2020 m. liepos 16 d. Teisingumo Teismo (didžioji kolegija) sprendimas byloje (High Court (Airija) prašymas priimti prejudicinį sprendimą) Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems

(Byla C-311/18)¹

(Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Europos Sąjungos pagrindinių teisių chartija – 7, 8 ir 47 straipsniai – Reglamentas (ES) 2016/679–2 straipsnio 2 dalis – Taikymo sritis – Asmens duomenų perdavimai į trečiąsias valstybes komerciniais tikslais – 45 straipsnis – Komisijos sprendimas dėl tinkamumo – 46 straipsnis – Duomenų perdavimas taikant tinkamas apsaugos priemones – 58 straipsnis – Priežiūros institucijų įgaliojimai – Trečiosios valstybės valdžios institucijų atliekamas perduotų duomenų tvarkymas nacionalinio saugumo tikslais – Trečiojoje valstybėje užtikrinamo tinkamo apsaugos lygio vertinimas – Sprendimas 2010/87/ES – Standartinės į trečiąsias valstybes perduodamų asmens duomenų apsaugos sąlygos – Duomenų valdytojo užtikrinamos tinkamos apsaugos priemonės – Galiojimas – Įgyvendinimo sprendimas (ES) 2016/1250 – Europos Sąjungos ir Jungtinių Amerikos Valstijų „privatumo skydo“ užtikrinamos apsaugos tinkamumas – Galiojimas – Fizinio asmens, kurio duomenys buvo perduoti iš Europos Sąjungos į Jungtines Amerikos Valstijas, skundas)

Proceso kalba: anglų

Prašymą priimti prejudicinį sprendimą pateikęs teismas

High Court (Airija)

Šalys pagrindinėje byloje

Ieškovas: Data Protection Commissioner

Atsakovai: Facebook Ireland Limited, Maximillian Schrems

dalyvaujant: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope

Rezoliucinė dalis

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 2 straipsnio 1 ir 2 dalys turi būti aiškinamos taip, kad į šio reglamento taikymo sritį patenka asmens duomenų perdavimas, atliktas komerciniais tikslais valstybėje narėje įsteigto ūkio subjekto kitam trečiojoje šalyje įsteigtam ūkio subjektui, nepaisant to, ar atliekant šį perdavimą arba po jo atitinkamos trečiosios šalies valdžios institucijos gali tvarkyti šiuos duomenis visuomenės saugumo, gynybos ir valstybės saugumo tikslais.

Reglamento 2016/679 46 straipsnio 1 dalis ir 2 dalies c punktas turi būti aiškinami taip, kad šiose nuostatose reikalaujamomis tinkamomis apsaugos priemonėmis, įgyvendinamomis teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis turi būti užtikrinama, kad asmenų, kurių asmens duomenys perduodami į trečiąją šalį remiantis standartinėmis duomenų apsaugos sąlygomis, teisių apsaugos lygis būtų iš esmės lygiavertis tam, kuris garantuojamas Europos Sąjungoje šiuo reglamentu, siejamu su Europos Sąjungos pagrindinių teisių chartija. Šiuo tikslu, vertinant tokio perdavimo atveju užtikrinamą apsaugos lygį, be kita ko, turi būti atsižvelgta ir į duomenų valdytojo ar jo duomenų tvarkytojo, įsteigtų Europos Sąjungoje, ir perduodamų duomenų gavėjo, įsteigto atitinkamoje trečiojoje šalyje, sudarytų sutarčių sąlygas, ir, kiek tai susiję su galima šios trečiosios šalies valdžios institucijų prieiga prie taip perduotų asmens duomenų, į atitinkamus šios šalies teisinės sistemos aspektus, be kita ko, nurodytus to reglamento 45 straipsnio 2 dalyje.

Reglamento 2016/679 58 straipsnio 2 dalies f ir j punktai turi būti aiškinami taip, kad, nebent Europos Komisija yra teisėtai priėmusi sprendimą dėl tinkamumo, kompetentinga priežiūros institucija turi sustabdyti arba uždrausti duomenų perdavimą į trečiąją šalį, grindžiamą Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, jei, atsižvelgdama į visas konkrečias šio perdavimo aplinkybes, mano, kad šioje trečiojoje šalyje šių sąlygų nesilaikoma arba jų negalima laikytis ir kad kitomis priemonėmis negalima užtikrinti pagal Sąjungos teisę, visų pirma pagal šio reglamento 45 bei 46 straipsnius ir Pagrindinių teisių chartiją, reikalaujamos perduodamų duomenų apsaugos, jeigu Sąjungoje įsteigtas duomenų valdytojas arba duomenų tvarkytojas pats nesustabdė arba nenutraukė duomenų perdavimo.

Išnagrinėjus 2010 m. vasario 5 d. Komisijos sprendimą 2010/87/ES dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Europos Parlamento ir Tarybos direktyvos 95/46/EB nuostatas, iš dalies pakeistą 2016 m. gruodžio 16 d. Komisijos įgyvendinimo sprendimu (ES) 2016/2297, atsižvelgiant į Pagrindinių teisių chartijos 7, 8 ir 47 straipsnius nenustatyta nieko, kas galėtų turėti įtakos šio sprendimo galiojimui.

2016 m. liepos 12 d. Komisijos įgyvendinimo sprendimas (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB negalioja.

____________