CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Euroopa Kohtu (suurkoda) 16. juuli 2020. aasta otsus (High Courti eelotsusetaotlus – Iirimaa) – Data Protection Commissioner versus Facebook Ireland Limited, Maximillian Schrems

(kohtuasi C-311/18)¹

(Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 47 – Määrus (EL) 2016/679 – Artikli 2 lõige 2 – Kohaldamisala – Isikuandmete edastamine kolmandatesse riikidesse ärilisel eesmärgil – Artikkel 45 – Komisjoni otsus kaitse piisavuse kohta – Artikkel 46 – Edastamine asjakohaste kaitsemeetmete kohaldamisel – Artikkel 58 – Järelevalveasutuste volitused – Edastatud andmete töötlemine kolmanda riigi avaliku võimu asutuste poolt riikliku julgeoleku eesmärgil – Kolmandas riigis tagatud kaitse taseme piisavuse hindamine – Otsus 2010/87/EL – Andmekaitse tüüptingimused isikuandmete edastamiseks kolmandatesse riikidesse – Vastutava töötleja pakutavad asjakohased kaitsemeetmed – Kehtivus – Rakendusotsus (EL) 2016/1250 – ELi-USA andmekaitseraamistikuga Privacy Shield tagatud kaitse piisavus – Kehtivus – Kaebus, mille on esitanud füüsiline isik, kelle andmeid on edastatud Euroopa Liidust Ameerika Ühendriikidesse)

Kohtumenetluse keel: inglise

Eelotsusetaotluse esitanud kohus

High Court (Iirimaa)

Põhikohtuasja pooled

Kaebuse esitaja: Data Protection Commissioner

Vastustajad: Facebook Ireland Limited, Maximillian Schrems

Menetluses osalesid: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope

Resolutsioon

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 2 lõikeid 1 ja 2 tuleb tõlgendada nii, et selle määruse kohaldamisalasse kuulub olukord, kus liikmesriigis asuv äriühing edastab ärilisel eesmärgil isikuandmeid kolmandas riigis asuvale teisele äriühingule, olenemata asjaolust, et edastamise käigus või järel võivad kõnealuseid andmeid töödelda asjaomase kolmanda riigi ametiasutused avaliku korra, riigikaitse ja riikliku julgeolekuga seotud eesmärkidel.

Määruse 2016/679 artikli 46 lõiget 1 ja artikli 46 lõike 2 punkti c tuleb tõlgendada nii, et nende sätetega nõutavad asjakohased kaitsemeetmed, kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid peavad andmesubjektidele, kelle isikuandmeid edastatakse kolmandasse riiki andmekaitse tüüptingimuste alusel, tagama õiguste kaitse, mille tase on sisuliselt samaväärne sellega, mis on Euroopa Liidus tagatud vastavalt kõnealusele määrusele, tõlgendatuna lähtuvalt Euroopa Liidu põhiõiguste hartast. Selleks et hinnata sellise edastamise korral tagatud kaitse taset, tuleb eelkõige arvesse võtta nii Euroopa Liidus asuva vastutava töötleja või tema volitatud töötleja ja kolmandas riigis asuva isikuandmete vastuvõtja vahel kokku lepitud lepingutingimusi kui ka kolmanda riigi õigussüsteemiga seotud asjakohast teavet, mis puudutab selle riigi ametiasutuste võimalust nõnda edastatavatele isikuandmetele juurde pääseda ja mille hulka kuuluvad eelkõige asjaolud, mis on loetletud kõnealuse määruse artikli 45 lõikes 2.

Määruse 2016/679 artikli 58 lõike 2 punkte f ja j tuleb tõlgendada nii, et kui puudub Euroopa Komisjoni poolt vastu võetud kehtiv kaitse piisavuse otsus, peab pädev järelevalveasutus peatama või keelama komisjoni poolt vastu võetud andmekaitse tüüptingimuste alusel toimuva andmete edastamise kolmandasse riiki, kui ta kõiki edastamise asjaolusid arvestades leiab, et selles kolmandas riigis neid tingimusi ei järgita või ei saa järgida ja liidu õigusega, eelkõige selle määruse artiklitega 45 ja 46 ja põhiõiguste hartaga nõutavat edastatavate andmete kaitset ei ole võimalik tagada muude meetmete abil ning liidus asuv vastutav töötleja või tema volitatud töötleja ei ole ise andmete edastamist peatanud või lõpetanud.

Komisjoni 5. veebruari 2010. aasta otsuse 2010/87/EL kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ alusel (muudetud komisjoni 16. detsembri 2016. aasta rakendusotsusega (EL) 2016/2297) analüüsimisel põhiõiguste harta artiklite 7, 8 ja 47 alusel ei ilmnenud asjaolusid, mis mõjutaksid selle otsuse kehtivust.

Komisjoni 12. juuli 2016. aasta rakendusotsus (EL) 2016/1250 isikuandmete kaitse piisavuse kohta ELi-USA andmekaitseraamistikus Privacy Shield vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ on kehtetu.

____________

¹ ELT C 249, 16.7.2018.