CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Sodba Sodišča (veliki senat) z dne 16. julija 2020 (predlog za sprejetje predhodne odločbe High Court - Irska) – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems

(Zadeva C-311/18)¹

(Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Listina Evropske unije o temeljnih pravicah – Členi 7, 8 in 47 – Uredba (EU) 2016/679 – Člen 2(2) – Področje uporabe – Prenosi osebnih podatkov v tretjo državo v komercialne namene – Člen 45 – Sklep Komisije o ustreznosti – Člen 46 – Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi – Člen 58 – Pooblastila nadzornih organov – Obdelava prenesenih podatkov, ki jo javni organi tretje države izvajajo zaradi nacionalne varnosti – Presoja ustreznosti ravni varstva, ki se zagotavlja v tretji državi – Sklep 2010/87/EU – Standardna določila o varstvu za prenos osebnih podatkov v tretje države – Ustrezni zaščitni ukrepi, ki jih zagotovi upravljavec – Veljavnost – Izvedbeni sklep (EU) 2016/1250 – Ustreznost varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA – Veljavnost – Pritožba fizične osebe, katere podatki so bili iz Evropske unije preneseni v Združene države)

Jezik postopka: angleščina

Predložitveno sodišče

High Court

Stranke v postopku v glavni stvari

Tožeča stranka: Data Protection Commissioner

Toženi stranki: Facebook Ireland Limited, Maximillian Schrems

Ob udeležbi: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope,

Izrek

Člen 2(1) in (2) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) je treba razlagati tako, da prenos osebnih podatkov, ki ga gospodarski subjekt s sedežem v državi članici v komercialne namene opravi drugemu gospodarskemu subjektu s sedežem v tretji državi, spada na področje uporabe te uredbe, ne glede na to, da lahko organi te tretje države te podatke med tem prenosom ali po njem obdelujejo za namene javne varnosti, obrambe in državne varnosti.

Člen 46(1) in člen 46(2)(c) Uredbe 2016/679 je treba razlagati tako, da je treba z ustreznimi zaščitnimi ukrepi, izvršljivimi pravicami in učinkovitimi pravnimi sredstvi, ki se zahtevajo s tema določbama, zagotoviti, da je osebam, katerih osebni podatki se prenesejo v tretjo državo na podlagi standardnih določil o varstvu podatkov, zagotovljena raven varstva, ki je v bistvu enakovredna ravni varstva, ki se v Evropski uniji zagotavlja s to uredbo v povezavi z Listino Evropske unije o temeljnih pravicah. Da bi se to doseglo, je treba pri presoji ravni varstva, ki se zagotavlja v okviru takega prenosa, med drugim upoštevati tako pogodbena določila, dogovorjena med upravljavcem ali njegovim obdelovalcem s sedežem v Evropski uniji in prejemnikom prenosa s sedežem v tretji državi, kot – v zvezi z morebitnim dostopom javnih organov te tretje države do tako prenesenih osebnih podatkov – upoštevne elemente pravnega sistema te države, med drugim tiste, navedene v členu 45(2) navedene uredbe.

Člen 58(2)(f) in (j) Uredbe 2016/679 je treba razlagati tako, da mora pristojni nadzorni organ, razen če obstaja sklep o ustreznosti, ki ga je veljavno sprejela Evropska komisija, začasno ustaviti ali prepovedati prenos osebnih podatkov v tretjo državo, ki temelji na standardnih določilih o varstvu podatkov, ki jih je sprejela Komisija, če ta nadzorni organ glede na vse okoliščine tega prenosa meni, da ta določila v tej tretji državi niso ali ne morejo biti spoštovana ter da varstva prenesenih podatkov, ki se zahteva s pravom Unije, zlasti s členoma 45 in 46 te uredbe in z Listino o temeljnih pravicah, ni mogoče zagotoviti na noben drug način, kadar upravljavec ali njegov obdelovalec s sedežem v Uniji nista sama začasno ustavila prenosa ali z njim prenehala.

Pri preučitvi Sklepa Komisije z dne 5. februarja 2010 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo Evropskega parlamenta in Sveta 95/46/ES (2010/87/EU), kakor je bil spremenjen z Izvedbenim sklepom Komisije (EU) 2016/2297 z dne 16. decembra 2016, z vidika členov 7, 8 in 47 Listine o temeljnih pravicah ni bil ugotovljen noben element, ki bi lahko vplival na veljavnost tega sklepa.

Izvedbeni sklep Komisije (EU) 2016/1250 z dne 12. julija 2016 na podlagi Direktive Evropskega parlamenta in Sveta 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA ni veljaven.

____________

¹ UL C 249, 16.7.2018.