EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62018CA0311
Case C-311/18: Judgment of the Court (Grand Chamber) of 16 July 2020 (request for a preliminary ruling from the High Court (Ireland) — Ireland) — Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems (Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Regulation (EU) 2016/679 — Article 2(2) — Scope — Transfers of personal data to third countries for commercial purposes — Article 45 — Commission adequacy decision — Article 46 — Transfers subject to appropriate safeguards — Article 58 — Powers of the supervisory authorities — Processing of the data transferred by the public authorities of a third country for national security purposes — Assessment of the adequacy of the level of protection in the third country — Decision 2010/87/EU — Protective standard clauses on the transfer of personal data to third countries — Suitable safeguards provided by the data controller — Validity — Implementing Decision (EU) 2016/1250 — Adequacy of the protection provided by the EU-US Privacy Shield — Validity — Complaint by a natural person whose data was transferred from the European Union to the United States)
Дело C-311/18: Решение на Съда (голям състав) от 16 юли 2020 г. (преюдициално запитване от High Court (Ирландия) — Ирландия) — Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (Преюдициално запитване — Защита на физическите лица при обработването на лични данни — Харта на основните права на Европейския съюз — Членове 7, 8 и 47 — Регламент (ЕС) 2016/679 — Член 2, параграф 2 — Приложно поле — Предаване на лични данни на трети държави за търговски цели — Член 45 — Решение на Комисията относно адекватното ниво на защита — Член 46 — Предаване на данни с подходящи гаранции — Член 58 — Правомощия на надзорните органи — Обработване на предаваните данни от публичните органи на трета държава за цели, свързани с националната сигурност — Преценка на адекватността на нивото на защита, осигурено в третата държава — Решение 2010/87/ЕС — Стандартни клаузи за защита при предаването на лични данни на трети държави — Подходящи гаранции, предоставени от администратора — Валидност — Решение за изпълнение (ЕС) 2016/1250 — Адекватност на защитата, осигурявана от Щита за личните данни в отношенията между Европейския съюз и Съединените щати — Валидност — Жалба на физическо лице, чиито данни са предадени от Европейския съюз на Съединените щати)
Дело C-311/18: Решение на Съда (голям състав) от 16 юли 2020 г. (преюдициално запитване от High Court (Ирландия) — Ирландия) — Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (Преюдициално запитване — Защита на физическите лица при обработването на лични данни — Харта на основните права на Европейския съюз — Членове 7, 8 и 47 — Регламент (ЕС) 2016/679 — Член 2, параграф 2 — Приложно поле — Предаване на лични данни на трети държави за търговски цели — Член 45 — Решение на Комисията относно адекватното ниво на защита — Член 46 — Предаване на данни с подходящи гаранции — Член 58 — Правомощия на надзорните органи — Обработване на предаваните данни от публичните органи на трета държава за цели, свързани с националната сигурност — Преценка на адекватността на нивото на защита, осигурено в третата държава — Решение 2010/87/ЕС — Стандартни клаузи за защита при предаването на лични данни на трети държави — Подходящи гаранции, предоставени от администратора — Валидност — Решение за изпълнение (ЕС) 2016/1250 — Адекватност на защитата, осигурявана от Щита за личните данни в отношенията между Европейския съюз и Съединените щати — Валидност — Жалба на физическо лице, чиито данни са предадени от Европейския съюз на Съединените щати)
OB C 297, 7.9.2020, p. 4–5
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.9.2020 |
BG |
Официален вестник на Европейския съюз |
C 297/4 |
Решение на Съда (голям състав) от 16 юли 2020 г. (преюдициално запитване от High Court (Ирландия) — Ирландия) — Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems
(Дело C-311/18) (1)
(Преюдициално запитване - Защита на физическите лица при обработването на лични данни - Харта на основните права на Европейския съюз - Членове 7, 8 и 47 - Регламент (ЕС) 2016/679 - Член 2, параграф 2 - Приложно поле - Предаване на лични данни на трети държави за търговски цели - Член 45 - Решение на Комисията относно адекватното ниво на защита - Член 46 - Предаване на данни с подходящи гаранции - Член 58 - Правомощия на надзорните органи - Обработване на предаваните данни от публичните органи на трета държава за цели, свързани с националната сигурност - Преценка на адекватността на нивото на защита, осигурено в третата държава - Решение 2010/87/ЕС - Стандартни клаузи за защита при предаването на лични данни на трети държави - Подходящи гаранции, предоставени от администратора - Валидност - Решение за изпълнение (ЕС) 2016/1250 - Адекватност на защитата, осигурявана от Щита за личните данни в отношенията между Европейския съюз и Съединените щати - Валидност - Жалба на физическо лице, чиито данни са предадени от Европейския съюз на Съединените щати)
(2020/C 297/05)
Език на производството: английски
Запитваща юрисдикция
High Court (Irlande)
Страни в главното производство
Data Protection Commissioner
Facebook Ireland Limited, Maximillian Schrems
в присъствието на: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope
Диспозитив
1) |
Член 2, параграфи 1 и 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че предаване на лични данни за търговски цели от икономически оператор, установен в държава членка, към друг икономически оператор, установен в трета държава, попада в приложното поле на този регламент, независимо че по време на предаването или след него тези данни могат да се обработват от органите на съответната трета държава за целите на обществената сигурност, отбраната и държавната сигурност. |
2) |
Член 46, параграф 1 и член 46, параграф 2, буква в) от Регламент 2016/679 трябва да се тълкуват в смисъл, че изискваните от тези разпоредби подходящи гаранции, приложими права и ефективни правни средства за защита трябва да гарантират, че правата на лицата, чиито лични данни са предадени на трета държава въз основа на стандартни клаузи за защита на данните, се ползват с ниво на защита, което по същество е равностойно на гарантираното в Европейския съюз с този регламент, разглеждан в светлината на Хартата на основните права на Европейския съюз. За тази цел при оценката на гарантираното в контекста на такова предаване ниво на защита трябва по-специално да се вземат предвид както договорните клаузи, уговорени между администратора или обработващия лични данни, установени в Европейския съюз, и получателя на предаването, установен в съответната трета държава, така и, що се отнася до евентуалния достъп на публичните органи на тази трета държава до така предадените лични данни, релевантните елементи на нейната правна система, и по-специално посочените в член 45, параграф 2 от този регламент. |
3) |
Член 58, параграф 2, букви е) и й) от Регламент 2016/679 трябва да се тълкува в смисъл, че, освен ако съществува надлежно прието от Европейската комисия решение относно адекватното ниво на защита, компетентният надзорен орган е длъжен да спре или да забрани предаването на данни на трета държава, основаващо се на приети от Комисията стандартни клаузи за защита на данните, когато с оглед на всички обстоятелства във връзка с това предаване надзорният орган счита, че тези клаузи не са или не могат да бъдат спазени в тази трета държава и че защитата на предаваните данни, изисквана от правото на Съюза, по-специално от членове 45 и 46 от този регламент и от Хартата на основните права, не може да бъде осигурена с други средства, в случай че самият установен в Съюза администратор или обработващ лични данни не е спрял или прекратил предаването. |
4) |
При разглеждането на Решение 2010/87/ЕС на Комисията от 5 февруари 2010 година относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета, изменено с Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 г., с оглед на членове 7, 8 и 47 от Хартата на основните права не се установяват обстоятелства, които могат да засегнат валидността на това решение. |
5) |
Решение за изпълнение (ЕС) 2016/1250 на Комисията от 12 юли 2016 година съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ, е невалидно. |