ARREST VAN HET HOF (Grote kamer)
16 juli 2020 (*)
„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten”
In zaak C‑311/18,
betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de High Court (rechter in eerste aanleg, Ierland) bij beslissing van 4 mei 2018, ingekomen bij het Hof op 9 mei 2018, in de procedure
Data Protection Commissioner
tegen
Facebook Ireland Ltd,
Maximillian Schrems,
in tegenwoordigheid van:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance Inc.,
Digitaleurope,
wijst
HET HOF (Grote kamer),
samengesteld als volgt: K. Lenaerts, president, R. Silva de Lapuerta, vicepresident, A. Arabadjiev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P. G. Xuereb, L. S. Rossi en I. Jarukaitis, kamerpresidenten, M. Ilešič, T. von Danwitz (rapporteur) en D. Šváby, rechters,
advocaat-generaal: H. Saugmandsgaard Øe,
griffier: C. Strömholm, administrateur,
gezien de stukken en na de terechtzitting op 9 juli 2019,
gelet op de opmerkingen van:
– de Data Protection Commissioner, vertegenwoordigd door D. Young, solicitor, B. Murray en M. Collins, SC, en C. Donnelly, BL,
– Facebook Ireland Ltd, vertegenwoordigd door P. Gallagher en N. Hyland, SC, A. Mulligan en F. Kieran, BL, en P. Nolan, C. Monaghan, C. O’Neill en R. Woulfe, solicitors,
– Maximillian Schrems, vertegenwoordigd door H. Hofmann, Rechtsanwalt, E. McCullough, J. Doherty en S. O’Sullivan, SC, en G. Rudden, solicitor,
– The United States of America, vertegenwoordigd door E. Barrington, SC, S. Kingston, BL, en S. Barton en B. Walsh, solicitors,
– het Electronic Privacy Information Centre, vertegenwoordigd door S. Lucey, solicitor, G. Gilmore en A. Butler, BL, en C. O’Dwyer, SC,
– de BSA Business Software Alliance Inc., vertegenwoordigd door B. Van Vooren en K. Van Quathem, advocaten,
– Digitaleurope, vertegenwoordigd door N. Cahill, barrister, J. Cahir, solicitor, en M. Cush, SC,
– Ierland, vertegenwoordigd door A. Joyce en M. Browne als gemachtigden, bijgestaan door D. Fennelly, BL,
– de Belgische regering, vertegenwoordigd door J.‑C. Halleux en P. Cottin als gemachtigden,
– de Tsjechische regering, vertegenwoordigd door M. Smolek, J. Vláčil, O. Serdula en A. Kasalická als gemachtigden,
– de Duitse regering, vertegenwoordigd door J. Möller, D. Klebs en T. Henze als gemachtigden,
– de Franse regering, vertegenwoordigd door A.-L. Desjonquères als gemachtigde,
– de Nederlandse regering, vertegenwoordigd door C. S. Schillemans, K. Bulterman en M. Noort als gemachtigden,
– de Oostenrijkse regering, vertegenwoordigd door J. Schmoll en G. Kunnert als gemachtigden,
– de Poolse regering, vertegenwoordigd door B. Majczyna als gemachtigde,
– de Portugese regering, vertegenwoordigd door L. Inez Fernandes, A. Pimenta en C. Vieira Guerra als gemachtigden,
– de regering van het Verenigd Koninkrijk, vertegenwoordigd door S. Brandonals gemachtigde, bijgestaan door J. Holmes, QC, en C. Knight, barrister,
– het Europees Parlement, vertegenwoordigd door M. J. Martínez Iglesias en A. Caiola als gemachtigden,
– de Europese Commissie, vertegenwoordigd door D. Nardi, H. Krämer en H. Kranenborg als gemachtigden,
– het Europees Comité voor gegevensbescherming (EDPB), vertegenwoordigd door A. Jelinek en K. Behn als gemachtigden,
gehoord de conclusie van de advocaat-generaal ter terechtzitting van 19 december 2019,
het navolgende
Arrest
1 Het verzoek om een prejudiciële beslissing betreft in wezen
– de uitlegging van artikel 3, lid 2, eerste streepje, de artikelen 25 en 26, en artikel 28, lid 3, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31), gelezen in het licht van artikel 4, lid 2, VEU en de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”),
– de uitlegging en de geldigheid van besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46 (PB 2010, L 39, blz. 5), zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016 (PB 2016, L 344, blz. 100) (hierna: „MCB-besluit”), en
– de uitlegging en de geldigheid van uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46 betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (PB 2016, L 207, blz. 1, met rectificatie in PB 2018, L 262, blz. 90; hierna: „privacyschildbesluit”).
2 Dit verzoek is ingediend in het kader van een geding tussen de Data Protection Commissioner (commissaris gegevensbescherming, Ierland; hierna: „DPC”) enerzijds en Facebook Ireland Ltd en Maximillian Schrems anderzijds, over een door Schrems ingediende klacht over de doorgifte van zijn persoonsgegevens door Facebook Ireland aan Facebook Inc. in de Verenigde Staten.
Toepasselijke bepalingen
Richtlijn 95/46
3 Artikel 3 van richtlijn 95/46, met als opschrift „Werkingssfeer”, bepaalde in lid 2:
„De bepalingen van deze richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens:
– die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied;
[…]”
4 Artikel 25 van deze richtlijn bepaalde:
„1. De lidstaten bepalen dat persoonsgegevens […] slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn, dat land een passend beschermingsniveau waarborgt.
2. Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn […].
[…]
6. De Commissie kan volgens de procedure van artikel 31, lid 2, constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, die het met name na de in lid 5 bedoelde onderhandelingen is aangegaan, waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen.
De lidstaten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.”
5 Artikel 26, leden 2 en 4, van die richtlijn bepaalde het volgende:
„2. Onverminderd het bepaalde in lid 1 kan een lidstaat toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.
[…]
4. Wanneer de Commissie volgens de in artikel 31, lid 2, bedoelde procedure besluit dat bepaalde modelcontractbepalingen voldoende waarborgen bieden in de zin van lid 2, nemen de lidstaten de nodige maatregelen om zich naar het besluit van de Commissie te voegen.”
6 Artikel 28, lid 3, van diezelfde richtlijn luidde als volgt:
„Elke toezichthoudende autoriteit beschikt met name over:
– onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;
– effectieve bevoegdheden om in te grijpen, zoals bijvoorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen;
– de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen.
[…]”
AVG
7 Richtlijn 95/46 is ingetrokken bij en vervangen door verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46 (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificatie in PB 2018, L 127, blz. 2; hierna: „AVG”).
8 In de overwegingen 6, 10, 101, 103, 104, 107 tot en met 109, 114, 116 en 141 AVG staat te lezen:
„(6) Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen.
[…]
(10) Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Met het oog op de verwerking van persoonsgegevens voor het vervullen van een wettelijke verplichting, voor het vervullen van een taak van algemeen belang of bij de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, moet de lidstaten worden toegestaan nationale bepalingen te handhaven of in te voeren ter nadere precisering van de wijze waarop de regels van deze verordening moeten worden toegepast. In samenhang met de algemene en horizontale wetgeving inzake gegevensbescherming ter uitvoering van [richtlijn 95/46] beschikken de lidstaten over verscheidene sectorgebonden wetten op gebieden waar behoefte is aan meer specifieke bepalingen. Deze verordening biedt de lidstaten ook ruimte om eigen regels voor de toepassing vast te stellen, onder meer wat de verwerking van bijzondere persoonsgegevenscategorieën (,gevoelige gegevens’) betreft. In zoverre staat deze verordening niet in de weg aan lidstatelijk recht waarin specifieke situaties op het gebied van gegevensverwerking nader worden omschreven, meer bepaald door nauwkeuriger te bepalen in welke gevallen verwerking van persoonsgegevens rechtmatig geschiedt.
[…]
(101) Verkeer van persoonsgegevens van en naar landen buiten de Unie en internationale organisaties is noodzakelijk voor de ontwikkeling van het internationale handelsverkeer en de internationale samenwerking. De groei van dit verkeer brengt nieuwe uitdagingen en aandachtspunten mee met betrekking tot de bescherming van persoonsgegevens. Wanneer persoonsgegevens echter van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven, mag dit niet ten koste gaan van het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, ook in gevallen van verdere doorgiften van persoonsgegevens van het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie. Doorgifte aan derde landen en internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening. Een doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens aan derde landen of internationale organisaties naleeft.
[…]
(103) De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat een derde land, een gebied of een welbepaalde sector in een derde land, of een internationale organisatie een passend niveau van gegevensbescherming biedt, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaft ten aanzien van het derde land dat of de internationale organisatie die wordt geacht een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar dat derde land of die internationale organisatie worden doorgegeven zonder dat verdere toestemming noodzakelijk is. De Commissie kan eveneens besluiten om, nadat zij het derde land of de internationale organisatie daarvan in kennis heeft gesteld en een volledige toelichting van haar beweegredenen heeft gegeven, een dergelijk besluit in te trekken.
(104) Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van het derde land of van een grondgebied of een specifieke verwerkingssector binnen een derde land, in aanmerking te nemen in welke mate de rechtsstatelijkheid, de toegang tot de rechter en de internationale mensenrechtennormen en -regels in het derde land worden geëerbiedigd, en dient zij de algemene en sectorale wetgeving, waaronder de wetgeving betreffende openbare veiligheid, defensie en nationale veiligheid en openbare orde en strafrecht, van het land in aanmerking te nemen. Bij de vaststelling van een adequaatheidsbesluit (besluit waarbij het beschermingsniveau adequaat wordt verklaard) voor een grondgebied of een specifieke sector in een derde land, moeten er duidelijke en objectieve criteria worden vastgesteld, zoals specifieke verwerkingsactiviteiten en het toepassingsgebied van de geldende wettelijke normen en wetgeving in het derde land. Het derde land dient zich ertoe te verbinden een passend beschermingsniveau te waarborgen, in feite overeenkomend met het niveau dat in de Unie wordt verzekerd, vooral wanneer persoonsgegevens in één of meer specifieke sectoren worden verwerkt. Het derde land dient met name te zorgen voor effectief en onafhankelijk toezicht op de gegevensbescherming en voor mechanismen van samenwerking met de autoriteiten op het gebied van gegevensbescherming van de lidstaten. Voorts dienen de betrokkenen te beschikken over daadwerkelijke en afdwingbare rechten en daadwerkelijk administratief beroep en beroep in rechte te kunnen instellen.
[…]
(107) De Commissie kan vaststellen dat een derde land, een gebied of een bepaalde verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau meer waarborgt. De doorgifte van persoonsgegevens naar dat derde land of die internationale organisatie dient dan te worden verboden, tenzij aan de vereisten van deze verordening met betrekking tot doorgiften die onderworpen zijn aan passende waarborgen, met inbegrip van bindende bedrijfsvoorschriften, en afwijkingen voor specifieke situaties wordt voldaan. Er dient te worden geregeld dat er in die gevallen overleg plaatsvindt tussen de Commissie en de derde landen of internationale organisaties in kwestie. De Commissie moet het derde land of de internationale organisatie tijdig op de hoogte brengen van haar motivering en met de andere partij in overleg treden om de situatie te verhelpen.
(108) Indien er geen adequaatheidsbesluit is genomen, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene. Dergelijke passende waarborgen kunnen erin bestaan gebruik te maken van bindende bedrijfsvoorschriften, standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie, standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door een toezichthoudende autoriteit of contractbepalingen die zijn toegestaan door een toezichthoudende autoriteit. Die waarborgen moeten de naleving van gegevensbeschermingsvereisten en de geldende rechten van de betrokkenen voor verwerkingen binnen de Unie waarborgen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende beroepen, zoals het instellen van administratief beroep of beroep in rechte en het eisen van een vergoeding in de Unie of in een derde land. Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. […]
(109) Dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of een toezichthoudende autoriteit, dient niet in te houden dat hij de standaardbepalingen inzake gegevensbescherming niet in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of geen andere bepalingen of extra waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of een toezichthoudende autoriteit vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming.
[…]
(114) Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de verwerkingsverantwoordelijke of de verwerker hoe dan ook gebruik te maken van middelen die de betrokkenen ook na de doorgifte van hun gegevens afdwingbare en doeltreffende rechten in de Unie verlenen met betrekking tot de verwerking ervan, opdat zij de grondrechten en waarborgen kunnen blijven genieten.
[…]
(116) Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden om klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. […]
[…]
(141) Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één enkele toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, en een doeltreffende voorziening in rechte in te stellen overeenkomstig artikel 47 van het Handvest indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. […]”
9 Artikel 2, leden 1 en 2, van deze verordening bepaalt:
„1. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
2. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:
a) in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;
b) door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen;
c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;
d) door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.”
10 Artikel 4 van die verordening bepaalt:
„In deze verordening wordt verstaan onder:
[…]
2) ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
[…]
7) ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
8) ‚verwerker’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
9) ‚ontvanger’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;
[…]”
11 In artikel 23 van diezelfde verordening is het volgende bepaald:
„1. De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met [22], worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:
a) de nationale veiligheid;
b) landsverdediging;
c) de openbare veiligheid;
d) de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
[…]
2. De in lid 1 bedoelde wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minste:
a) de doeleinden van de verwerking of van de categorieën van verwerking,
b) de categorieën van persoonsgegevens,
c) het toepassingsgebied van de ingevoerde beperkingen,
d) de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte,
e) de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken,
f) de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking,
g) de risico’s voor de rechten en vrijheden van de betrokkenen, en
h) het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.”
12 Hoofdstuk V AVG, met als opschrift „Doorgiften van persoonsgegevens naar derde landen of internationale organisaties”, bevat de artikelen 44 tot en met 50 van die verordening. Artikel 44 ervan, met als opschrift „Algemeen beginsel inzake doorgiften”, luidt:
„Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie naar een ander derde land of aan een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.”
13 Artikel 45 van deze verordening, met als opschrift „Doorgiften op basis van adequaatheidsbesluiten”, bepaalt in de leden 1 tot en met 3:
„1. Een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.
2. Bij de beoordeling van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de volgende aspecten:
a) de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de toepasselijke algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht en de toegang van overheidsinstanties tot persoonsgegevens, evenals de tenuitvoerlegging van die wetgeving, gegevensbeschermingsregels, beroepsregels en veiligheidsmaatregelen, met inbegrip van regels voor de verdere doorgifte van persoonsgegevens aan een ander derde land of een andere internationale organisatie die in dat land of die internationale organisatie worden nageleefd, precedenten in de rechtspraak, alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen en effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven;
b) het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land of waaraan een internationale organisatie is onderworpen, welke tot taak heeft of hebben de naleving van de gegevensbeschermingsregels te verzekeren en deze onder meer met passende handhavingsbevoegdheden te handhaven, betrokkenen bij de uitoefening van hun rechten bij te staan en te adviseren en met de toezichthoudende autoriteiten van de lidstaten samen te werken; en
c) de internationale toezeggingen die het derde land of de internationale organisatie in kwestie heeft gedaan, of andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten, alsmede uit de deelname van dat derde land of die internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder met betrekking tot de bescherming van persoonsgegevens.
3. De Commissie kan, na de beoordeling van de vraag of het beschermingsniveau adequaat is, door middel van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 van dit artikel waarborgt. De uitvoeringshandeling voorziet in een mechanisme voor periodieke toetsing, minstens om de vier jaar, waarbij alle relevante ontwikkelingen in het derde land of de internationale organisatie in aanmerking worden genomen. In de uitvoeringshandeling worden het territoriale en het sectorale toepassingsgebied vermeld, alsmede, in voorkomend geval, de in lid 2, punt b), van dit artikel genoemde toezichthoudende autoriteit(en). De uitvoeringshandeling wordt vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.”
14 Artikel 46 van deze verordening, met als opschrift „Doorgiften op basis van passende waarborgen”, bepaalt in de leden 1 tot en met 3:
„1. Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.
2. De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van een toezichthoudende autoriteit is vereist:
a) een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;
b) bindende bedrijfsvoorschriften overeenkomstig artikel 47;
c) standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld;
d) standaardbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld en die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd;
e) een overeenkomstig artikel 40 goedgekeurde gedragscode, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen; of
f) een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen.
3. Onder voorbehoud van de toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door, met name:
a) contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of
b) bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.”
15 Artikel 49 van diezelfde verordening, met als opschrift „Afwijkingen voor specifieke situaties”, bepaalt:
„1. Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, of van passende waarborgen overeenkomstig artikel 46, met inbegrip van bindende bedrijfsvoorschriften, kan een doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden mits aan één van de volgende voorwaarden is voldaan:
a) de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen;
b) de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;
c) de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst;
d) de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang;
e) de doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
f) de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven;
g) de doorgifte is verricht vanuit een register dat volgens het Unierecht of lidstatelijk recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in Unierecht of lidstatelijk recht vastgestelde voorwaarden voor raadpleging.
Wanneer een doorgifte niet op een bepaling van de artikelen 45 of 46, met inbegrip van de bepalingen inzake bindende bedrijfsvoorschriften, kon worden gegrond en geen van de afwijkingen voor een specifieke situatie als bedoeld in de eerste alinea van dit lid van toepassing zijn, mag de doorgifte aan een derde land of aan een internationale organisatie alleen plaatsvinden indien de doorgifte niet repetitief is, een beperkt aantal betrokkenen betreft, noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene, en de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens heeft geboden. De verwerkingsverantwoordelijke informeert de toezichthouder over de doorgifte. De verwerkingsverantwoordelijke verstrekt de betrokkene naast de in de artikelen 13 en 14 bedoelde informatie, ook informatie met betrekking tot de doorgifte en de door hem nagestreefde dwingende gerechtvaardigde belangen.
2. Een doorgifte overeenkomstig lid 1, eerste alinea, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens die in het register zijn opgeslagen. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer de gegevens voor hen zijn bestemd.
3. Lid 1, eerste alinea, onder a), b) en c), en tweede alinea, zijn niet van toepassing op activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun openbare bevoegdheden.
4. Het in lid 1, eerste alinea, onder d), bedoelde openbaar belang moet zijn erkend bij een Unierechtelijke of nationaalrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is.
5. Bij ontstentenis van een adequaatheidsbesluit kunnen in Unierechtelijke of lidstaatrechtelijke bepalingen of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën van persoonsgegevens aan een derde land of een internationale organisatie. De lidstaten stellen de Commissie in kennis van dergelijke bepalingen.
6. De verwerkingsverantwoordelijke of de verwerker staaft de beoordeling en de in lid 1, tweede alinea, van dit artikel bedoelde passende waarborgen in het artikel 30 bedoelde register.”
16 Artikel 51, lid 1, AVG luidt als volgt:
„Elke lidstaat bepaalt dat één of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken (‚toezichthoudende autoriteit’).”
17 Overeenkomstig artikel 55, lid 1, van deze verordening heeft „[e]lke toezichthoudende autoriteit […] de competentie om op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend”.
18 Artikel 57, lid 1, van die verordening is als volgt verwoord:
„Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken:
a) zij monitort en handhaaft de toepassing van deze verordening;
[…]
f) zij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 80, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is;
[…]”
19 Artikel 58, leden 2 en 4, van diezelfde verordening bepaalt:
„2. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:
[…]
f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, op te leggen;
[…]
j) de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten.
[…]
4. Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen een doeltreffende voorziening in rechte en een eerlijke rechtsbedeling, zoals overeenkomstig het Handvest vastgelegd in het Unierecht en het lidstatelijke recht.”
20 Artikel 64, lid 2, AVG luidt:
„Een toezichthoudende autoriteit, de voorzitter van het [Europees Comité voor gegevensbescherming (EDPB)] of de Commissie kunnen elk verzoeken dat aangelegenheden van algemene strekking of met rechtsgevolgen in meer dan één lidstaat worden onderzocht door het [EDPB] teneinde advies te verkrijgen, met name wanneer een bevoegde toezichthoudende autoriteit haar verplichtingen tot wederzijdse bijstand overeenkomstig artikel 61, of tot gezamenlijke werkzaamheden overeenkomstig artikel 62, niet nakomt.”
21 Artikel 65, lid 1, van deze verordening luidt:
„Om te zorgen voor de correcte en consequente toepassing van deze verordening in individuele gevallen, stelt het [EDPB] een bindend besluit vast in de volgende gevallen:
[…]
c) wanneer een bevoegde toezichthoudende autoriteit in de in artikel 64, lid 1, genoemde gevallen het [EDPB] niet om advies vraagt, of het krachtens artikel 64 uitgebrachte advies van het [EDPB] niet volgt. In dat geval kan elke betrokken toezichthoudende autoriteit of de Commissie de aangelegenheid meedelen aan het [EDPB].”
22 Artikel 77 van die verordening, met als opschrift „Recht om een klacht in te dienen bij een toezichthoudende autoriteit”, bepaalt:
„1. Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.
2. De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van de voortgang en het resultaat van de klacht, alsmede van de mogelijke voorziening in rechte overeenkomstig artikel 78.”
23 Artikel 78 van deze verordening, met als opschrift „Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit”, bepaalt in de leden 1 en 2:
„1. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen.
2. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien de overeenkomstig de artikelen 55 en 56 bevoegde toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden in kennis stelt van de voortgang of het resultaat van de uit hoofde van artikel 77 ingediende klacht.”
24 Artikel 94 AVG bepaalt:
„1. [Richtlijn 95/46] wordt met ingang van 25 mei 2018 ingetrokken.
2. Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. Verwijzingen naar de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van [richtlijn 95/46] is opgericht, gelden als verwijzingen naar het bij deze verordening opgerichte [EDPB].”
25 Artikel 99 van deze verordening bepaalt het volgende:
„1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2. Zij is van toepassing met ingang van 25 mei 2018.”
MCB-besluit
26 In overweging 11 van het MCB-besluit wordt verklaard:
„De toezichthoudende autoriteiten van de lidstaten spelen een essentiële rol in dit contractmechanisme, door erop toe te zien dat persoonsgegevens na de doorgifte op passende wijze worden beschermd. In buitengewone gevallen waarin de [gegevensexporteurs] niet in staat zijn of weigeren de gegevensimporteurs naar behoren te instrueren en het risico van ernstige schade voor de betrokkenen bestaat, dienen de modelcontractbepalingen het voor de toezichthoudende autoriteiten mogelijk te maken de gegevensimporteurs en subverwerkers te controleren en zo nodig voor de gegevensimporteurs en subverwerkers bindende besluiten te nemen. De toezichthoudende autoriteiten dienen de bevoegdheid te hebben om een op basis van de modelcontractbepalingen gebaseerde doorgifte of categorie doorgiften te verbieden of op te schorten, in die uitzonderlijke gevallen waarin wordt vastgesteld dat een doorgifte op contractuele grondslag in aanzienlijke mate afbreuk dreigt te doen aan de waarborgen en verplichtingen die de betrokkene een passende bescherming bieden.”
27 Artikel 1 van dit besluit bepaalt:
„De in de bijlage opgenomen modelcontractbepalingen worden geacht voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten in de zin van artikel 26, lid 2, van [richtlijn 95/46].”
28 Volgens artikel 2, tweede alinea, van dit besluit is het „van toepassing op de doorgifte van persoonsgegevens door voor de verwerking verantwoordelijken die in de Europese Unie zijn gevestigd, aan ontvangers buiten het grondgebied van de Europese Unie die slechts als verwerkers optreden.”
29 Artikel 3 van dit besluit bepaalt:
„Voor de toepassing van dit besluit wordt verstaan onder:
[…]
c) ‚gegevensexporteur’: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;
d) ‚gegevensimporteur’: de in een derde land gevestigde verwerker die overeenkomt van de gegevensexporteur persoonsgegevens te ontvangen om deze na doorgifte namens de gegevensexporteur te verwerken overeenkomstig diens instructies en de voorwaarden van dit besluit, en die niet onderworpen is aan een regeling van een derde land die passende bescherming biedt in de zin van artikel 25, lid 1, van [richtlijn 95/46];
[…]
f) ‚toepasselijk recht inzake gegevensbescherming’: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een voor de verwerking verantwoordelijke;
[…]”
30 In de oorspronkelijke versie van vóór de inwerkingtreding van uitvoeringsbesluit 2016/2297 bepaalde artikel 4 van besluit 2010/87:
„1. Onverminderd hun bevoegdheden maatregelen te treffen ter waarborging van de naleving van de krachtens de hoofdstukken II, III, V en VI van [richtlijn 95/46] vastgestelde nationale bepalingen, kunnen de bevoegde autoriteiten in de lidstaten hun bestaande bevoegdheden gebruiken om gegevensstromen naar derde landen te verbieden of op te schorten teneinde natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen, wanneer:
a) wordt vastgesteld dat het recht waaraan de gegevensimporteur of een subverwerker is onderworpen, hem vereisten oplegt waarmee van het toepasselijke recht inzake gegevensbescherming moet worden afgeweken en die verder gaan dan de beperkingen die in een democratische samenleving noodzakelijk zijn als bedoeld in artikel 13 van [richtlijn 95/46], indien die vereisten in aanzienlijke mate afbreuk dreigen te doen aan de door het toepasselijke recht inzake gegevensbescherming en de modelcontractbepalingen geboden waarborgen,
b) een bevoegde autoriteit heeft vastgesteld dat de gegevensimporteur [of een subverwerker] de in de bijlage opgenomen modelcontractbepalingen niet is nagekomen; of
c) het in aanzienlijke mate waarschijnlijk is dat de in de bijlage opgenomen modelcontractbepalingen niet worden of zullen worden nageleefd en bij verdere doorgifte het risico bestaat dat de betrokkenen ernstige schade wordt toegebracht.
2. Het verbod of de opschorting, als bedoeld in lid 1, wordt opgeheven, zodra de redenen voor het verbod of de opschorting niet meer bestaan.
3. Wanneer een lidstaat op grond van de leden 1 en 2 maatregelen treft, stelt hij de Commissie daarvan onverwijld in kennis, waarna de Commissie de andere lidstaten hiervan in kennis stelt.”
31 Overweging 5 van uitvoeringsbesluit 2016/2297, dat is vastgesteld na de uitspraak van het arrest van 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650), luidt als volgt:
„Mutatis mutandis is een besluit dat de Commissie overeenkomstig artikel 26, lid 4, van [richtlijn 95/46] vaststelt, bindend voor alle organen van de lidstaten waaraan het is gericht, met inbegrip van hun onafhankelijke toezichthoudende autoriteiten, voor zover het tot gevolg heeft dat wordt erkend dat de doorgifte op basis van in het besluit uiteengezette modelcontractbepalingen voldoende waarborgen biedt zoals vereist krachtens artikel 26, lid 2, van de richtlijn. Dit staat er niet aan in de weg dat een nationale toezichthoudende autoriteit haar bevoegdheden om toezicht te houden op gegevensstromen uitoefent, met inbegrip van haar bevoegdheid de doorgifte van persoonsgegevens op te schorten of te verbieden wanneer zij vaststelt dat de doorgifte een inbreuk vormt op het nationale of EU-recht inzake gegevensbescherming, bijvoorbeeld wanneer de gegevensimporteur de modelcontractbepalingen niet naleeft.”
32 In zijn huidige versie, zoals die voortvloeit uit uitvoeringsbesluit 2016/2297, bepaalt artikel 4 van het MCB-besluit:
„Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van [richtlijn 95/46] uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar derde landen, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.”
33 De bijlage bij het MCB-besluit, met als opschrift „Modelcontractbepalingen (verwerkers)”, bevat twaalf modelbepalingen. Bepaling 3 ervan, met als opschrift „Derdenbeding”, is als volgt geformuleerd:
„1. De betrokkenen kunnen deze bepaling en bepaling 4, onder b) tot en met i), bepaling 5, onder a) tot en met e) en g) tot en met j), bepaling 6, leden 1 en 2, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 als derde begunstigden tegenover de gegevensexporteur afdwingen.
2. De betrokkenen kunnen deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de gegevensimporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dit geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen.
[…]”
34 Bepaling 4 van deze bijlage, met als opschrift „Verplichtingen van de gegevensexporteur”, bepaalt:
„De gegevensexporteur stemt ermee in en garandeert dat:
a) de verwerking van de persoonsgegevens, met inbegrip van de doorgifte zelf, is geschied en zal blijven geschieden in overeenstemming met alle relevante bepalingen van het toepasselijke recht inzake gegevensbescherming (en, waar van toepassing, is gemeld aan de betrokken autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd), en dat zij niet in strijd is met de toepasselijke bepalingen van die staat;
b) hij de gegevensimporteur instructie heeft gegeven, en gedurende de verwerking van de persoonsgegevens zal geven, de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met het toepasselijke recht inzake gegevensbescherming en de bepalingen te verwerken;
[…]
f) wanneer de doorgifte bijzondere categorieën gegevens betreft, de betrokkene ervan in kennis is gesteld, of vóór of zo spoedig mogelijk na de doorgifte ervan in kennis zal worden gesteld, dat zijn gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt als bedoeld in [richtlijn 95/46];
g) hij overeenkomstig bepaling 5, onder b), en bepaling 8, lid 3, ontvangen kennisgevingen van de gegevensimporteur of een subverwerker aan de toezichthoudende autoriteit zal doorzenden, wanneer hij (dat wil zeggen de gegevensexporteur) besluit de doorgifte voort te zetten of de opschorting op te heffen;
[…]”
35 Bepaling 5 van deze bijlage, met als opschrift „Verplichtingen van de gegevensimporteur […]”, luidt als volgt:
„De gegevensimporteur stemt ermee in en garandeert dat:
a) hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de bepalingen verwerkt; indien hij om welke reden dan ook daartoe niet in staat is, stemt hij ermee in de gegevensexporteur onverwijld daarvan in kennis te stellen, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
b) hij geen reden heeft aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen, en dat hij in geval van een wijziging in deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de bepalingen opgenomen waarborgen en verplichtingen, de gegevensexporteur, zodra hij de wijziging kent, onverwijld daarvan in kennis stelt, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
[…]
d) hij de gegevensexporteur onverwijld ervan in kennis stelt wanneer:
i) een wetshandhavingsinstantie een juridisch bindend verzoek om verstrekking van persoonsgegevens heeft gedaan, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;
ii) iemand per ongeluk of op ongeoorloofde wijze toegang tot de gegevens heeft gehad;
iii) hij van de betrokkenen rechtstreeks een verzoek heeft ontvangen, waarop hij niet ingaat, tenzij hem dit anderszins is toegestaan;
[…]”
36 De voetnoot waarnaar het opschrift van deze bepaling 5 verwijst, is als volgt opgesteld:
„Vereisten van het nationale recht die op de gegevensimporteur van toepassing zijn en die niet verder gaan dan wat in een democratische samenleving noodzakelijk is op basis van een van de in artikel 13, lid 1, van [richtlijn 95/46] vermelde belangen, dat wil zeggen noodzakelijke maatregelen ter vrijwaring van de veiligheid van een staat, de landsverdediging, de openbare veiligheid, het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen, een belangrijk economisch en financieel belang van een lidstaat of de bescherming van de betrokkene of van de rechten en vrijheden van anderen, zijn niet in strijd met de bepalingen. […]”
37 Bepaling 6 van de bijlage bij het MCB-besluit, met als opschrift „Aansprakelijkheid”, bepaalt:
„1. De partijen komen overeen dat elke betrokkene die ten gevolge van een schending van de verplichtingen bedoeld in bepaling 3 of bepaling 11 door een partij of een subverwerker schade heeft geleden, het recht heeft van de gegevensexporteur vergoeding voor de geleden schade te ontvangen.
2. Wanneer de betrokkene geen vordering tot schadevergoeding wegens niet-nakoming door de gegevensimporteur of diens subverwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen, als bedoeld in lid 1, tegen de gegevensexporteur kan instellen doordat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensimporteur alsof hij de gegevensexporteur was […].
[…]”
38 Bepaling 8 van deze bijlage, met als opschrift „Samenwerking met de toezichthoudende autoriteiten”, bepaalt in lid 2:
„De partijen komen overeen dat de toezichthoudende autoriteit bevoegd is bij de gegevensimporteur en eventuele subverwerkers een controle te verrichten die dezelfde reikwijdte heeft en aan dezelfde voorwaarden is onderworpen als die welke krachtens het toepasselijke recht inzake gegevensbescherming voor haar controle van de gegevensexporteur zouden gelden.”
39 Bepaling 9 van deze bijlage, met als opschrift „Toepasselijk recht”, preciseert dat het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing is op de bepalingen.
40 Bepaling 11 van diezelfde bijlage, met als opschrift „Subverwerking”, is als volgt verwoord:
„1. De gegevensimporteur besteedt de verwerkingsactiviteiten die hij overeenkomstig de bepalingen namens de gegevensexporteur uitvoert, niet uit zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur met toestemming van de gegevensexporteur zijn verplichtingen uit hoofde van de bepalingen uitbesteedt, dient hij met de subverwerker een schriftelijk contract te sluiten waarbij aan de subverwerker dezelfde verplichtingen worden opgelegd als die waaraan de gegevensimporteur uit hoofde van de bepalingen moet voldoen. […]
2. In het tevoren tussen de gegevensimporteur en de subverwerker te sluiten schriftelijke contract dient tevens een derdenbeding te zijn opgenomen zoals vervat in bepaling 3, dat voorziet in gevallen dat de betrokkene geen vordering tot schadevergoeding als bedoeld in bepaling 6, lid 1, kan instellen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, en er geen rechtsopvolger is die contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
[…]”
41 Bepaling 12 van de bijlage bij het MCB-besluit, met als opschrift „Verplichting na de beëindiging van de verwerking van persoonsgegevens”, bepaalt in lid 1:
„De partijen komen overeen dat de gegevensimporteur en de subverwerker na het beëindigen van de verlening van de gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens en kopieën daarvan aan de gegevensexporteur terugbezorgen of, indien de gegevensexporteur dat verkiest, alle persoonsgegevens vernietigen en aan de gegevensexporteur verklaren dat de vernietiging heeft plaatsgevonden, tenzij de op de gegevensimporteur toepasselijke wetgeving hem verbiedt alle of een gedeelte van de doorgegeven persoonsgegevens terug te bezorgen of te vernietigen. […]”
Privacyschildbesluit
42 Bij arrest van 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650), heeft het Hof beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46 betreffende de gepastheid van de bescherming geboden door de veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende vaak gestelde vragen die door het ministerie van Handel van de Verenigde Staten van Amerika zijn gepubliceerd (PB 2000, L 215, blz. 7), waarbij de Commissie had vastgesteld dat dit derde land een passend beschermingsniveau waarborgde, ongeldig verklaard.
43 Naar aanleiding van de uitspraak van dat arrest heeft de Commissie het privacyschildbesluit vastgesteld, na een beoordeling van de regeling van de Verenigde Staten met het oog op de vaststelling van dat besluit, zoals in overweging 65 ervan wordt gepreciseerd:
„De Commissie heeft een beoordeling verricht van de in de Amerikaanse wetgeving opgenomen beperkingen en waarborgen met betrekking tot de toegang tot en het gebruik van in het kader van het EU-VS-privacyschild doorgegeven persoonsgegevens door Amerikaanse overheidsdiensten ten behoeve van de nationale veiligheid, de rechtshandhaving en andere doeleinden van openbaar belang. Daarnaast heeft de Amerikaanse overheid, via haar Office of the Director of National Intelligence (ODNI) (bureau van de directeur van het nationale inlichtingenwerk) […], de Commissie gedetailleerde verklaringen en toezeggingen verstrekt, die in bijlage VI bij dit besluit zijn opgenomen. In een brief die door de minister van Buitenlandse Zaken is ondertekend, en die in bijlage III bij dit besluit is opgenomen, heeft de Amerikaanse overheid tevens toegezegd een nieuw toezichtsmechanisme voor ingrepen ten behoeve van de nationale veiligheid in het leven te roepen, namelijk de privacyschildombudsman, die onafhankelijk is van de inlichtingendiensten. Ten slotte worden in een in bijlage VII bij dit besluit opgenomen verklaring van het Amerikaanse ministerie van Justitie de beperkingen en waarborgen beschreven met betrekking tot de toegang tot en het gebruik van gegevens door overheidsdiensten ten behoeve van de rechtshandhaving en andere doeleinden van openbaar belang. Met het oog op grotere transparantie en om de wettelijke aard van deze toezeggingen tot uitdrukking te brengen, zullen alle vermelde en bij dit besluit gevoegde documenten in het Federal Register van de Verenigde Staten worden bekendgemaakt.”
44 De door de Commissie uitgevoerde analyse van deze beperkingen en waarborgen is samengevat in de overwegingen 67 tot en met 135 van het privacyschildbesluit, terwijl de conclusies van deze instelling over het passende beschermingsniveau in het kader van het EU-VS-privacyschild zijn opgenomen in de overwegingen 136 tot en met 141 ervan.
45 In de overwegingen 68, 69, 76, 77, 109, 112 tot en met 116, 120, 136 en 140 van dat besluit staat te lezen:
„(68) Krachtens de Amerikaanse grondwet valt de waarborging van de nationale veiligheid onder de bevoegdheid van de president als opperbevelhebber van het leger en als hoofd van de uitvoerende macht en, wat betreft buitenlandse inlichtingen, onder zijn bevoegdheid om de buitenlandse zaken van de Verenigde Staten te behartigen. Hoewel het Congres de bevoegdheid heeft om beperkingen op te leggen, en dit in verschillende opzichten heeft gedaan, kan de president binnen deze grenzen de activiteiten van de Amerikaanse inlichtingendiensten leiden, met name door middel van uitvoeringsbevelen of presidentiële richtlijnen. […] Momenteel zijn de twee belangrijkste rechtsinstrumenten in dit verband uitvoeringsbevel 12333 (Executive Order 12333, hierna ‚E.O. 12333’ genoemd) […] en presidentiële beleidsrichtlijn 28 ([Presidential Policy Directive 28,] hierna: ‚PPD‑28’ genoemd).
(69) PPD‑28 van 17 januari 2014 legt een aantal beperkingen op voor activiteiten met betrekking tot inlichtingen uit berichtenverkeer […]. Deze presidentiële beleidsrichtlijn heeft een bindend karakter voor de Amerikaanse inlichtingendiensten […] en blijft van toepassing totdat er een nieuwe Amerikaanse regering aantreedt […]. PPD‑28 is van bijzonder belang voor niet-Amerikanen, met inbegrip van betrokkenen uit de EU. […]
[…]
(76) Zonder [in PPD‑28] als zodanig juridisch geformuleerd te zijn, geven deze beginselen de essentie weer van de beginselen van noodzakelijkheid en evenredigheid. […]
(77) Als richtlijn die door de president als hoofd van de uitvoerende macht is uitgevaardigd, zijn deze vereisten bindend voor alle inlichtingendiensten en worden ze verder ten uitvoer gelegd door middel van regels en procedures voor de diensten waarin de algemene beginselen worden omgezet in specifieke aanwijzingen voor de dagelijkse werkzaamheden. […]
[…]
(109) Op grond van sectie 702 van de [Foreign Intelligence Surveillance Act (FISA) (wet betreffende het toezicht op buitenlandse inlichtingen)] geeft de [United States Foreign Intelligence Surveillance Court (FISC) (rechtbank voor buitenlandse-inlichtingensurveillance van de Verenigde Staten)] daarentegen geen toestemming voor individuele surveillancemaatregelen; de FISC geeft in plaats daarvan toestemming voor surveillanceprogramma’s (zoals PRISM en Upstream) op basis van jaarlijkse certificeringen die door de [United States Attorney General (procureur-generaal van de Verenigde Staten)] en de [Director of National Intelligence (DNI) (directeur nationale inlichtingen) worden voorbereid. […] Zoals aangegeven, bevatten de door de FISC goed te keuren certificeringen geen informatie over de individuele personen die het doelwit moeten worden, maar bepalen ze in plaats daarvan categorieën buitenlandse inlichtingen […]. De FISC beoordeelt niet – op grond van een redelijk vermoeden of een andere norm – of natuurlijke personen het juiste doelwit zijn om buitenlandse inlichtingen te verwerven […], maar controleert de voorwaarde dat ‚het verkrijgen van buitenlandse inlichtingen een significant doel van de verwerving is’. […]
[…]
(112) Ten eerste voorziet de FISA in een aantal rechtsmiddelen, die ook openstaan voor niet-Amerikanen, om onrechtmatige elektronische surveillance aan te vechten […]. Natuurlijke personen kunnen onder meer langs civielrechtelijke weg een geldelijke schadevergoeding van de Verenigde Staten vorderen wanneer hen betreffende informatie onrechtmatig en opzettelijk is gebruikt of bekendgemaakt […], voor de rechter een geldelijke schadevergoeding van Amerikaanse overheidsfunctionarissen in hun persoonlijke hoedanigheid (‚under colour of law’/onder het voorwendsel van het recht) vorderen […], en de wettigheid van de surveillance aanvechten (en trachten de informatie te wissen) ingeval de Amerikaanse overheid voornemens is uit elektronische surveillance verkregen of afgeleide informatie tegen hen te gebruiken of bekend te maken in een gerechtelijke of administratieve procedure in de Verenigde Staten […].
(113) Ten tweede heeft de Amerikaanse overheid de Commissie gewezen op een aantal aanvullende mogelijkheden voor betrokkenen uit de EU om gerechtelijke stappen te ondernemen tegen overheidsfunctionarissen vanwege onrechtmatige toegang van de overheid tot of gebruik door de overheid van persoonsgegevens, onder meer voor vermeende doeleinden van nationale veiligheid […].
(114) Ten slotte heeft de Amerikaanse overheid gewezen op de [Freedom of Information Act (FOIA) (wet op de vrijheid van informatie)] als middel voor niet-Amerikanen om toegang te krijgen tot bestaande informatiebestanden van federale diensten, onder meer wanneer die de persoonsgegevens van de natuurlijke persoon bevatten […]. Gezien haar toepassingsgebied voorziet de Freedom of Information Act niet in een individuele verhaalsmogelijkheid tegen inmenging in persoonsgegevens als zodanig, al zou zij natuurlijke personen in beginsel in staat kunnen stellen om toegang te krijgen tot relevante informatie waarover de nationale inlichtingendiensten beschikken. […]
(115) Hoewel natuurlijke personen, waaronder betrokkenen uit de EU, over een aantal verhaalsmogelijkheden beschikken wanneer zij aan onrechtmatige (elektronische) surveillance om doeleinden van nationale veiligheid zijn onderworpen, is het evengoed duidelijk dat ten minste enkele rechtsgrondslagen waarop de Amerikaanse inlichtingendiensten zich kunnen baseren (bv. E.O. 12333), niet worden bestreken. Bovendien bestaan er weliswaar in beginsel gerechtelijke verhaalsmogelijkheden voor niet-Amerikanen, zoals voor surveillance op grond van de FISA, maar de mogelijke gronden zijn beperkt […] en vorderingen van natuurlijke personen (waaronder Amerikanen) zullen niet-ontvankelijk worden verklaard wanneer zij geen ‚status’ kunnen aantonen […], waardoor de toegang tot gewone rechterlijke instanties wordt beperkt […].
(116) Om te voorzien in een aanvullend verhaalsmechanisme dat openstaat voor alle betrokkenen uit de EU, heeft de Amerikaanse overheid besloten een nieuw ombudsmanmechanisme in het leven te roepen, zoals uiteengezet in de brief van de Amerikaanse minister van Buitenlandse Zaken aan de Commissie, die is opgenomen in bijlage III bij dit besluit. Dit mechanisme heeft als basis de aanstelling krachtens PPD‑28 van een hoofdcoördinator (op het niveau van de onderminister) binnen het ministerie van Buitenlandse Zaken als contactpunt voor buitenlandse overheden om hun bezorgdheid te uiten met betrekking tot Amerikaanse activiteiten met betrekking tot inlichtingen uit berichtenverkeer, maar gaat aanzienlijk verder dan dit oorspronkelijke concept.
[…]
(120) [De Amerikaanse overheid zegt] toe ervoor te zorgen dat de privacyschildombudsman in de uitoefening van zijn functies een beroep zal kunnen doen op de samenwerking van andere mechanismen voor toezicht op en controle van de naleving die in de Amerikaanse wetgeving bestaan. […] Wanneer een van deze toezichtsinstanties niet-naleving heeft vastgesteld, zal het betrokken onderdeel van de inlichtingendiensten de niet-naleving moeten verhelpen, omdat alleen dan de ombudsman aan de natuurlijke persoon een ‚positief’ antwoord zal kunnen geven (namelijk dat de niet-naleving is verholpen) waartoe de Amerikaanse overheid zich heeft verbonden. […]
[…]
(136) In het licht van deze bevindingen is de Commissie van oordeel dat door de Verenigde Staten een passend beschermingsniveau wordt gewaarborgd voor de doorgifte van persoonsgegevens uit de Unie naar organisaties met een zelfcertificering in de Verenigde Staten in het kader van het EU-VS-privacyschild.
[…]
(140) Tot slot is de Commissie van oordeel, op basis van de beschikbare informatie over de Amerikaanse rechtsorde, met inbegrip van de verklaringen en toezeggingen van de Amerikaanse overheid, dat ingrepen door de Amerikaanse overheidsdiensten in de grondrechten van de personen van wie de persoonsgegevens in het kader van het privacyschild uit de Unie naar de Verenigde Staten worden doorgegeven, ten behoeve van de nationale veiligheid, de rechtshandhaving of andere doeleinden van openbaar belang, en de daaruit voortvloeiende beperkingen die aan organisaties met een zelfcertificering met betrekking tot de beginselen worden opgelegd, zullen worden beperkt tot hetgeen strikt noodzakelijk is om de betrokken legitieme doelstelling te bereiken, en dat er doeltreffende rechtsbescherming tegen dergelijke ingrepen bestaat.”
46 Artikel 1 van het privacyschildbesluit luidt:
„1. Voor de toepassing van artikel 25, lid 2, van [richtlijn 95/46] waarborgen de Verenigde Staten een passend beschermingsniveau voor persoonsgegevens die van de Unie naar organisaties in de Verenigde Staten worden doorgegeven in het kader van het EU-VS-privacyschild.
2. Het EU-VS-privacyschild bestaat uit de beginselen die op 7 juli 2016 door het Amerikaanse ministerie van Handel zijn gepubliceerd en in bijlage II zijn opgenomen, en de officiële verklaringen en toezeggingen die in de in de bijlagen I en III tot en met VII opgenomen documenten zijn vervat.
3. Voor de toepassing van lid 1 worden persoonsgegevens doorgegeven in het kader van het EU-VS-privacyschild wanneer ze worden doorgegeven uit de Unie naar organisaties in de Verenigde Staten die op de ‚privacyschildlijst’ staan, die door het Amerikaanse ministerie van Handel wordt bijgehouden en bekendgemaakt, overeenkomstig de secties I en III van de in bijlage II opgenomen beginselen.”
47 Bijlage II bij het privacyschildbesluit, met als opschrift „Beginselen inzake het EU-VS-privacyschildkader opgesteld door het Amerikaanse ministerie van Handel”, bepaalt in punt I.5 dat de onderschrijving van deze beginselen kan worden beperkt met name door „de vereisten inzake de nationale veiligheid, het algemeen belang of rechtshandhaving”.
48 Bijlage III bij dit besluit bevat een brief van 7 juli 2016 van John Kerry, de toenmalige Secretary of State (minister van Buitenlandse Zaken, Verenigde Staten) aan de commissaris voor Justitie, Consumentenzaken en Gendergelijkheid, waaraan als bijlage A een memorandum is gehecht met als opschrift „EU-VS-privacyschildombudsmanmechanisme met betrekking tot inlichtingen uit het berichtenverkeer”, die de volgende passage bevat:
„Gelet op het belang van het EU-VS-privacyschildkader bevat dit memorandum de procedure voor de uitvoering van een nieuw mechanisme, in overeenstemming met [PPD‑28], met betrekking tot inlichtingen uit het berichtenverkeer.
[…] President Obama kondigde de uitvaardiging aan van een nieuwe presidentiële richtlijn – PPD‑28 – teneinde ‚duidelijk te bepalen wat we doen, en niet doen, als het op onze overzeese observatie aankomt’.
Sectie 4(d) van [PPD‑28] geeft de minister van Buitenlandse Zaken de opdracht om een ‚Senior Coordinator for International Information Technology Diplomacy’ (Senior Coordinator) te benoemen, die moet ‚[dienen] als aanspreekpunt voor buitenlandse regeringen die bezorgd zijn over activiteiten van de Verenigde Staten met betrekking tot inlichtingen uit berichtenverkeer.’
[…]
1) [De Senior Coordinator] fungeert als privacyschildombudsman en […] zal nauw samenwerken met de daarvoor in aanmerking komende ambtenaren van andere ministeries en agentschappen die verantwoordelijk zijn voor de verwerking van verzoeken overeenkomstig de toepasselijke wetten en beleidsregels van de Verenigde Staten. De ombudsman is onafhankelijk van de inlichtingendiensten. De ombudsman brengt rechtstreeks verslag uit aan de minister van Buitenlandse Zaken, die ervoor zal zorgen dat de ombudsman zijn taak uitoefent op objectieve wijze en vrij van ongepaste beïnvloeding die gevolgen voor het te geven antwoord kan hebben.
[…]”
49 Bijlage VI bij het privacyschildbesluit bevat een brief van 21 juni 2016 van het ODNI aan het Amerikaanse ministerie van Handel en de administratie voor internationale handel, waarin wordt gepreciseerd dat PPD‑28 het „‚bulksgewij[s]’ [verkrijgen van] een relatief groot volume informatie of gegevens uit berichtenverkeer [mogelijk maakt] onder omstandigheden waarin de inlichtingendiensten geen gebruik kunnen maken van een identificator die verband houdt met een specifiek doelwit […] waarop de verzameling wordt gericht”.
Hoofdgeding en prejudiciële vragen
50 Schrems is een Oostenrijks staatsburger die in Oostenrijk woont, en sinds 2008 een gebruiker van het sociale netwerk Facebook (hierna: „Facebook”).
51 Al wie op het grondgebied van de Unie woont en Facebook wil gebruiken, moet bij zijn inschrijving een overeenkomst ondertekenen met Facebook Ireland, een dochteronderneming van Facebook Inc., die zelf in de Verenigde Staten is gevestigd. De persoonsgegevens van de gebruikers van Facebook die op het grondgebied van de Unie wonen, worden geheel of gedeeltelijk doorgegeven naar servers van Facebook Inc., die zich op het grondgebied van de Verenigde Staten bevinden, en worden daar verwerkt.
52 Op 25 juni 2013 heeft Schrems bij de DPC een klacht ingediend en in wezen verzocht om Facebook Ireland te verbieden zijn persoonsgegevens naar de Verenigde Staten door te geven, waarbij hij aanvoerde dat het in dat land geldende recht en de daar gangbare praktijk geen waarborgen boden voor afdoende bescherming van de op dat grondgebied bewaarde persoonsgegevens tegen surveillanceactiviteiten die daar door de overheidsinstanties werden uitgevoerd. Deze klacht is afgewezen, onder meer op grond dat de Commissie in haar beschikking 2000/520 had vastgesteld dat de Verenigde Staten een passend beschermingsniveau waarborgden.
53 De High Court (rechter in eerste aanleg, Ierland), waarbij Schrems beroep had ingesteld tegen de afwijzing van zijn klacht, heeft het Hof verzocht om een prejudiciële beslissing over de uitlegging en de geldigheid van beschikking 2000/520. Bij arrest van 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650), heeft het Hof die beschikking ongeldig verklaard.
54 Naar aanleiding van dit arrest heeft de verwijzende rechter de afwijzing van de klacht van Schrems nietig verklaard en zijn klacht naar de DPC terugverwezen. In het kader van het door de DPC ingestelde onderzoek heeft Facebook Ireland uitgelegd dat een groot deel van de persoonsgegevens werd doorgegeven aan Facebook Inc. op basis van de standaardbepalingen inzake gegevensbescherming die zijn opgenomen in de bijlage bij het MCB-besluit. Gelet daarop heeft de DPC Schrems verzocht zijn klacht te herformuleren.
55 In zijn op 1 december 2015 ingediende en aldus geherformuleerde klacht heeft Schrems met name aangevoerd dat Facebook Inc. naar Amerikaans recht ertoe verplicht is om de aan haar doorgegeven persoonsgegevens ter beschikking te stellen aan de Amerikaanse autoriteiten, zoals de National Security Agency (NSA) en de Federal Bureau of Investigation (FBI). Hij heeft betoogd dat, aangezien deze gegevens in het kader van verschillende surveillanceprogramma’s zijn gebruikt op een wijze die onverenigbaar is met de artikelen 7, 8 en 47 van het Handvest, het MCB-besluit de doorgifte van die gegevens naar de Verenigde Staten niet kan rechtvaardigen. Daarom heeft Schrems de DPC verzocht de doorgifte van zijn persoonsgegevens aan Facebook Inc. te verbieden of op te schorten.
56 Op 24 mei 2016 heeft de DPC een „ontwerpbesluit” met een samenvatting van de voorlopige conclusies van zijn onderzoek bekendgemaakt. In dat ontwerp heeft hij zich voorlopig op het standpunt gesteld dat het gevaar bestaat dat de naar de Verenigde Staten doorgegeven persoonsgegevens van burgers van de Unie door de Amerikaanse autoriteiten worden geraadpleegd en verwerkt op een wijze die onverenigbaar is met de artikelen 7 en 8 van het Handvest, en dat het recht van de Verenigde Staten deze burgers geen beroepsgangen biedt die verenigbaar zijn met artikel 47 van het Handvest. De DPC heeft geoordeeld dat de standaardbepalingen inzake gegevensbescherming van de bijlage bij het MCB-besluit dit gebrek niet kunnen verhelpen, aangezien zij de betrokkenen slechts contractuele rechten jegens de gegevensimporteur en -exporteur verlenen zonder evenwel de Amerikaanse autoriteiten te binden.
57 Van oordeel dat de geherformuleerde klacht van Schrems in die omstandigheden de vraag naar de geldigheid van het MCB-besluit deed rijzen, heeft de DPC, onder verwijzing naar de rechtspraak die voortvloeit uit het arrest van 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650, punt 65), zich op 31 mei 2016 tot de High Court gewend, met verzoek het Hof daarover vragen te stellen. Bij beslissing van 4 mei 2018 heeft de High Court de onderhavige zaak prejudicieel naar het Hof verwezen.
58 De High Court heeft bij zijn verzoek om een prejudiciële beslissing een uitspraak van 3 oktober 2017 gevoegd, waarin deze rechter de uitkomst had vastgelegd van het onderzoek van de bewijzen die waren overgelegd in het kader van de nationale procedure waaraan de Amerikaanse regering had deelgenomen.
59 In die uitspraak, waarnaar het verzoek om een prejudiciële beslissing herhaaldelijk verwijst, heeft de verwijzende rechter opgemerkt dat hij in beginsel niet alleen het recht maar ook de verplichting heeft om alle voor hem aangevoerde feiten en argumenten te onderzoeken teneinde op basis daarvan te beslissen of een prejudiciële verwijzing vereist is. Hoe dan ook moet hij rekening houden met eventuele wijzigingen van het recht tussen de instelling van het beroep en de terechtzitting ten overstaan van de rechter. Deze rechter heeft gepreciseerd dat zijn eigen beoordeling in het hoofdgeding niet beperkt is tot de door de DPC aangevoerde middelen van ongeldigheid, zodat hij ook andere middelen van ongeldigheid ambtshalve kan opwerpen en op basis daarvan de zaak prejudicieel kan verwijzen.
60 Volgens de vaststellingen in die uitspraak zijn de inlichtingenactiviteiten van de Amerikaanse autoriteiten met betrekking tot de naar de Verenigde Staten doorgegeven persoonsgegevens met name gebaseerd op section 702 FISA en op E.O. 12333.
61 Wat section 702 FISA betreft, preciseert de verwijzende rechter in diezelfde uitspraak dat dit artikel de procureur-generaal en de directeur van de nationale inlichtingen de mogelijkheid biedt om, teneinde „buitenlandse inlichtingen” te verkrijgen, na goedkeuring door de FISC, gezamenlijk toestemming te verlenen voor de surveillance van niet-Amerikanen die zich buiten het grondgebied van de Verenigde Staten bevinden, met name ter ondersteuning van de surveillanceprogramma’s PRISM en Upstream. Volgens de vaststellingen van deze rechter zijn de aanbieders van internetdiensten in het kader van het PRISM-programma ertoe gehouden om de NSA alle aan de hand van een „selectieterm” verzonden en ontvangen communicatie te verstrekken, waarvan een deel ook aan de FBI en aan de Central Intelligence Agency (CIA) (centrale inlichtingendienst) wordt doorgegeven.
62 Wat het Upstream-programma betreft, heeft deze rechter vastgesteld dat in het kader van dit programma de telecommunicatiebedrijven die de „ruggengraat” van het internet exploiteren – dat wil zeggen het kabelnetwerk, de schakelaars en de routers – ertoe verplicht zijn om de NSA toe te laten om internetverkeersstromen te kopiëren en te filteren met het oog op het verzamelen van de door een „selectieterm” aangeduide communicatie die wordt verzonden of ontvangen door of betreffende een niet-Amerikaans staatsburger. In het kader van dat programma heeft de NSA volgens de vaststellingen van deze rechter toegang tot zowel de metadata als de inhoud van die communicatie.
63 Wat E.O. 12333 betreft, stelt de verwijzende rechter vast dat dit uitvoeringsbevel de NSA in staat stelt toegang te krijgen tot „gegevens tijdens de doorvoer” naar de Verenigde Staten, doordat toegang mogelijk is tot de onderzeese kabels op de Atlantische bodem, en deze gegevens te verzamelen en te bewaren voordat zij in de Verenigde Staten aankomen en aan de FISA-bepalingen worden onderworpen. Hij preciseert dat de op E.O. 12333 gebaseerde activiteiten niet aan de wet onderworpen zijn.
64 Wat de aan de inlichtingenactiviteiten gestelde beperkingen betreft, benadrukt de verwijzende rechter dat niet-Amerikanen uitsluitend onder PPD‑28 vallen en dat daarin enkel wordt aangegeven dat de inlichtingenactiviteiten „zo gericht mogelijk” (as tailored as feasible) zouden moeten zijn. Op basis van zijn vaststellingen is deze rechter van oordeel dat de Verenigde Staten massaal gegevens verwerken zonder een bescherming te bieden die in grote lijnen overeenkomt met die welke wordt gewaarborgd door de artikelen 7 en 8 van het Handvest.
65 Wat rechterlijke bescherming betreft, zet diezelfde rechter uiteen dat de burgers van de Unie geen toegang hebben tot dezelfde beroepsgangen als die waarover Amerikaanse staatsburgers beschikken tegen de verwerking van persoonsgegevens door de Amerikaanse autoriteiten, aangezien het vierde amendement van de Constitution of the United States (grondwet van de Verenigde Staten), dat naar Amerikaans recht de belangrijkste bescherming tegen onrechtmatige surveillance biedt, niet van toepassing is op Unieburgers. De verwijzende rechter preciseert in dat verband dat de beroepsgangen die dan nog overblijven voor deze burgers grote hindernissen opwerpen, met name de verplichting – die deze rechter uitermate moeilijk te vervullen noemt – voor deze personen om hun procesbevoegdheid aan te tonen. Volgens de vaststellingen van deze rechter zijn de op E.O. 12333 gebaseerde activiteiten van de NSA voorts niet onderworpen aan enig rechterlijk toezicht en kan er geen beroep in rechte tegen worden ingesteld. Ten slotte is deze rechter van oordeel dat, aangezien volgens hem de privacyschildombudsman geen gerecht in de zin van artikel 47 van het Handvest is, het Amerikaanse recht de burgers van de Unie geen niveau van bescherming biedt dat in grote lijnen overeenkomt met dat van het in dat artikel verankerde grondrecht.
66 In zijn verzoek om een prejudiciële beslissing preciseert de verwijzende rechter voorts dat de partijen in het hoofdgeding het met name oneens zijn over de vraag of het Unierecht van toepassing is op de doorgifte naar een derde land van persoonsgegevens die door de autoriteiten van dat land met name voor de nationale veiligheid kunnen worden verwerkt, en over welke elementen in aanmerking moeten worden genomen bij de beoordeling van het door dat land geboden passende beschermingsniveau. Deze rechter merkt in het bijzonder op dat volgens Facebook Ireland de vaststellingen van de Commissie over de gepastheid van het door een derde land gewaarborgde beschermingsniveau, zoals de vaststellingen in het privacyschildbesluit, de toezichthoudende autoriteiten ook binden in de context van een doorgifte van persoonsgegevens op basis van de standaardbepalingen inzake gegevensbescherming van de bijlage bij het MCB-besluit.
67 Wat deze standaardbepalingen inzake gegevensbescherming betreft, vraagt deze rechter zich af of het MCB-besluit kan worden geacht geldig te zijn, ook al zijn die bepalingen volgens diezelfde rechter niet bindend voor de overheidsinstanties van het betrokken derde land en kunnen zij dus het eventuele ontbreken van een passend beschermingsniveau in dat land niet verhelpen. In dit verband is hij van oordeel dat de bij artikel 4, lid 1, onder a), van besluit 2010/87, in de versie van vóór de inwerkingtreding van uitvoeringsbesluit 2016/2297, aan de bevoegde autoriteiten van de lidstaten toegekende mogelijkheid om de doorgifte van persoonsgegevens naar een derde land te verbieden, waarbij aan de importeur verplichtingen worden opgelegd die onverenigbaar zijn met de in die bepalingen vervatte waarborgen, illustreert dat de stand van het recht van het derde land het verbod van doorgifte van gegevens kan rechtvaardigen, zelfs indien deze gegevens op basis van de standaardbepalingen inzake gegevensbescherming van de bijlage bij het MCB-besluit zijn doorgegeven, en derhalve duidelijk maakt dat deze bepalingen ontoereikend kunnen zijn om een passende bescherming te waarborgen. De verwijzende rechter vraagt zich dan ook af wat de omvang is van de bevoegdheid van de DPC om de doorgifte van gegevens op basis van die bepalingen te verbieden, waarbij zijns inziens een discretionaire bevoegdheid niet kan volstaan om een passende bescherming te verzekeren.
68 Tegen deze achtergrond heeft de High Court de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:
„1) Is het Unierecht (met inbegrip van het Handvest), onverminderd de bepalingen van artikel 4, lid 2, VEU met betrekking tot de nationale veiligheid en de bepalingen van artikel 3, lid 2, eerste streepje, van [richtlijn 95/46] met betrekking tot de openbare veiligheid, defensie en de veiligheid van de staat, van toepassing op de doorgifte van persoonsgegevens in omstandigheden waarin persoonsgegevens door een particuliere onderneming vanuit een lidstaat van de [Unie] voor commerciële doeleinden aan een particuliere onderneming in een derde land worden doorgegeven overeenkomstig [het MCB-besluit], en die persoonsgegevens in het derde land mogelijk door de autoriteiten van dat land verder worden verwerkt ten behoeve van de nationale veiligheid, maar ook ten behoeve van de rechtshandhaving en het voeren van het buitenlandbeleid van het derde land?
2) a) Wat is in het kader van [richtlijn 95/46] de relevante vergelijkingsmaatstaf bij de vaststelling of er sprake is van schending van de rechten van een natuurlijke persoon als gevolg van de doorgifte van gegevens op grond van [het MCB-besluit] vanuit de Unie naar een derde land waar deze gegevens mogelijk verder worden verwerkt ten behoeve van de nationale veiligheid:
i) het Handvest, het VEU, het VWEU, [richtlijn 95/46], het [op 4 november 1950 te Rome ondertekende Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: „EVRM”)] (of andere bepalingen van het Unierecht); of
ii) het nationale recht van een of meer lidstaten?
b) Indien ii) de relevante vergelijkingsbasis is, moeten dan ook de praktijken in het kader van de nationale veiligheid in een of meer lidstaten in de vergelijkingsmaatstaf worden opgenomen?
3) Dient bij de beoordeling of een derde land het door het Unierecht vereiste beschermingsniveau waarborgt voor persoonsgegevens die op grond van artikel 26 van [richtlijn 95/46] naar dat land worden doorgegeven, het beschermingsniveau in het derde land dan te worden beoordeeld aan de hand van:
a) de in het derde land geldende regels die voortvloeien uit de nationale wetgeving of de internationale verbintenissen van dat land en de praktijk die tot doel heeft de naleving van die regels te waarborgen, alsmede de beroepscodes en de veiligheidsmaatregelen die in dat land worden nageleefd;
of
b) de onder a) bedoelde regels, samen met de administratieve, regelgevende en handhavingspraktijken en beleidswaarborgen, procedures, protocollen, toezichtmechanismen en buitengerechtelijke rechtsmiddelen die in het derde land bestaan?
4) Schendt de doorgifte van persoonsgegevens vanuit de [Unie] naar de VS op grond van [het MCB-besluit], gelet op de feiten die de High Court […] met betrekking tot het recht van de VS heeft vastgesteld […], de rechten die natuurlijke personen ontlenen aan artikel 7 en/of artikel 8 van het Handvest?
5) Gelet op de feiten die de High Court met betrekking tot het recht van de Verenigde Staten heeft vastgesteld en indien persoonsgegevens op grond van [het MCB-besluit] vanuit de [Unie] naar de Verenigde Staten worden doorgegeven:
a) Eerbiedigt het door de Verenigde Staten geboden beschermingsniveau dan de wezenlijke inhoud van het in artikel 47 van het Handvest gewaarborgde recht van een natuurlijke persoon op een voorziening in rechte in geval van schending van zijn recht op gegevensbescherming?
Indien het antwoord op de vijfde vraag, onder a), bevestigend is:
b) Zijn de beperkingen die naar Amerikaans recht worden gesteld aan het recht van een natuurlijke persoon op een voorziening in rechte in het kader van de nationale veiligheid van de Verenigde Staten evenredig in de zin van artikel 52 van het Handvest en gaan zij niet verder dan wat in een democratische samenleving noodzakelijk is ten behoeve van de nationale veiligheid?
6) a) Welk beschermingsniveau moet worden geboden aan persoonsgegevens die naar een derde land worden doorgegeven op grond van modelcontractbepalingen die overeenkomstig een besluit van de Commissie als bedoeld in artikel 26, lid 4, [van richtlijn 95/46] zijn vastgesteld, in het licht van de bepalingen van [deze] richtlijn, en met name de artikelen 25 en 26 [ervan], gelezen in samenhang met het Handvest?
b) Met welke elementen moet rekening worden gehouden bij de beoordeling of het beschermingsniveau dat uit hoofde van [het MCB-besluit] wordt geboden aan gegevens die naar een derde land worden doorgegeven, in overeenstemming is met de vereisten van [richtlijn 95/46] en het Handvest?
7) Belet het feit dat de modelcontractbepalingen van toepassing zijn tussen de gegevensexporteur en de gegevensimporteur en niet bindend zijn voor de nationale autoriteiten van een derde land die van de gegevensimporteur kunnen verlangen dat hij de overeenkomstig de bepalingen van [het MCB-besluit] doorgegeven persoonsgegevens ter beschikking stelt van de veiligheidsdiensten van dit land met het oog op verdere verwerking, dat de modelcontractbepalingen voldoende waarborgen bieden als bedoeld in artikel 26, lid 2, van [richtlijn 95/46]?
8) Indien een gegevensimporteur uit een derde land onderworpen is aan toezichtwetten die naar het oordeel van een [toezichthoudende autoriteit] in strijd zijn met de bepalingen van de bijlage bij [het MCB-besluit] of de artikelen 25 en 26 van [richtlijn 95/46] en/of het Handvest, is die [toezichthoudende autoriteit] dan verplicht haar handhavingsbevoegdheden uit hoofde van artikel 28, lid 3, van [richtlijn 95/46] uit te oefenen om de gegevensstromen op te schorten, of is de uitoefening van die bevoegdheden enkel beperkt tot uitzonderlijke gevallen, zoals bedoeld in overweging 11 van [het MCB-besluit], of kan de [toezichthoudende autoriteit] haar discretionaire bevoegdheid uitoefenen om de gegevensstromen niet op te schorten?
9) a) Vormt [het privacyschildbesluit] voor de toepassing van artikel 25, lid 6, van [richtlijn 95/46] een algemeen geldende vaststelling die voor de [toezichthoudende autoriteiten] en de rechterlijke instanties van de lidstaten bindend is, zodat de Verenigde Staten op grond van hun nationale wetgeving of de internationale verbintenissen die zij zijn aangegaan, een passend beschermingsniveau in de zin van artikel 25, lid 2, van [richtlijn 95/46] waarborgen?
b) Zo niet, welke relevantie heeft [het privacyschildbesluit] dan eventueel voor de beoordeling of er voldoende waarborgen worden geboden voor naar de Verenigde Staten op grond van [het MCB-besluit] doorgegeven gegevens?
10) Zorgt de instelling van de privacyschildombudsman in de zin van [bijlage III A] bij [het privacyschildbesluit], gelet op de vaststellingen van de High Court met betrekking tot het Amerikaanse recht, in samenhang met de bestaande regeling in de Verenigde Staten, ervoor dat de Verenigde Staten de betrokkenen wier persoonsgegevens op grond van [het MCB-besluit] naar de VS worden doorgegeven, een voorziening in rechte bieden die verenigbaar is met artikel 47 van het Handvest?
11) Schendt [het MCB-besluit] artikel 7, artikel 8 en/of artikel 47 van het Handvest?”
Ontvankelijkheid van het verzoek om een prejudiciële beslissing
69 Facebook Ireland, de Duitse regering en de regering van het Verenigd Koninkrijk betogen dat het verzoek om een prejudiciële beslissing niet-ontvankelijk is.
70 Wat de door Facebook Ireland opgeworpen exceptie betreft, merkt deze vennootschap op dat de bepalingen van richtlijn 95/46 waarop de prejudiciële vragen zijn gebaseerd, bij de AVG zijn ingetrokken.
71 Hoewel het juist is dat richtlijn 95/46 krachtens artikel 94, lid 1, AVG met ingang van 25 mei 2018 is ingetrokken, was deze richtlijn nog van kracht toen op 4 mei 2018 het onderhavige verzoek om een prejudiciële beslissing, dat op 9 mei 2018 bij het Hof is ingekomen, werd ingediend. Bovendien zijn artikel 3, lid 2, eerste streepje, de artikelen 25 en 26, en artikel 28, lid 3, van richtlijn 95/46, waarnaar de prejudiciële vragen verwijzen, in wezen overgenomen in respectievelijk artikel 2, lid 2, en de artikelen 45, 46 en 58 AVG. Bovendien dient eraan te worden herinnerd dat het Hof tot taak heeft alle bepalingen van het recht van de Unie uit te leggen die noodzakelijk zijn voor de beslechting van bij de nationale rechterlijke instanties aanhangige gedingen, ook wanneer die bepalingen niet uitdrukkelijk worden genoemd in de door die rechterlijke instanties gestelde vragen (arrest van 2 april 2020, Ruska Federacija, C‑897/19 PPU, EU:C:2020:262, punt 43 en aldaar aangehaalde rechtspraak). Om die verschillende redenen kan de omstandigheid dat de verwijzende rechter bij de formulering van de prejudiciële vragen uitsluitend heeft verwezen naar de bepalingen van richtlijn 95/46, niet leiden tot de niet-ontvankelijkheid van het onderhavige verzoek om een prejudiciële beslissing.
72 De Duitse regering baseert haar exceptie van niet-ontvankelijkheid op de omstandigheid dat, ten eerste, de DPC slechts twijfels en geen definitief standpunt over de geldigheid van het MCB-besluit heeft geuit en dat, ten tweede, de verwijzende rechter heeft nagelaten na te gaan of Schrems zonder twijfel had ingestemd met de in het hoofdgeding aan de orde zijnde doorgifte van gegevens, hetgeen, indien dat het geval was, tot gevolg zou hebben dat een antwoord op deze vraag overbodig zou zijn. Ten slotte zijn de prejudiciële vragen volgens de regering van het Verenigd Koninkrijk hypothetisch aangezien deze rechter niet heeft vastgesteld dat de betreffende gegevens daadwerkelijk op basis van dat besluit zijn doorgegeven.
73 Volgens vaste rechtspraak van het Hof is het uitsluitend een zaak van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid voor de te geven rechterlijke beslissing draagt, om, rekening houdend met de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het Hof voorlegt, te beoordelen. Wanneer de gestelde vragen betrekking hebben op de uitlegging of de geldigheid van een Unierechtelijke regel, is het Hof derhalve in beginsel verplicht daarop te antwoorden. Bijgevolg geldt voor door nationale rechters gestelde vragen over het Unierecht een vermoeden van relevantie. Het Hof kan slechts weigeren uitspraak te doen op een door een nationale rechterlijke instantie gestelde prejudiciële vraag, wanneer blijkt dat de gevraagde uitlegging geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk van hypothetische aard is of wanneer het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vragen (arresten van 16 juni 2015, Gauweiler e.a., C‑62/14, EU:C:2015:400, punten 24 en 25; 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punt 45, en 19 december 2019, Dobersberger, C‑16/18, EU:C:2019:1110, punten 18 en 19).
74 In casu bevat het verzoek om een prejudiciële beslissing voldoende feitelijke en juridische gegevens om de reikwijdte van de prejudiciële vragen te begrijpen. Bovendien en vooral kan uit geen enkel element van het dossier waarover het Hof beschikt worden afgeleid dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, of hypothetisch van aard is, met name omdat de in het hoofdgeding aan de orde zijnde doorgifte van persoonsgegevens zou zijn gebaseerd op de uitdrukkelijke toestemming van de betrokkene met die doorgifte, en niet op het MCB-besluit. Volgens de aanwijzingen in dit verzoek heeft Facebook Ireland immers erkend dat zij de persoonsgegevens van haar in de Unie wonende gebruikers aan Facebook Inc. doorgeeft en dat een groot deel van deze doorgiften, waarvan Schrems de rechtmatigheid betwist, plaatsvindt op basis van de standaardbepalingen inzake gegevensbescherming van de bijlage bij het MCB-besluit.
75 Bovendien is het voor de ontvankelijkheid van het onderhavige verzoek om een prejudiciële beslissing niet van belang dat de DPC geen definitief standpunt heeft ingenomen over de geldigheid van dat besluit, aangezien de verwijzende rechter van oordeel is dat het antwoord op de prejudiciële vragen over de uitlegging en de geldigheid van regels van Unierecht noodzakelijk is voor de beslechting van het hoofdgeding.
76 Bijgevolg is het verzoek om een prejudiciële beslissing ontvankelijk.
Beantwoording van de prejudiciële vragen
77 Vooraf moet eraan worden herinnerd dat het onderhavige verzoek om een prejudiciële beslissing zijn oorsprong vindt in een klacht van Schrems waarin de DPC wordt verzocht om voor de toekomst de opschorting of het verbod te gelasten van de doorgifte van zijn persoonsgegevens door Facebook Ireland aan Facebook Inc. Ook al verwijzen de prejudiciële vragen naar richtlijn 95/46, het staat vast dat de DPC nog geen definitieve beslissing had genomen met betrekking tot deze klacht toen deze richtlijn werd ingetrokken en met ingang van 25 mei 2018 werd vervangen door de AVG.
78 Deze afwezigheid van een nationale beslissing vormt het punt van verschil tussen de situatie in het hoofdgeding en de situaties die hebben geleid tot de arresten van 24 september 2019, Google (Territoriale werkingssfeer van de verwijdering van links) (C‑507/17, EU:C:2019:772), en 1 oktober 2019, Planet49 (C‑673/17, EU:C:2019:801), waarin het ging om beslissingen die waren genomen vóór de intrekking van die richtlijn.
79 Bijgevolg moeten de prejudiciële vragen worden beantwoord in het licht van de bepalingen van de AVG en niet van die van richtlijn 95/46.
Eerste vraag
80 Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 2, lid 1, en artikel 2, lid 2, onder a), b) en d), AVG, gelezen in samenhang met artikel 4, lid 2, VEU, aldus moeten worden uitgelegd dat de doorgifte van persoonsgegevens door een in een lidstaat gevestigde marktdeelnemer aan een andere, in een derde land gevestigde marktdeelnemer binnen de werkingssfeer van die verordening valt wanneer deze gegevens tijdens of na die doorgifte door de autoriteiten van dit derde land kunnen worden verwerkt ten behoeve van de openbare veiligheid, defensie of de veiligheid van de staat.
81 In dit verband moet om te beginnen worden opgemerkt dat het bepaalde in artikel 4, lid 2, VEU, volgens hetwelk binnen de Unie de nationale veiligheid tot de uitsluitende verantwoordelijkheid van elke lidstaat behoort, uitsluitend betrekking heeft op de lidstaten van de Unie. Bijgevolg is deze bepaling in casu niet relevant voor de uitlegging van artikel 2, lid 1, en artikel 2, lid 2, onder a), b) en d), AVG.
82 Volgens artikel 2, lid 1, AVG is deze verordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Artikel 4, punt 2, van deze verordening definieert het begrip „verwerking” als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés” en verwijst bij wijze van voorbeeld naar „[het] verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen”, zonder onderscheid te maken naargelang deze bewerkingen binnen de Unie zijn verricht dan wel verband houden met een derde land. Bovendien onderwerpt die verordening de doorgifte van persoonsgegevens naar derde landen aan bijzondere regels, die zijn opgenomen in hoofdstuk V, met als opschrift „Doorgifte van persoonsgegevens naar derde landen of internationale organisaties”, en daarnaast verleent zij de toezichthoudende autoriteiten daartoe de in artikel 58, lid 2, onder j), van die verordening bedoelde specifieke bevoegdheden.
83 Hieruit volgt dat de bewerking die bestaat in de doorgifte van persoonsgegevens vanuit een lidstaat naar een derde land, als zodanig een verwerking van persoonsgegevens is in de zin van artikel 4, punt 2, AVG, uitgevoerd op het grondgebied van een lidstaat, en dat op die verwerking deze verordening van toepassing is op grond van artikel 2, lid 1, ervan [zie naar analogie over artikel 2, onder b), en artikel 3, lid 1, van richtlijn 95/46, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 45 en aldaar aangehaalde rechtspraak].
84 Wat de vraag betreft of een dergelijke bewerking kan worden geacht uitgesloten te zijn van de werkingssfeer van de AVG op grond van artikel 2, lid 2, ervan, moet eraan worden herinnerd dat deze bepaling voorziet in uitzonderingen op de in artikel 2, lid 1, omschreven werkingssfeer van deze verordening en dat deze uitzonderingen strikt moeten worden uitgelegd (zie naar analogie over artikel 3, lid 2, van richtlijn 95/46, arrest van 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punt 37 en aldaar aangehaalde rechtspraak).
85 In casu valt de in het hoofdgeding aan de orde zijnde doorgifte van persoonsgegevens door Facebook Ireland aan Facebook Inc., te weten tussen twee rechtspersonen, niet onder artikel 2, lid 2, onder c), AVG, dat betrekking heeft op de verwerking van gegevens door een natuurlijke persoon in het kader van een strikt persoonlijke of huishoudelijke activiteit. Die doorgifte valt evenmin onder de uitzonderingen van artikel 2, lid 2, onder a), b), of d), van deze verordening, aangezien de daar als voorbeeld genoemde activiteiten in alle gevallen specifieke activiteiten van staten of overheidsdiensten zijn en niets van doen hebben met de gebieden waarop particulieren activiteiten ontplooien (zie naar analogie over artikel 3, lid 2, van richtlijn 95/46, arrest van 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punt 38 en aldaar aangehaalde rechtspraak).
86 De mogelijkheid dat persoonsgegevens die voor commerciële doeleinden tussen twee marktdeelnemers worden doorgegeven, tijdens of na de doorgifte door de autoriteiten van het betrokken derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat, kan die doorgifte niet uitsluiten van de werkingssfeer van de AVG.
87 Doordat de Commissie uitdrukkelijk ertoe wordt verplicht om bij de beoordeling van de gepastheid van het door een derde land geboden beschermingsniveau met name rekening te houden met „de toepasselijke algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht en de toegang van overheidsinstanties tot persoonsgegevens, evenals de tenuitvoerlegging van die wetgeving”, blijkt uit de bewoordingen zelf van artikel 45, lid 2, onder a), van die verordening overigens duidelijk dat de eventuele verwerking van de betrokken gegevens door een derde land voor doeleinden van openbare veiligheid, defensie en de veiligheid van de staat, geen afbreuk doet aan de toepasselijkheid van die verordening op de betrokken doorgifte.
88 Hieruit volgt dat een dergelijke doorgifte niet buiten de werkingssfeer van de AVG kan vallen op grond dat de betrokken gegevens tijdens of na die doorgifte door de autoriteiten van het betrokken derde land kunnen worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat.
89 Bijgevolg moet op de eerste vraag worden geantwoord dat artikel 2, leden 1 en 2, AVG aldus moet worden uitgelegd dat de doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde marktdeelnemer aan een andere, in een derde land gevestigde marktdeelnemer binnen de werkingssfeer van deze verordening valt, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het betrokken derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat.
Tweede, derde en zesde vraag
90 Met zijn tweede, derde en zesde vraag wenst de verwijzende rechter in wezen van het Hof te vernemen wat het door artikel 46, lid 1 en lid 2, onder c), AVG vereiste beschermingsniveau is in het kader van de doorgifte van persoonsgegevens naar een derde land op basis van standaardbepalingen inzake gegevensbescherming. In het bijzonder verzoekt deze rechter het Hof te preciseren welke aspecten in aanmerking moeten worden genomen om te bepalen of dit beschermingsniveau in de context van een dergelijke doorgifte is gewaarborgd.
91 Wat het vereiste beschermingsniveau betreft, volgt uit deze bepalingen, in hun onderlinge samenhang gelezen, dat bij ontstentenis van een adequaatheidsbesluit uit hoofde van artikel 45, lid 3, van die verordening de verwerkingsverantwoordelijke of de verwerker persoonsgegevens slechts naar een derde land mag doorgeven indien hij in „passende waarborgen” heeft voorzien en op voorwaarde dat de betrokkenen beschikken over „afdwingbare rechten en doeltreffende rechtsmiddelen”, waarbij deze passende waarborgen met name kunnen worden geboden door middel van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming.
92 Artikel 46 AVG preciseert weliswaar niet de aard van de eisen die voortvloeien uit deze verwijzing naar „passende waarborgen”, „afdwingbare rechten” en „doeltreffende rechtsmiddelen”, maar dit artikel staat in hoofdstuk V van deze verordening en moet bijgevolg worden gelezen in het licht van artikel 44 ervan, met als opschrift „Algemeen beginsel inzake doorgiften”, dat bepaalt dat „[a]lle bepalingen [van dit hoofdstuk] worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd”. Dit beschermingsniveau moet bijgevolg worden gewaarborgd ongeacht de bepaling van dat hoofdstuk op basis waarvan persoonsgegevens naar een derde land worden doorgegeven.
93 Zoals de advocaat-generaal in punt 117 van zijn conclusie heeft opgemerkt, beogen de bepalingen van hoofdstuk V AVG immers de continuïteit van het hoge niveau van deze bescherming bij doorgifte van persoonsgegevens naar een derde land te waarborgen, overeenkomstig het in overweging 6 van die verordening nader omschreven doel.
94 Artikel 45, lid 1, eerste volzin, AVG bepaalt dat de doorgifte van persoonsgegevens naar een derde land kan worden toegestaan door middel van een besluit waarin de Commissie vaststelt dat dit derde land, een gebied of één of meerdere daarin bepaalde sectoren een passend beschermingsniveau waarborgen. In dit verband moet de uitdrukking „passend beschermingsniveau”, zoals wordt bevestigd door overweging 104 van die verordening, aldus worden opgevat dat het, zonder te eisen dat het betrokken derde land hetzelfde beschermingsniveau waarborgt als dat binnen de rechtsorde van de Unie, vereist dat dit derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, daadwerkelijk een niveau van bescherming van de vrijheden en grondrechten waarborgt dat in grote lijnen overeenkomt met het niveau dat binnen de Unie wordt gewaarborgd krachtens die verordening, gelezen in het licht van het Handvest. Zonder een dergelijk vereiste zou immers afbreuk worden gedaan aan het in het vorige punt vermelde doel (zie naar analogie over artikel 25, lid 6, van richtlijn 95/46, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 73).
95 In dit kader staat in overweging 107 AVG te lezen dat wanneer „een derde land, een gebied of een bepaalde verwerkingssector in een derde land […] geen passend beschermingsniveau meer [waarborgt,] [d]e doorgifte van persoonsgegevens naar dat derde land dient […] te worden verboden, tenzij aan de vereisten van deze verordening met betrekking tot doorgiften die onderworpen zijn aan passende waarborgen […] wordt voldaan”. Daartoe preciseert overweging 108 van die verordening dat, indien er geen adequaatheidsbesluit is genomen, de passende waarborgen die de verwerkingsverantwoordelijke of de verwerker overeenkomstig artikel 46, lid 1, van die verordening moet bieden, „het ontoereikende niveau van gegevensbescherming in een derde land […] [moeten] verhelpen” om „de naleving van gegevensbeschermingsvereisten en de geldende rechten van betrokkenen voor verwerkingen binnen de Unie [te] waarborgen”.
96 Zoals de advocaat-generaal in punt 115 van zijn conclusie heeft opgemerkt, volgt hieruit dat deze passende waarborgen moeten kunnen verzekeren dat personen wier persoonsgegevens naar een derde land worden doorgegeven op basis van standaardbepalingen inzake gegevensbescherming, zoals in het kader van doorgifte op basis van een adequaatheidsbesluit, een beschermingsniveau genieten dat in grote lijnen overeenkomt met het binnen de Unie gewaarborgde beschermingsniveau.
97 De verwijzende rechter vraagt zich tevens af of dit beschermingsniveau dat in grote lijnen overeenkomt met het binnen de Unie gewaarborgde beschermingsniveau, moet worden bepaald onder verwijzing naar het Unierecht, met name de door het Handvest gewaarborgde rechten en/of de grondrechten die zijn neergelegd in het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: „EVRM”), dan wel onder verwijzing naar het nationale recht van de lidstaten.
98 In dit verband dient eraan te worden herinnerd dat hoewel de door het EVRM gewaarborgde grondrechten, zoals artikel 6, lid 3, VEU bevestigt, als algemene beginselen deel uitmaken van het recht van de Unie en hoewel artikel 52, lid 3, van het Handvest bepaalt dat rechten uit het Handvest die corresponderen met rechten die zijn gegarandeerd door het EVRM, dezelfde inhoud en reikwijdte hebben als die welke er door dit verdrag aan worden toegekend, het EVRM, zolang de Unie er geen partij bij is, geen formeel in de rechtsorde van de Unie opgenomen rechtsinstrument is (arresten van 26 februari 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, punt 44 en aldaar aangehaalde rechtspraak, en 20 maart 2018, Menci, C‑524/15, EU:C:2018:197, punt 22).
99 Gelet daarop heeft het Hof geoordeeld dat de uitlegging van het Unierecht en het onderzoek van de geldigheid van de Uniehandelingen dienen plaats te vinden aan de hand van de door het Handvest gewaarborgde grondrechten (zie naar analogie arrest van 20 maart 2018, Menci, C‑524/15, EU:C:2018:197, punt 24).
100 Het is bovendien vaste rechtspraak dat de geldigheid van Unierechtelijke bepalingen en, zonder een uitdrukkelijke verwijzing naar het nationale recht van de lidstaten, de uitlegging ervan niet mogen worden getoetst aan het nationale recht, zelfs niet aan het grondwettelijke recht, inzonderheid aan de grondrechten zoals die in de nationale grondwet zijn neergelegd (zie in die zin arresten van 17 december 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, punt 3; 13 december 1979, Hauer, 44/79, EU:C:1979:290, punt 14, en 18 oktober 2016, Nikiforidis, C‑135/15, EU:C:2016:774, punt 28 en aldaar aangehaalde rechtspraak).
101 Hieruit volgt dat, aangezien, ten eerste, de doorgifte van persoonsgegevens – zoals in casu – voor commerciële doeleinden door een in een lidstaat gevestigde marktdeelnemer aan een andere, in een derde land gevestigde marktdeelnemer binnen de werkingssfeer van de AVG valt, zoals blijkt uit het antwoord op de eerste vraag, en, ten tweede, deze verordening, zoals blijkt uit overweging 10 ervan, met name een consistent en hoog niveau van bescherming van natuurlijke personen binnen de Unie beoogt te waarborgen en daartoe een coherente en homogene toepassing van de regels inzake bescherming van de grondrechten van deze personen in verband met de verwerking van persoonsgegevens binnen de gehele Unie wil verzekeren, het door artikel 46, lid 1, van deze verordening vereiste beschermingsniveau van de grondrechten met betrekking tot de verwerking van persoonsgegevens moet worden bepaald op grond van de bepalingen van diezelfde verordening, gelezen in het licht van de door het Handvest gewaarborgde grondrechten.
102 De verwijzende rechter wenst nog te vernemen met welke aspecten rekening moet worden gehouden om te bepalen of het beschermingsniveau passend is in het kader van de doorgifte van persoonsgegevens naar een derde land op basis van krachtens artikel 46, lid 2, onder c), AVG vastgestelde standaardbepalingen inzake gegevensbescherming.
103 Hoewel deze bepaling niet opsomt met welke verschillende aspecten rekening moet worden gehouden om te beoordelen of het bij een dergelijke doorgifte na te leven beschermingsniveau passend is, preciseert artikel 46, lid 1, van de verordening dat de betrokkenen over passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen moeten beschikken.
104 Bij de beoordeling die daartoe in het kader van een dergelijke doorgifte vereist is, moet met name rekening worden gehouden met zowel de contractuele bepalingen die zijn overeengekomen tussen de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker en de in het betrokken derde land gevestigde ontvanger van de doorgifte, als, wat een eventuele toegang van de overheidsinstanties van dat derde land tot de doorgegeven persoonsgegevens betreft, de relevante aspecten van het rechtsstelsel van dat derde land. Wat dit laatste element betreft, stemmen de aspecten die in de context van artikel 46 van deze verordening in aanmerking moeten worden genomen, overeen met die welke in artikel 45, lid 2, ervan op niet-uitputtende wijze zijn vermeld.
105 Bijgevolg dient op de tweede, de derde en de zesde vraag te worden geantwoord dat artikel 46, lid 1 en lid 2, onder c), AVG aldus moet worden uitgelegd dat de door deze bepaling vereiste passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen moeten verzekeren dat de rechten van personen wier persoonsgegevens op basis van standaardbepalingen inzake gegevensbescherming naar een derde land worden doorgegeven, in grote lijnen overeenkomen met het beschermingsniveau dat binnen de Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest. Daartoe moet bij de beoordeling van het bij een dergelijke doorgifte gewaarborgde beschermingsniveau rekening worden gehouden met zowel de contractuele bepalingen die zijn overeengekomen tussen de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker en de in het betrokken derde land gevestigde ontvanger van de doorgifte, als, wat een eventuele toegang van de overheidsinstanties van dat derde land tot de doorgegeven persoonsgegevens betreft, de relevante aspecten van het rechtsstelsel van dat derde land, met name die welke worden vermeld in artikel 45, lid 2, van die verordening.
Achtste vraag
106 Met zijn achtste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 58, lid 2, onder f) en j), AVG aldus moet worden uitgelegd dat de bevoegde toezichthoudende autoriteit ertoe verplicht is om de doorgifte van persoonsgegevens naar een derde land op basis van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming op te schorten of te verbieden, wanneer deze toezichthoudende autoriteit van oordeel is dat die bepalingen in dat derde land niet worden of niet kunnen worden nageleefd en dat de bescherming van de doorgegeven gegevens, zoals vereist door het Unierecht, inzonderheid door de artikelen 45 en 46 AVG en door het Handvest, niet kan worden gewaarborgd, dan wel aldus dat de uitoefening van deze bevoegdheden slechts mogelijk is in uitzonderlijke gevallen.
107 Overeenkomstig artikel 8, lid 3, van het Handvest alsook artikel 51, lid 1, en artikel 57, lid 1, onder a), AVG zijn de nationale toezichthoudende autoriteiten belast met het toezicht op de naleving van de Unieregels inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. Elk van hen is derhalve bevoegd om na te gaan of bij doorgifte van persoonsgegevens vanuit de lidstaat waaronder zij valt naar een derde land is voldaan aan de vereisten van deze verordening (zie naar analogie over artikel 28 van richtlijn 95/46, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 47).
108 Uit deze bepalingen volgt dat de toezichthoudende autoriteiten in de eerste plaats tot taak hebben de toepassing van de AVG te controleren en toe te zien op de naleving ervan. De uitoefening van deze taak is van bijzonder belang in de context van de doorgifte van persoonsgegevens naar een derde land aangezien het, zoals blijkt uit de bewoordingen zelf van overweging 116 van die verordening, „[b]ij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie […] voor natuurlijke personen moeilijker [kan] worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie”. Zoals in diezelfde overweging wordt gepreciseerd, kan het in dat geval „voor de toezichthoudende autoriteiten onmogelijk worden klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland”.
109 Voorts bepaalt artikel 57, lid 1, onder f), AVG dat elke toezichthoudende autoriteit op haar grondgebied de klachten moet behandelen die eenieder overeenkomstig artikel 77, lid 1, van die verordening het recht heeft in te dienen wanneer hij van oordeel is dat een verwerking van hem betreffende persoonsgegevens schending van die verordening oplevert, en het voorwerp van die klachten voor zover nodig moet onderzoeken. De toezichthoudende autoriteit moet een dergelijke klacht met de nodige voortvarendheid en zorgvuldigheid onderzoeken (zie naar analogie over artikel 25, lid 6, van richtlijn 95/46, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 63).
110 Artikel 78, leden 1 en 2, AVG verleent iedere persoon het recht om een doeltreffende voorziening in rechte in te stellen, met name indien de toezichthoudende autoriteit zijn klacht niet behandelt. Overweging 141 van deze verordening verwijst ook naar dit „recht op een doeltreffende voorziening in rechte overeenkomstig artikel 47 van het Handvest” indien deze toezichthoudende autoriteit „niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene”.
111 Voor de behandeling van klachten verleent artikel 58, lid 1, AVG elke toezichthoudende autoriteit ruime onderzoeksbevoegdheden. Wanneer een dergelijke autoriteit na afloop van haar onderzoek van mening is dat de betrokkene wiens persoonsgegevens naar een derde land zijn doorgegeven in dat derde land geen passend beschermingsniveau geniet, is zij op grond van het Unierecht ertoe verplicht om op gepaste wijze te reageren teneinde de vastgestelde ontoereikendheid te verhelpen, ongeacht de oorsprong of de aard van die ontoereikendheid. Daartoe somt artikel 58, lid 2, van deze verordening op welke corrigerende maatregelen de toezichthoudende autoriteit kan nemen.
112 Hoewel de keuze van het passende en noodzakelijke middel een zaak is van de toezichthoudende autoriteit en deze autoriteit bij het maken van die keuze alle omstandigheden van de betrokken doorgifte van persoonsgegevens in aanmerking moet nemen, is deze autoriteit niettemin ertoe gehouden zich met de nodige voortvarendheid en zorgvuldigheid te kwijten van haar taak om toe te zien op de volledige naleving van de AVG.
113 Zoals ook de advocaat-generaal in punt 148 van zijn conclusie heeft opgemerkt, moet voornoemde autoriteit op grond van artikel 58, lid 2, onder f) en j), van die verordening de doorgifte van persoonsgegevens naar een derde land opschorten of verbieden wanneer zij, gelet op alle omstandigheden van die doorgifte, van oordeel is dat de standaardbepalingen inzake gegevensbescherming in dat derde land niet worden of niet kunnen worden nageleefd en de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd.
114 Aan de uitlegging in het vorige punt wordt niet afgedaan door het betoog van de DPC dat artikel 4 van besluit 2010/87, in de versie van vóór de inwerkingtreding van uitvoeringsbesluit 2016/2297 en gelezen in het licht van overweging 11 van dit besluit, de bevoegdheid van de toezichthoudende autoriteiten om de doorgifte van persoonsgegevens naar derde landen op te schorten of te verbieden beperkte tot bepaalde uitzonderlijke gevallen. Artikel 4 van het MCB-besluit, in de versie zoals gewijzigd bij uitvoeringsbesluit 2016/2297, verwijst immers naar de bevoegdheid waarover deze autoriteiten beschikken – thans krachtens artikel 58, lid 2, onder f) en j), AVG – om een dergelijke overdracht op te schorten of te verbieden, zonder dat de uitoefening van die bevoegdheid op enigerlei wijze wordt beperkt tot uitzonderlijke omstandigheden.
115 In ieder geval verleent de door artikel 46, lid 2, onder c), AVG aan de Commissie toegekende uitvoerende bevoegdheid om standaardbepalingen inzake gegevensbescherming vast te stellen, haar niet de bevoegdheid tot inperking van de bevoegdheden waarover de toezichthoudende autoriteiten beschikken krachtens artikel 58, lid 2, van die verordening (zie naar analogie over artikel 25, lid 6, en artikel 28 van richtlijn 95/46, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punten 102 en 103). Overigens bevestigt overweging 5 van uitvoeringsbesluit 2016/2297 dat het MCB-besluit „er niet aan in de weg [staat] dat een nationale toezichthoudende autoriteit haar bevoegdheden om toezicht te houden op gegevensstromen uitoefent, met inbegrip van haar bevoegdheid de doorgifte van persoonsgegevens op te schorten of te verbieden wanneer zij vaststelt dat de doorgifte een inbreuk vormt op het nationale of EU-recht inzake gegevensbescherming”.
116 Evenwel moet worden gepreciseerd dat de bevoegdheden van de bevoegde toezichthoudende autoriteit volledig in overeenstemming moeten zijn met het besluit waarbij de Commissie in voorkomend geval overeenkomstig artikel 45, lid 1, eerste volzin, AVG vaststelt dat een bepaald derde land een passend beschermingsniveau waarborgt. In een dergelijk geval blijkt uit artikel 45, lid 1, tweede volzin, van die verordening, gelezen in samenhang met overweging 103 ervan, immers dat de doorgifte van persoonsgegevens naar het betrokken derde land kan plaatsvinden zonder dat daarvoor specifieke toestemming noodzakelijk is.
117 Krachtens artikel 288, vierde alinea, VWEU is een adequaatheidsbesluit van de Commissie in al zijn onderdelen verbindend voor alle lidstaten waartoe dat besluit is gericht, zodat het ook verbindend is voor hun organen, voor zover daarin wordt geconstateerd dat het betrokken derde land waarborgen voor een passend beschermingsniveau biedt met als gevolg dat deze doorgiften van persoonsgegevens worden toegestaan (zie naar analogie over artikel 25, lid 6, van richtlijn 95/46, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 51 en aldaar aangehaalde rechtspraak).
118 Zolang het adequaatheidsbesluit niet ongeldig is verklaard door het Hof, mogen de lidstaten en hun organen, waaronder hun onafhankelijke toezichthoudende autoriteiten, dan ook geen met dit besluit strijdige maatregelen nemen, zoals handelingen die tot doel hebben dwingend vast te stellen dat het in dat besluit bedoelde derde land geen waarborgen voor een passend beschermingsniveau biedt (arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 52 en aldaar aangehaalde rechtspraak) en bijgevolg de doorgifte van persoonsgegevens naar dit derde land op te schorten of te verbieden.
119 Een krachtens artikel 45, lid 3, AVG vastgesteld adequaatheidsbesluit van de Commissie kan echter niet verhinderen dat personen wier persoonsgegevens zijn of zouden kunnen worden doorgegeven naar een derde land op grond van artikel 77, lid 1, AVG bij de bevoegde nationale toezichthoudende autoriteit een klacht indienen met betrekking tot de bescherming van hun rechten en vrijheden in verband met de verwerking van deze gegevens. Evenmin kan een dergelijk besluit de bevoegdheden waarover de nationale toezichthoudende autoriteiten uitdrukkelijk beschikken krachtens artikel 8, lid 3, van het Handvest alsook artikel 51, lid 1, en artikel 57, lid 1, onder a), van deze verordening, tenietdoen of beperken (zie naar analogie over artikel 25, lid 6, en artikel 28 van richtlijn 95/46, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 53).
120 Zelfs indien de Commissie een adequaatheidsbesluit heeft vastgesteld, moet de bevoegde nationale toezichthoudende autoriteit waarbij een persoon een klacht heeft ingediend met betrekking tot de bescherming van zijn rechten en vrijheden in verband met een verwerking van hem betreffende persoonsgegevens, dus in volledige onafhankelijkheid kunnen onderzoeken of de doorgifte van die gegevens voldoet aan de vereisten van de AVG en, in voorkomend geval, beroep kunnen instellen bij de nationale rechterlijke instanties, opdat laatstbedoelde instanties, indien zij de twijfels van die autoriteit over de geldigheid van het besluit delen, de vraag naar die geldigheid prejudicieel kunnen verwijzen (zie naar analogie over artikel 25, lid 6, en artikel 28 van richtlijn 95/46, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punten 57 en 65).
121 Gelet op een en ander moet op de achtste vraag worden geantwoord dat artikel 58, lid 2, onder f) en j), AVG aldus moet worden uitgelegd dat de bevoegde toezichthoudende autoriteit, tenzij de Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, ertoe verplicht is om de doorgifte van gegevens naar een derde land op basis van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming op te schorten of te verbieden, wanneer deze toezichthoudende autoriteit, gelet op alle omstandigheden van die doorgifte, van oordeel is dat die bepalingen in dat derde land niet worden of niet kunnen worden nageleefd en dat de bescherming van de doorgegeven gegevens, zoals vereist door het Unierecht, inzonderheid door de artikelen 45 en 46 AVG en door het Handvest, niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd.
Zevende en elfde vraag
122 Met zijn zevende en elfde vraag, die samen moeten worden onderzocht, wenst de verwijzende rechter van het Hof in wezen te vernemen of het MCB-besluit geldig is in het licht van de artikelen 7, 8 en 47 van het Handvest.
123 Zoals blijkt uit de bewoordingen van de zevende vraag en de toelichting daarbij in het verzoek om een prejudiciële beslissing, vraagt de verwijzende rechter zich met name af of het MCB-besluit een passend beschermingsniveau kan waarborgen voor naar derde landen doorgegeven persoonsgegevens, aangezien de daarin opgenomen standaardbepalingen inzake gegevensbescherming de autoriteiten van die derde landen niet binden.
124 Artikel 1 van het MCB-besluit bepaalt dat de in de bijlage erbij opgenomen standaardbepalingen inzake gegevensbescherming worden geacht voldoende waarborgen te bieden voor de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, alsmede voor de uitoefening van de daaraan verbonden rechten in de zin van artikel 26, lid 2, van richtlijn 95/46. Deze bepaling is in wezen overgenomen in artikel 46, lid 1 en lid 2, onder c), AVG.
125 Hoewel deze standaardbepalingen bindend zijn voor de in de Unie gevestigde verwerkingsverantwoordelijke en voor de in een derde land gevestigde ontvanger van de doorgifte van persoonsgegevens, wanneer zij een overeenkomst met een verwijzing naar die bepalingen hebben gesloten, staat echter vast dat die bepalingen de autoriteiten van het betrokken derde land niet kunnen binden aangezien die autoriteiten geen partij zijn bij de overeenkomst.
126 Hoewel er dus situaties bestaan waarin de ontvanger van een dergelijke doorgifte, afhankelijk van de stand van het recht en de praktijk in het betrokken derde land, ertoe in staat is de noodzakelijke gegevensbescherming enkel op basis van de standaardbepalingen inzake gegevensbescherming te waarborgen, zijn er ook andere situaties waarin de voorschriften van die bepalingen mogelijk onvoldoende zijn om de daadwerkelijke bescherming van de naar het betrokken derde land doorgegeven persoonsgegevens in de praktijk te waarborgen. Dat is met name het geval wanneer het recht van dat derde land de overheidsinstanties van dat land toestaat om in te grijpen in de rechten van de betrokkenen met betrekking tot die gegevens.
127 Aldus rijst de vraag of een op grond van artikel 46, lid 2, onder c), AVG vastgesteld besluit van de Commissie met betrekking tot standaardbepalingen inzake gegevensbescherming ongeldig is omdat dat besluit geen garanties bevat die kunnen worden tegengeworpen aan de overheidsinstanties van derde landen waarnaar persoonsgegevens op basis van die bepalingen worden of zouden kunnen worden doorgegeven.
128 Artikel 46, lid 1, AVG bepaalt dat bij ontstentenis van een adequaatheidsbesluit de doorgifte van persoonsgegevens naar een derde land door een verwerkingsverantwoordelijke of een verwerker alleen mag plaatsvinden mits zij passende waarborgen bieden en de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Volgens artikel 46, lid 2, onder c), van deze verordening kunnen deze waarborgen worden geboden door middel van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming. In dat artikel staat echter niet dat al deze garanties noodzakelijkerwijs moeten zijn opgenomen in een besluit van de Commissie zoals het MCB-besluit.
129 In dit verband moet worden opgemerkt dat een dergelijk besluit zich onderscheidt van een op grond van artikel 45, lid 3, AVG vastgesteld adequaatheidsbesluit, dat, na onderzoek van de regelgeving van het betrokken derde land waarbij met name rekening wordt gehouden met de relevante wetgeving op het gebied van de nationale veiligheid en de toegang van overheidsinstanties tot persoonsgegevens, ertoe strekt dwingend vast te stellen dat een derde land, een grondgebied of een of meer bepaalde sectoren in dat land een passend beschermingsniveau waarborgen, en dat de toegang van de overheidsinstanties van dat derde land tot dergelijke gegevens dus geen beletsel vormt voor de doorgifte van die gegevens naar dat derde land. Een dergelijk adequaatheidsbesluit kan dus door de Commissie slechts worden vastgesteld mits zij heeft vastgesteld dat de relevante wetgeving van dat derde land op dat gebied daadwerkelijk alle waarborgen bevat die vereist zijn om te kunnen aannemen dat zij een passend beschermingsniveau waarborgt.
130 Wanneer het daarentegen gaat om een besluit van de Commissie tot vaststelling van standaardbepalingen inzake gegevensbescherming, zoals het MCB-besluit, kan, aangezien een dergelijk besluit niet ziet op een derde land, een gebied of een of meer nader bepaalde sectoren in een derde land, uit artikel 46, lid 1 en lid 2, onder c), AVG niet worden afgeleid dat de Commissie, alvorens een dergelijk besluit vast te stellen, moet nagaan of het beschermingsniveau dat wordt gewaarborgd door de derde landen waarnaar de persoonsgegevens worden doorgegeven, passend is.
131 In dit verband zij eraan herinnerd dat artikel 46, lid 1, van deze verordening bepaalt dat wanneer de Commissie geen adequaatheidsbesluit vaststelt, het aan de in de Unie gevestigde verwerkingsverantwoordelijke of verwerker staat om met name te voorzien in passende waarborgen. De overwegingen 108 en 114 van die verordening bevestigen dat, wanneer de Commissie zich niet heeft uitgesproken over de gepastheid van het niveau van gegevensbescherming in een derde land, de verwerkingsverantwoordelijke of, in voorkomend geval, zijn verwerker „maatregelen [moeten] nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene” en dat „[d]ie waarborgen […] de naleving van gegevensbeschermingsvereisten en de geldende rechten van de betrokkenen voor verwerkingen binnen de Unie [moeten] waarborgen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende beroepen […] in de Unie of in een derde land”.
132 Aangezien het, zoals blijkt uit punt 125 van het onderhavige arrest, inherent is aan het contractuele karakter van de standaardbepalingen inzake gegevensbescherming dat zij de overheidsinstanties van derde landen niet kunnen binden, maar artikel 44 alsook artikel 46, lid 1 en lid 2, onder c), AVG, uitgelegd in het licht van de artikelen 7, 8 en 47 van het Handvest, vereisen dat het door deze verordening gewaarborgde beschermingsniveau voor natuurlijke personen niet in gevaar wordt gebracht, kan het noodzakelijk blijken de in die standaardbepalingen inzake gegevensbescherming vervatte waarborgen aan te vullen. In dit verband dient volgens overweging 109 van deze verordening het feit „[d]at de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie […] niet in te houden dat hij […] geen andere bepalingen of extra waarborgen mag toevoegen” en preciseert die overweging in het bijzonder dat „[v]erwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om […] meer waarborgen te bieden in aanvulling op de standaardbepalingen inzake gegevensbescherming”.
133 De door de Commissie op grond van artikel 46, lid 2, onder c), van diezelfde verordening vastgestelde standaardbepalingen inzake gegevensbescherming beogen dus enkel de in de Unie gevestigde verwerkingsverantwoordelijken of hun in de Unie gevestigde verwerkers contractuele waarborgen te bieden die in alle derde landen uniform en derhalve ongeacht het in elk van die landen gewaarborgde beschermingsniveau gelden. Aangezien die standaardbepalingen inzake gegevensbescherming, gelet op hun aard, geen waarborgen kunnen bieden die verder gaan dan een contractuele verplichting om ervoor te zorgen dat het door het Unierecht vereiste beschermingsniveau wordt geëerbiedigd, kunnen zij, afhankelijk van de situatie in een bepaald derde land, vereisen dat de verwerkingsverantwoordelijke aanvullende maatregelen neemt om de eerbiediging van dit beschermingsniveau te waarborgen.
134 Zoals de advocaat-generaal in punt 126 van zijn conclusie heeft opgemerkt, berust het contractuele mechanisme van artikel 46, lid 2, onder c), AVG op de responsabilisering van de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker en, subsidiair, van de bevoegde toezichthoudende autoriteit. Het staat derhalve bovenal aan die verwerkingsverantwoordelijke of aan zijn verwerker om van geval tot geval en eventueel in samenwerking met de ontvanger van de doorgifte na te gaan of het recht van het derde land van bestemming vanuit het oogpunt van het Unierecht een passende bescherming waarborgt voor persoonsgegevens die zijn doorgegeven op basis van standaardbepalingen inzake gegevensbescherming, en om zo nodig aanvullende waarborgen te bieden naast de door die bepalingen geboden waarborgen.
135 Indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker geen toereikende aanvullende maatregelen kunnen nemen om een dergelijke bescherming te waarborgen, zijn zij of, subsidiair, de bevoegde toezichthoudende autoriteit, ertoe verplicht om de doorgifte van persoonsgegevens naar het betrokken derde land op te schorten of te beëindigen. Dat is met name het geval wanneer het recht van dat derde land de ontvanger van een doorgifte van persoonsgegevens vanuit de Unie verplichtingen oplegt die in strijd zijn met die bepalingen en dus afbreuk kunnen doen aan de contractuele waarborg van een passend beschermingsniveau tegen de toegang van de overheidsinstanties van dat derde land tot die gegevens.
136 Het enkele feit dat standaardbepalingen inzake gegevensbescherming in een door de Commissie krachtens artikel 46, lid 2, onder c), AVG vastgesteld besluit – zoals die in de bijlage bij het MCB-besluit – niet bindend zijn voor de autoriteiten van de derde landen waarnaar persoonsgegevens kunnen worden doorgegeven, kan dus niet afdoen aan de geldigheid van dat besluit.
137 Of een dergelijk besluit geldig is, hangt daarentegen ervan af of het, overeenkomstig het vereiste dat voortvloeit uit artikel 46, lid 1 en lid 2, onder c), AVG, uitgelegd in het licht van de artikelen 7, 8 en 47 van het Handvest, doeltreffende mechanismen bevat waarmee in de praktijk kan worden gewaarborgd dat het door het Unierecht vereiste beschermingsniveau wordt geëerbiedigd en dat de doorgifte van persoonsgegevens op basis van dergelijke bepalingen wordt opgeschort of verboden ingeval die bepalingen worden geschonden of onmogelijk kunnen worden nageleefd.
138 Aangaande de waarborgen die zijn vervat in de standaardbepalingen inzake gegevensbescherming van de bijlage bij het MCB-besluit, volgt uit bepaling 4, onder a) en b), bepaling 5, onder a), bepaling 9, onder a), en bepaling 11, lid 1, ervan dat de in de Unie gevestigde verwerkingsverantwoordelijke, de ontvanger van de doorgifte van persoonsgegevens en zijn eventuele verwerker zich er ten opzichte van elkaar toe verbinden dat de verwerking van die gegevens, met inbegrip van hun doorgifte, plaatsvindt en zal blijven plaatsvinden overeenkomstig het „toepasselijke recht inzake gegevensbescherming”, namelijk – volgens de definitie van artikel 3, onder f), van het besluit – „de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een voor de verwerking verantwoordelijke”. De bepalingen van de AVG, gelezen in het licht van het Handvest, behoren tot die wettelijke bepalingen.
139 Bovendien verbindt de in een derde land gevestigde ontvanger van de doorgifte van persoonsgegevens zich op grond van deze bepaling 5, onder a), ertoe om de in de Unie gevestigde verwerkingsverantwoordelijke onverwijld in kennis te stellen indien hij niet in staat is te voldoen aan de verplichtingen die op hem rusten krachtens de gesloten overeenkomst. In het bijzonder garandeert deze ontvanger volgens deze bepaling 5, onder b), dat hij geen enkele reden heeft om aan te nemen dat de op hem toepasselijke wetgeving hem belet om zijn verplichtingen krachtens het contract na te leven, en verbindt hij zich ertoe om, zodra hij die kent, de verwerkingsverantwoordelijke onverwijld in kennis te stellen van elke wijziging van de op hem toepasselijke nationale wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de standaardbepalingen inzake gegevensbescherming opgenomen waarborgen en verplichtingen van de bijlage bij het MCB-besluit. Voorts biedt bepaling 5, onder d), i), de ontvanger van de doorgifte van persoonsgegevens weliswaar de mogelijkheid om, in geval van een wettelijk verbod, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren, de verwerkingsverantwoordelijke niet in kennis te stellen van een juridisch bindend verzoek van een wetshandhavingsinstantie om verstrekking van persoonsgegevens, maar is hij overeenkomstig bepaling 5, onder a), van de bijlage bij het MCB-besluit niettemin ertoe verplicht om de verwerkingsverantwoordelijke in kennis te stellen van het feit dat hij er niet toe in staat is te voldoen aan de standaardbepalingen inzake gegevensbescherming.
140 In beide gevallen kent deze bepaling 5, onder a) en b), de in de Unie gevestigde verwerkingsverantwoordelijke het recht toe om de doorgifte van gegevens op te schorten en/of de overeenkomst op te zeggen. Gelet op de vereisten die voortvloeien uit artikel 46, lid 1 en lid 2, onder c), AVG, gelezen in het licht van de artikelen 7 en 8 van het Handvest, zijn de opschorting van de doorgifte van gegevens en/of de opzegging van de overeenkomst verplicht voor de verwerkingsverantwoordelijke wanneer de ontvanger van de doorgifte niet of niet meer in staat is om de standaardbepalingen inzake gegevensbescherming na te leven. Anders zou de verwerkingsverantwoordelijke niet voldoen aan de vereisten die op hem rusten krachtens bepaling 4, onder a), van de bijlage bij het MCB-besluit, uitgelegd in het licht van de bepalingen van de AVG en het Handvest.
141 Aldus blijkt dat bepaling 4, onder a), en bepaling 5, onder a) en b), van deze bijlage de in de Unie gevestigde verwerkingsverantwoordelijke en de ontvanger van de doorgifte van persoonsgegevens de verplichting opleggen om zich ervan te vergewissen dat de wetgeving van het derde land van bestemming die ontvanger toestaat zich te houden aan de standaardbepalingen inzake gegevensbescherming van de bijlage bij het MCB-besluit, alvorens persoonsgegevens naar dat derde land door te geven. Wat het onderzoek daartoe betreft, preciseert de voetnoot bij deze bepaling 5 dat de dwingende vereisten van deze wettelijke regeling die niet verder gaan dan wat in een democratische samenleving noodzakelijk is om met name de veiligheid van de staat, de landsverdediging en de openbare veiligheid te vrijwaren, niet in strijd zijn met deze standaardbepalingen inzake gegevensbescherming. Omgekeerd moet, zoals de advocaat-generaal in punt 131 van zijn conclusie heeft opgemerkt, de naleving van een naar het recht van het derde land van bestemming geldende verplichting die verder gaat dan nodig is voor die doeleinden, als een schending van die bepalingen worden beschouwd. Bij de beoordeling door deze marktdeelnemers of een dergelijke verplichting noodzakelijk is, moet in voorkomend geval rekening worden gehouden met de vaststelling dat het door het derde land gewaarborgde beschermingsniveau adequaat is, zoals die is neergelegd in een adequaatheidsbesluit van de Commissie dat op grond van artikel 45, lid 3, AVG is aangenomen.
142 Hieruit volgt dat de in de Unie gevestigde verwerkingsverantwoordelijke en de ontvanger van de doorgifte van persoonsgegevens vooraf moeten nagaan of het door het Unierecht vereiste beschermingsniveau in het betrokken derde land wordt geëerbiedigd. De ontvanger van deze doorgifte is in voorkomend geval op grond van diezelfde bepaling 5, onder b), ertoe verplicht om de verwerkingsverantwoordelijke in kennis te stellen indien hij er niet toe in staat is deze bepalingen na te leven, zodat die verwerkingsverantwoordelijke dan de doorgifte van gegevens moet opschorten en/of de overeenkomst moet beëindigen.
143 Indien de ontvanger van de doorgifte van persoonsgegevens naar een derde land op grond van bepaling 5, onder b), van de bijlage bij het MCB-besluit aan de verwerkingsverantwoordelijke heeft gemeld dat de wetgeving van het betrokken derde land hem niet in staat stelt om te voldoen aan de standaardbepalingen inzake gegevensbescherming van die bijlage, volgt uit bepaling 12 van die bijlage dat alle reeds naar dat derde land doorgegeven gegevens en de kopieën daarvan moeten worden terugbezorgd of vernietigd. Hoe dan ook bestaat de in bepaling 6 van diezelfde bijlage vervatte sanctie voor niet-naleving van deze standaardbepalingen erin dat de betrokkene een recht op vergoeding van de geleden schade wordt verleend.
144 Hieraan moet worden toegevoegd dat volgens bepaling 4, onder f), van de bijlage bij het MCB-besluit de in de Unie gevestigde verwerkingsverantwoordelijke zich ertoe verbindt om, indien bijzondere categorieën gegevens zouden kunnen worden doorgegeven naar een derde land dat geen passend beschermingsniveau biedt, de betrokkene vóór of zo spoedig mogelijk na de doorgifte daarvan in kennis te stellen. Deze informatie kan de betrokkene in staat stellen het hem door bepaling 3, lid 1, van die bijlage toegekende recht van beroep tegen de verwerkingsverantwoordelijke uit te oefenen, opdat deze de voorgenomen doorgifte opschort, de overeenkomst met de ontvanger van de doorgifte van persoonsgegevens beëindigt of, in voorkomend geval, deze laatste verzoekt om terugbezorging of vernietiging van de doorgegeven gegevens.
145 Ten slotte is de in de Unie gevestigde verwerkingsverantwoordelijke op grond van bepaling 4, onder g), van die bijlage ertoe verplicht om, indien de ontvanger van de doorgifte van persoonsgegevens hem overeenkomstig bepaling 5, onder b), van die bijlage ervan in kennis stelt dat een wijziging in de op hem toepasselijke wetgeving in aanzienlijke mate afbreuk kan doen aan de in de standaardbepalingen inzake gegevensbescherming opgenomen waarborgen en verplichtingen, en hij, ondanks die kennisgeving, beslist de doorgifte voort te zetten of de opschorting op te heffen, deze kennisgeving door te zenden aan de bevoegde toezichthoudende autoriteit. Het doorzenden van een dergelijke kennisgeving naar de toezichthoudende autoriteit en het recht van deze autoriteit om krachtens bepaling 8, lid 2, een controle te verrichten bij de ontvanger van de doorgifte van de persoonsgegevens maken het voor die toezichthoudende autoriteit mogelijk om te controleren of de voorgenomen doorgifte moet worden opgeschort of verboden teneinde een passend beschermingsniveau te waarborgen.
146 In deze context bevestigt artikel 4 van het MCB-besluit, gelezen in het licht van overweging 5 van uitvoeringsbesluit 2016/2297, dat het MCB-besluit de bevoegde toezichthoudende autoriteit geenszins belet om, in voorkomend geval, de doorgifte van persoonsgegevens naar een derde land op basis van de standaardbepalingen inzake gegevensbescherming van de bijlage bij dit besluit op te schorten of te verbieden. Zoals volgt uit het antwoord op de achtste vraag, is de bevoegde toezichthoudende autoriteit, tenzij de Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, op grond van artikel 58, lid 2, onder f) en j), AVG ertoe verplicht om een dergelijke doorgifte op te schorten of te verbieden wanneer zij, gelet op alle omstandigheden van die doorgifte, van oordeel is dat die bedingen niet worden of niet kunnen worden nageleefd in dat derde land en dat de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd.
147 Aangaande de door de DPC benadrukte omstandigheid dat met betrekking tot de doorgifte van persoonsgegevens naar een dergelijk derde land mogelijk uiteenlopende beslissingen van toezichthoudende autoriteiten in verschillende lidstaten bestaan, moet daaraan worden toegevoegd dat, zoals blijkt uit artikel 55, lid 1, en artikel 57, lid 1, onder a), AVG, de taak om toe te zien op naleving van deze verordening in beginsel wordt toevertrouwd aan elke toezichthoudende autoriteit op het grondgebied van haar lidstaat. Ter voorkoming van uiteenlopende beslissingen voorziet artikel 64, lid 2, van die verordening bovendien in de mogelijkheid voor een toezichthoudende autoriteit die van mening is dat de doorgifte van gegevens naar een derde land in het algemeen moet worden verboden, om advies in te winnen bij het EDPB, dat krachtens artikel 65, lid 1, onder c), van die verordening een bindend besluit kan vaststellen, met name wanneer een toezichthoudende autoriteit het uitgebrachte advies niet volgt.
148 Hieruit volgt dat het MCB-besluit voorziet in doeltreffende mechanismen waarmee in de praktijk kan worden verzekerd dat de doorgifte van persoonsgegevens naar een derde land op basis van de standaardbepalingen inzake gegevensbescherming van de bijlage bij dat besluit wordt opgeschort of verboden wanneer de ontvanger van de doorgifte die bepalingen niet naleeft of niet in staat is die na te leven.
149 Gelet op een en ander moet op de zevende en de elfde vraag worden geantwoord dat bij de toetsing van het MCB-besluit aan de artikelen 7, 8 en 47 van het Handvest niet is gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten.
Vierde, vijfde, negende en tiende vraag
150 Met zijn negende vraag wenst de verwijzende rechter in wezen te vernemen of en in hoeverre een toezichthoudende autoriteit van een lidstaat gebonden is aan de vaststellingen in het privacyschildbesluit dat de Verenigde Staten een passend beschermingsniveau waarborgen. Met zijn vierde, vijfde en tiende vraag wenst deze rechter in wezen te vernemen of, gelet op zijn eigen vaststellingen met betrekking tot het recht van de Verenigde Staten, de doorgifte van persoonsgegevens naar dat derde land op basis van de standaardbepalingen inzake gegevensbescherming van de bijlage bij het MCB-besluit schending oplevert van de door de artikelen 7, 8 en 47 van het Handvest gewaarborgde rechten, en wenst hij met name te vernemen of de instelling van de ombudsman als bedoeld in bijlage III bij het privacyschildbesluit verenigbaar is met dat artikel 47.
151 Vooraf moet worden opgemerkt dat het door de DPC ingestelde beroep in het hoofdgeding weliswaar enkel de geldigheid van het MCB-besluit in twijfel trekt, maar dat dit beroep bij de verwijzende rechter is ingesteld vóór de vaststelling van het privacyschildbesluit. Aangezien deze rechter met zijn vierde en vijfde vraag het Hof in algemene zin bevraagt over de bescherming die krachtens de artikelen 7, 8 en 47 van het Handvest moet worden gewaarborgd in het kader van een dergelijke doorgifte, moet het Hof bij zijn onderzoek rekening houden met de gevolgen van het ondertussen vastgestelde privacyschildbesluit. Dit geldt des te meer daar de verwijzende rechter met zijn tiende vraag uitdrukkelijk vraagt of de door dat artikel 47 vereiste bescherming wordt geboden via de ombudsman die in laatstgenoemd besluit wordt vermeld.
152 Bovendien blijkt uit de aanwijzingen in het verzoek om een prejudiciële beslissing dat Facebook Ireland in het hoofdgeding heeft aangevoerd dat het privacyschildbesluit voor de DPC bindende gevolgen heeft gesorteerd met betrekking tot de vaststelling van de gepastheid van het door de Verenigde Staten gewaarborgde beschermingsniveau en bijgevolg met betrekking tot de rechtmatigheid van de doorgifte naar dat derde land van persoonsgegevens op basis van de standaardbepalingen inzake gegevensbescherming van de bijlage bij het MCB-besluit.
153 Zoals blijkt uit punt 59 van het onderhavige arrest, heeft de verwijzende rechter in zijn uitspraak van 3 oktober 2017, die als bijlage bij het verzoek om een prejudiciële beslissing is gevoegd, benadrukt dat hij rekening moest houden met de wijzigingen van het recht die zich tussen de instelling van het beroep en de voor hem gehouden terechtzitting hebben voorgedaan. Bijgevolg blijkt dat deze rechter ertoe verplicht is om bij de beslechting van het hoofdgeding rekening te houden met de gewijzigde omstandigheden als gevolg van de vaststelling van het privacyschildbesluit en met de eventuele bindende gevolgen ervan.
154 In het bijzonder zijn de bindende gevolgen van de vaststelling in het privacyschildbesluit dat het beschermingsniveau in de Verenigde Staten passend is, relevant voor de beoordeling van zowel de in de punten 141 en 142 van het onderhavige arrest in herinnering gebrachte verplichtingen die rusten op de verwerkingsverantwoordelijke en de ontvanger van de doorgifte van persoonsgegevens naar een derde land op basis van de standaardbepalingen inzake gegevensbescherming van de bijlage bij het MCB-besluit, als de in voorkomend geval op de toezichthoudende autoriteit rustende verplichtingen om een dergelijke doorgifte op te schorten of te verbieden.
155 Wat immers de bindende gevolgen van het privacyschildbesluit betreft, bepaalt artikel 1, lid 1, van dat besluit dat voor de toepassing van artikel 45, lid 1, „de Verenigde Staten een passend beschermingsniveau [waarborgen] voor persoonsgegevens die van de Unie naar organisaties in de Verenigde Staten worden doorgegeven in het kader van het EU-VS-privacyschild”. Volgens artikel 1, lid 3, van dat besluit worden persoonsgegevens geacht in het kader van dit privacyschild te worden doorgegeven wanneer zij vanuit de Unie worden doorgegeven aan organisaties in de Verenigde Staten die op de privacyschildlijst staan, welke door het ministerie van Handel wordt bijgewerkt en gepubliceerd in overeenstemming met de secties I en III van de in bijlage II bij dat besluit genoemde beginselen.
156 Zoals blijkt uit de in de punten 117 en 118 van het onderhavige arrest in herinnering gebrachte rechtspraak, is het privacyschildbesluit bindend voor de toezichthoudende autoriteiten voor zover daarin wordt vastgesteld dat de Verenigde Staten een passend beschermingsniveau waarborgen en is de doorgifte van persoonsgegevens in het kader van het EU-VS privacyschild als gevolg daarvan toegestaan. Zolang dit besluit niet ongeldig is verklaard door het Hof, kan de bevoegde toezichthoudende autoriteit de doorgifte van persoonsgegevens aan een bij dit privacyschild aangesloten organisatie dus niet opschorten of verbieden op grond dat zij, anders dan de Commissie in dat besluit heeft geoordeeld, van mening is dat de wetgeving van de Verenigde Staten inzake de toegang tot in het kader van dat privacyschild doorgegeven persoonsgegevens en het gebruik van die gegevens door de overheidsinstanties van dat derde land voor de nationale veiligheid, de eerbiediging van de wet of het algemeen belang geen passend beschermingsniveau waarborgt.
157 Dit neemt niet weg dat, overeenkomstig de in de punten 119 en 120 van het onderhavige arrest in herinnering gebrachte rechtspraak, de bevoegde toezichthoudende autoriteit, wanneer een persoon bij haar een klacht heeft ingediend, in volledige onafhankelijkheid moet onderzoeken of de betrokken doorgifte van persoonsgegevens voldoet aan de door de AVG gestelde eisen en, indien zij van oordeel is dat de grieven van die persoon ter betwisting van de geldigheid van een adequaatheidsbesluit gegrond zijn, beroep moet instellen bij de nationale rechter, opdat deze rechter het Hof kan verzoeken om een prejudiciële beslissing omtrent de geldigheid van dat besluit.
158 Een klacht in de zin van artikel 77, lid 1, AVG waarbij een persoon wiens persoonsgegevens naar een derde land zijn of zouden kunnen worden doorgegeven stelt dat het recht en de praktijk in dat land in weerwil van een door de Commissie krachtens artikel 45, lid 3, van deze verordening vastgesteld besluit geen waarborgen voor een passend beschermingsniveau bieden, moet in wezen aldus worden opgevat dat daarmee de verenigbaarheid van dat besluit met het recht op een privéleven en de grondrechten en de fundamentele vrijheden van personen aan de orde wordt gesteld (zie naar analogie over artikel 25, lid 6, en artikel 28, lid 4, van richtlijn 95/46, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 59).
159 In casu heeft Schrems de DPC in wezen verzocht om de doorgifte door Facebook Ireland van zijn persoonsgegevens aan Facebook Inc., gevestigd in de Verenigde Staten, te verbieden of op te schorten op grond dat dit derde land geen waarborgen voor een passend beschermingsniveau biedt. Nu de DPC zich na een onderzoek van het betoog van Schrems tot de verwijzende rechter heeft gewend, blijkt deze rechter, gelet op de overgelegde bewijzen en het voor hem gevoerde debat op tegenspraak, zich af te vragen of de twijfels van Schrems over de gepastheid van het in dat derde land gewaarborgde beschermingsniveau gegrond zijn, ondanks hetgeen de Commissie ondertussen in het privacyschildbesluit heeft vastgesteld, zodat hij het aangewezen achtte het Hof de vierde, de vijfde en de tiende prejudiciële vraag te stellen.
160 Zoals de advocaat-generaal in punt 175 van zijn conclusie heeft opgemerkt, moeten deze prejudiciële vragen aldus worden opgevat dat daarmee in wezen wordt opgekomen tegen de constatering van de Commissie in het privacyschildbesluit dat de Verenigde Staten een passend beschermingsniveau waarborgen voor persoonsgegevens die vanuit de Unie naar dat derde land worden doorgegeven, en bijgevolg tegen de geldigheid van dat besluit.
161 Gelet op de overwegingen in de punten 121 en 157 tot en met 160 van het onderhavige arrest en teneinde de verwijzende rechter een volledig antwoord te geven, moet dus worden onderzocht of het privacyschildbesluit in overeenstemming is met de vereisten die voortvloeien uit de AVG, gelezen in het licht van het Handvest (zie naar analogie arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 67).
162 De Commissie kan slechts een adequaatheidsbesluit krachtens artikel 45, lid 3, AVG vaststellen mits door deze instelling naar behoren en met redenen omkleed wordt vastgesteld dat het betrokken derde land op grond van zijn nationale wetgeving of zijn internationale verbintenissen daadwerkelijk waarborgen biedt voor een niveau van bescherming van de grondrechten dat in grote lijnen overeenkomt met dat binnen de rechtsorde van de Unie (zie naar analogie over artikel 25, lid 6, van richtlijn 95/46, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 96).
Inhoud van het privacyschildbesluit
163 De Commissie heeft in artikel 1, lid 1, van het privacyschildbesluit vastgesteld dat de Verenigde Staten een passend beschermingsniveau waarborgen voor persoonsgegevens die vanuit de Unie aan in de Verenigde Staten gevestigde organisaties worden doorgegeven in het kader van het EU-VS-privacyschild, dat volgens artikel 1, lid 2, van dit besluit met name bestaat uit de door het ministerie van Handel op 7 juli 2016 bekendgemaakte beginselen, die zijn opgenomen in bijlage II bij dat besluit, alsmede uit de officiële opmerkingen en verbintenissen die zijn vervat in de in bijlage I bij dat besluit opgesomde documenten.
164 Het privacyschildbesluit preciseert in punt I.5 van zijn bijlage II, met als opschrift „Beginselen inzake het EU-VS privacyschild”, eveneens dat de onderschrijving van deze beginselen kan worden beperkt door met name „vereisten inzake nationale veiligheid, het algemeen belang of rechtshandhaving”. In lijn met beschikking 2000/520 legt dit besluit dus de voorrang van deze vereisten op de genoemde beginselen vast, volgens welke de zelfgecertificeerde Amerikaanse organisaties die persoonsgegevens vanuit de Unie ontvangen, ertoe verplicht zijn om zonder beperking van die beginselen af te wijken wanneer laatstgenoemde beginselen en deze vereisten tegenstrijdig zijn en de beginselen dus met die vereisten onverenigbaar zijn (zie naar analogie over beschikking 2000/520, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 86).
165 Gelet op haar algemene aard maakt de afwijking in punt I.5 van bijlage II bij het privacyschildbesluit het mogelijk dat er op grond van eisen van nationale veiligheid en het algemeen belang of de nationale wetgeving van de Verenigde Staten inmenging plaatsvindt in de grondrechten van personen wier persoonsgegevens vanuit de Unie naar de Verenigde Staten worden of zouden kunnen worden doorgegeven (zie naar analogie over beschikking 2000/520, arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 87). Zoals in het privacyschildbesluit is vastgesteld, kan een dergelijke inmenging meer in het bijzonder voortvloeien uit de toegang tot persoonsgegevens die vanuit de Unie naar de Verenigde Staten worden doorgegeven en het gebruik van die gegevens door de Amerikaanse overheidsinstanties in het kader van de surveillanceprogramma’s PRISM en Upstream op basis van section 702 FISA en op basis van E.O. 12333.
166 Dienaangaande heeft de Commissie in de overwegingen 67 tot en met 135 van het privacyschildbesluit een beoordeling verricht van de beperkingen en de waarborgen die zijn opgenomen in de regelgeving van de Verenigde Staten, met name section 702 FISA, E.O. 12333 en PPD‑28, met betrekking tot de toegang tot de in het kader van het EU-VS-privacyschild doorgegeven persoonsgegevens en het gebruik van die gegevens door Amerikaanse overheidsinstanties ten behoeve van de nationale veiligheid, de rechtshandhaving en andere doeleinden van openbaar belang.
167 Tot slot van die beoordeling heeft de Commissie zich in overweging 136 van dit besluit op het standpunt gesteld dat „door de Verenigde Staten een passend beschermingsniveau wordt gewaarborgd voor de doorgifte van persoonsgegevens uit de Unie naar organisaties met zelfcertificering in de Verenigde Staten” en heeft zij in overweging 140 van dat besluit geoordeeld dat „op basis van de beschikbare informatie over de Amerikaanse rechtsorde, […] ingrepen door de Amerikaanse overheidsdiensten in de grondrechten van de personen van wie de persoonsgegevens in het kader van het privacyschild uit de Unie naar de Verenigde Staten worden doorgegeven, ten behoeve van de nationale veiligheid, de rechtshandhaving of andere doeleinden van openbaar belang, en de daaruit voortvloeiende beperkingen die aan organisaties met een zelfcertificering met betrekking tot de beginselen worden opgelegd, zullen worden beperkt tot hetgeen strikt noodzakelijk is om de betrokken legitieme doelstelling te bereiken, en dat er doeltreffende rechtsbescherming tegen dergelijke ingrepen bestaat”.
Vaststelling met betrekking tot het passend beschermingsniveau
168 Gelet op de door de Commissie in het privacyschildbesluit vermelde gegevens en die welke de verwijzende rechter in het hoofdgeding heeft vastgesteld, betwijfelt deze rechter of het recht van de Verenigde Staten daadwerkelijk het passende beschermingsniveau waarborgt dat is vereist door artikel 45 AVG, gelezen in het licht van de door de artikelen 7, 8 en 47 van het Handvest gewaarborgde grondrechten. In het bijzonder is de verwijzende rechter van oordeel dat het recht van dat derde land niet voorziet in de noodzakelijke beperkingen en waarborgen ten aanzien van de door de nationale regeling ervan toegestane inmengingen en evenmin een doeltreffende rechterlijke bescherming tegen dergelijke inmengingen biedt. Wat dit laatste aspect betreft, voegt hij daaraan toe dat de aanstelling van de privacyschildombudsman die leemten volgens hem niet kan verhelpen, aangezien deze ombudsman niet kan worden gelijkgesteld met een gerecht in de zin van artikel 47 van het Handvest.
169 Wat in de eerste plaats de artikelen 7 en 8 van het Handvest betreft, die deel uitmaken van het binnen de Unie vereiste beschermingsniveau waarvan de Commissie de eerbiediging moet vaststellen alvorens een adquaatheidsbesluit op grond van artikel 45, lid 1, AVG vast te stellen, zij eraan herinnerd dat artikel 7 van het Handvest eenieder het recht waarborgt op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Voorts kent artikel 8, lid 1, van het Handvest uitdrukkelijk eenieder het recht toe op bescherming van zijn persoonsgegevens.
170 De toegang tot persoonsgegevens van een natuurlijke persoon met het oog op de bewaring of het gebruik ervan tast dus het door artikel 7 van het Handvest gewaarborgde grondrecht van die persoon op eerbiediging van het privéleven aan, aangezien dit recht betrekking heeft op elke informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Die gegevensverwerking valt tevens onder artikel 8 van het Handvest, aangezien het daarbij gaat om de verwerking van persoonsgegevens in de zin van dit artikel, welke bijgevolg noodzakelijkerwijze moet voldoen aan de uit dat artikel voortvloeiende vereisten voor de bescherming van gegevens [zie in die zin arresten van 9 november 2010, Volker und Markus Schecke en Eifert, C‑92/09 en C‑93/09, EU:C:2010:662, punten 49 en 52, en 8 april 2014, Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punt 29, alsmede advies 1/15 (PNR-overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punten 122 en 123].
171 Zoals het Hof reeds heeft geoordeeld, vormt de mededeling van persoonsgegevens aan een derde, zoals een openbare instantie, een inmenging in de in de artikelen 7 en 8 van het Handvest verankerde grondrechten, ongeacht het latere gebruik van de aldus meegedeelde gegevens. Hetzelfde geldt voor de bewaring van persoonsgegevens en de toegang tot die gegevens met het oog op hun gebruik door de overheidsinstanties, ongeacht of de betreffende informatie met betrekking tot het privéleven al dan niet gevoelig is en of de betrokkenen al dan niet enig nadeel van de inmenging hebben ondervonden [zie in die zin arresten van 20 mei 2003, Österreichischer Rundfunk e.a., C‑465/00, C‑138/01 en C‑139/01, EU:C:2003:294, punten 74 en 75, en 8 april 2014, Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punten 33-36, alsmede advies 1/15 (PNR-overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punten 124 en 126].
172 De in de artikelen 7 en 8 van het Handvest verankerde rechten hebben echter geen absolute gelding, maar moeten worden beschouwd in relatie tot hun functie in de samenleving [zie in die zin arresten van 9 november 2010, Volker und Markus Schecke en Eifert, C‑92/09 en C‑93/09, EU:C:2010:662, punt 48 en aldaar aangehaalde rechtspraak, en 17 oktober 2013, Schwarz, C‑291/12, EU:C:2013:670, punt 33 en aldaar aangehaalde rechtspraak, alsmede advies 1/15 (PNR-overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 136].
173 In dit verband moet tevens worden opgemerkt dat persoonsgegevens luidens artikel 8, lid 2, van het Handvest met name moeten worden verwerkt „voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet”.
174 Bovendien moeten volgens artikel 52, lid 1, eerste volzin, van het Handvest beperkingen op de uitoefening van de daarin erkende rechten en vrijheden bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen. Volgens artikel 52, lid 1, tweede volzin, van het Handvest kunnen, met inachtneming van het evenredigheidsbeginsel, slechts beperkingen aan deze rechten en vrijheden worden gesteld indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.
175 Wat dit laatste betreft dient hieraan te worden toegevoegd dat het vereiste volgens hetwelk elke beperking op de uitoefening van grondrechten bij wet wordt gesteld, inhoudt dat de rechtsgrond die de inmenging in die rechten toestaat zelf de reikwijdte van de beperking op de uitoefening van het betrokken recht moet bepalen [advies 1/15 (PNR-overeenkomst EU-Canada) van 26 juli 2017 EU:C:2017:592, punt 139 en aldaar aangehaalde rechtspraak].
176 Ten slotte moet de betrokken regeling die de inmenging bevat, om te voldoen aan het evenredigheidsbeginsel volgens hetwelk de uitzonderingen op de bescherming van de persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke moeten blijven, duidelijke en nauwkeurige regels over de reikwijdte en de toepassing van de maatregel bevatten die minimale eisen opleggen, zodat degenen van wie de gegevens zijn doorgegeven over voldoende garanties beschikken dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik. Zij moet in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel die voorziet in de verwerking van dergelijke gegevens kan worden genomen, en aldus waarborgen dat de inmenging tot het strikt noodzakelijke wordt beperkt. De noodzaak om over dergelijke garanties te beschikken is des te groter wanneer de persoonsgegevens automatisch worden verwerkt [zie in die zin advies 1/15 (PNR-overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punten 140 en 141 en aldaar aangehaalde rechtspraak].
177 Daartoe preciseert artikel 45, lid 2, onder a), AVG dat de Commissie bij haar beoordeling of het door een derde land gewaarborgde beschermingsniveau passend is, met name rekening houdt met „effectieve en afdwingbare rechten van betrokkenen” van wie de persoonsgegevens worden doorgegeven.
178 In casu wordt de vaststelling van de Commissie in het privacyschildbesluit dat de Verenigde Staten een beschermingsniveau waarborgen dat in grote lijnen overeenkomt met datgene dat binnen de Unie wordt gewaarborgd door de AVG, gelezen in het licht van de artikelen 7 en 8 van het Handvest, met name ter discussie gesteld op grond dat de inmenging die voortvloeit uit de surveillanceprogramma’s gebaseerd op section 702 FISA en E.O. 12333 niet is onderworpen aan vereisten die met inachtneming van het evenredigheidsbeginsel een beschermingsniveau waarborgen dat in grote lijnen overeenkomt aan datgene dat wordt gewaarborgd door artikel 52, lid 1, tweede volzin, van het Handvest. Er moet dus onderzocht worden of deze surveillanceprogramma’s worden uitgevoerd met inachtneming van die vereisten, zonder dat eerst hoeft te worden nagegaan of dit derde land voorwaarden in acht neemt die in grote lijnen overeenkomen met die van artikel 52, lid 1, eerste volzin, van het Handvest.
179 Dienaangaande heeft de Commissie in overweging 109 van het privacyschildbesluit vastgesteld dat wat de op section 702 FISA gebaseerde surveillanceprogramma’s betreft, volgens het betreffende artikel „de FISC […] geen toestemming [geeft] voor individuele surveillancemaatregelen; de FISC geeft in plaats daarvan toestemming voor surveillanceprogramma’s (zoals PRISM en Upstream) op basis van jaarlijkse certificeringen die door de Attorney General en de Director of National Intelligence worden voorbereid”. Zoals uit diezelfde overweging blijkt, heeft de door de FISC uitgeoefende controle dus tot doel na te gaan of deze surveillanceprogramma’s beantwoorden aan de doelstelling om buitenlandse inlichtingen te verkrijgen maar betreft die controle niet de vraag of „natuurlijke personen het juiste doelwit zijn om buitenlandse inlichtingen te verwerven”.
180 Uit section 702 FISA blijkt dus op geen enkele wijze het bestaan van beperkingen van de daarin vervatte bevoegdheid voor de uitvoering van surveillanceprogramma’s met het oog op het verkrijgen van buitenlandse inlichtingen, noch het bestaan van garanties voor in die programma’s potentieel bedoelde niet-Amerikanen. In die omstandigheden en zoals de advocaat-generaal in de punten 291, 292 en 297 van zijn conclusie in wezen heeft opgemerkt, kan dit artikel geen beschermingsniveau waarborgen dat in grote lijnen overeenkomt met het niveau dat wordt gewaarborgd door het Handvest, zoals uitgelegd in de in de punten 175 en 176 van het onderhavige arrest in herinnering gebrachte rechtspraak, volgens welke een wettelijke grondslag op grond waarvan inmenging in de grondrechten mogelijk is, om te voldoen aan het evenredigheidsbeginsel, zelf de omvang van de beperking van de uitoefening van het betrokken recht moet bepalen en duidelijke en nauwkeurige regels moet bevatten die de reikwijdte en de toepassing van de betrokken maatregel bepalen en minimale eisen opleggen.
181 Volgens de constateringen in het privacyschildbesluit moeten de op section 702 FISA gebaseerde surveillanceprogramma’s inderdaad ten uitvoer worden gelegd met eerbiediging van de vereisten van PPD‑28. Hoewel de Commissie in de overwegingen 69 en 77 van het privacyschildbesluit heeft benadrukt dat dergelijke vereisten bindend zijn voor de Amerikaanse inlichtingendiensten, heeft de Amerikaanse regering in antwoord op een vraag van het Hof echter erkend dat PPD‑28 de betrokkenen geen rechten verschaft die zij voor de rechtbanken tegenover de Amerikaanse overheidsdiensten kunnen afdwingen. Derhalve kan PPD‑28 geen passend beschermingsniveau waarborgen dat in grote lijnen overeenkomt met het Handvest, anders dan is vereist door artikel 45, lid 2, onder a), AVG, volgens hetwelk de vaststelling van dit niveau met name afhangt van het bestaan van effectieve en afdwingbare rechten voor personen wier gegevens naar het betrokken derde land zijn doorgegeven.
182 Wat de op E.O. 12333 gebaseerde surveillanceprogramma’s betreft, blijkt uit het dossier waarover het Hof beschikt dat dit uitvoeringsbevel evenmin rechten verschaft die voor de rechtbanken tegenover de Amerikaanse overheidsdiensten afdwingbaar zijn.
183 Hieraan moet worden toegevoegd dat PPD‑28, welke beleidsrichtlijn in acht moet worden genomen bij de toepassing van de in de twee voorgaande punten bedoelde programma’s, het „bulksgewijs” verkrijgen mogelijk maakt van „een relatief groot volume informatie of gegevens uit berichtenverkeer onder omstandigheden waarin de inlichtingendiensten geen gebruik kunnen maken van een identificator die verband houdt met een specifiek doelwit […] waarop de verzameling wordt gericht”, zoals is gepreciseerd in een in bijlage VI bij het privacyschildbesluit opgenomen brief van 21 juni 2016 van het ODNI aan het Amerikaanse ministerie van Handel en de administratie voor internationale handel. Deze mogelijkheid om in het kader van op E.O. 12333 gebaseerde surveillanceprogramma’s toegang tot gegevens te krijgen tijdens hun doorgifte naar de Verenigde Staten, zonder dat die toegang aan enig gerechtelijk toezicht is onderworpen, bakent hoe dan ook niet op voldoende duidelijke en nauwkeurige wijze de reikwijdte af van een dergelijke bulksgewijze verzameling van persoonsgegevens.
184 Bijgevolg blijkt noch section 702 FISA, noch E.O. 12333, gelezen in samenhang met PPD‑28, overeen te stemmen met de minimale vereisten die in het Unierecht voortvloeien uit het evenredigheidsbeginsel, zodat niet kan worden geoordeeld dat de op deze bepalingen gebaseerde surveillanceprogramma’s tot het strikt noodzakelijke zijn beperkt.
185 In die omstandigheden zijn de beperkingen van de bescherming van persoonsgegevens die voortvloeien uit de interne regeling van de Verenigde Staten inzake de toegang tot en het gebruik door de Amerikaanse overheidsinstanties van dergelijke gegevens die vanuit de Unie naar de Verenigde Staten worden doorgegeven, en die de Commissie in het privacyschildbesluit heeft beoordeeld, niet zodanig afgebakend dat wordt voldaan aan vereisten die in grote lijnen overeenkomen met die welke in het Unierecht worden gesteld door artikel 52, lid 1, tweede volzin, van het Handvest.
186 Wat in de tweede plaats artikel 47 van het Handvest betreft, dat eveneens deel uitmaakt van het binnen de Unie vereiste beschermingsniveau en waarvan de Commissie de naleving moet vaststellen alvorens een adequaatheidsbesluit op grond van artikel 45, lid 1, AVG vast te stellen, zij eraan herinnerd dat de eerste alinea van dit artikel 47 vereist dat eenieder wiens door het recht van de Unie gewaarborgde rechten en vrijheden zijn geschonden, recht heeft op een doeltreffende voorziening in rechte, met inachtneming van de in dat artikel gestelde voorwaarden. Volgens de tweede alinea van dit artikel heeft eenieder recht op behandeling van zijn zaak door een onafhankelijk en onpartijdig gerecht.
187 Volgens vaste rechtspraak is het bestaan van effectieve rechterlijke toetsing om de naleving van de bepalingen van Unierecht te verzekeren, inherent aan het bestaan van een rechtsstaat. Een regeling die niet in enige beroepsmogelijkheid voor de justitiabele voorziet om toegang tot de hem betreffende persoonsgegevens te verkrijgen, of rectificatie of verwijdering van die gegevens, eerbiedigt de wezenlijke inhoud van het grondrecht op een effectieve voorziening in rechte zoals neergelegd in artikel 47 van het Handvest niet (arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 95 en aldaar aangehaalde rechtspraak).
188 Daartoe vereist artikel 45, lid 2, onder a), AVG dat de Commissie bij haar beoordeling of het door een derde land gewaarborgde beschermingsniveau passend is, met name rekening houdt met „effectieve en afdwingbare rechten van betrokkenen en effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen van wie de persoonsgegevens worden doorgegeven”. Overweging 104 AVG benadrukt dienaangaande dat het derde land met name dient „te zorgen voor effectief en onafhankelijk toezicht op de gegevensbescherming en voor mechanismen van samenwerking met de autoriteiten op het gebied van gegevensbescherming van de lidstaten. Voorts dienen de betrokkenen te beschikken over daadwerkelijke en afdwingbare rechten en daadwerkelijk administratief beroep en beroep in rechte te kunnen instellen.”
189 Het bestaan van dergelijke effectieve beroepsmogelijkheden in het betrokken derde land is van bijzonder belang in het kader van de doorgifte van persoonsgegevens naar dat derde land, aangezien de betrokkenen, zoals blijkt uit overweging 116 AVG, kunnen worden geconfronteerd met de ontoereikendheid van de bevoegdheden en middelen van de administratieve en rechterlijke autoriteiten van de lidstaten om een nuttig gevolg te geven aan hun klachten die zijn gebaseerd op een beweerdelijk onrechtmatige verwerking van hun aldus doorgegeven gegevens in dat derde land, waardoor zij verplicht kunnen zijn om zich te wenden tot de nationale rechterlijke instanties van datzelfde derde land.
190 In casu wordt de constatering van de Commissie in het privacyschildbesluit dat de Verenigde Staten een beschermingsniveau waarborgen dat in grote lijnen overeenkomt met het door artikel 47 van het Handvest gewaarborgde beschermingsniveau, met name ter discussie gesteld op grond dat de aanstelling van de privacyschildombudsman de door de Commissie zelf vastgestelde leemten met betrekking tot de rechterlijke bescherming van personen wier persoonsgegevens naar dat derde land worden doorgegeven, niet kan verhelpen.
191 In dat verband heeft de Commissie in overweging 115 van het privacyschildbesluit opgemerkt dat hoewel „natuurlijke personen, waaronder betrokkenen uit de EU, over een aantal verhaalsmogelijkheden beschikken wanneer zij aan onrechtmatige (elektronische) surveillance om doeleinden van nationale veiligheid zijn onderworpen, […] het evengoed duidelijk [is] dat ten minste enkele rechtsgrondslagen waarop de Amerikaanse inlichtingendiensten zich kunnen baseren (bv. E.O. 12333), niet worden bestreken”. Wat E.O. 12333 betreft heeft zij in die overweging 115 aldus de nadruk gelegd op de afwezigheid van elke verhaalsmogelijkheid. Volgens de in punt 187 van het onderhavige arrest in herinnering gebrachte rechtspraak staat een dergelijke leemte in de rechterlijke bescherming tegen inmengingen in verband met de op dat uitvoeringsbevel gebaseerde inlichtingenprogramma’s evenwel eraan in de weg dat wordt geconcludeerd, zoals de Commissie in het privacyschildbesluit heeft gedaan, dat het recht van de Verenigde Staten een beschermingsniveau waarborgt dat in grote lijnen overeenkomt met het door artikel 47 van het Handvest gewaarborgde beschermingsniveau.
192 Bovendien werd in de punten 181 en 182 van het onderhavige arrest voor zowel de surveillanceprogramma’s gebaseerd op section 702 FISA als die gebaseerd op E.O. 12333 opgemerkt dat noch PPD‑28, noch E.O. 12333 aan de betrokkenen rechten verschaft die zij voor de rechtbanken tegenover de Amerikaanse overheidsdiensten kunnen afdwingen, zodat deze betrokkenen niet beschikken over een doeltreffende voorziening in rechte.
193 De Commissie heeft in de overwegingen 115 en 116 van het privacyschildbesluit niettemin vastgesteld dat wegens het bestaan van het door de Amerikaanse overheidsdiensten ingevoerde ombudsmanmechanisme, zoals beschreven in de brief van 7 juli 2016 van de Amerikaanse minister van Buitenlandse Zaken aan de Europese commissaris voor Justitie, Consumentenzaken en Gendergelijkheid, die is opgenomen in bijlage III bij dat besluit, en gelet op de aard van de aan de ombudsman opgedragen taak, in casu een „coördinator van de internationale diplomatie op het gebied van informatietechnologie”, de Verenigde Staten konden worden geacht een beschermingsniveau te waarborgen dat in grote lijnen overeenkomt met het door artikel 47 van het Handvest gewaarborgde niveau.
194 Voor het onderzoek van de vraag of het in het privacyschildbesluit bedoelde ombudsmanmechanisme daadwerkelijk de door de Commissie vastgestelde beperkingen van het recht op rechterlijke bescherming kan verhelpen, moet overeenkomstig de uit artikel 47 van het Handvest voortvloeiende vereisten en de in punt 187 van het onderhavige arrest in herinnering gebrachte rechtspraak worden uitgegaan van het beginsel dat de justitiabelen moeten beschikken over de mogelijkheid om voor een onafhankelijk en onpartijdig gerecht rechtsmiddelen aan te wenden teneinde toegang te krijgen tot hun persoonsgegevens of rectificatie of verwijdering van dergelijke gegevens te verkrijgen.
195 In de in punt 193 van het onderhavige arrest genoemde brief wordt de privacyschildombudsman, hoewel hij wordt omschreven als „onafhankelijk van de inlichtingendiensten”, voorgesteld als „rechtstreeks [verslag uitbrengend] aan de minister van Buitenlandse Zaken, die ervoor zal zorgen dat de ombudsman zijn taak uitoefent op objectieve wijze en vrij van ongepaste beïnvloeding die gevolgen voor het te geven antwoord kan hebben”. Bovendien bevat dit besluit, afgezien van het feit dat, zoals de Commissie in overweging 116 ervan heeft vastgesteld, de ombudsman wordt aangesteld door de minister van Buitenlandse Zaken en integrerend deel uitmaakt van het ministerie van Buitenlandse Zaken, zoals de advocaat-generaal in punt 337 van zijn conclusie heeft opgemerkt, geen enkele aanwijzing dat het ontslag van de ombudsman of de intrekking van zijn aanstelling met specifieke waarborgen is omkleed, waardoor de onafhankelijkheid van de ombudsman ten opzichte van de uitvoerende macht in het gedrang komt (zie in die zin arrest van 21 januari 2020, Banco de Santander, C‑274/14, EU:C:2020:17, punten 60 en 63 en aldaar aangehaalde rechtspraak).
196 Zoals de advocaat-generaal in punt 338 van zijn conclusie heeft benadrukt, vermeldt overweging 120 van het privacyschildbesluit weliswaar dat de Amerikaanse regering heeft toegezegd dat het betrokken onderdeel van de inlichtingendiensten ertoe verplicht is om elke schending van de toepasselijke voorschriften die door de privacyschildombudsman wordt vastgesteld, te corrigeren, maar voorts blijkt nergens uit dit besluit dat deze ombudsman bevoegd is om bindende beslissingen te nemen ten aanzien van deze diensten en vermeldt het evenmin dat er wettelijke waarborgen zijn waarop de betrokken personen zich kunnen beroepen.
197 Bijgevolg biedt het in het privacyschildbesluit bedoelde ombudsmanmechanisme geen rechtsmiddel bij een orgaan dat personen wier gegevens naar de Verenigde Staten worden doorgegeven, waarborgen biedt die in grote lijnen overeenkomen met die welke door artikel 47 van het Handvest worden vereist.
198 Door in artikel 1, lid 1, van het privacyschildbesluit vast te stellen dat de Verenigde Staten een passend beschermingsniveau waarborgen voor persoonsgegevens die vanuit de Unie aan in dat derde land gevestigde organisaties worden doorgegeven in het kader van het EU-VS-privacyschild, is de Commissie derhalve voorbijgegaan aan de vereisten die voortvloeien uit artikel 45, lid 1, AVG, gelezen in het licht van de artikelen 7, 8 en 47 van het Handvest.
199 Hieruit volgt dat artikel 1 van het privacyschildbesluit onverenigbaar is met artikel 45, lid 1, AVG, gelezen in het licht van de artikelen 7, 8 en 47 van het Handvest, en bijgevolg ongeldig is.
200 Aangezien artikel 1 van het privacyschildbesluit onlosmakelijk verbonden is met de artikelen 2 en 6 en met de bijlagen bij dit besluit, heeft de ongeldigheid ervan tot gevolg dat de geldigheid van dit besluit in zijn geheel is aangetast.
201 Gelet op een en ander moet de conclusie luiden dat het privacyschildbesluit ongeldig is.
202 Wat de vraag betreft of de gevolgen van dit besluit moeten worden gehandhaafd teneinde een rechtsvacuüm te vermijden (zie in die zin arrest van 28 april 2016, Borealis Polyolefine e.a., C‑191/14, C‑192/14, C‑295/14, C‑389/14 en C‑391/14–C‑393/14, EU:C:2016:311, punt 106), dient te worden opgemerkt dat, gelet op artikel 49 AVG, de ongeldigverklaring van een adequaatheidsbesluit zoals het privacyschildbesluit in geen geval een rechtsvacuüm kan doen ontstaan. In dit artikel wordt immers nauwkeurig vastgesteld onder welke voorwaarden persoonsgegevens naar derde landen kunnen worden doorgegeven bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, van die verordening of van passende waarborgen overeenkomstig artikel 46 van diezelfde verordening.
Kosten
203 Ten aanzien van de partijen in de hoofdzaak is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.
Het Hof (Grote kamer) verklaart voor recht:
1) Artikel 2, leden 1 en 2, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet aldus worden uitgelegd dat de doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde marktdeelnemer aan een andere, in een derde land gevestigde marktdeelnemer binnen de werkingssfeer van deze verordening valt, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het betrokken derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat.
2) Artikel 46, lid 1 en lid 2, onder c), van verordening 2016/679 moet aldus worden uitgelegd dat de door deze bepaling vereiste passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen moeten verzekeren dat de rechten van personen wier persoonsgegevens op basis van standaardbepalingen inzake gegevensbescherming naar een derde land worden doorgegeven, in grote lijnen overeenkomen met het beschermingsniveau dat binnen de Europese Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest van de grondrechten van de Europese Unie. Daartoe moet bij de beoordeling van het bij een dergelijke doorgifte gewaarborgde beschermingsniveau rekening worden gehouden met zowel de contractuele bepalingen die zijn overeengekomen tussen de in de Europese Unie gevestigde verwerkingsverantwoordelijke of zijn in de Europese Unie gevestigde verwerker en de in het betrokken derde land gevestigde ontvanger van de doorgifte, als, wat een eventuele toegang van de overheidsinstanties van dat derde land tot de doorgegeven persoonsgegevens betreft, de relevante aspecten van het rechtsstelsel van dat derde land, met name die welke worden vermeld in artikel 45, lid 2, van die verordening.
3) Artikel 58, lid 2, onder f) en j), van verordening 2016/679 moet aldus worden uitgelegd dat de bevoegde toezichthoudende autoriteit, tenzij de Europese Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, ertoe verplicht is om de doorgifte van gegevens naar een derde land op basis van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming op te schorten of te verbieden, wanneer deze toezichthoudende autoriteit, gelet op alle omstandigheden van die doorgifte, van oordeel is dat die bepalingen in dat derde land niet worden of niet kunnen worden nageleefd en dat de bescherming van de doorgegeven gegevens, zoals vereist door het Unierecht, inzonderheid door de artikelen 45 en 46 van deze verordening en door het Handvest van de grondrechten, niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd.
4) Bij de toetsing van besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad, zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016, aan de artikelen 7, 8 en 47 van het Handvest van de grondrechten is niet gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten.
5) Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming is ongeldig.
ondertekeningen