se zagotavlja s pravom Unije – Kršitev pravic oseb, na katere se nanaša ta prenos, do spoštovanja zasebnega življenja, varstva osebnih podatkov in učinkovitega sodnega varstva – Vzpostavitev mehanizma varuha človekovih pravic v okviru zasebnostnega ščita – Neobstoj vpliva na kršitev pravice do učinkovitega sodnega varstva – Neveljavnost sklepa
(Listina Evropske unije o temeljnih pravicah, členi 7, 8, 47 in 52(1), drugi stavek; Uredba Evropskega parlamenta in Sveta 2016/679, člen 45(2)(a) in (3); Sklep Komisije 2016/1250, Priloga II)
(Glej točke od 180 do 185, od 187 do 192 in od 195 do 201 ter točko 5 izreka.)
8. Vprašanja za predhodno odločanje – Presoja veljavnosti – Razglasitev neveljavnosti akta Unije – Sklep 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA – Učinki – Časovna omejitev – Neobstoj
(člen 267 PDEU; Uredba Evropskega parlamenta in Sveta 2016/679, člen 49; Sklep Komisije 2016/1250)
(Glej točko 202.)
Povzetek
Sodišče je ugotovilo, da Sklep 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA, ni veljaven
Po drugi strani je presodilo, da je Sklep Komisije 2010/87 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah veljaven
Splošna uredba o varstvu podatkov(1) določa, da se osebni podatki v tretjo državo načeloma lahko prenesejo le, če ta tretja država zagotavlja ustrezno raven varstva teh podatkov. Ta uredba določa, da lahko Komisija ugotovi, da neka tretja država zaradi svoje domače zakonodaje ali mednarodnih obveznosti zagotavlja ustrezno raven varstva.(2) Če tak sklep o ustreznosti ni sprejet, se tak prenos lahko opravi le, če izvoznik osebnih podatkov, ki ima sedež v Uniji, predvidi ustrezne zaščitne ukrepe, ki se lahko med drugim zagotovijo s standardnimi določili o varstvu podatkov, ki jih sprejme Komisija, in če imajo posamezniki, na katere se osebni podatki nanašajo, na voljo izvršljive pravice in učinkovita pravna sredstva.(3) Poleg tega Splošna uredba o varstvu podatkov natančno določa pogoje, pod katerimi je tak prenos mogoč, če ni bil sprejet sklep o ustreznosti ali niso bili zagotovljeni ustrezni zaščitni ukrepi.(4)
Maximillian Schrems, avstrijski državljan, ki prebiva v Avstriji, od leta 2008 uporablja Facebook. Enako kot velja za druge uporabnike, ki prebivajo v Uniji, družba Facebook Ireland osebne podatke M. Schremsa v celoti ali delno prenaša na strežnike družbe Facebook Inc., ki so na ozemlju Združenih držav in na katerih se ti podatki obdelujejo. M. Schrems je pri irskem nadzornem organu vložil pritožbo, v kateri je v bistvu predlagal, naj se ti prenosi prepovejo. Trdil je, da zakonodaja in praksa v Združenih državah ne zagotavljata zadostnega varstva podatkov, ki so bili preneseni v to državo, pred tem, da bi do njih dostopali javni organi. Ta pritožba je bila zavrnjena med drugim zato, ker je Komisija v Odločbi 2000/520(5) (t. i. Odločba o „varnem pristanu“) ugotovila, da Združene države zagotavljajo ustrezno raven varstva. Sodišče je s sodbo z dne 6. oktobra 2015 na podlagi vprašanja za predhodno odločanje, ki mu ga je predložilo High Court (višje sodišče, Irska), to odločbo razglasilo za neveljavno (v nadaljevanju: sodba Schrems).(6)
Po tem, ko je bila izdana sodba Schrems in je nato irsko sodišče razveljavilo odločbo, s katero je bila pritožba M. Schremsa zavrnjena, je irski nadzorni organ M. Schremsa pozval, naj pritožbo spremeni tako, da upošteva dejstvo, da je Sodišče Odločbo 2000/520 razglasilo za neveljavno. M. Schrems je v spremenjeni pritožbi trdil, da Združene države ne zagotavljajo zadostnega varstva osebnih podatkov, ki so bili preneseni v to državo. Predlagal je, naj se za naprej prepove ali začasno ustavi prenos njegovih osebnih podatkov v Združene države, ki ga družba Facebook Ireland odslej opravlja na podlagi standardnih določil o varstvu podatkov iz Priloge k Sklepu 2010/87(7). Irski nadzorni organ je menil, da je odločitev o pritožbi M. Schremsa med drugim odvisna od veljavnosti Sklepa 2010/87, zato je začel postopek pred High Court (višje sodišče) z namenom, da bi to sodišče pri Sodišču vložilo predlog za sprejetje predhodne odločbe. Po začetku tega postopka je Komisija sprejela Sklep 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA(8) (t. i. Sklep o „zasebnostnem ščitu“).
Predložitveno sodišče v predlogu za sprejetje predhodne odločbe Sodišče sprašuje o uporabi Splošne uredbe o varstvu podatkov za prenose osebnih podatkov na podlagi standardnih določil o varstvu podatkov iz Sklepa 2010/87, o ravni varstva, ki se s to uredbo zahteva za take prenose, in o obveznostih, ki jih imajo v zvezi s tem nadzorni organi. Poleg tega je High Court postavilo vprašanje o veljavnosti Sklepa 2010/87 in Sklepa 2016/1250.
Sodišče je v današnji sodbi ugotovilo, da pri preučitvi Sklepa 2010/87 z vidika Listine o temeljnih pravicah ni bil ugotovljen noben element, ki bi lahko vplival na njegovo veljavnost. V zvezi s Sklepom 2016/1250 pa je ugotovilo, da ta sklep ni veljaven.
Sodišče je najprej ugotovilo, da se pravo Unije, med drugim tudi Splošna uredba o varstvu podatkov, uporablja za prenos osebnih podatkov, ki ga gospodarski subjekt s sedežem v državi članici v komercialne namene opravi drugemu gospodarskemu subjektu s sedežem v tretji državi, ne glede na to, da lahko organi te tretje države te podatke med tem prenosom ali po njem obdelujejo za namene javne varnosti, obrambe in državne varnosti. Pojasnilo je, da to, da organi tretje države podatke obdelujejo na tak način, še ne pomeni, da je tak prenos izključen iz področja uporabe te uredbe.
Kar zadeva raven varstva, ki se zahteva pri takem prenosu, je Sodišče presodilo, da je treba zahteve, ki jih v zvezi s tem vsebuje Splošna uredba o varstvu podatkov in se nanašajo na ustrezne zaščitne ukrepe, izvršljive pravice in učinkovita pravna sredstva, razlagati tako, da mora biti osebam, katerih osebni podatki se prenašajo v tretjo državo na podlagi standardnih določil o varstvu podatkov, zagotovljena raven varstva, ki je v bistvu enakovredna ravni varstva, ki se v Uniji zagotavlja s to uredbo v povezavi z Listino. V tem okviru je pojasnilo, da je treba pri presoji te ravni varstva upoštevati tako pogodbena določila, dogovorjena med izvoznikom podatkov s sedežem v Uniji in prejemnikom prenosa s sedežem v tretji državi, kot – v zvezi z morebitnim dostopom javnih organov te tretje države do tako prenesenih osebnih podatkov – upoštevne elemente pravnega sistema te države.
Glede obveznosti nadzornih organov v okviru takega prenosa je Sodišče presodilo, da mora tak organ, razen če obstaja sklep o ustreznosti, ki ga je veljavno sprejela Komisija, med drugim začasno ustaviti ali prepovedati prenos osebnih podatkov v tretjo državo, če meni, glede na vse okoliščine tega prenosa, da standardna določila o varstvu podatkov v tej tretji državi niso ali ne morejo biti spoštovana in da varstva prenesenih podatkov, ki se zahteva s pravom Unije, ni mogoče zagotoviti na noben drug način, kadar izvoznik podatkov s sedežem v Uniji ni sam začasno ustavil prenosa ali z njim prenehal.
Sodišče je nato preučilo veljavnost Sklepa 2010/87. Po mnenju Sodišča samo zaradi tega, ker standardna določila o varstvu podatkov iz tega sklepa zaradi njihove pogodbene narave ne zavezujejo organov tretjih držav, v katere se lahko podatki posredujejo, ta sklep še ni neveljaven. Nasprotno pa je veljavnost tega sklepa, kot je pojasnilo, odvisna od tega, ali tak sklep vsebuje učinkovite mehanizme, ki v praksi omogočajo, da se zagotovi raven varstva, ki se zahteva s pravom Unije, in to, da se prenosi osebnih podatkov, ki temeljijo na takih določilih, v primeru kršitve teh določil ali v primeru, da jih ni mogoče spoštovati, začasno ustavijo ali prepovejo. Sodišče je ugotovilo, da so s Sklepom 2010/87 taki mehanizmi vzpostavljeni. V zvezi s tem je med drugim poudarilo, da je s tem sklepom vzpostavljena obveznost izvoznika podatkov in njihovega prejemnika, da predhodno preverita, ali se v zadevni tretji državi ta raven varstva spoštuje, in da ta sklep tega prejemnika zavezuje, da izvoznika podatkov obvesti o svoji morebitni nezmožnosti spoštovanja standardnih določil o varstvu podatkov, slednji pa mora v tem primeru začasno ustaviti prenos podatkov in/ali odstopiti od pogodbe s prejemnikom.
Nazadnje je Sodišče veljavnost Sklepa 2016/1250 preučilo glede na zahteve, ki izhajajo iz Splošne uredbe o varstvu podatkov, ob upoštevanju določb Listine, s katerimi se zagotavljajo spoštovanje zasebnega in družinskega življenja, varstvo osebnih podatkov in pravica do učinkovitega sodnega varstva. V zvezi s tem je Sodišče ugotovilo, da se v tem sklepu, enako kot v Odločbi 2000/520, priznava primarnost zahtev, povezanih z nacionalno varnostjo, javnim interesom in spoštovanjem ameriške zakonodaje, kar omogoča posege v temeljne pravice oseb, katerih osebni podatki se prenašajo v to tretjo državo. Po mnenju Sodišča omejitve varstva osebnih podatkov, ki izhajajo iz notranje ureditve Združenih držav, ki se nanaša na dostop ameriških javnih organov do takih podatkov, ki se prenesejo iz Unije v to tretjo državo, in njihovo uporabo s strani teh organov, in ki jih je Komisija ocenila v Sklepu 2016/1250, niso urejene tako, da bi izpolnjevale zahteve, ki so v bistvu enakovredne zahtevam, ki v pravu Unije izhajajo iz načela sorazmernosti, tako da ni mogoče šteti, da so programi nadzora, ki temeljijo na tej ureditvi, omejeni na tisto, kar je nujno. Na podlagi ugotovitev, navedenih v tem sklepu, je Sodišče ugotovilo, da v zvezi z nekaterimi programi nadzora ta ureditev ne vsebuje nikakršnih omejitev v njej vsebovanega pooblastila za izvajanje teh programov in tudi ne zaščitnih ukrepov za neameriške osebe, na katere se ti programi lahko nanašajo. Sodišče je dodalo, da ta ureditev določa zahteve, ki jih morajo ameriški organi pri izvajanju zadevnih programov nadzora spoštovati, vendar pa osebam, na katere se osebni podatki nanašajo, ne daje pravic, ki bi jih bilo mogoče zoper ameriške organe uveljavljati pred sodišči.
V zvezi z zahtevo po sodnem varstvu je Sodišče – v nasprotju s stališčem Komisije iz Sklepa 2016/1250 – presodilo, da mehanizem varuha človekovih pravic iz tega sklepa tem osebam ne zagotavlja pravnega sredstva pred organom, ki bi zagotavljal jamstva, ki so v bistvu enakovredna tistim, ki se zahtevajo s pravom Unije, tako da bi bila zagotovljena neodvisnost varuha človekovih pravic, ki se vzpostavlja s tem mehanizmom, in da bi se zagotovil obstoj pravnih pravil, na podlagi katerih bi ta varuh lahko sprejemal odločitve, ki bi bile zavezujoče za ameriške obveščevalne službe. Iz vseh teh razlogov je Sodišče ugotovilo, da Sklep 2016/1250 ni veljaven.