Unionin tuomioistuimen tuomio (suuri jaosto) 6.10.2015 (ennakkoratkaisupyyntö, jonka on esittänyt High Court – Irlanti) – Maximillian Schrems v. Data Protection Commissioner

(Asia C-362/14)1

(Ennakkoratkaisupyyntö – Henkilötiedot – Yksilöiden suojelu henkilötietojen käsittelyssä – Euroopan unionin perusoikeuskirja – 7, 8 ja 47 artikla – Direktiivi 95/46/EY – 25 ja 28 artikla – Henkilötietojen siirto kolmansiin maihin – Päätös 2000/520/EY – Henkilötietojen siirto Yhdysvaltoihin – Tietosuojan riittämätön taso – Pätevyys – Luonnollisen henkilön, jonka tiedot on siirretty Euroopan unionista Yhdysvaltoihin, tekemä kantelu – Kansallisten valvontaviranomaisten toimivalta)

Oikeudenkäyntikieli: englanti

Ennakkoratkaisua pyytänyt tuomioistuin

High Court

Pääasian asianosaiset

Kantaja: Maximillian Schrems

Vastaaja: Data Protection Commissioner

Tuomiolauselma

Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY, sellaisena kuin se on muutettuna 29.9.2003 annetulla Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 1882/2003, 25 artiklan 6 kohtaa, luettuna Euroopan unionin perusoikeuskirjan 7, 8 ja 47 artiklan valossa, on tulkittava siten, että kyseiseen säännökseen perustuva direktiivin 95/46 mukaisesti yksityisyyden suojaa koskevien safe harbor -periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä 26.7.2000 tehdyn komission päätöksen 2000/520/EY kaltainen päätös, jolla Euroopan komissio toteaa kolmannen maan takaavan tietosuojan riittävän tason, ei ole esteenä sille, että direktiivin, sellaisena kuin se on muutettuna, 28 artiklassa tarkoitettu jäsenvaltion valvontaviranomainen tutkii vaatimuksen, jonka henkilö on esittänyt oikeuksiensa ja vapauksiensa suojasta jäsenvaltiosta kyseiseen kolmanteen maahan siirrettyjen henkilötietojensa käsittelyssä, kun henkilön mukaan kyseisessä maassa voimassa olevat oikeussäännöt ja käytännöt eivät takaa tietosuojan riittävää tasoa.

2)    Päätös 2000/520 on pätemätön.

____________

1 EUVL C 351, 6.10.2014.