Eelotsusetaotlus, mille on esitanud High Court (Iirimaa) 9. mail 2018 – Data Protection Commissioner versus Facebook Ireland Limited, Maximillian Schrems

(kohtuasi C-311/18)

Kohtumenetluse keel: inglise

Eelotsusetaotluse esitanud kohus

High Court

Põhikohtuasja pooled

Kaebuse esitaja: Data Protection Commissioner

Vastustajad: Facebook Ireland Limited, Maximillian Schrems

Eelotsuse küsimused

1.    Kas olukorras, kus eraõiguslik äriühing edastab kooskõlas otsusega 2010/87/EL1 , mida on muudetud komisjoni otsusega 2016/22972 (edaspidi „tüüptingimuste otsus“), Euroopa Liidu liikmesriigist ärilisel eesmärgil isikuandmeid eraõiguslikule äriühingule kolmandas riigis ja neid andmeid võivad selles kolmandas riigis edaspidi töödelda selle riigi ametiasutused riikliku julgeolekuga seotud eesmärkidel, aga ka õigusnormide täitmise tagamiseks ja selle kolmanda riigi välisasjade ajamisel, on liidu õigusnormid (sealhulgas Euroopa Liidu põhiõiguste harta, edaspidi „harta“) selle andmete edastamise suhtes kohaldatavad olenemata ELL artikli 4 lõike 2 sätetest, mis käsitlevad riigi julgeolekut, ja direktiivi 95/46/EÜ3 (edaspidi „direktiiv“) artikli 3 lõike 2 esimese taande sätetest, mis käsitlevad avalikku korda, riigikaitset ja riigi julgeolekut?

2.    (1) Kas tuvastades, kas eraõigusliku isiku õigusi on rikutud tüüptingimuste otsuse kohaselt andmete edastamisega liidust kolmandasse riiki, kus neid võidakse edaspidi töödelda riikliku julgeolekuga seotud eesmärkidel, on direktiivi kohaldamisel asjakohane võrdlusalus:

a)    harta, ELL, ELTL, direktiiv, Euroopa inimõiguste ja põhivabaduste kaitse konventsioon (või muu liidu õiguse säte) või

b)    ühe või mitme liikmesriigi riigisisesed seadused?

(2) Kas juhul, kui asjakohane võrdlusalus on b, tuleb võrdlusalusesse arvata ka riikliku julgeolekuga seotud tegevus ühes või mitmes liikmesriigis?

3.    Kas hinnates, kas kolmas riik tagab sellesse riiki edastatud isikuandmetele liidu õigusega nõutava kaitse direktiivi artikli 26 tähenduses, tuleb selles kolmandas riigis ette nähtud kaitse taseme hindamisel lähtuda:

a)    selles kolmandas riigis kohaldatavatest eeskirjadest, mis tulenevad tema riigisisesest õigusest või rahvusvahelistest kohustustest ja praktikast, mille eesmärk on tagada nende eeskirjade järgimine, sealhulgas erialastest eeskirjadest ja turvameetmetest, mida selles kolmandas riigis täidetakse;

või

b)    alapunktis a viidatud eeskirjadest koostoimes selles kolmandas riigis sisse seatud haldus-, reguleerimis- ja täitmispraktikaga ning poliitiliste kaitsemeetmete, menetluste, protokollide, järelevalvemehhanismide ja kohtuväliste õiguskaitsevahenditega?

4.    Kas arvestades faktilisi asjaolusid, mis High Court (kõrge kohus, Iirimaa) on USA õiguse kohta tuvastanud, rikutakse sellega, kui liidust edastatakse tüüptingimuste otsuse kohaselt USAsse isikuandmeid, isikute õigusi, mis tulenevad harta artiklitest 7 ja/või 8?

5.    Kas arvestades faktilisi asjaolusid, mis High Court (kõrge kohus, Iirimaa) on USA õiguse kohta tuvastanud, kui liidust edastatakse tüüptingimuste otsuse kohaselt USAsse isikuandmeid,

a)    järgib USAs võimaldatav kaitse tase sisuliselt isiku õigust õiguskaitsevahendile kohtus juhul, kui on riivatud tema õigusi andmete kaitsele, mis on tagatud harta artikliga 47?

Kui vastus alapunktile a on jaatav:

b)    kas USA õiguses kehtestatud piirangud isiku õigusele õiguskaitsevahendile kohtus seoses USA riikliku julgeolekuga on harta artikli 52 tähenduses proportsionaalsed ega lähe kaugemale, kui on demokraatlikus ühiskonnas riikliku julgeoleku eesmärgil vajalik?

6.    (1) Millisel tasemel tuleb kaitsta isikuandmeid, mis edastatakse kolmandasse riiki vastavalt lepingu tüüptingimustele, mis on vastu võetud kooskõlas komisjoni otsusega artikli 26 lõike 4 alusel, arvestades direktiivi sätteid ja eeskätt artikleid 25 ja 26 koostoimes hartaga?

(2) Milliseid asjaolusid tuleb arvesse võtta hinnates, kas kolmandasse riiki tüüptingimuste otsuse kohaselt edastatavate andmete kaitse tase vastab direktiivi ja harta nõuetele?

7.    Kas see, et andmeeksportija ja andmeimportija vahel kehtivad lepingu tüüptingimused ei ole siduvad kolmanda riigi ametiasutustele, kes võivad kohustada andmeimportijat avaldama tüüptingimuse otsuses ette nähtud tingimuste kohaselt edastatud isikuandmeid oma julgeolekuteenistustele edasiseks töötlemiseks, välistab nende tingimustega direktiivi artikli 26 lõike 2 tähenduses piisavate tagatiste kehtestamise?

8.    Kas juhul, kui kolmandas riigis asuva andmeimportija suhtes kehtivad järelevalveseadused on andmekaitseasutuse arvates vastuolus tüüptingimuste otsuse lisaga või direktiivi artikliga 25 või 26 ja/või hartaga, on see andmekaitseasutus kohustatud kasutama direktiivi artikli 28 lõikest 3 tulenevaid sekkumisvolitusi andmevoogude peatamiseks või piirduma nende volituste kasutamisel üksnes erandjuhtudega, võttes arvesse direktiivi põhjendust 11 [komisjoni otsuse 2010/87/EU põhjendus 11], või saab andmekaitseasutus oma kaalutlusõiguse alusel otsustada jätta andmevood peatamata?

9.    (1) Kas otsus (EL) 2016/12504 (edaspidi „Privacy Shieldi otsus“) kujutab endast üldkehtivat, liikmesriikide andmekaitseasutustele ja kohtutele direktiivi artikli 25 lõike 6 tähenduses siduvat järeldust, et USA tagab oma riigisisese õiguse või võetud rahvusvaheliste kohustuste kaudu kaitse piisava taseme direktiivi artikli 25 lõike 2 mõistes?

(2) Kui ta seda ei taga: kuidas on Privacy Shieldi otsus, kui üldse, asjakohane hinnangu andmisel USAsse tüüptingimuste otsuse kohaselt edastatud andmete suhtes võetud kaitsemeetmete piisavuse kohta?

10.    Kui võtta arvesse High Courti (kõrge kohus, Iirimaa) järeldusi seoses USA õigusega, siis kas Privacy Shieldi otsuse III lisasse kuuluva A lisa kohaselt andmekaitseraamistiku Privacy Shield ombudsmani määramine koostoimes USAs kehtiva korraga tagab selle, et USA võimaldab andmesubjektidele, kelle isikuandmeid tüüptingimuste otsuse kohaselt USAsse edastatakse, harta artiklile 47 vastava õiguskaitsevahendi?

11.    Kas tüüptingimuste otsus rikub harta artikleid 7, 8 ja/või 47?

____________

1 Komisjoni 5. veebruari 2010. aasta otsus kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta nõukogu ja Euroopa Parlamendi direktiivi 95/46/EÜ alusel (ELT 2010, L 39, lk 5).

2 Komisjoni 12. juuli 2016. aasta rakendusotsus (EL) 2016/1250 isikuandmete kaitse piisavuse kohta ELi–USA andmekaitseraamistikus Privacy Shield vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ (ELT 2016, L 344, lk 100).

3 Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355).

4 Komisjoni 12. juuli 2016. aasta rakendusotsus (EL) 2016/1250 isikuandmete kaitse piisavuse kohta ELi–USA andmekaitseraamistikus Privacy Shield vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ (ELT 2016, L 207, lk 1).