CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

A Bíróság (nagytanács) 2020. július 16-i ítélete (a High Court (Ireland) [Írország] előzetes döntéshozatal iránti kérelme) – Data Protection Commissioner kontra Facebook Ireland Limited, Maximillian Schrems

(C-311/18. sz. ügy)¹

(Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Az Európai Unió Alapjogi Chartája – 7., 8. és 47. cikk – (EU) 2016/679 rendelet – A 2. cikk (2) bekezdése – Hatály – Személyes adatok kereskedelmi célú továbbítása harmadik országokba – 45. cikk – A Bizottság megfelelőségi határozata – 46. cikk – Megfelelő garanciák alapján történő adattovábbítások – 58. cikk – A felügyeleti hatóságok jogkörei – A továbbított adatoknak valamely harmadik ország hatóságai által nemzetbiztonsági célból történő kezelése – A harmadik országban biztosított védelmi szint megfelelőségének értékelése – 2010/87/EU határozat – Személyes adatok harmadik országokba történő továbbítására vonatkozó általános adatvédelmi kikötések – Az adatkezelő által nyújtott megfelelő garanciák – Érvényesség – (EU) 2016/1250 végrehajtási határozat – Az Európai Unió–Egyesült Államok adatvédelmi pajzs által biztosított védelem megfelelősége – Érvényesség – Olyan természetes személy panasza, akinek az adatait az Európai Unióból az Egyesült Államokba továbbították)

Az eljárás nyelve: angol

A kérdést előterjesztő bíróság

High Court (Ireland)

Az alapeljárás felei

Felperes: Data Protection Commissioner

Alperesek: Facebook Ireland Limited, Maximillian Schrems

Az eljárásban részt vesz: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope,

Rendelkező rész

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 2. cikkének (1) és (2) bekezdését úgy kell értelmezni, hogy e rendelet hatálya alá tartozik a személyes adatoknak a valamely tagállamban letelepedett gazdasági szereplő által valamely harmadik országban letelepedett másik gazdasági szereplő részére kereskedelmi célból végzett továbbítása, függetlenül attól, hogy ezeket az adatokat e továbbítás során vagy azt követően az érintett harmadik ország hatóságai közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik.

A 2016/679 rendelet 46. cikkének (1) bekezdését és 46. cikke (2) bekezdésének c) pontját úgy kell értelmezni, hogy az e rendelkezések által megkövetelt megfelelő garanciáknak, érvényesíthető jogoknak és hatékony jogorvoslati lehetőségeknek biztosítaniuk kell, hogy azon személyek jogai, akiknek a személyes adatait az általános adatvédelmi kikötések alapján továbbítják harmadik országba, olyan védelmi szinttel rendelkezzenek, amely lényegében azonos az Európai Unió Alapjogi Chartája fényében értelmezett e rendelet által az Európai Unióban biztosított védelmi szinttel. E célból az ilyen továbbítással összefüggésben biztosított védelmi szint értékelésének figyelembe kell vennie többek között mind az Európai Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója és a továbbításnak az érintett harmadik országban letelepedett címzettje között létrejött szerződéses kikötéseket, mind pedig – e harmadik ország hatóságainak az így továbbított személyes adatokhoz való esetleges hozzáférését illetően – az ezen ország jogrendszerének releváns elemeit, különösen az említett rendelet 45. cikkének (2) bekezdésében felsorolt elemeket.

A 2016/679 rendelet 58. cikke (2) bekezdésének f) és j) pontját úgy kell értelmezni, hogy az illetékes felügyeleti hatóság – feltéve, hogy nem létezik az Európai Bizottság által érvényesen elfogadott megfelelőségi határozat – köteles felfüggeszteni vagy megtiltani a személyes adatoknak a Bizottság által elfogadott általános adatvédelmi kikötéseken alapuló, harmadik országba irányuló továbbítását, ha e felügyeleti hatóság az e továbbítás sajátos körülményeinek összességére tekintettel úgy ítéli meg, hogy e kikötéseket e harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok védelme, amelyet az uniós jog, különösen az e rendelet 45. és 46. cikke, valamint az Alapjogi Charta megkövetel, más eszközzel nem biztosítható, amennyiben az Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója maga nem függesztette fel vagy fejezte be az adattovábbítást.

A 2016. december 16-i (EU) 2016/2297 bizottsági végrehajtási határozattal módosított, a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2010. február 5-i 2010/87/EU bizottsági határozatnak az Alapjogi Charta 7., 8. és 47. cikkére tekintettel történő vizsgálata nem tárt fel olyan tényezőt, amely e határozat érvényességét érintené.

A 95/46/EK európai parlamenti és tanácsi irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló, 2016. július 12-i (EU) 2016/1250 bizottsági végrehajtási határozat érvénytelen.

____________

¹ HL C 249., 2018.7.16.