EUR-Lex Adgang til EU-lovgivningen
Dette dokument er et uddrag fra EUR-Lex
Dokument 62014CJ0362
Judgment of the Court (Grand Chamber) of 6 October 2015.#Maximillian Schrems v Data Protection Commissioner.#Request for a preliminary ruling from the High Court (Ireland).#Reference for a preliminary ruling — Personal data — Protection of individuals with regard to the processing of such data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Directive 95/46/EC — Articles 25 and 28 — Transfer of personal data to third countries — Decision 2000/520/EC — Transfer of personal data to the United States — Inadequate level of protection — Validity — Complaint by an individual whose data has been transferred from the European Union to the United States — Powers of the national supervisory authorities.#Case C-362/14.
Domstolens dom (Store Afdeling) af 6. oktober 2015.
Maximillian Schrems mod Data Protection Commissioner.
Anmodning om præjudiciel afgørelse indgivet af High Court (Irland).
Præjudiciel forelæggelse – personoplysninger – beskyttelse af fysiske personer i forbindelse med behandling af disse oplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – direktiv 95/46/EF – artikel 25 og 28 – videregivelse af personoplysninger til tredjelande – beslutning 2000/520/EF – videregivelse af personoplysninger til USA – utilstrækkeligt beskyttelsesniveau – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet videregivet fra Unionen til USA – de nationale tilsynsmyndigheders beføjelser.
Sag C-362/14.
Domstolens dom (Store Afdeling) af 6. oktober 2015.
Maximillian Schrems mod Data Protection Commissioner.
Anmodning om præjudiciel afgørelse indgivet af High Court (Irland).
Præjudiciel forelæggelse – personoplysninger – beskyttelse af fysiske personer i forbindelse med behandling af disse oplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – direktiv 95/46/EF – artikel 25 og 28 – videregivelse af personoplysninger til tredjelande – beslutning 2000/520/EF – videregivelse af personoplysninger til USA – utilstrækkeligt beskyttelsesniveau – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet videregivet fra Unionen til USA – de nationale tilsynsmyndigheders beføjelser.
Sag C-362/14.
Samling af Afgørelser – Retten
ECLI-indikator: ECLI:EU:C:2015:650
DOMSTOLENS DOM (Store Afdeling)
6. oktober 2015 ( * )
»Præjudiciel forelæggelse — personoplysninger — beskyttelse af fysiske personer i forbindelse med behandling af disse oplysninger — Den Europæiske Unions charter om grundlæggende rettigheder — artikel 7, 8 og 47 — direktiv 95/46/EF — artikel 25 og 28 — videregivelse af personoplysninger til tredjelande — beslutning 2000/520/EF — videregivelse af personoplysninger til USA — utilstrækkeligt beskyttelsesniveau — gyldighed — klage fra en fysisk person, hvis oplysninger er blevet videregivet fra Unionen til USA — de nationale tilsynsmyndigheders beføjelser«
I sag C-362/14,
angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af High Court (Irland) ved afgørelse af 17. juli 2014, indgået til Domstolen den 25. juli 2014, i sagen:
Maximillian Schrems
mod
Data Protection Commissioner,
procesdeltager:
Digital Rights Ireland Ltd,
har
DOMSTOLEN (Store Afdeling)
sammensat af præsidenten, V. Skouris, vicepræsidenten, K. Lenaerts, afdelingsformændene A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (refererende dommer), S. Rodin og K. Jürimäe samt dommerne A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen og C. Lycourgos,
generaladvokat: Y. Bot
justitssekretær: ekspeditionssekretær L. Hewlett,
på grundlag af den skriftlige forhandling og efter retsmødet den 24. marts 2015,
efter at der er afgivet indlæg af:
— |
Maximillian Schrems ved N. Travers, SC, P. O’Shea, BL, solicitor G. Rudden og Rechtsanwalt H. Hofmann |
— |
Data Protection Commissioner ved P. McDermott, BL, og solicitors S. More-O’Ferrall og D. Young |
— |
Digital Rights Ireland Ltd ved F. Crehan, BL, og solicitors S. McGarr og E. McGarr |
— |
Irland ved A. Joyce, B. Counihan og E. Creedon, som befuldmægtigede, bistået af D. Fennelly, BL |
— |
den belgiske regering ved J.-C. Halleux og C. Pochet, som befuldmægtigede |
— |
den tjekkiske regering ved M. Smolek og J. Vláčil, som befuldmægtigede |
— |
den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocato dello Stato P. Gentili |
— |
den østrigske regering ved G. Hesse og G. Kunnert, som befuldmægtigede |
— |
den polske regering ved M. Kamejsza, M. Pawlicka og B. Majczyna, som befuldmægtigede |
— |
den slovenske regering ved A. Grum og V. Klemenc, som befuldmægtigede |
— |
Det Forenede Kongeriges regering ved L. Christie og J. Beeko, som befuldmægtigede, bistået af barrister J. Holmes |
— |
Europa-Parlamentet ved D. Moore, A. Caiola og M. Pencheva, som befuldmægtigede |
— |
Europa-Kommissionen ved B. Schima, B. Martenczuk, B. Smulders og J. Vondung, som befuldmægtigede |
— |
Den europæiske tilsynsførende for databeskyttelse (EDPS) ved C. Docksey, A. Buchta og V. Pérez Asinari, som befuldmægtigede, |
og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 23. september 2015,
afsagt følgende
Dom
1 |
Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 25, stk. 6, og artikel 28 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281, s. 31), som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29. september 2003 (EUT L 284, s. 1, herefter »direktiv 95/46«), i lyset af artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), samt i det væsentlige gyldigheden af Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til direktiv 95/46 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium (EFT L 215, s. 7, og berigtiget i EFT L 2001, s. 14, herefter »beslutning 2000/520«). |
2 |
Anmodningen er blevet indgivet i forbindelse med en tvist mellem Maximillian Schrems og Data Protection Commissioner (kommissæren for databeskyttelse, herefter »Commissioner«) vedrørende sidstnævntes afslag på at behandle en klage, der blev indgivet af Maximillian Schrems som følge af, at Facebook Ireland Ltd (herefter »Facebook Ireland«) videregiver sine brugeres personoplysninger til USA og opbevarer dem på servere beliggende i dette land. |
Retsforskrifter
Direktiv 95/46
3 |
2., 10., 56., 57., 60., 62. og 63. betragtning til direktiv 95/46 har følgende ordlyd:
[…]
[…]
[…]
[…]
|
4 |
Artikel 1, 2, 25, 26, 28 og 31 i direktiv 95/46 fastsætter: »Artikel 1 Direktivets formål 1. Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger. […] Artikel 2 Definitioner I dette direktiv forstås ved:
[…]
[…] Artikel 25 Principper 1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger, der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes. 2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger; til grund for vurderingen lægges navnlig oplysningernes art, den eller de påtænkte behandlingers formål og varighed, oprindelseslandet og det endelige bestemmelsesland, de retsregler – almindelige regler eller sektorregler – der er i kraft i det pågældende tredjeland, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i landet. 3. Medlemsstaterne og Kommissionen underretter gensidigt hinanden, hvis de mener, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2. 4. Konstaterer Kommissionen efter proceduren i artikel 31, stk. 2, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at hindre enhver videregivelse af oplysninger af samme art til det pågældende tredjeland. 5. Kommissionen indleder på det rette tidspunkt forhandlinger med henblik på at afhjælpe den situation, der opstår som følge af en konstatering efter stk. 4. 6. Kommissionen kan efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger. Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse. Artikel 26 Undtagelser 1. Som undtagelse fra bestemmelserne i artikel 25 fastsætter medlemsstaterne, medmindre andet er bestemt i deres nationale lovgivning, at videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, kan finde sted, hvis
2. Med forbehold af stk. 1 kan en medlemsstat give tilladelse til videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, hvis den registeransvarlige yder tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder; sådanne garantier kan især fremgå af passende kontraktbestemmelser. 3. Den pågældende medlemsstat underretter Kommissionen og de øvrige medlemsstater om de tilladelser, den giver i henhold til stk. 2. Rejses der indsigelse herimod fra en anden medlemsstat eller Kommissionen, og er denne berettiget ud fra hensynet til beskyttelse af privatlivets fred eller personers grundlæggende rettigheder og frihedsrettigheder, vedtager Kommissionen passende foranstaltninger efter proceduren i artikel 31, stk. 2. Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse. […] Artikel 28 Tilsynsmyndighed 1. Hver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv. Disse myndigheder udøver i fuld uafhængighed de funktioner, der tillægges dem. 2. Hver medlemsstat drager omsorg for, at tilsynsmyndighederne høres ved udarbejdelsen af administrative foranstaltninger eller retsforskrifter om beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. 3. Hver tilsynsmyndighed skal bl.a. kunne:
Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans. 4. Enhver kan, eventuelt repræsenteret ved en sammenslutning, til tilsynsmyndigheden indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Den pågældende underrettes om, hvorledes sagen følges op. Enhver kan til tilsynsmyndigheden især indgive en anmodning om at få kontrolleret en behandlings lovlighed, når de nationale bestemmelser, der er truffet i henhold til artikel 13 i dette direktiv, finder anvendelse. Den pågældende underrettes i alle tilfælde om, at der er blevet foretaget en kontrol. […] 6. Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel. Myndigheden kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat. […] Artikel 31 […] 2. Når der henvises til denne artikel, anvendes artikel 4 og 7 i [Rådets] afgørelse 1999/468/EF [af 28. juni 1999 om fastsættelse af de nærmere vilkår for udøvelsen af de gennemførelsesbeføjelser, der tillægges Kommissionen], jf. dennes artikel 8. […]« |
Beslutning 2000/520
5 |
Kommissionen har vedtaget beslutning 2000/520 på grundlag af artikel 25, stk. 6, i direktiv 95/46. |
6 |
Anden, femte og ottende betragtning til denne beslutning har følgende ordlyd:
[…]
[…]
|
7 |
Artikel 1-4 i beslutning 2000/520 er sålydende: »Artikel 1 1. Med henblik på artikel 25, stk. 2, i direktiv 95/46/EF og for så vidt angår alle de aktiviteter, der er omfattet af direktivet, formodes safe harbor-principperne (i det følgende benævnt »principperne«) som omhandlet i bilag I til denne beslutning, der finder anvendelse i overensstemmelse med de normgivende hyppige spørgsmål (i det følgende benævnt »FAQ«), som blev udstedt den 21. juli 2000 af det amerikanske handelsministerium og er vedlagt som bilag II til denne beslutning, at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EF til i USA etablerede foretagender, i betragtning af følgende dokumenter fra USA’s handelsministerium:
2. I forbindelse med overførsel af personoplysninger skal følgende betingelser opfyldes:
3. Et foretagende, der på grundlag af selvcertificering tilslutter sig principperne, der gennemføres i overensstemmelse med FAQ, formodes at opfylde de i stk. 2 anførte betingelser fra den dato, hvor det meddeler det amerikanske handelsministerium (eller dets repræsentant), at det offentligt har forpligtet sig i henhold til stk. 2, litra a), og opgiver navnet på det i stk. 2, litra b), anførte regeringsorgan. Artikel 2 Denne beslutning vedrører kun tilstrækkeligheden af den beskyttelse, der opnås i USA i kraft af principperne, der gennemføres i overensstemmelse med FAQ, med henblik på at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46/EF, og den har ingen indvirkning på gennemførelsen af de andre bestemmelser i direktivet, som vedrører behandlingen af personoplysninger i medlemsstaterne, navnlig artikel 4. Artikel 3 1. De kompetente myndigheder i medlemsstaterne kan, uden at dette berører deres beføjelser til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i overensstemmelse med andre bestemmelser end artikel 25 i direktiv 95/46/EF, gøre brug af deres beføjelser med henblik på at suspendere overførslen af oplysninger til et foretagende, der på grundlag af selvcertificering tilslutter sig principperne, der gennemføres i overensstemmelse med FAQ, for at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger:
Suspenderingen skal straks ophøre, når principperne, der gennemføres i overensstemmelse med FAQ, igen overholdes, og når den kompetente myndighed i EU er blevet underrettet derom. 2. Medlemsstaterne skal straks underrette Kommissionen, når der træffes foranstaltninger i medfør af stk. 1. 3. Medlemsstaterne og Kommissionen skal ligeledes underrette hinanden om tilfælde, hvor de organer, som er ansvarlige for håndhævelsen af de principper, der gennemføres i overensstemmelse med FAQ i USA, ikke er i stand til at sikre, at principperne overholdes. 4. Hvis det fremgår af de oplysninger, der skal udveksles i henhold til stk. 1, 2 og 3, at et organ, der er ansvarlig for håndhævelse af principperne, der gennemføres i overensstemmelse med FAQ i USA, ikke opfylder sin rolle effektivt, skal Kommissionen underrette det amerikanske handelsministerium og, hvis det er nødvendigt, forelægge et udkast til foranstaltninger i overensstemmelse med den i artikel 31 i direktiv 95/46/EF fastsatte procedure med henblik på at ophæve eller suspendere nærværende beslutning eller begrænse dens anvendelsesområde. Artikel 4 1. Denne beslutning kan til enhver tid blive ændret på grundlag af erfaringerne i forbindelse med dens gennemførelse og/eller hvis der i den amerikanske lovgivning stilles krav om samme beskyttelsesniveau som det, der opnås ved hjælp af principperne og FAQ. Kommissionen skal under alle omstændigheder evaluere gennemførelsen af denne beslutning på grundlag af alle tilgængelige oplysninger tre år efter, at den pågældende medlemsstat har fået meddelelse derom, og rapportere om ethvert relevant forhold til det ved artikel 31 i direktiv 95/46/EF nedsatte udvalg, herunder om ethvert forhold, der kan påvirke den i artikel 1 i nærværende beslutning anførte vurdering, hvor bestemmelserne vurderes som værende i stand til at tilvejebringe en tilstrækkelig beskyttelse i henhold til artikel 25 i direktiv 95/46/EF, samt om ethvert forhold, hvoraf det fremgår, at beslutningen gennemføres på en diskriminerende måde. 2. Kommissionen skal, hvis det er nødvendigt, fremlægge forslag til foranstaltninger i henhold til proceduren i artikel 31 i direktiv 95/46/EF.« |
8 |
Bilag I til beslutning 2000/520 har følgende ordlyd: »Safe harbor-principper udstedt af Amerikas Forenede Staters handelsministerium den 21. juli 2000 […] […] [D]et amerikanske handelsministerium [har] i medfør af sine lovbestemte beføjelser udstedt dette dokument og de hyppige spørgsmål (FAQ) (principperne) med henblik på at fremme og udvikle den internationale handel. Principperne er udviklet i samarbejde med industrien og offentligheden for at fremme hand[e]len mellem USA og EU. De er udelukkende beregnet på at blive anvendt af amerikanske foretagender, der modtager personoplysninger fra EU, og som ønsker at leve op til kravene i safe harbor-ordningen og således drage fordel af den formodning om »tilstrækkelighed«, dette medfører. Principperne er udelukkende udformet med henblik på disse specifikke formål og kan derfor ikke uden videre anvendes til andre formål. […] Et foretagende kan frit vælge, om det vil tilslutte sig safe harbor-ordningen, og der findes forskellige måder, hvorpå et foretagende kan kvalificere sig til at deltage i denne ordning. […] Overholdelsen af disse principper kan være begrænset a) til et niveau, der er tilstrækkeligt for at opfylde kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden, b) af love, administrative bestemmelser eller retspraksis, der medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme, eller c) i det omfang, direktivet eller medlemsstaternes lovgivning tillader undtagelser eller dispensationer, såfremt sådanne undtagelser eller dispensationer også finder anvendelse i sammenlignelig kontekst. I overensstemmelse med det overordnede mål om at fremme beskyttelsen af privatlivets fred bør foretagenderne bestræbe sig på at gennemføre disse principper på fuldstændig og gennemskuelig vis, hvilket omfatter, at de i deres program til beskyttelse af privatlivets fred angiver, på hvilke punkter eventuelle undtagelser fra principperne i henhold til ovenstående punkt b) finder generel anvendelse. Når principperne og/eller den amerikanske lovgivning giver mulighed derfor, forventes foretagenderne af samme årsag at vælge et højere beskyttelsesniveau. […]« |
9 |
Bilag II til beslutning 2000/520 har følgende ordlyd: »Hyppige spørgsmål (FAQ) […] FAQ nr. 6 – Selvcertificering
FAQ nr. 11 – Bilæggelse af tvister og håndhævelse
[…]« |
10 |
Bilag IV til beslutning 2000/520 er sålydende: »Beskyttelse af privatlivets fred og erstatningsansvar, lovbestemte tilladelser samt fusioner og overtagelser i den amerikanske lovgivning Dette dokument er udarbejdet med henblik på over for Europa-Kommissionen at redegøre for den amerikanske lovgivning vedrørende a) erstatningskrav for krænkelse af privatlivets fred, b) »udtrykkelige tilladelser« (explicit authorizations) i den amerikanske lovgivning til anvendelse af personoplysninger på en måde, der er i uoverensstemmelse med safe harbor-principperne, og c) konsekvensen af fusioner og overtagelser for de forpligtelser, der indgås inden for rammerne af safe harbor-ordningen. […] B. Udtrykkelige lovbestemte tilladelser Safe harbor-principperne indeholder en undtagelse i det tilfælde, hvor love, administrative bestemmelser eller retspraksis »medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme«. De amerikanske foretagender skal uanset deres deltagelse i safe harbor-ordningen helt klart overholde loven, når der i den amerikanske lovgivning forekommer modstridende forpligtelser. Mens safe harbor-principperne har til formål at kæde det amerikanske og det europæiske system for beskyttelse af privatlivets fred sammen, skal vi med hensyn til de udtrykkelige tilladelser tage hensyn til vores folkevalgte lovgiveres prærogativer. Denne meget begrænsede undtagelse fra en streng overholdelse af safe harbor-principperne har til formål at tilgodese begge parters legitime interesser. Undtagelsen er begrænset til tilfælde, hvor der foreligger en udtrykkelig tilladelse (explicit authorization). Den pågældende lov, administrative bestemmelse eller domstolsafgørelse skal derfor først og fremmest udtrykkeligt tillade safe harbor-foretagendernes adfærd […]. Undtagelsen vil med andre ord ikke finde anvendelse, når der ikke udtrykkeligt står noget i loven. Undtagelsen finder desuden kun anvendelse, hvis den udtrykkelige tilladelse er i konflikt med safe harbor-principperne. Selv i disse tilfælde er undtagelsen begrænset til »det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme«. I tilfælde af en generel lovbestemmelse, der giver et foretagende mulighed for at give personoplysninger til offentlige myndigheder, vil undtagelsen eksempelvis ikke finde anvendelse. Når loven til gengæld giver et foretagende specifik tilladelse til at give personoplysninger videre til offentlige myndigheder uden den registreredes tilladelse, er der tale om en »udtrykkelig tilladelse« til at handle på en måde, der er i strid med safe harbor-principperne. Alternativt vil specifikke undtagelser fra udtrykkelige krav om oplysningspligt og samtykke være omfattet af undtagelsen (eftersom det ville være at sidestille med en specifik tilladelse til at videregive oplysningerne uden principperne om oplysningspligt om samtykke). En lovbestemmelse, der giver læger tilladelse til at give deres patienters journal videre til sundhedsmyndighederne uden patienternes forudgående tilladelse, vil f.eks. medføre en undtagelse fra principperne om oplysningspligt (notice) og valgfrihed (choice). Denne tilladelse giver ikke læger mulighed for at videregive samme helbredsoplysninger til sundhedsorganisationer eller kommercielle farmaceutiske forskningslaboratorier, hvilket ville falde uden for lovens formål og således uden for undtagelsens rækkevidde […]. Det retlige grundlag kan være en enkeltstående (stand alone) tilladelse til at foretage specifikke handlinger med personoplysninger, men som eksemplerne viser, vil det sandsynligvis være en undtagelse fra en mere generel lov, der forbyder indsamling, anvendelse eller videregivelse af personoplysninger. […]« |
Meddelelse KOM(2013) 846 endelig
11 |
Den 27.november 2013 vedtog Kommissionen meddelelsen til Europa-Parlamentet og Rådet med overskriften »Genopbygning af tilliden til datastrømmene mellem EU og USA« (KOM(2013) 846 endelig, herefter »meddelelse KOM(2013) 846 endelig«). Meddelelsen var ledsaget af en rapport, der ligeledes er fra den 27. november 2013, og som indeholder »konklusionerne fra EU’s medformænd for EU’s og USA’s ad hoc-arbejdsgruppe vedrørende beskyttelse af personoplysninger« (»Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection«). Rapporten var som anført i dennes punkt 1 blevet udfærdiget i samarbejde med USA efter afsløringen af, at der i dette land fandtes flere overvågningsprogrammer, herunder omfattende indsamling og behandling af personoplysninger. Rapporten indeholdt bl.a. en detaljeret analyse af USA’s retsorden vedrørende navnlig det retsgrundlag, hvorefter det var tilladt for de amerikanske myndigheder at have overvågningsprogrammer og indsamle og behandle personoplysninger. |
12 |
Kommissionen præciserede i punkt 1 i meddelelse KOM(2013) 846 endelig, at »[s]amhandelen er omfattet af […] beslutning 2000/520[…]«, og tilføjede at »[b]eslutningen er retsgrundlag for overførsler af personoplysninger fra EU til virksomheder i USA, som har tilsluttet sig safe harbor-principperne«. Kommissionen fremhævede desuden i samme punkt 1 den betydelige stigning i strømmen af personoplysninger, der bl.a. er knyttet til den digitale økonomis udvikling, idet denne har »medført eksponentiel vækst i databehandlingsaktiviteterne, både hvad angår kvantitet, kvalitet, diversitet og art«. |
13 |
Kommissionen anførte i denne meddelelses punkt 2, at »der [er] stigende bekymring over beskyttelsesniveauet for [unions]borgeres personoplysninger, der overføres til USA under safe harbor-ordningen«, og at »[o]rdningens frivillige og deklaratoriske karakter […] i stigende grad [har] rejst spørgsmålet om dens gennemsigtighed og håndhævelse«. |
14 |
Kommissionen anførte desuden i samme punkt 2, at »[d]e amerikanske myndigheder kan skaffe sig adgang til og behandle [unions]borgeres personoplysninger, der overføres til USA under safe harbor, på en måde, som er uforenelig med det grundlag, på hvilket oplysningerne oprindeligt blev indsamlet i [Unionen], og med det formål, til hvilket de blev overført til USA«, og at »[f]lertallet af de amerikanske internetvirksomheder, der synes at være direkte berørt af [overvågningsprogrammerne], er certificeret under safe harbor-ordningen«. |
15 |
Kommissionen anførte i punkt 3.2 i meddelelse KOM(2013) 846 endelig, at der foreligger et vist antal svagheder for så vidt angår gennemførelsen af direktiv 2000/520. Kommissionen gav heri for det første udtryk for, at certificerede amerikanske virksomheder ikke overholdt de i artikel 1, stk. 1, i beslutning 2000/520 omhandlede principper (herefter »safe harbor-principperne«), og at denne beslutning skulle forbedres for så vidt angår »de strukturelle brister og med hensyn til gennemsigtighed og håndhævelse, de materielle safe harbor-principper og den måde, undtagelsesbestemmelsen vedrørende national sikkerhed fungerer på«. Kommissionen gjorde for det andet opmærksom på, at »[s]afe harbor [også] kommer […] til at virke som en kanal, hvorigennem virksomheder, der i henhold til de amerikanske programmer for indsamling af efterretninger skal udlevere data til amerikanske efterretningstjenester, overfører personoplysninger om EU-borgere fra [Unionen] til USA«. |
16 |
Kommissionen konkluderede i samme punkt 3.2, at »[i] betragtning af de svagheder, der er blevet påpeget, er fastholdelse af den nuværende gennemførelse af safe harbor urealistisk[; h]vis beslutningen blev ophævet, ville det imidlertid indvirke negativt på de virksomheder i [Unionen] og USA, der er tilmeldt ordningen«. Endelig tilføjede Kommissionen, ligeledes i nævnte punkt 3.2, at »[d]et har høj prioritet for Kommissionen hurtigt at rette henvendelse til de amerikanske myndigheder med henblik på at drøfte de brister, der har kunnet konstateres«. |
Meddelelse KOM(2013) 847 endelig
17 |
Samme dag, den 27. november 2013, vedtog Kommissionen meddelelsen til Europa-Parlamentet og Rådet om, hvordan safe harbor-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU (KOM(2013) 847 endelig, herefter »meddelelse KOM(2013) 847 endelig«). Meddelelsen var, som det fremgår af dens punkt 1, bl.a. baseret på de oplysninger, som var blevet fremlagt i EU-USA-ad hoc-arbejdsgruppen, og fulgte efter Kommissionens to vurderingsrapporter, der blev offentliggjort i henholdsvis 2002 og 2004. |
18 |
Det fremgår af denne meddelelses punkt 1, at beslutning 2000/520 »hviler på forpligtelser og selvcertificering fra de deltagende virksomheders side«, og det bliver heri tilføjet, at »[d]et er frivilligt at tilslutte sig denne ordning, men [at] reglerne er bindende for dem, der har tilsluttet sig«. |
19 |
Det fremgår desuden af punkt 2.2 i meddelelse KOM(2013) 847 endelig, at den 26. september 2013 var 3246 virksomheder fra adskillige økonomi- og tjenesteydelsessektorer certificeret. Disse virksomheder leverede hovedsageligt tjenesteydelser i EU’s indre marked, navnlig i internetsektoren, og en del af disse var EU-virksomheder med datterselskaber i USA. Visse af disse virksomheder behandlede oplysninger om deres ansatte i Europa, som blev overført til USA med henblik på forvaltningen af menneskelige ressourcer. |
20 |
Kommissionen har i samme punkt 2.2 fremhævet, at »[e]thvert hul i gennemsigtigheden eller håndhævelsen på den amerikanske side medfør[te], at ansvaret overg[ik] til de europæiske databeskyttelsesmyndigheder og til de virksomheder, der brug[te] ordningen«. |
21 |
Det fremgår bl.a. af punkt 3-5 og 8 i meddelelse KOM(2013) 847 endelig, at der i praksis var et stort antal certificerede virksomheder, der ikke, eller ikke til fulde, overholdt safe harbor-principperne. |
22 |
Kommissionen anførte endvidere i samme meddelelses punkt 7, at »det [ser] ud til, at alle virksomheder, der er involveret i PRISM-programmet [(Planning Tool for Resource Integration, Synchronization, and Management-programmet)], og som giver de amerikanske myndigheder adgang til oplysninger, der lagres og behandles i USA, er safe harbor-certificerede«, og at dette »har gjort safe harbor-ordningen til en af de kanaler, hvorigennem de amerikanske efterretningsmyndigheder får adgang til at indsamle personoplysninger, der oprindelig blev behandlet i [Unionen]«. I denne henseende konstaterede Kommissionen i den nævnte meddelelses punkt 7.1, at »en række retsgrundlag i amerikansk ret [tillader] storstilet indsamling og behandling af personoplysninger, der lagres eller på anden måde behandles af virksomheder i USA«, og at »[f]ordi disse programmer er så omfattende, kan det medføre, at de amerikanske myndigheder får adgang til og viderebehandler oplysninger, der er overført under safe harbor-ordningen, ud over hvad der er strengt nødvendigt og proportionalt i forhold til beskyttelsen af statens sikkerhed, jf. undtagelsen i [beslutning 2000/520]«. |
23 |
Kommissionen fremhævede i punkt 7.2 i meddelelse KOM(2013) 847 endelig med overskriften »Begrænsninger og klagemuligheder«, at »de sikkerhedsforanstaltninger, som findes i henhold til amerikansk ret, for det meste [gælder] for amerikanske statsborgere eller personer med lovligt ophold«, og at »hverken registrerede i [Unionen] eller i USA [desuden har] mulighed for at opnå indsigt i eller berigtigelse eller sletning af oplysninger eller administrativ eller retslig prøvelse med hensyn til den indsamling og viderebehandling af deres personoplysninger, der finder sted som led i de amerikanske overvågningsprogrammer«. |
24 |
Det fremgår af punkt 8 i meddelelse KOM(2013) 847 endelig, at disse certificerede virksomheder omfattede »[w]ebvirksomheder som Google, Facebook, Microsoft, Apple og Yahoo«, og at disse havde »hundreder af millioner af kunder i Europa« og overførte personoplysninger til USA med henblik på behandling heraf. |
25 |
Kommissionen konkluderede i samme punkt 8, at »efterretningstjenesternes omfattende adgang til oplysninger, som safe harbor-certificerede virksomheder har overført til USA, [rejser] yderligere alvorlige spørgsmål vedrørende kontinuiteten i europæernes databeskyttelsesrettigheder, når deres oplysninger overføres til USA«. |
Tvisten i hovedsagen og de præjudicielle spørgsmål
26 |
Maximillian Schrems, der er østrigsk statsborger med bopæl i Østrig, har været bruger af det sociale netværk Facebook (herefter »Facebook«) siden 2008. |
27 |
Enhver, der har bopæl på Unionens område, og som ønsker at anvende Facebook, er i forbindelse med sin registrering forpligtet til at indgå en aftale med Facebook Ireland, som er et datterselskab til Facebook Inc., der selv har hjemsted i USA. Personoplysningerne vedrørende Facebook-brugere, som har bopæl på Unionens område, overføres helt eller delvist til servere, der tilhører Facebook Inc., og som befinder sig i USA, hvor de er genstand for en behandling. |
28 |
Maximillian Schrems indgav den 25. juni 2013 en klage til Commissioner, hvori han i det væsentlige anmodede denne om at udøve sine vedtægtsmæssige beføjelser ved at forbyde Facebook Ireland at videregive hans personoplysninger til USA. Han gjorde heri gældende, at den gældende lovgivning og praksis i dette land ikke sikrede en tilstrækkelig beskyttelse af de personoplysninger, der opbevares på landets område, mod den overvågningsvirksomhed, som de offentlige myndigheder udøvede dér. Maximillian Schrems henviste i denne henseende til Edward Snowdens afsløringer om de amerikanske efterretningstjenesters aktiviteter og navnlig aktiviteterne i National Security Agency (herefter »NSA«). |
29 |
Commissioner, der var af den opfattelse, at han ikke var forpligtet til at foretage en undersøgelse af de faktiske omstændigheder, som Maximillian Schrems havde gjort opmærksom på i sin klage, afviste denne som ugrundet. Commissioner fandt det nemlig ikke bevist, at NSA havde skaffet sig adgang til den berørtes personoplysninger. Commissioner tilføjede, at de klagepunkter, som Maximillian Schrems havde anført i klagen, ikke med føje kunne fremsættes, idet ethvert spørgsmål om, hvorvidt beskyttelsen af personoplysningerne var tilstrækkelig i USA, skulle afgøres i overensstemmelse med beslutning 2000/520, og idet Kommissionen i denne beslutning havde fastslået, at USA sikrer et tilstrækkeligt beskyttelsesniveau. |
30 |
Maximillian Schrems har anlagt sag ved High Court (øverste retsinstans) til prøvelse af den i hovedsagen omhandlede afgørelse. High Court har efter at have gennemgået de af hovedparterne fremlagte præmisser fastslået, at den elektroniske overvågning og opfangning af personoplysninger overført fra Unionen til USA tjener nødvendige og ufravigelige mål i offentlighedens interesse. High Court har imidlertid tilføjet, at Edward Snowdens afsløringer har vist, at NSA og andre forbundsmyndigheder »er gået for vidt i en betydelig grad«. |
31 |
Ifølge High Court har unionsborgerne ikke nogen effektiv høringsret. Overvågningen af efterretningstjenesternes handlinger sker på et hemmeligt og ikke-kontradiktorisk grundlag. Når personoplysningerne er blevet overført til USA, kan NSA og andre forbundsmyndigheder såsom Federal Bureau of Investigation (FBI) skaffe sig adgang til disse oplysninger i forbindelse med den udifferentierede overvågning og opfangning, som de praktiserer i stor skala. |
32 |
High Court har fastslået, at irsk ret forbyder videregivelse af personoplysninger uden for det nationale område, med undtagelse af de tilfælde, hvor det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for så vidt angår privatlivet og de grundlæggende rettigheder og frihedsrettigheder. Betydningen af retten til respekt for privatlivet og til boligens ukrænkelighed, der er sikret ved den irske forfatning, kræver, at ethvert indgreb i disse rettigheder skal være forholdsmæssigt og finde sted i overensstemmelse med lovens krav. |
33 |
Den udifferentierede og massive adgang til personoplysninger er imidlertid helt klart i strid med proportionalitetsprincippet og med de grundlæggende værdier, der er sikret ved den irske forfatning. For at opfangning af elektronisk datatrafik kan anses for at være i overensstemmelse med denne forfatning, skal der føres bevis for, at denne opfangelse er målrettet, at overvågningen af visse personer eller grupper af personer er objektivt begrundet i hensynet til national sikkerhed eller kriminalitetsbekæmpelse, og at der foreligger garantier, der er tilstrækkelige, og som kan verificeres. High Court er således af den opfattelse, at såfremt tvisten i hovedsagen udelukkende skal afgøres i henhold til irsk ret, vil det skulle fastslås, at henset til, at der foreligger alvorlig tvivl om, hvorvidt USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, skulle Commissioner have foretaget en undersøgelse af de faktiske omstændigheder, som Maximillian Schrems havde gjort opmærksom på i sin klage, og at det derfor var med urette, at Commissioner havde afvist klagen. |
34 |
High Court har imidlertid anført, at denne sag vedrører EU-rettens gennemførelse som omhandlet i chartrets artikel 51, stk. 1, således at lovligheden af den i hovedsagen omhandlede afgørelse skal efterprøves i henhold til EU-retten. High Court er imidlertid af den opfattelse, at beslutning 2000/520 hverken opfylder kravene i chartrets artikel 7 og artikel 8 eller de krav, der følger af de principper, som Domstolen har beskrevet i dom Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238). Den ret til respekt for privatlivet, der sikres ved chartrets artikel 7 og ved de kerneværdier, som er fælles for medlemsstaternes traditioner, ville ikke have nogen rækkevidde, hvis det var tilladt for de offentlige myndigheder at få adgang til elektronisk kommunikation på et vilkårligt og generelt grundlag uden at komme med en objektiv begrundelse baseret på hensyn til den nationale sikkerhed eller forebyggelsen af kriminalitet, som specifikt er knyttet til de berørte personer, og uden at der stilles passende og verificerbare garantier for denne praksis. |
35 |
High Court har desuden anført, at Maximillian Schrems i forbindelse med sit søgsmål i realiteten har rejst indsigelse mod lovligheden af den safe harbor-ordning, der er indført ved beslutning 2000/520, og som den i hovedsagen omhandlede afgørelse vedrører. Selv om Maximillian Schrems formelt således hverken har bestridt gyldigheden af direktiv 95/46 eller af beslutning 2000/520, er High Court derfor af den opfattelse, at spørgsmålet opstår, om Commissioner som følge af direktivets artikel 25, stk. 6, var bundet af den konstatering, som Kommissionen har foretaget i den nævnte beslutning, og hvorefter USA sikrer et tilstrækkeligt beskyttelsesniveau, eller om chartrets artikel 8 efter omstændighederne tillod Commissioner at se bort fra en sådan konstatering. |
36 |
Det er på denne baggrund, at High Court har besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
|
Om de præjudicielle spørgsmål
37 |
Med sine præjudicielle spørgsmål, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om og i hvilket omfang artikel 25, stk. 6, i direktiv 95/46, sammenholdt med chartrets artikel 7, 8 og 47, skal fortolkes således, at en afgørelse vedtaget i henhold til denne bestemmelse, såsom beslutning 2000/520, hvorved Kommissionen fastslår, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, er til hinder for, at en medlemsstats tilsynsmyndighed som omhandlet i direktivets artikel 28 kan behandle en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, der vedrører den pågældende, og som er blevet videregivet fra en medlemsstat til dette tredjeland, når denne person gør gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau. |
Om de nationale tilsynsmyndigheders beføjelser som omhandlet i artikel 28 i direktiv 95/46, når der foreligger en beslutning fra Kommissionen, som er vedtaget i henhold til direktivets artikel 25, stk. 6
38 |
Indledningsvis bemærkes, at bestemmelserne i direktiv 95/46, for så vidt som de omhandler behandling af personoplysninger, der kan krænke de grundlæggende frihedsrettigheder og navnlig retten til respekt for privatlivet, nødvendigvis skal fortolkes under hensyntagen til de grundlæggende rettigheder, som er sikret ved chartret (jf. domme Österreichischer Rundfunk m.fl., C-465/00, C-138/01 og C-139/01, EU:C:2003:294, præmis 68, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 68, og Ryneš, C-212/13, EU:C:2014:2428, præmis 29). |
39 |
Det fremgår af artikel 1 i direktiv 95/46 og af anden og tiende betragtning hertil, at direktivet ikke alene har til formål at sikre en effektiv og fuldstændig beskyttelse af fysiske personers frihedsrettigheder og grundlæggende rettigheder, herunder især den grundlæggende ret til respekt for privatlivet i forbindelse med behandling af personoplysninger, men også et højt beskyttelsesniveau af disse frihedsrettigheder og grundlæggende rettigheder. Betydningen af såvel den grundlæggende ret til respekt for privatlivet, der er sikret ved chartrets artikel 7, som den grundlæggende ret til beskyttelse af personoplysninger, der er sikret ved chartrets artikel 8, er desuden fremhævet i Domstolens praksis (jf. domme Rijkeboer, C-553/07, EU:C:2009:293, præmis 47, Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 53, og Google Spain og Google, C-131/12, EU:C:2014:317, præmis 53, 66 og 74 og den deri nævnte retspraksis). |
40 |
Hvad angår de nationale tilsynsmyndigheders beføjelser i forbindelse med videregivelse af personoplysninger til tredjelande bemærkes, at artikel 28, stk. 1, i direktiv 95/46 pålægger medlemsstaterne at udpege en eller flere offentlige myndigheder, der i fuld uafhængighed skal påse overholdelsen af Unionens regler om beskyttelse af fysiske personer i forbindelse med behandling af sådanne oplysninger. Dette krav fremgår ligeledes af den primære EU-ret, bl.a. chartrets artikel 8, stk. 3, og artikel 16, stk. 2, TEUF (jf. i denne retning domme Kommissionen mod Østrig, C-614/10, EU:C:2012:631, præmis 36, og Kommissionen mod Ungarn, C-288/12, EU:C:2014:237, præmis 47). |
41 |
De nationale tilsynsmyndigheders uafhængighed har til formål at sikre et effektivt og pålideligt tilsyn med overholdelsen af reglerne om beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger og skal fortolkes i lyset af dette formål. Tilsynsmyndighedernes uafhængighed er etableret med henblik på at styrke beskyttelsen af personer og organer, der måtte blive berørt af disse myndigheders afgørelser. Oprettelsen af uafhængige tilsynsmyndigheder i medlemsstaterne er derfor, som det ligeledes fremgår af 62. betragtning til direktiv 95/46, af afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger (jf. domme Kommissionen mod Tyskland, C-518/07, EU:C:2010:125, præmis 25, og Kommissionen mod Ungarn, C-288/12, EU:C:2014:237, præmis 48 og den deri nævnte retspraksis). |
42 |
For at sikre denne beskyttelse skal de nationale tilsynsmyndigheder bl.a. sikre en ligevægt mellem på den ene side overholdelsen af den grundlæggende ret til respekt for privatlivet og på den andens side de hensyn, der styrer den frie udveksling af personoplysninger (jf. i denne retning domme Kommissionen mod Tyskland, C-518/07, EU:C:2010:125, præmis 24, og Kommissionen mod Ungarn, C-288/12, EU:C:2014:237, præmis 51). |
43 |
Med henblik herpå råder disse myndigheder over en bred vifte af beføjelser, og disse beføjelser, der er opregnet på ikke-udtømmende vis i artikel 28, stk. 3, i direktiv 95/46, udgør lige så mange beføjelser, der er nødvendige til varetagelsen af deres opgaver, således som det er fremhævet i 63. betragtning til direktivet. De nævnte myndigheder er således bl.a. tillagt beføjelser til at iværksætte undersøgelser, såsom beføjelsen til at indsamle alle de oplysninger, der er nødvendige for at varetage deres tilsynsopgaver, beføjelser til at gribe effektivt ind, såsom beføjelsen til midlertidigt eller definitivt at forbyde en behandling af oplysninger, eller beføjelse til at indbringe sager for retsinstanserne. |
44 |
Det fremgår ganske vist af artikel 28, stk. 1 og 6, i direktiv 95/46, at de nationale tilsynsmyndigheders beføjelser vedrører den behandling af personoplysninger, der foretages på den medlemsstats område, som disse myndigheder henhører under, således at de ikke råder over nogen beføjelser på grundlag af denne artikel 28 i forhold til den behandling af sådanne oplysninger, der foretages på et tredjelands område. |
45 |
Den transaktion, der består i at overføre personoplysninger fra en medlemsstat til et tredjeland, udgør imidlertid som sådan en behandling af personoplysninger som omhandlet i artikel 2, litra b), i direktiv 95/46 (jf. i denne retning dom Parlamentet mod Rådet og Kommissionen, C-317/04 og C-318/04, EU:C:2006:346, præmis 56) foretaget på en medlemsstats område. Denne bestemmelse definerer således »behandling af personoplysninger« som »enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for«, og indeholder som eksempel »videregivelse ved transmission, formidling eller enhver anden form for overladelse«. |
46 |
Det fremgår nærmere af 60. betragtning til direktiv 95/46, at videregivelse af personoplysninger til tredjelande kun må finde sted under fuld overholdelse af de bestemmelser, som medlemsstaterne vedtager i medfør af dette direktiv. I denne henseende er der ved nævnte direktivs kapitel IV, hvori direktivets artikel 25 og 26 er indeholdt, indført en ordning, der har til formål at sikre medlemsstaternes kontrol med videregivelse af personoplysninger til tredjelande. Denne ordning supplerer den almindelige ordning, som er indført ved direktivets kapitel II, der fastsætter de almindelige betingelser for lovligheden af behandling af personoplysninger (jf. i denne retning dom Lindqvist, C-101/01, EU:C:2003:596, præmis 63). |
47 |
Da de nationale tilsynsmyndigheder i overensstemmelse med chartrets artikel 8, stk. 3, og artikel 28 i direktiv 95/46 har til opgave at påse overholdelsen af de EU-retlige regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, er hver af disse derfor blevet tillagt beføjelse til at undersøge, om en videregivelse af personoplysninger fra den medlemsstat, som myndigheden henhører under, til et tredjeland overholder de ved direktiv 95/46 fastsatte krav. |
48 |
Samtidig med at det i 56. betragtning til direktiv 95/46 anerkendes, at videregivelsen af personoplysninger fra medlemsstaterne til tredjelande er nødvendig af hensyn til udbygningen af den internationale samhandel, opstiller direktivet i sin artikel 25, stk. 1, det princip, at en sådan videregivelse kun må finde sted, hvis disse tredjelande sikrer et tilstrækkeligt beskyttelsesniveau. |
49 |
Det bliver desuden i 57. betragtning til nævnte direktiv præciseret, at videregivelse af personoplysninger til tredjelande, der ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal forbydes. |
50 |
Artikel 25 i direktiv 95/46 pålægger medlemsstaterne og Kommissionen en række forpligtelser med henblik på at kontrollere videregivelsen af personoplysninger til tredjelande i forhold til det beskyttelsesniveau, som disse oplysninger er genstand for i hvert af disse lande. Det fremgår bl.a. af denne artikel, at konstateringen af, hvorvidt et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, enten kan drages af medlemsstaterne eller af Kommissionen, således som generaladvokaten har anført i punkt 86 i forslaget til afgørelse. |
51 |
Kommissionen kan på grundlag af artikel 25, stk. 6, i direktiv 95/46 vedtage en afgørelse, hvori det fastslås, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Adressaterne for en sådan afgørelse er i overensstemmelse med denne bestemmelses andet afsnit de medlemsstater, som skal træffe de foranstaltninger, der er nødvendige for at efterkomme afgørelsen. I medfør af artikel 288, stk. 4, TEUF er afgørelsen bindende for alle de medlemsstater, som den er rettet til, og den omfatter derfor også samtlige deres organer (jf. i denne retning domme Albako Margarinefabrik, 249/85, EU:C:1987:245, præmis 17, og Mediaset, C-69/13, EU:C:2014:71, præmis 23), for så vidt som den bevirker, at der gives tilladelse til videregivelse af personoplysninger fra medlemsstaterne til det af afgørelsen omfattede tredjeland. |
52 |
Så længe Domstolen ikke har fastslået, at Kommissionens afgørelse er ugyldig, er det således korrekt, at medlemsstaterne og deres organer, herunder deres uafhængige tilsynsmyndigheder, ikke kan vedtage foranstaltninger, der er i strid med denne afgørelse, såsom retsakter, ved hvilke det med bindende virkning tilsigtes at konstatere, at det i afgørelsen omhandlede tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau. Der gælder nemlig i princippet en formodning om, at EU-institutionernes retsakter er lovlige, og de afføder derfor retsvirkninger, så længe de ikke er blevet trukket tilbage, annulleret under et annullationssøgsmål eller erklæret ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse (dom Kommissionen mod Grækenland, C-475/01, EU:C:2004:585, præmis 18 og den deri nævnte retspraksis). |
53 |
En afgørelse, som er vedtaget af Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46, såsom beslutning 2000/520, kan imidlertid ikke forhindre de personer, hvis personoplysninger er blevet eller kan blive videregivet til et tredjeland, i til de nationale tilsynsmyndigheder at indgive en anmodning – som omhandlet i direktivets artikel 28, stk. 4 – om beskyttelse af deres rettigheder og frihedsrettigheder i forbindelse med behandlingen af disse oplysninger. Tilsvarende kan en afgørelse af en sådan art, således som generaladvokaten bl.a. har anført i punkt 61, 93 og 116 i forslaget til afgørelse, hverken ophæve eller begrænse de beføjelser, der udtrykkeligt er tillagt de nationale tilsynsmyndigheder ved chartrets artikel 8, stk. 3, og ved direktivets artikel 28. |
54 |
Det fremgår hverken af chartrets artikel 8, stk. 3, eller af artikel 28 i direktiv 95/46, at kontrollen med videregivelsen af personoplysninger til et tredjeland, der har været genstand for en afgørelse fra Kommissionen i henhold til direktivets artikel 25, stk. 6, er udelukket fra de nationale tilsynsmyndigheders kompetence. |
55 |
Navnlig indeholder artikel 28, stk. 4, første afsnit, i direktiv 95/46, der fastsætter, at »[e]nhver kan indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger« til de nationale tilsynsmyndigheder, ikke nogen undtagelse i denne henseende for det tilfælde, at Kommissionen har vedtaget en afgørelse i henhold til direktivets artikel 25, stk. 6. |
56 |
Det ville desuden være i strid med den ved direktiv 95/46 indførte ordning og med formålet med direktivets artikel 25 og 28, såfremt en afgørelse fra Kommissionen vedtaget på grundlag af direktivets artikel 25, stk. 6, bevirkede, at en national tilsynsmyndighed blev forhindret i at undersøge en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af den pågældendes personoplysninger, som er blevet eller kan blive videregivet fra en medlemsstat til et af afgørelsen omhandlet tredjeland. |
57 |
Tværtimod finder artikel 28 i direktiv 95/46 i kraft af selve sin art anvendelse på enhver behandling af personoplysninger. Selv når der foreligger en afgørelse fra Kommissionen vedtaget i henhold til direktivets artikel 25, stk. 6, skal de nationale tilsynsmyndigheder, for hvilke en person har indgivet en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger vedrørende den pågældende, således i fuld uafhængighed kunne undersøge, om videregivelsen af disse oplysninger opfylder de ved direktivet fastsatte krav. |
58 |
I modsat fald ville de personer, hvis personoplysninger er blevet eller kan blive videregivet til det pågældende tredjeland, blive berøvet deres ved chartrets artikel 8, stk. 1 og 3, sikrede ret til at indgive en anmodning til de nationale tilsynsmyndigheder med henblik på beskyttelse af deres grundlæggende rettigheder (jf. analogt dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 68). |
59 |
En anmodning som omhandlet i artikel 28, stk. 4, i direktiv 95/46, hvorved en person, hvis personoplysninger er blevet eller kan blive videregivet til et tredjeland, gør gældende, ligesom det er tilfældet i hovedsagen, at dette lands lovgivning og praksis – uanset det af Kommissionen fastslåede i en afgørelse vedtaget i henhold til direktivets artikel 25, stk. 6 – ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal forstås således, at den i det væsentlige vedrører denne afgørelses forenelighed med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder. |
60 |
I denne henseende bemærkes, at det fremgår af Domstolens faste praksis, at Unionen er en retsunion, hvor enhver retsakt fra dens institutioner er undergivet kontrol med, at den er forenelig med bl.a. traktaterne, de generelle retsprincipper og de grundlæggende rettigheder (jf. i denne retning domme Kommissionen m.fl. mod Kadi, C-584/10 P, C-593/10 P og C-595/10 P, EU:C:2013:518, præmis 66, Inuit Tapiriit Kanatami m.fl. mod Parlamentet og Rådet, C-583/11 P, EU:C:2013:625, præmis 91, og Telefónica mod Kommissionen, C-274/12 P, EU:C:2013:852, præmis 56). De afgørelser, som Kommissionen vedtager i medfør af artikel 25, stk. 6, i direktiv 95/46, kan derfor ikke undslippe en sådan kontrol. |
61 |
Når dette er sagt, er Domstolen enekompetent til at fastslå ugyldigheden af en EU-retsakt, såsom en afgørelse vedtaget af Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46, idet formålet med den eksklusive karakter af denne kompetence er at garantere retssikkerheden ved at sikre en ensartet anvendelse af EU-retten (jf. domme Melki og Abdeli, C-188/10 og C-189/10, EU:C:2010:363, præmis 54, og CIVAD, C-533/10, EU:C:2012:347, præmis 40). |
62 |
Selv om de nationale domstole ganske vist har ret til at efterprøve gyldigheden af en EU-retsakt, såsom en afgørelse fra Kommissionen vedtaget i henhold til artikel 25, stk. 6, i direktiv 95/46, er de imidlertid ikke beføjet til selv at erklære en sådan retsakt ugyldig (jf. i denne retning domme Foto-Frost, 314/85, EU:C:1987:452, præmis 15-20, og IATA og ELFAA, C-344/04, EU:C:2006:10, præmis 27). Så meget desto mere gælder det, at de nationale tilsynsmyndigheder under behandlingen af en anmodning som omhandlet i direktivets artikel 28, stk. 4, vedrørende spørgsmålet, om en afgørelse fra Kommissionen vedtaget i henhold til direktivets artikel 25, stk. 6, er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder, ikke har ret til selv at konstatere, at en sådan afgørelse er ugyldig. |
63 |
Når en person, hvis personoplysninger er blevet eller kan blive videregivet til et tredjeland, der har været genstand for en afgørelse vedtaget af Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46, indgiver en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandlingen af disse oplysninger til en national tilsynsmyndighed og i forbindelse med denne anmodning bestrider, således som det er tilfældet i hovedsagen, at afgørelsen er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder, påhviler det – henset til disse betragtninger – denne myndighed at behandle anmodningen med den fornødne omhu. |
64 |
For det tilfælde, at den nævnte myndighed når frem til den konklusion, at de forhold, der er blevet gjort gældende til støtte for en sådan anmodning, savner grundlag, og som følge heraf afviser anmodningen, skal den person, der har indgivet anmodningen, således som det fremgår af artikel 28, stk. 3, andet afsnit, i direktiv 95/46, sammenholdt med chartrets artikel 47, have adgang til de retslige retsmidler, der gør det muligt for den pågældende at bestride en sådan bebyrdende retsakt ved de nationale domstole. Henset til den retspraksis, der er anført i denne doms præmis 61 og 62, er disse domstole forpligtet til at udsætte sagen og forelægge Domstolen et præjudicielt spørgsmål vedrørende gyldigheden, såfremt de er af den opfattelse, at et eller flere af de ugyldighedsanbringender, som parterne har påberåbt sig for dem, eller som de nævnte domstole i givet fald har rejst af egen drift, er begrundede (jf. i denne retning dom T & L Sugars og Sidul Açúcares mod Kommissionen, C-456/13, EU:C:2015:284, præmis 48 og den deri nævnte retspraksis). |
65 |
I det modsatte tilfælde, hvor den nævnte myndighed finder, at de klagepunkter, som er fremsat af den person, der har indgivet en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandlingen af vedkommendes personoplysninger, er begrundede, skal myndigheden i overensstemmelse med artikel 28, stk. 3, første afsnit, tredje led, i direktiv 95/46, sammenholdt med bl.a. chartrets artikel 8, stk. 3, kunne anlægge sag. I denne henseende påhviler det den nationale lovgiver at fastsætte retsmidler, der gør det muligt for den pågældende nationale tilsynsmyndighed at gøre de klagepunkter, som den finder begrundede, gældende for de nationale domstole, således at disse, såfremt de deler myndighedens tvivl vedrørende gyldigheden af Kommissionens afgørelse, kan foretage en præjudiciel forelæggelse med henblik på en efterprøvelse af denne afgørelses gyldighed. |
66 |
Henset til de ovenstående betragtninger skal de forelagte spørgsmål besvares med, at artikel 25, stk. 6, i direktiv 95/46, sammenholdt med chartrets artikel 7, 8 og 47, skal fortolkes således, at en afgørelse vedtaget i henhold til denne bestemmelse, såsom beslutning 2000/520, hvorved Kommissionen fastslår, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, ikke er til hinder for, at en medlemsstats tilsynsmyndighed som omhandlet i direktivets artikel 28 behandler en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, der vedrører den pågældende, og som er blevet videregivet fra en medlemsstat til dette tredjeland, når denne person gør gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau. |
Om gyldigheden af beslutning 2000/520
67 |
Således som det fremgår af den forelæggende rets redegørelse vedrørende de forelagte spørgsmål, har Maximillian Schrems under retsforhandlingerne i hovedsagen gjort gældende, at den gældende lovgivning og praksis i USA ikke sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25 i direktiv 95/46. Som anført af generaladvokaten i punkt 123 og 124 i forslaget til afgørelse, har Maximillian Schrems rejst tvivl om gyldigheden af beslutning 2000/520, hvilken tvivl den forelæggende ret i øvrigt i det væsentlige synes at dele. Under sådanne omstændigheder skal det, henset til de konstateringer, der er foretaget i denne doms præmis 60-63, og med henblik på at give den nævnte ret en fyldestgørende besvarelse, undersøges, om beslutningen er i overensstemmelse med de krav, der følger af direktivet, sammenholdt med chartret. |
Om de krav, der følger af artikel 25, stk. 6, i direktiv 95/46
68 |
Som allerede anført i denne doms præmis 48 og 49, forbyder artikel 25, stk. 1, i direktiv 95/46 videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau. |
69 |
Med henblik på kontrollen med en sådan videregivelse fastsætter direktivets artikel 25, stk. 6, første afsnit, imidlertid, at Kommissionen »kan […] fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder«. |
70 |
Ganske vist indeholder hverken artikel 25, stk. 2, i direktiv 95/46 eller nogen anden bestemmelse i direktivet en definition af begrebet et tilstrækkeligt beskyttelsesniveau. Navnlig begrænser direktivets artikel 25, stk. 2, sig til at fastsætte, at vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, »sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger«, og bestemmelsen opregner på ikke-udtømmende vis de forhold, som lægges til grund ved en sådan vurdering. |
71 |
Som det imidlertid for det første fremgår af selve ordlyden af artikel 25, stk. 6, i direktiv 95/46, kræver denne bestemmelse, at et tredjeland »sikrer« et tilstrækkeligt beskyttelsesniveau på grundlag af dets nationale lovgivning eller dets internationale forpligtelser. For det andet fremgår det ligeledes af denne bestemmelse, at vurderingen af, om beskyttelsesniveauet i tredjelandet er tilstrækkeligt, sker »med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder«. |
72 |
Artikel 25, stk. 6, i direktiv 95/46 gennemfører således den udtrykkelige forpligtelse til beskyttelse af personoplysninger, der er fastsat i chartrets artikel 8, stk. 1, og har til formål, således som generaladvokaten har anført i punkt 139 i forslaget til afgørelse, at sikre et fortsat højt niveau for denne beskyttelse i tilfælde af videregivelse af personoplysninger til et tredjeland. |
73 |
Ordet »tilstrækkeligt«, der er indeholdt i artikel 25, stk. 6, i direktiv 95/46, indebærer ganske vist, at det ikke kan kræves, at et tredjeland sikrer et beskyttelsesniveau, som er identisk med det niveau, som er sikret i Unionens retsorden. Som anført af generaladvokaten i punkt 141 i forslaget til afgørelse, skal udtrykket »et tilstrækkeligt beskyttelsesniveau« imidlertid forstås således, at det opstiller et krav om, at dette tredjeland på grundlag af dets nationale lovgivning eller dets internationale forpligtelser faktisk sikrer et beskyttelsesniveau for frihedsrettighederne og de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret inden for Unionen i medfør af direktiv 95/46, sammenholdt med chartret. Såfremt der ikke blev opstillet et sådant krav, ville det mål, som er anført i denne doms foregående præmis, være tilsidesat. Desuden ville det høje beskyttelsesniveau, der er sikret ved direktiv 95/46, sammenholdt med chartret, let kunne omgås ved videregivelse af personoplysninger fra Unionen til tredjelande med henblik på behandling heraf i disse lande. |
74 |
Det fremgår af den udtrykkelige ordlyd af artikel 25, stk. 6, i direktiv 95/46, at det er retsordenen i det tredjeland, der er omhandlet i Kommissionens afgørelse, som skal sikre et tilstrækkeligt beskyttelsesniveau. Selv om de midler, som tredjelandet anvender i denne henseende for at sikre et sådant beskyttelsesniveau, kan være forskellige fra de midler, som gennemføres inden for Unionen med henblik på at sikre overholdelsen af de krav, der følger af dette direktiv, sammenholdt med chartret, skal disse midler ikke desto mindre i praksis vise sig at være effektive med henblik på at sikre en beskyttelse, som i det væsentlige svarer til den inden for Unionen sikrede beskyttelse. |
75 |
På denne baggrund er Kommissionen under vurderingen af et tredjelands beskyttelsesniveau forpligtet til at bedømme såvel indholdet af de regler, der finder anvendelse i dette land, og som følger af landets nationale lovgivning eller internationale forpligtelser, som den praksis, hvorved det tilsigtes at sikre overholdelsen af disse regler, idet den nævnte institution i overensstemmelse med artikel 25, stk. 2, i direktiv 95/46 skal tage hensyn til samtlige de forhold, der vedrører en videregivelse af personoplysninger til et tredjeland. |
76 |
Henset til den omstændighed, at det beskyttelsesniveau, som et tredjeland sikrer, kan ændre sig, påhviler det endvidere Kommissionen efter vedtagelse af en afgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46 at undersøge med regelmæssige mellemrum, om konstateringen vedrørende det tilstrækkelige beskyttelsesniveau, som er sikret i det pågældende tredjeland, stadig er faktisk og retligt begrundet. En sådan undersøgelse skal under alle omstændighed foretages, når oplysninger bevirker, at der opstår tvivl i denne henseende. |
77 |
Som anført af generaladvokaten i punkt 134 og 135 i forslaget til afgørelse, skal der under vurderingen af gyldigheden af en afgørelse vedtaget af Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46 desuden også tages hensyn til begivenheder, der er indtruffet efter vedtagelsen af afgørelsen. |
78 |
I denne henseende bemærkes, at henset til dels den betydelige rolle, som beskyttelsen af personoplysninger spiller i forhold til den grundlæggende ret til respekt for privatlivet, dels det betragtelige antal personer, hvis grundlæggende rettigheder kan blive tilsidesat i tilfælde af videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau, er Kommissionens skønsbeføjelse for så vidt angår vurderingen af, om et tredjelands beskyttelsesniveau er tilstrækkeligt, begrænset, hvorfor der skal foretages en streng efterprøvelse af de krav, som følger af artikel 25 i direktiv 95/46, sammenholdt med chartret (jf. analogt dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 47 og 48). |
Om artikel 1 i beslutning 2000/520
79 |
Kommissionen anførte i artikel 1, stk. 1, i beslutning 2000/520, at de i bilag I til denne beslutning omhandlede principper, der finder anvendelse i overensstemmelse med de i bilag II til beslutningen omhandlede FAQ, sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der videregives fra Unionen til i USA etablerede foretagender. Det fremgår af denne bestemmelse, at såvel disse principper som disse FAQ er blevet udstedt af det amerikanske handelsministerium. |
80 |
Et foretagendes tilslutning til safe harbor-principperne sker på grundlag af et selvcertificeringssystem, således som det fremgår af beslutningens artikel 1, stk. 2 og 3, sammenholdt med FAQ nr. 6, der er indeholdt i bilag II til nævnte beslutning. |
81 |
Selv om et tredjelands anvendelse af et selvcertificeringssystem ikke i sig selv er i strid med det i artikel 25, stk. 6, i direktiv 95/46 fastsatte krav, hvorefter det pågældende tredjeland skal sikre et tilstrækkeligt beskyttelsesniveau »på grundlag af [dette lands] nationale lovgivning eller […] internationale forpligtelser«, hviler pålideligheden af et sådant system, henset til dette krav, hovedsageligt på indførelsen af effektive afslørings- og kontrolmekanismer, der gør det muligt i praksis at identificere og sanktionere eventuelle tilsidesættelser af de regler, som sikrer beskyttelsen af de grundlæggende rettigheder, herunder af retten til respekt for privatlivet og af retten til beskyttelse af personoplysninger. |
82 |
I det foreliggende tilfælde er safe harbor-principperne i medfør af andet afsnit i bilag I til beslutning 2000/520 »udelukkende beregnet på at blive anvendt af amerikanske foretagender, der modtager personoplysninger fra EU, og som ønsker at leve op til kravene i safe harbor-ordningen og således drage fordel af den formodning om »tilstrækkelighed«, dette medfører«. Disse principper finder således udelukkende anvendelse på de selvcertificerede amerikanske foretagender, der modtager personoplysninger fra Unionen, uden at der stilles krav om, at de amerikanske offentlige myndigheder i USA undergives overholdelse af de nævnte principper. |
83 |
Desuden fremgår det af artikel 2 i beslutning 2000/520, at beslutningen »[kun] vedrører […] tilstrækkeligheden af den beskyttelse, der opnås i USA i kraft af [safe harbor-]principperne, der gennemføres i overensstemmelse med FAQ, med henblik på at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46[…]«, uden herved at indeholde tilstrækkelige konstateringer for så vidt angår de foranstaltninger, hvorved USA på grundlag af landets nationale lovgivning og internationale forpligtelser sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i direktivets artikel 25, stk. 6. |
84 |
Hertil skal tilføjes, at i overensstemmelse med fjerde afsnit i bilag I til beslutning 2000/520 kan anvendelsen af disse principper bl.a. begrænses »til et niveau, der er tilstrækkeligt for at opfylde kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden«, og af »love, administrative bestemmelser eller retspraksis, der medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme«. |
85 |
I denne henseende bliver det i beslutning 2000/520, under afsnit B i bilag IV hertil, fremhævet for så vidt angår de begrænsninger, som anvendelsen af safe harbor-principperne er underlagt, at »[d]e amerikanske foretagender […] uanset deres deltagelse i safe harbor-ordningen helt klart [skal] overholde loven, når der i den amerikanske lovgivning forekommer modstridende forpligtelser«. |
86 |
Beslutning 2000/520 fastsætter således, at »kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden [i USA]« har forrang for safe harbor-principperne, og i medfør af denne forrang er de selvcertificerede amerikanske myndigheder, der modtager personoplysninger fra Unionen, forpligtet til uden begrænsning at se bort fra disse principper, når disse er i modstrid med disse krav og derfor viser sig uforenelige med kravene. |
87 |
Henset til den generelle karakter af undtagelsen i fjerde afsnit i bilag I til beslutning 2000/520 åbner beslutningen således op for, at der på grundlag af kravene vedrørende statens sikkerhed og almenvellet eller på grundlag af den nationale amerikanske lovgivning foretages indgreb i de grundlæggende rettigheder hos de personer, hvis personoplysninger bliver eller kan blive videregivet fra Unionen til USA. I denne henseende er det ved afgørelsen af, om der foreligger et indgreb i den grundlæggende ret til respekt for privatlivet, uden betydning, om de videregivne oplysninger er følsomme oplysninger, eller om indgrebet har medført eventuelle ubehageligheder for de berørte (dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 33 og den deri nævnte retspraksis). |
88 |
Desuden indeholder beslutning 2000/520 ingen konstateringer om, hvorvidt der i USA foreligger regler af statslig karakter, hvorved det tilsigtes at begrænse de eventuelle indgreb i de grundlæggende rettigheder hos de personer, hvis oplysninger bliver videregivet fra Unionen til USA, hvilke indgreb de statslige enheder i dette land er beføjet til at foretage, når der herved forfølges legitime mål, såsom statens sikkerhed. |
89 |
Hertil skal tilføjes, at det ikke fremgår af beslutning 2000/520, at der foreligger en effektiv domstolsbeskyttelse mod indgreb af denne art. Således som generaladvokaten har anført i punkt 204-206 i forslaget til afgørelse, vedrører de private voldgiftsmekanismer og procedurerne ved FTC – hvis beføjelser, der bl.a. er beskrevet i det i bilag II til beslutningen indeholdte FAQ nr. 11, er begrænset til handelstvister – de amerikanske foretagenders overholdelse af safe harbor-principperne, og de kan ikke benyttes i forbindelse med tvister om lovligheden af de indgreb i de grundlæggende rettigheder, der følger af statslige foranstaltninger. |
90 |
Den ovenfor foretagne analyse af beslutning 2000/520 bekræftes desuden af den vurdering, som Kommissionen selv har foretaget af den situation, der følger af gennemførelsen af denne beslutning. Navnlig i punkt 2 og 3.2 i meddelelse KOM(2013) 846 endelig og i punkt 7.1, 7.2 og 8 i meddelelse KOM(2013) 847 endelig, hvis indhold er beskrevet i henholdsvis præmis 13-16 og præmis 22, 23 og 25 i denne dom, konstaterede Kommissionen nemlig, at de amerikanske myndigheder kunne få adgang til personoplysninger, der blev videregivet fra medlemsstaterne til USA, og behandle disse på en måde, der bl.a. var i strid med formålet med videregivelsen heraf, og som gik ud over, hvad der var strengt nødvendigt og stod i forhold til beskyttelsen af statens sikkerhed. Tilsvarende konstaterede Kommissionen, at de berørte personer ikke rådede over administrative eller retslige retsmidler, der kunne gøre det muligt for dem at få adgang til de oplysninger, der vedrørte dem, og til i givet fald at få disse berigtiget eller slettet. |
91 |
Hvad angår det inden for Unionen sikrede beskyttelsesniveau for frihedsrettigheder og grundlæggende rettigheder fremgår det af Domstolens faste praksis, at en EU-lovgivning, som indebærer et indgreb i de ved chartrets artikel 7 og 8 sikrede grundlæggende rettigheder, skal fastsætte klare og præcise regler, som regulerer rækkevidden og anvendelsen af en foranstaltning og opstiller en række mindstekrav, således at de personer, hvis personoplysninger er berørt, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres oplysninger mod risikoen for misbrug og mod ulovlig adgang til og anvendelse af disse oplysninger. Behovet for at råde over sådanne garantier er så meget desto større, når personoplysningerne undergives automatisk databehandling, og der eksisterer en betydelig risiko for ulovlig adgang til disse oplysninger (dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 54 og 55 og den deri nævnte retspraksis). |
92 |
Desuden kræver beskyttelsen af den grundlæggende ret til respekt for privatlivet på EU-plan særligt, at undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger holdes inden for det strengt nødvendige (dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 52 og den deri nævnte retspraksis). |
93 |
En lovgivning, der på generel vis tillader opbevaring af samtlige personoplysninger fra samtlige de personer, hvis oplysninger er blevet videregivet fra Unionen til USA, uden at der bliver foretaget nogen form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål, og uden at der bliver fastsat noget objektivt kriterium, som gør det muligt at afgrænse de offentlige myndigheders adgang til oplysningerne og deres senere anvendelse heraf med henblik på veldefinerede formål, der er strengt begrænsede, og som kan begrunde det indgreb, som såvel adgangen til disse oplysninger som anvendelsen heraf indebærer, er således ikke begrænset til det strengt nødvendige (jf. i denne retning for så vidt angår Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15.3.2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT L 105, s. 54) dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 57-61). |
94 |
Navnlig skal en lovgivning, der gør det muligt for de offentlige myndigheder på generel vis at få adgang til indholdet af elektronisk kommunikation, anses for at udgøre et indgreb i det væsentligste indhold af den grundlæggende ret til respekt for privatlivet, således som denne er sikret ved chartrets artikel 7 (jf. i denne retning dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 39). |
95 |
Tilsvarende opfylder en lovgivning, der ikke fastsætter nogen mulighed for retssubjektet til at gøre brug af retsmidler med henblik på at få adgang til personoplysninger, som vedrører den pågældende, eller til at få sådanne oplysninger berigtiget eller slettet, ikke det væsentligste indhold af den grundlæggende ret til en effektiv domstolsbeskyttelse, således som denne er sikret ved chartrets artikel 47. Chartrets artikel 47, stk. 1, opstiller således et krav om, at enhver, hvis rettigheder og friheder som sikret af EU-retten er blevet krænket, skal have adgang til effektive retsmidler for en domstol under overholdelse af de betingelser, der er fastsat i denne artikel. I denne henseende er selve eksistensen af en effektiv domstolsbeskyttelse, som skal sikre overholdelsen af de EU-retlige bestemmelser, uløseligt forbundet med eksistensen af en retsstat (jf. i denne retning domme Les Verts mod Parlamentet, 294/83, EU:C:1986:166, præmis 23, Johnston, 222/84, EU:C:1986:206, præmis 18 og 19, Heylens m.fl., 222/86, EU:C:1987:442, præmis 14, og UGT-Rioja m.fl., C-428/06 – C-434/06, EU:C:2008:488, præmis 80). |
96 |
Således som det er blevet fastslået i bl.a. præmis 71, 73 og 74 i denne dom, kræver Kommissionens vedtagelse af en afgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46, at Kommissionen behørigt konstaterer, at det pågældende tredjeland på grundlag af dets nationale lovgivning eller dets internationale forpligtelser faktisk sikrer et beskyttelsesniveau for de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret i Unionens retsorden, således som dette bl.a. er beskrevet i de foregående præmisser i denne dom. |
97 |
Det bemærkes imidlertid, at Kommissionen ikke anførte i beslutning 2000/520, at USA faktisk »sikrer« et tilstrækkeligt beskyttelsesniveau på grundlag af landets nationale lovgivning eller dets internationale forpligtelser. |
98 |
Som følge heraf, og uden at det er fornødent at undersøge safe harbor-principperne med hensyn til deres indhold, skal det fastslås, at beslutningens artikel 1 tilsidesætter de krav, der er fastsat i artikel 25, stk. 6, i direktiv 95/46, sammenholdt med chartret, og at bestemmelsen følgelig er ugyldig. |
Om artikel 3 i beslutning 2000/520
99 |
Det fremgår af betragtningerne i denne doms præmis 53, 57 og 63, at henset til artikel 28 i direktiv 95/46, sammenholdt med bl.a. chartrets artikel 8, skal de nationale tilsynsmyndigheder i fuld uafhængighed kunne behandle enhver anmodning om beskyttelse af en persons rettigheder og frihedsrettigheder i forhold til behandlingen af personoplysninger, som vedrører den pågældende. Dette gælder navnlig, når personen i forbindelse med en sådan anmodning rejser tvivl om, hvorvidt en afgørelse fra Kommissionen vedtaget i henhold til direktivets artikel 25, stk. 6, er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder. |
100 |
Artikel 3, stk. 1, første afsnit, i beslutning 2000/520 fastsætter imidlertid en særlig ordning for så vidt angår de beføjelser, som de nationale tilsynsmyndigheder er tillagt i forhold til en af Kommissionen foretaget konstatering af, om beskyttelsesniveauet er tilstrækkeligt som omhandlet i artikel 25 i direktiv 95/46. |
101 |
Det fremgår således af denne bestemmelse, at disse myndigheder – kun under restriktive betingelser, hvorved der fastsættes en høj interventionstærskel – »uden at dette berører deres beføjelser til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i overensstemmelse med andre bestemmelser end artikel 25 i [direktiv 95/46, kan] suspendere overførslen af oplysninger til et foretagende, der […] tilslutter sig principperne [i beslutning 2000/520]«. Selv om denne bestemmelse ikke berører disse myndigheders beføjelse til at træffe foranstaltninger, der har til formål at sikre overholdelsen af nationale bestemmelser vedtaget i henhold til dette direktiv, udelukker den derimod de nævnte myndigheders mulighed for at træffe foranstaltninger for at sikre iagttagelsen af direktivets artikel 25. |
102 |
Artikel 3, stk. 1, første afsnit, i beslutning 2000/520 skal derfor forstås således, at den berøver de nationale tilsynsmyndigheder de beføjelser, som de er tillagt i medfør af artikel 28 i direktiv 95/46, i det tilfælde, hvor en person i forbindelse med en anmodning i henhold til denne bestemmelse anfører nogle forhold, der kan rejse tvivl om, hvorvidt en afgørelse fra Kommissionen, hvorved det på grundlag af direktivets artikel 25, stk. 6, er blevet konstateret, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder. |
103 |
Den gennemførelsesbeføjelse, som EU-lovgiver har indrømmet Kommissionen i artikel 25, stk. 6, i direktiv 95/46, giver imidlertid ikke denne institution kompetence til at begrænse de beføjelser hos de nationale tilsynsmyndigheder, der er omhandlet i denne doms foregående præmis. |
104 |
På denne baggrund må det fastslås, at Kommissionen ved at vedtage artikel 3 i beslutning 2000/520 har overskredet den kompetence, som den er blevet tillagt i artikel 25, stk. 6, i direktiv 95/46, sammenholdt med chartret, og at bestemmelsen følgelig er ugyldig. |
105 |
Da artikel 1 og 3 i beslutning 2000/520 ikke kan adskilles fra beslutningens artikel 2 og 4 og fra bilagene til beslutningen, indebærer deres ugyldighed, at beslutningens gyldighed i det hele berøres. |
106 |
Henset til samtlige ovenstående betragtninger må det fastslås, at beslutning 2000/520 er ugyldig. |
Sagens omkostninger
107 |
Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagens omkostninger. Bortset fra nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes. |
På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret: |
|
|
Underskrifter |
( * ) Processprog: engelsk.