EUR-Lex Adgang til EU-lovgivningen
Dette dokument er et uddrag fra EUR-Lex
Dokument 62018CJ0311
Judgment of the Court (Grand Chamber) of 16 July 2020.#Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems.#Request for a preliminary ruling from the High Court (Ireland).#Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Regulation (EU) 2016/679 — Article 2(2) — Scope — Transfers of personal data to third countries for commercial purposes — Article 45 — Commission adequacy decision — Article 46 — Transfers subject to appropriate safeguards — Article 58 — Powers of the supervisory authorities — Processing of the data transferred by the public authorities of a third country for national security purposes — Assessment of the adequacy of the level of protection in the third country — Decision 2010/87/EU — Protective standard clauses on the transfer of personal data to third countries — Suitable safeguards provided by the data controller — Validity — Implementing Decision (EU) 2016/1250 — Adequacy of the protection provided by the EU-US Privacy Shield — Validity — Complaint by a natural person whose data was transferred from the European Union to the United States.#Case C-311/18.
Domstolens dom (Store Afdeling) af 16. juli 2020.
Data Protection Commissioner mod Facebook Ireland Limited og Maximillian Schrems.
Anmodning om præjudiciel afgørelse indgivet af High Court (Irland).
Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – forordning (EU) 2016/679 – artikel 2, stk. 2 – anvendelsesområde – overførsel af personoplysninger til tredjelande til forretningsmæssige formål – artikel 45 – Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet – artikel 46 – overførsler omfattet af fornødne garantier – artikel 58 – tilsynsmyndighedernes beføjelser – behandling af de overførte oplysninger, som de offentlige myndigheder i et tredjeland foretager af hensyn til den nationale sikkerhed – vurdering af tilstrækkeligheden af det beskyttelsesniveau, der er sikret i tredjelandet – afgørelse 2010/87/EU – standardbestemmelser om beskyttelse ved overførsel af personoplysninger til tredjelande – fornødne garantier, der gives af den dataansvarlige – gyldighed – gennemførelsesafgørelse (EU) 2016/1250 – tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af Den Europæiske Unions og USA’s værn om privatlivets fred – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet overført fra Den Europæiske Union til USA.
Sag C-311/18.
Domstolens dom (Store Afdeling) af 16. juli 2020.
Data Protection Commissioner mod Facebook Ireland Limited og Maximillian Schrems.
Anmodning om præjudiciel afgørelse indgivet af High Court (Irland).
Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – forordning (EU) 2016/679 – artikel 2, stk. 2 – anvendelsesområde – overførsel af personoplysninger til tredjelande til forretningsmæssige formål – artikel 45 – Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet – artikel 46 – overførsler omfattet af fornødne garantier – artikel 58 – tilsynsmyndighedernes beføjelser – behandling af de overførte oplysninger, som de offentlige myndigheder i et tredjeland foretager af hensyn til den nationale sikkerhed – vurdering af tilstrækkeligheden af det beskyttelsesniveau, der er sikret i tredjelandet – afgørelse 2010/87/EU – standardbestemmelser om beskyttelse ved overførsel af personoplysninger til tredjelande – fornødne garantier, der gives af den dataansvarlige – gyldighed – gennemførelsesafgørelse (EU) 2016/1250 – tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af Den Europæiske Unions og USA’s værn om privatlivets fred – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet overført fra Den Europæiske Union til USA.
Sag C-311/18.
ECLI-indikator: ECLI:EU:C:2020:559
DOMSTOLENS DOM (Store Afdeling)
16. juli 2020 ( *1 )
»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – forordning (EU) 2016/679 – artikel 2, stk. 2 – anvendelsesområde – overførsel af personoplysninger til tredjelande til forretningsmæssige formål – artikel 45 – Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet – artikel 46 – overførsler omfattet af fornødne garantier – artikel 58 – tilsynsmyndighedernes beføjelser – behandling af de overførte oplysninger, som de offentlige myndigheder i et tredjeland foretager af hensyn til den nationale sikkerhed – vurdering af tilstrækkeligheden af det beskyttelsesniveau, der er sikret i tredjelandet – afgørelse 2010/87/EU – standardbestemmelser om beskyttelse ved overførsel af personoplysninger til tredjelande – fornødne garantier, der gives af den dataansvarlige – gyldighed – gennemførelsesafgørelse (EU) 2016/1250 – tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af Den Europæiske Unions og USA’s værn om privatlivets fred – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet overført fra Den Europæiske Union til USA«
I sag C-311/18,
angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af High Court (ret i første instans, Irland) ved afgørelse af 4. maj 2018, indgået til Domstolen den 9. maj 2018, i sagen
Data Protection Commissioner
mod
Facebook Ireland Ltd,
Maximillian Schrems,
procesdeltagere:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance Inc.,
Digitaleurope,
har
DOMSTOLEN (Store Afdeling),
sammensat af præsidenten, K. Lenaerts, vicepræsidenten, R. Silva de Lapuerta, afdelingsformændene A. Arabadjiev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P.G. Xuereb, L.S. Rossi og I. Jarukaiti samt dommerne M. Ilešič, T. von Danwitz (refererende dommer) og D. Šváby,
generaladvokat: H. Saugmandsgaard Øe,
justitssekretær: fuldmægtig C. Strömholm,
på grundlag af den skriftlige forhandling og efter retsmødet den 9. juli 2019,
efter at der er afgivet indlæg af:
– |
Data Protection Commissioner ved solicitor D. Young, B. Murray, SC, M. Collins, SC, og C. Donnelly, BL, |
– |
Facebook Ireland Ltd ved P. Gallagher, SC, N. Hyland, SC, A. Mulligan, BL, og F. Kieran, BL, samt solicitors P. Nolan, C. Monaghan, C. O’Neill og R. Woulfe, |
– |
Maximillian Schrems ved Rechtsanwalt H. Hofmann, E. McCullough, SC, J. Doherty, SC, S. O’Sullivan, SC, og solicitor G. Rudden, |
– |
The United States of America ved E. Barrington, SC, S. Kingston, BL, samt solicitors S. Barton og B. Walsh, |
– |
Electronic Privacy Information Centre ved solicitor S. Lucey, G. Gilmore, BL, A. Butler, BL, og C. O’Dwyer, SC, |
– |
BSA Business Software Alliance Inc. ved advocaten B. Van Vooren og K. Van Quathem, |
– |
Digitaleurope ved barrister N. Cahill, solicitor J. Cahir og M. Cush, SC, |
– |
Irland ved A. Joyce og M. Browne, som befuldmægtigede, bistået af D. Fennelly, BL, |
– |
den belgiske regering ved J.-C. Halleux og P. Cottin, som befuldmægtigede, |
– |
den tjekkiske regering ved M. Smolek, J. Vláčil, O. Serdula og A. Kasalická, som befuldmægtigede, |
– |
den tyske regering ved J. Möller, D. Klebs og T. Henze, som befuldmægtigede, |
– |
den franske regering ved A.-L. Desjonquères, som befuldmægtiget, |
– |
den nederlandske regering ved C.S. Schillemans, M.K. Bulterman og M. Noort, som befuldmægtigede, |
– |
den østrigske regering ved J. Schmoll og G. Kunnert, som befuldmægtigede, |
– |
den polske regering ved B. Majczyna, som befuldmægtiget, |
– |
den portugisiske regering ved L. Inez Fernandes, A. Pimenta og C. Vieira Guerra, som befuldmægtigede, |
– |
Det Forenede Kongeriges regering ved S. Brandon, som befuldmægtiget, bistået af J. Holmes, QC, og barrister C. Knight, |
– |
Europa-Parlamentet ved M.J. Martínez Iglesias og A. Caiola, som befuldmægtigede, |
– |
Europa-Kommissionen ved D. Nardi, H. Krämer og H. Kranenborg, som befuldmægtigede, |
– |
Det Europæiske Databeskyttelsesråd (EDPB) ved A. Jelinek og K. Behn, som befuldmægtigede, |
og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 19. december 2019,
afsagt følgende
Dom
1 |
Anmodningen om præjudiciel afgørelse vedrører nærmere bestemt
|
2 |
Anmodningen er blevet indgivet i forbindelse med en tvist mellem Data Protection Commissioner (kommissæren for databeskyttelse, Irland, herefter »Commissioner«) på den ene side og Facebook Ireland Ltd og Maximillian Schrems på den anden side vedrørende en klage indgivet af sidstnævnte vedrørende Facebook Irelands overførsel af hans personoplysninger til Facebook Inc. i USA. |
Retsforskrifter
Direktiv 95/46
3 |
Artikel 3 i direktiv 95/46 med overskriften »Anvendelsesområde« bestemte følgende i stk. 2: »Dette direktiv gælder ikke for sådan behandling af personoplysninger,
[…]« |
4 |
Dette direktivs artikel 25 bestemte følgende: »1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger […] kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes. 2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger […] […] 6. Kommissionen kan efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger. Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.« |
5 |
Det nævnte direktivs artikel 26, stk. 2 og 4, fastsatte følgende: »2. Med forbehold af stk. 1 kan en medlemsstat give tilladelse til videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, hvis den registeransvarlige yder tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder; sådanne garantier kan især fremgå af passende kontraktbestemmelser. […] 4. Fastslår Kommissionen efter proceduren i artikel 31, stk. 2, at visse standardkontraktbestemmelser frembyder tilstrækkelige garantier i henhold til stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.« |
6 |
Samme direktivs artikel 28, stk. 3, havde følgende ordlyd: »Hver tilsynsmyndighed skal bl.a. kunne:
[…]« |
Databeskyttelsesforordningen
7 |
Direktiv 95/46 er blevet ophævet og erstattet af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2, herefter »databeskyttelsesforordningen«). |
8 |
Følgende fremgår af 6., 10., 101., 103., 104., 107.-109., 114., 116. og 141. betragtning til databeskyttelsesforordningen:
[…]
[…]
[…]
[…]
[…]
[…]
[…]
|
9 |
Databeskyttelsesforordningens artikel 2, stk. 1 og 2, fastsætter følgende: »1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. 2. Denne forordning gælder ikke for behandling af personoplysninger:
|
10 |
Nævnte forordnings artikel 4 bestemmer følgende: »I denne forordning forstås ved: […]
[…]
[…]« |
11 |
Samme forordnings artikel 23 fastsætter følgende: »1. EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:
[…] 2. Navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:
|
12 |
Databeskyttelsesforordningens kapitel V, der har overskriften »Overførsler af personoplysninger til tredjelande eller internationale organisationer«, omfatter forordningens artikel 44-50. Artikel 44 heri, der har overskriften »Generelt princip for overførsler«, har følgende ordlyd: »Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i dette kapitel med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.« |
13 |
Forordningens artikel 45, der har overskriften »Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet«, fastsætter følgende i stk. 1-3: »1. Overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau. En sådan overførsel kræver ikke specifik godkendelse. 2. Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elementer i betragtning:
3. Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision, som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den internationale organisation. I gennemførelsesretsakten angives dennes territoriale og sektorbestemte anvendelsesområde og i påkommende tilfælde den eller de tilsynsmyndigheder, der er omhandlet i denne artikels stk. 2, litra b). Gennemførelsesretsakten vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.« |
14 |
Databeskyttelsesforordningens artikel 46, der har overskriften »Overførsler omfattet af fornødne garantier«, bestemmer følgende i stk. 1-3: »1. Hvis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis vedkommende har givet de fornødne garantier, og på betingelse af at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige. 2. De fornødne garantier i stk. 1 kan uden krav om specifik godkendelse fra en tilsynsmyndighed sikres gennem:
3. Med forbehold af godkendelse fra den kompetente tilsynsmyndighed kan de fornødne garantier i stk. 1 også sikres gennem navnlig:
|
15 |
Samme forordnings artikel 49, der har overskriften »Undtagelser i særlige situationer«, fastsætter følgende: »1. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, eller fornødne garantier i henhold til artikel 46, herunder bindende virksomhedsregler, må en overførsel eller flere overførsler af personoplysninger til et tredjeland eller en international organisation kun finde sted på en af følgende betingelser:
Hvis overførsel ikke kan have hjemmel i en bestemmelse i artikel 45 eller 46, herunder bestemmelserne om bindende virksomhedsregler, og ingen af undtagelserne i særlige situationer omhandlet i dette stykkes første afsnit finder anvendelse, må en overførsel til et tredjeland eller en international organisation kun finde sted, hvis overførslen ikke gentages, kun vedrører et begrænset antal registrerede, er nødvendig af hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, den registreredes interesser eller rettigheder og frihedsrettigheder ikke går forud for disse interesser, og den dataansvarlige har vurderet alle omstændigheder i forbindelse med overførslen og på grundlag af denne vurdering giver passende garantier for beskyttelse af personoplysningerne. Den dataansvarlige underretter tilsynsmyndigheden om overførslen. Ud over oplysningerne i artikel 13 og 14 underretter den dataansvarlige den registrerede om overførslen og om de vægtige legitime interesser, der forfølges. 2. En overførsel i henhold til stk. 1, første afsnit, litra g), må ikke omfatte alle personoplysninger eller hele kategorier af personoplysninger i et register. Når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, må overførsel kun ske på anmodning af disse personer, eller hvis de skal være modtagerne. 3. Stk. 1, første afsnit, litra a), b) og c), og stk. 1, andet afsnit, finder ikke anvendelse på aktiviteter, der gennemføres af offentlige myndigheder som led [i] udøvelsen af deres offentligretlige beføjelser. 4. De samfundsinteresser, der er omhandlet i stk. 1, første afsnit, litra d), skal være anerkendt i EU-retten eller retten i den medlemsstat, som den dataansvarlige er underlagt. 5. Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, kan EU-retten eller medlemsstaternes nationale ret af hensyn til vigtige samfundsinteresser udtrykkelig fastsætte grænser for overførsel af særlige kategorier af oplysninger til et tredjeland eller en international organisation. Medlemsstaterne giver Kommissionen meddelelse om disse bestemmelser. 6. Den dataansvarlige eller databehandleren dokumenterer vurderingen og de passende garantier i denne artikels stk. 1, andet afsnit, i de fortegnelser, der er omhandlet i artikel 30.« |
16 |
Databeskyttelsesforordningens artikel 51, stk. 1, har følgende ordlyd: »Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«).« |
17 |
I henhold til denne forordnings artikel 55, stk. 1, »[er] [h]ver tilsynsmyndighed […] kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.« |
18 |
Nævnte forordnings artikel 57, stk. 1, fastsætter følgende: »Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:
[…]
[…]« |
19 |
Samme forordnings artikel 58, stk. 2 og 4, bestemmer følgende: »2. Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser: […]
[…]
[…] 4. Udøvelse af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, der er fastsat i EU-retten eller medlemsstaternes nationale ret i overensstemmelse med chartret.« |
20 |
Databeskyttelsesforordningens artikel 64, stk. 2, fastsætter følgende: »En tilsynsmyndighed, formanden for [Det Europæiske Databeskyttelsesråd (EDPB)] eller Kommissionen kan kræve, at ethvert almengyldigt spørgsmål eller ethvert spørgsmål, der har virkninger i mere end én medlemsstat, drøftes af Databeskyttelsesrådet med henblik på en udtalelse, navnlig hvis en kompetent tilsynsmyndighed ikke opfylder forpligtelserne vedrørende gensidig bistand, jf. artikel 61, eller vedrørende fælles aktiviteter, jf. artikel 62.« |
21 |
Denne forordnings artikel 65, stk. 1, bestemmer følgende: »Med henblik på at sikre korrekt og konsekvent anvendelse af denne forordning i hvert enkelt tilfælde vedtager Databeskyttelsesrådet en bindende afgørelse i følgende tilfælde: […]
|
22 |
Nævnte forordnings artikel 77, der har overskriften »Ret til at indgive klage til en tilsynsmyndighed«, er affattet som følger. »1. Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning. 2. Den tilsynsmyndighed, som klagen er indgivet til, underretter klageren om forløbet og resultatet af klagen, herunder om muligheden for anvendelse af retsmidler, jf. artikel 78.« |
23 |
Samme forordnings artikel 78, der har overskriften »Adgang til effektive retsmidler over for en tilsynsmyndighed«, fastsætter følgende i stk. 1 og 2: »1. Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller juridisk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende. 2. Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 55 og 56, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage, der er indgivet i henhold til artikel 77, inden for tre måneder.« |
24 |
Databeskyttelsesforordningens artikel 94 bestemmer følgende: »1. Direktiv [95/46] ophæves med virkning fra den 25. maj 2018. 2. Henvisninger til det ophævede direktiv gælder som henvisninger til denne forordning. Henvisninger til Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved artikel 29 i direktiv [95/46], gælder som henvisninger til Det Europæiske Databeskyttelsesråd oprettet ved denne forordning.« |
25 |
Forordningens artikel 99 lyder som følger: »1. Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende. 2. Den anvendes fra den 25. maj 2018.« |
Afgørelsen om standardkontraktbestemmelser
26 |
11. betragtning til afgørelsen om standardkontraktbestemmelser har følgende ordlyd: »Medlemsstaternes tilsynsmyndigheder spiller en central rolle i denne kontraktordning ved at sikre, at personoplysninger beskyttes tilstrækkeligt efter videregivelsen. I særlige tilfælde, hvor dataeksportøren nægter eller ikke er i stand til at instruere dataimportøren behørigt, med overhængende risiko for alvorlig skade for de registrerede til følge, bør standardkontraktbestemmelserne give tilsynsmyndighederne adgang til at foretage inspektion hos dataimportørerne og de underkontraherede registerførere og i givet fald at træffe beslutninger, som er bindende for dataimportørerne og de underkontraherede registerførere. Tilsynsmyndighederne bør have beføjelse til at forbyde eller suspendere videregivelse eller en type videregivelse af personoplysninger på grundlag af standardkontraktbestemmelserne i de særlige tilfælde, hvor det konstateres, at videregivelse på grundlag af kontraktbestemmelserne kan forventes at få en betydelig negativ virkning på de garantier og forpligtelser, hvormed den registrerede sikres en passende beskyttelse.« |
27 |
Denne afgørelses artikel 1 bestemmer følgende: »De i bilaget fastsatte standardkontraktbestemmelser anses for at yde tilstrækkelige garantier for beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder, som fastsat i artikel 26, stk. 2, i direktiv [95/46].« |
28 |
I overensstemmelse med denne afgørelses artikel 2, stk. 2, »[finder afgørelsen] anvendelse på videregivelse af personoplysninger fra registeransvarlige, der er etableret i Den Europæiske Union, til modtagere, som er etableret uden for Den Europæiske Unions område, og som blot behandler disse oplysninger«. |
29 |
Samme afgørelses artikel 3 bestemmer følgende: »I denne afgørelse forstås ved: […]
[…]
[…]« |
30 |
Artikel 4 i afgørelsen om standardkontraktbestemmelser fastsatte i sin oprindelige udgave, før ikrafttrædelsen af gennemførelsesafgørelse 2016/2297, følgende: »1. De kompetente myndigheder i medlemsstaterne kan, uden at det berører deres beføjelse til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i henhold til kapitel II, III, V og VI i direktiv [95/46], gøre brug af deres beføjelser til at forbyde eller suspendere datastrømmen til tredjelande for at beskytte fysiske personer med hensyn til behandling af deres personoplysninger:
2. Forbud eller suspension i henhold til stk. 1 ophæves straks, når grundene til forbuddet eller suspensionen ikke længere eksisterer. 3. Når medlemsstaterne vedtager foranstaltninger i overensstemmelse med stk. 1 og 2, underretter de straks Kommissionen, som igen underretter de øvrige medlemsstater.« |
31 |
Femte betragtning til gennemførelsesafgørelse 2016/2297, der blev vedtaget efter afsigelsen af dom af 6. oktober 2015, Schrems (C-362/14, EU:C:2015:650), er affattet som følger: »En kommissionsafgørelse truffet i henhold til artikel 26, stk. 4, i direktiv [95/46] er med de fornødne ændringer bindende for alle organer i de medlemsstater, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder, for så vidt som dens virkning er at anerkende, at videregivelser på grundlag af de standardkontraktbestemmelser, som omhandles i førnævnte artikel, frembyder tilstrækkelige garantier som krævet [i] direktivets artikel 26, stk. 2. Dette forhindrer ikke en national tilsynsmyndighed i at udøve sine beføjelser til at overvåge videregivelser af oplysninger, herunder beføjelsen til at suspendere eller forbyde en videregivelse af personoplysninger, hvis den finder, at videregivelsen udføres i strid med EU’s databeskyttelsesregler eller de nationale databeskyttelsesregler, for eksempel hvis dataimportøren ikke overholder standardkontraktbestemmelserne.« |
32 |
Artikel 4 i afgørelsen om standardkontraktbestemmelser er i sin nuværende udgave, der følger af gennemførelsesafgørelse 2016/2297, affattet som følger: »Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv [95/46], og dette fører til suspension eller definitivt forbud mod videregivelse af oplysninger til tredjelande med det formål at beskytte personer i forbindelse med behandlingen af deres personoplysninger, underretter den pågældende medlemsstat straks Kommissionen, som underretter de øvrige medlemsstater.« |
33 |
Bilaget til afgørelsen om standardkontraktbestemmelser, der har overskriften »Standardkontraktbestemmelser (»Registerførere«)«, omfatter 12 standardbestemmelser. Standardbestemmelse 3, der har overskriften »Tredjemandsløfte«, fastsætter følgende: »1. Den registrerede kan som begunstiget tredjemand håndhæve denne standardbestemmelse, standardbestemmelse 4, litra b)-i), standardbestemmelse 5, litra a)-e) og g)-j), standardbestemmelse 6, stk. 1 og 2, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataeksportøren. 2. Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataimportøren i tilfælde, hvor dataeksportøren faktisk eller retligt set er ophørt med at eksistere, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan retssuccessor. […]« |
34 |
Standardbestemmelse 4 i dette bilag, der har overskriften »Dataeksportørens pligter«, har følgende ordlyd: »Dataeksportøren accepterer og garanterer:
[…]
[…]« |
35 |
Standardbestemmelse 5 i det nævnte bilag, der har overskriften »Dataimportørens pligter […]«, bestemmer følgende: »Dataimportøren accepterer og garanterer:
[…]
[…]« |
36 |
Den fodnote, der henvises til i overskriften til standardbestemmelse 5, er affattet som følger: »Obligatoriske krav i den nationale lovgivning, der finder anvendelse på dataimportøren, og som ikke er mere vidtgående end dem, der er nødvendige i et demokratisk samfund på basis af en af de grunde, der er nævnt i artikel 13, stk. 1, i direktiv [95/46], det vil sige, hvis de udgør en nødvendig restriktion af hensyn til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller brud på etiske regler for lovregulerede erhverv, en medlemsstats væsentlige økonomiske eller finansielle interesser eller beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder, er ikke i strid med standardbestemmelserne. […]« |
37 |
Standardbestemmelse 6 i bilaget til afgørelsen om standardkontraktbestemmelser, der har overskriften »Erstatningsansvar«, fastsætter følgende: »1. Parterne er enige om, at registrerede, der har lidt skade som følge af en parts eller en underkontraheret registerførers overtrædelse af de forpligtelser, der er omhandlet i standardbestemmelse 3 eller 11, har ret til erstatning fra dataeksportøren for den lidte skade. 2. Hvis en registreret i tilfælde, hvor dataimportøren eller hans underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren i henhold til stk. 1, fordi dataeksportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent, accepterer dataimportøren, at den registrerede kan fremsætte krav mod dataimportøren, som om han var dataeksportøren […] […]« |
38 |
Standardbestemmelse 8 i dette bilag, der har overskriften »Samarbejdet med tilsynsmyndighederne«, fastsætter følgende i stk. 2: »Parterne accepterer, at tilsynsmyndigheden har ret til at foretage en inspektion af dataimportøren og en eventuel underkontraheret registerfører med samme formål og på de samme betingelser som en inspektion af dataeksportøren i henhold til den gældende databeskyttelseslovgivning.« |
39 |
I standardbestemmelse 9 i det nævnte bilag, der har overskriften »Lovvalg«, er det præciseret, at standardbestemmelserne er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret. |
40 |
Standardbestemmelse 11 i samme bilag, der har overskriften »Udlicitering«, har følgende ordlyd: »1. Dataimportøren udliciterer ikke noget af den databehandling, han foretager på dataeksportørens vegne i henhold til standardbestemmelserne, uden dataeksportørens forudgående skriftlige samtykke. Når dataimportøren med dataeksportørens samtykke, udliciterer sine forpligtelser i henhold til standardbestemmelserne, sker dette udelukkende ved indgåelse af en skriftlig aftale med den underkontraherede registerfører, som herved pålægges de samme forpligtelser, som dem, der påhviler dataimportøren i henhold til standardbestemmelserne. […] 2. Den forudgående skriftlige kontrakt mellem dataimportøren og den underkontraherede registerfører indeholder også et tredjemandsløfte som fastsat i standardbestemmelse 3 for tilfælde, hvor den registrerede ikke kan fremsætte erstatningskrav som anført i standardbestemmelse 6, stk. 1, mod dataeksportøren eller dataimportøren, fordi de faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, og ingen retssuccessor har påtaget sig alle dataeksportørens eller dataimportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning. Den underkontraherede registerførers erstatningsansvar begrænses til hans egen databehandling i henhold til standardbestemmelserne. […]« |
41 |
Standardbestemmelse 12 i bilaget til afgørelsen om standardkontraktbestemmelser, der har overskriften »Forpligtelser efter afsluttet databehandling af personoplysninger«, fastsætter følgende i stk. 1: »Parterne er enige om, at dataimportøren og den underkontraherede registerfører, når databehandlingen af personoplysningerne er afsluttet, og afhængigt af dataeksportørens ønske, enten returnerer alle videregivne personoplysninger og eksemplarer heraf til dataeksportøren eller destruerer alle personoplysninger og attesterer dette over for dataeksportøren, medmindre den lovgivning, som dataimportøren er underlagt, forhindrer ham i at returnere eller destruere alle eller en del af de videregivne personoplysninger. […]« |
Afgørelsen om værnet om privatlivets fred
42 |
Ved dom af 6. oktober 2015, Schrems (C-362/14, EU:C:2015:650), fastslog Domstolen, at Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til direktiv 95/46 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium (EFT 2000, L 215, s. 7), hvori Kommissionen havde konstateret, at USA sikrede et tilstrækkeligt beskyttelsesniveau, var ugyldig. |
43 |
Efter afsigelsen af denne dom vedtog Kommissionen afgørelsen om værnet om privatlivets fred, efter at den med henblik herpå havde vurderet amerikansk ret, således som det er angivet i 65. betragtning til denne afgørelse: »Kommissionen har vurderet begrænsningerne og garantierne i amerikansk ret for de amerikanske myndigheders adgang til og brug af personoplysninger overført under [Den Europæiske Unions] og USA’s værn om privatlivets fred med henblik på beskyttelsen af den nationale sikkerhed, retshåndhævelse og andre offentlige interesser. Den amerikanske regering har desuden gennem Office of the Director of National Intelligence (ODNI) […] forelagt detaljerede udredninger og tilsagn for Kommissionen, som findes i bilag VI til denne afgørelse. Ved brev fra den amerikanske udenrigsminister knyttet som bilag III til denne afgørelse har den amerikanske regering ligeledes forpligtet sig til at indføre en ny tilsynsmekanisme for nationale sikkerhedsforanstaltninger, nemlig ombudsmanden i værnet om privatlivets fred, der er uafhængig af de amerikanske efterretningstjenester. Endelig beskrives [i] bilag VII til denne afgørelse de gældende begrænsninger og garantier for de offentlige myndigheders adgang til og brug af oplysninger med henblik på retshåndhævelse og andre offentlige interesser i en udredning fra det amerikanske justitsministerium. For at øge gennemsigtigheden og afspejle den retlige karakter af disse forpligtelser vil de enkelte dokumenter, der er anført i og knyttet til denne afgørelse, blive offentliggjort i USA’s Federal Register.« |
44 |
Kommissionens analyse af disse begrænsninger og garantier er sammenfattet i 67.-135. betragtning til afgørelsen om værnet om privatlivets fred, mens Kommissionens konklusioner vedrørende det tilstrækkelige beskyttelsesniveau i Den Europæiske Unions og USA’s værn om privatlivets fred er anført i 136.-141. betragtning til afgørelsen. |
45 |
Af 68., 69., 76., 77., 109., 112.-116., 120., 136. og 140. betragtning til denne afgørelse fremgår navnlig følgende:
[…]
[…]
[…]
[…]
[…]
[…]
|
46 |
Artikel 1 i afgørelsen om værnet om privatlivets fred har følgende ordlyd: »1. Med henblik på artikel 25, stk. 2, i direktiv [95/46] sikrer USA et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til foretagender i USA under [Den Europæiske Unions] og USA’s værn om privatlivets fred. 2. [Den Europæiske Unions] og USA’s værn om privatlivets fred består af de principper, som er opstillet af det amerikanske handelsministerium den 7. juli 2016 som fastsat i bilag II og de officielle udredninger og tilsagn indeholdt i de dokumenter, der er opført i bilag I og III-VII. 3. Med henblik på stk. 1 overføres personoplysninger under [Den Europæiske Unions] og USA’s værn om privatlivets fred, hvis de overføres fra EU til foretagender i USA, der er opført på »listen over deltagere i værnet om privatlivets fred«, som føres og offentliggøres af det amerikanske handelsministerium i overensstemmelse med afsnit I og III i principperne i bilag II.« |
47 |
Bilag II til afgørelsen om værnet om privatlivets fred, der har overskriften »Principperne i ordningen for [Den Europæiske Unions] og USA’s værn om privatlivets fred fra det amerikanske handelsministerium«, fastsætter i punkt I.5., at tilslutning til disse principper navnlig kan være begrænset »til et niveau, der er tilstrækkeligt til at opfylde kravene med hensyn til den nationale sikkerhed, den offentlige interesse eller retshåndhævelsen«. |
48 |
Bilag III til denne afgørelse indeholder en skrivelse af 7. juli 2016 fra den daværende Secretary of State (udenrigsminister, USA), John Kerry, til kommissæren for retlige anliggender, forbrugere og ligestilling mellem mænd og kvinder, der som bilag A er vedlagt et memorandum med overskriften »Ombudsmandsmekanismen i [Den Europæiske Unions] og USA’s værn om privatlivets fred Signalefterretning«, som indeholder følgende passage: »I erkendelse af betydningen af ordningen for [Den Europæiske Unions] og USA’s værn om privatlivets fred redegøres i dette memorandum for processen til gennemførelse af en ny mekanisme i henhold til Presidential Policy Directive 28 (PPD-28) om signalefterretninger […] […] Præsident Obama annoncerede udstedelsen af et nyt præsidentielt direktiv, PPD-28, der »skal beskrive klart, hvad vi gør og ikke gør, når det kommer til oversøisk overvågning«. I medfør af Section 4(d) i PPD-28 skal den amerikanske udenrigsminister udpege en »Senior Coordinator for International Information Technology Diplomacy« (seniorkoordinator), der skal »[…] være kontaktpunkt for udenlandske regeringer, der ønsker at rejse spørgsmål om amerikanske signalefterretningsaktiviteter«. […]
[…]« |
49 |
Bilag VI til afgørelsen om værnet om privatlivets fred indeholder en skrivelse af 21. juni 2016 fra Office of the Director of National Intelligence (kontoret for direktøren for den nationale efterretningstjeneste) til den amerikanske handelsminister og til International Trade Administration, hvori det er præciseret, at PPD-28 tillader, at der foretages »»masseindsamling« […] af et forholdsvist højt antal signalefterretningsoplysninger eller ‑data under omstændigheder, hvor efterretningstjenesterne ikke kan anvende en identifikator knyttet til et specifikt mål […] for at målrette indsamlingen«. |
Tvisten i hovedsagen og de præjudicielle spørgsmål
50 |
Maximillian Schrems, der er østrigsk statsborger med bopæl i Østrig, har været bruger af det sociale netværk Facebook (herefter »Facebook«) siden 2008. |
51 |
Enhver, der har bopæl på Unionens område, og som ønsker at anvende Facebook, skal i forbindelse med sin registrering indgå en aftale med Facebook Ireland, som er et datterselskab til Facebook Inc., der selv har hjemsted i USA. Personoplysningerne vedrørende Facebook-brugere, som har bopæl på Unionens område, overføres helt eller delvist til servere i USA, der tilhører Facebook Inc., hvor de er genstand for en behandling. |
52 |
Den 25. juni 2013 indgav Maximillian Schrems en klage til Commissioner, hvori han i det væsentlige anmodede denne om at forbyde Facebook Ireland at overføre hans personoplysninger til USA, idet han anførte, at den gældende lovgivning og praksis i dette land ikke sikrede en tilstrækkelig beskyttelse af de personoplysninger, der opbevares på landets område, mod den overvågningsvirksomhed, som de offentlige myndigheder udøvede dér. Denne klage blev afslået bl.a. med den begrundelse, at Kommissionen i beslutning 2000/520 havde fastslået, at USA sikrede et tilstrækkeligt beskyttelsesniveau. |
53 |
High Court (ret i første instans, Irland), ved hvilken Maximillian Schrems anlagde sag til prøvelse af afslaget på klagen, anmodede Domstolen om en præjudiciel afgørelse vedrørende fortolkningen og gyldigheden af beslutning 2000/520. Ved dom af 6. oktober 2015, Schrems (C-362/14, EU:C:2015:650), fastslog Domstolen, at denne beslutning var ugyldig. |
54 |
Efter den nævnte dom annullerede den forelæggende ret afslaget på Maximillian Schrems’ klage og hjemviste klagen til Commissioner. I forbindelse med den undersøgelse, som Commissioner indledte, forklarede Facebook Ireland, at en stor del af personoplysningerne blev overført til Facebook Inc. på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser. Henset til disse oplysninger opfordrede Commissioner Maximillian Schrems til at omformulere sin klage. |
55 |
Maximillian Schrems gjorde i sin således omformulerede klage, der blev indgivet den 1. december 2015, navnlig gældende, at Facebook Inc. efter amerikansk ret skal stille de personoplysninger, som overføres til det, til rådighed for de amerikanske myndigheder, såsom National Security Agency (NSA) (den nationale sikkerhedstjeneste) og Federal Bureau of Investigation (FBI) (den føderale efterforskningsmyndighed). Han anførte, at eftersom disse oplysninger blev anvendt i forbindelse med forskellige overvågningsprogrammer på en måde, som var uforenelig med chartrets artikel 7, 8 og 47, kunne afgørelsen om standardkontraktbestemmelser ikke begrunde overførslen af disse oplysninger til USA. Maximillian Schrems anmodede under disse omstændigheder Commissioner om at forbyde eller suspendere overførslen af hans personoplysninger til Facebook Inc. |
56 |
Den 24. maj 2016 offentliggjorde Commissioner et »udkast til afgørelse« med en sammenfatning af de foreløbige konklusioner af dennes undersøgelse. I dette udkast anførte Commissioner foreløbigt, at der var risiko for, at unionsborgernes personoplysninger, som blev overført til USA, ville blive tilgået og behandlet af de amerikanske myndigheder på en måde, som var uforenelig med chartrets artikel 7 og 8, og at amerikansk ret ikke indeholdt retsmidler for borgerne, som var forenelige med chartrets artikel 47. Commissioner fandt, at standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser ikke kunne afhjælpe denne mangel, for så vidt som de kun gav de registrerede kontraktlige rettigheder mod dataeksportøren og dataimportøren, men imidlertid ikke var bindende for de amerikanske myndigheder. |
57 |
Commissioner var under disse omstændigheder af den opfattelse, at Maximillian Schrems omformulerede klage rejste spørgsmålet om gyldigheden af afgørelsen om standardkontraktbestemmelser, og denne indbragte derfor den 31. maj 2016 under henvisning til den retspraksis, der følger af dom af 6. oktober 2015, Schrems (C-362/14, EU:C:2015:650, præmis 65), sagen for High Court (ret i første instans), med henblik på at denne forelagde Domstolen spørgsmålet herom. Ved afgørelse af 4. maj 2018 har High Court (ret i første instans) indgivet den foreliggende anmodning om præjudiciel afgørelse til Domstolen. |
58 |
High Court (ret i første instans) har som bilag til den præjudicielle forelæggelse vedlagt en dom afsagt den 3. oktober 2017, hvori den har anført resultaterne af undersøgelsen af de beviser, der blev fremlagt for den i forbindelse med den nationale procedure, som den amerikanske regering deltog i. |
59 |
I den nævnte dom, som der flere gange henvises til i anmodningen om præjudiciel afgørelse, har den forelæggende ret anført, at den principielt ikke alene har ret, men også pligt til at undersøge samtlige faktiske omstændigheder og argumenter, som gøres gældende for den, for på grundlag heraf at afgøre, om en præjudiciel forelæggelse er nødvendig. Den har under alle omstændigheder pligt til at tage hensyn til eventuelle ændringer af lovgivningen i perioden mellem sagens anlæggelse og afholdelsen af retsmødet for den. Den forelæggende ret har præciseret, at dens egen bedømmelse i forbindelse med hovedsagen ikke er begrænset til de ugyldighedsanbringender, som Commissioner har fremsat, idet den også kan rejse andre gyldighedsspørgsmål ex officio og på grundlag heraf foretage en præjudiciel forelæggelse. |
60 |
Ifølge konstateringerne i den nævnte dom er de amerikanske myndigheders efterretningsaktiviteter for så vidt angår personoplysninger, der overføres til USA, navnlig baseret på FISA’s section 702 og på E.O. 12333. |
61 |
Hvad angår FISA’s section 702 har den forelæggende ret i samme dom præciseret, at denne bestemmelse giver justitsministeren og direktøren for den nationale efterretningstjeneste mulighed for i fællesskab, efter at have opnået FISC’s godkendelse, at give tilladelse til, at der med henblik på at indsamle »udenlandske efterretningsoplysninger« foretages overvågning af personer, som ikke er amerikanske statsborgere, og som befinder sig uden for USA’s område, navnlig som grundlag for overvågningsprogrammerne Prism og Upstream. I forbindelse med Prism-programmet har internetudbydere ifølge den forelæggende rets konstateringer pligt til at videregive al kommunikation, der sendes til eller modtages fra en »selektor«, idet en del af denne kommunikation ligeledes videregives til FBI og Central Intelligence Agency (CIA) (den centrale efterretningstjeneste). |
62 |
Hvad angår Upstream-programmet har den forelæggende ret anført, at de televirksomheder, der benytter internettets »rygrad« – dvs. kabelnetværket, switchere og routere – i forbindelse med dette program er tvunget til at give NSA mulighed for at kopiere og filtrere internettrafikken for at indsamle kommunikation, der sendes af eller modtages af eller vedrører ikke-amerikanske personer, der er omfattet af en »selektor«. I forbindelse med dette program har NSA ifølge den forelæggende rets konstateringer adgang til såvel metadata som indholdet af den omhandlede kommunikation. |
63 |
Med hensyn til E.O. 12333 har den forelæggende ret anført, at dette gør det muligt for NSA at få adgang til oplysninger, der er i »transit« til USA, ved at tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser. Den forelæggende ret har præciseret, at de aktiviteter, som udføres på grundlag af E.O. 12333, ikke er reguleret ved lov. |
64 |
Med hensyn til de begrænsninger, der gælder for efterretningsaktiviteter, har den forelæggende ret fremhævet det forhold, at ikke-amerikanske personer alene er omfattet af PPD-28, og at det heri blot er angivet, at efterretningsaktiviteterne skal være »så målrettede som muligt« (as tailored as feasible). Denne ret er på baggrund af sine konstateringer af den opfattelse, at USA foretager behandling af massedata uden at sikre en beskyttelse, som i det væsentlige svarer til den, der er garanteret ved chartrets artikel 7 og 8. |
65 |
Med hensyn til domstolsbeskyttelsen har den forelæggende ret anført, at unionsborgere ikke har adgang til de samme retsmidler, som amerikanske statsborgere har til prøvelse af de amerikanske myndigheders behandlinger af personoplysninger, eftersom den fjerde tillægsbestemmelse til Constitution of the United States (USA’s forfatning), der i amerikansk ret udgør den vigtigste beskyttelse mod ulovlig overvågning, ikke finder anvendelse på unionsborgere. Den forelæggende ret har i denne forbindelse præciseret, at de retsmidler, som er til rådighed for unionsborgere, er forbundet med væsentlige forhindringer, navnlig i form af forpligtelsen til at godtgøre søgsmålskompetence – en betingelse, som efter den forelæggende rets opfattelse er uforholdsmæssigt vanskelig at opfylde. Ifølge den forelæggende rets konstateringer er de aktiviteter, som NSA udfører på grundlag af E.O. 12333, i øvrigt ikke underlagt et retsligt tilsyn og kan ikke gøres til genstand for domstolsprøvelse. Endelig finder den forelæggende ret, at eftersom ombudsmanden i værnet om privatlivets fred efter dens opfattelse ikke udgør en domstol som omhandlet i chartrets artikel 47, sikrer amerikansk ret ikke unionsborgerne et beskyttelsesniveau, der i det væsentlige svarer til det, som den grundlæggende rettighed i henhold til denne artikel garanterer. |
66 |
Den forelæggende ret har i anmodningen om præjudiciel afgørelse endvidere præciseret, at hovedsagens parter navnlig er uenige om, hvorvidt EU-retten finder anvendelse på overførsler til et tredjeland af personoplysninger, der kan blive behandlet af dette lands myndigheder, bl.a. af hensyn til den nationale sikkerhed, og om, hvilke forhold der skal tages i betragtning ved vurderingen af, om dette land sikrer et tilstrækkeligt beskyttelsesniveau. Den forelæggende ret har navnlig fremhævet, at ifølge Facebook Ireland er Kommissionens konstateringer vedrørende tilstrækkeligheden af beskyttelsesniveauet i et tredjeland – såsom de konstateringer, der er foretaget i afgørelsen om værnet om privatlivets fred – også bindende for tilsynsmyndighederne i forbindelse med en overførsel af personoplysninger baseret på standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser. |
67 |
Hvad angår disse standardbestemmelser om databeskyttelse er den forelæggende ret i tvivl om, hvorvidt afgørelsen om standardkontraktbestemmelser kan anses for at være gyldig, når de nævnte standardbestemmelser ifølge denne ret ikke er bindende for de statslige myndigheder i det pågældende tredjeland og derfor ikke kan afhjælpe et eventuelt manglende tilstrækkeligt beskyttelsesniveau i dette land. I denne henseende er den forelæggende ret af den opfattelse, at den mulighed, som medlemsstaternes kompetente myndigheder har i henhold til artikel 4, stk. 1, litra a), i afgørelsen om standardkontraktbestemmelser, i den affattelse, der var gældende før ikrafttrædelsen af gennemførelsesafgørelse 2016/2297, for at forbyde videregivelse af personoplysninger til et tredjeland, som pålægger dataimportøren krav, som er uforenelige med de garantier, der er indeholdt i disse bestemmelser, viser, at tredjelandets retstilstand kan begrunde et forbud mod en overførsel af oplysninger, selv om den sker på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser, og således tydeliggør, at disse kan være utilstrækkelige til at sikre en tilstrækkelig beskyttelse. Den forelæggende ret er imidlertid i tvivl om rækkevidden af Commissioners beføjelse til at forbyde en overførsel af oplysninger på grundlag af disse bestemmelser, idet den samtidig er af den opfattelse, at en skønsbeføjelse ikke kan være tilstrækkelig til at sikre en tilstrækkelig beskyttelse. |
68 |
Under disse omstændigheder har High Court (ret i første instans) besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:
|
Formaliteten vedrørende anmodningen om præjudiciel afgørelse
69 |
Facebook Ireland, den tyske regering og Det Forenede Kongeriges regering har gjort gældende, at anmodningen om præjudiciel afgørelse ikke kan antages til realitetsbehandling. |
70 |
Hvad angår den indsigelse, som er rejst af Facebook Ireland, har dette selskab anført, at de bestemmelser i direktiv 95/46, som de præjudicielle spørgsmål er baseret på, er blevet ophævet ved databeskyttelsesforordningen. |
71 |
Selv om det i denne henseende er korrekt, at direktiv 95/46 i henhold til databeskyttelsesforordningens artikel 94, stk. 1, er blevet ophævet med virkning fra den 25. maj 2018, var dette direktiv stadig i kraft den 4. maj 2018, som er datoen for den foreliggende anmodning om præjudiciel afgørelse, der indgik til Domstolen den 9. maj 2018. Desuden er artikel 3, stk. 2, første led, artikel 25 og 26 samt artikel 28, stk. 3, i direktiv 95/46, som de præjudicielle spørgsmål henviser til, i det væsentlige gengivet i henholdsvis artikel 2, stk. 2, og artikel 45, 46 og 58 i databeskyttelsesforordningen. Det bemærkes i øvrigt, at det påhviler Domstolen at fortolke alle de bestemmelser i EU-retten, som de nationale retter skal anvende for at træffe afgørelse i de for dem verserende tvister, også selv om disse bestemmelser ikke udtrykkeligt er omtalt i de præjudicielle spørgsmål, der forelægges den (dom af 2.4.2020, Ruska Federacija, C-897/19 PPU, EU:C:2020:262, præmis 43 og den deri nævnte retspraksis). Af disse forskellige grunde kan den omstændighed, at den forelæggende ret har formuleret de præjudicielle spørgsmål alene under henvisning til bestemmelserne i direktiv 95/46, ikke medføre, at den foreliggende anmodning om præjudiciel afgørelse skal afvises. |
72 |
Den tyske regering har støttet sin formalitetsindsigelse på den omstændighed dels, at Commissioner kun har udtrykt tvivl og ikke en endelig opfattelse med hensyn til spørgsmålet om gyldigheden af afgørelsen om standardkontraktbestemmelser, dels at den forelæggende ret har afholdt sig fra at undersøge, om Maximillian Schrems utvivlsomt havde givet samtykke til de i hovedsagen omhandlede overførsler af oplysninger, hvilket i givet fald ville gøre det ufornødent at besvare dette spørgsmål. Endelig er de præjudicielle spørgsmål ifølge Det Forenede Kongeriges regering af hypotetisk karakter, eftersom den forelæggende ret ikke har konstateret, at disse oplysninger faktisk blev overført på grundlag af denne afgørelse. |
73 |
Det følger af Domstolens faste praksis, at det udelukkende tilkommer den nationale ret, for hvilken en tvist er indbragt, og som har ansvaret for den retlige afgørelse, som skal træffes, på grundlag af omstændighederne i den konkrete sag at vurdere, såvel om en præjudiciel afgørelse er nødvendig for, at den kan afsige dom, som relevansen af de spørgsmål, den forelægger Domstolen. Når de forelagte spørgsmål vedrører fortolkningen eller gyldigheden af en EU-retlig regel, er Domstolen derfor principielt forpligtet til at træffe afgørelse. Heraf følger, at der foreligger en formodning for, at spørgsmål, som er forelagt af de nationale retter, er relevante. Domstolen kan kun afslå at træffe afgørelse vedrørende et præjudicielt spørgsmål fra en national ret, såfremt det fremgår, at den ønskede fortolkning savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt problemet er af hypotetisk karakter, eller såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af disse spørgsmål (dom af 16.6.2015, Gauweiler m.fl., C-62/14, EU:C:2015:400, præmis 24 og 25, af 2.10.2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, præmis 45, og af 19.12.2019, Dobersberger, C-16/18, EU:C:2019:1110, præmis 18 og 19). |
74 |
I den foreliggende sag indeholder anmodningen om præjudiciel afgørelse tilstrækkelige faktiske og retlige oplysninger til at forstå rækkevidden af de præjudicielle spørgsmål. Endvidere er der, hvad vigtigere er, intet i sagsakterne for Domstolen, som giver anledning til at fastslå, at den ønskede fortolkningen af EU-retten skulle savne forbindelse med realiteten i hovedsagen eller dennes genstand eller være af hypotetisk karakter, navnlig grundet den omstændighed, at den i hovedsagen omhandlede overførsel af personoplysninger skulle være baseret på den registreredes udtrykkelige samtykke til denne overførsel og ikke på afgørelsen om standardkontraktbestemmelser. Ifølge oplysningerne i denne anmodning har Facebook Ireland nemlig anerkendt, at det overfører personoplysninger om sine brugere med bopæl i Unionen til Facebook Inc., og at en stor del af disse overførsler, hvis lovlighed Maximillian Schrems anfægter, foretages på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser. |
75 |
Det er i øvrigt uden betydning for spørgsmålet, om den foreliggende anmodning om præjudiciel afgørelse kan antages til realitetsbehandling, at Commissioner ikke har givet udtryk for en endelig opfattelse vedrørende gyldigheden af denne afgørelse, eftersom den forelæggende ret er af den opfattelse, at besvarelsen af de præjudicielle spørgsmål vedrørende fortolkningen og gyldigheden af EU-retlige regler er nødvendig for afgørelsen af tvisten i hovedsagen. |
76 |
Anmodningen om præjudiciel afgørelse kan derfor antages til realitetsbehandling. |
Om de præjudicielle spørgsmål
77 |
Indledningsvis bemærkes, at oprindelsen til den foreliggende anmodning om præjudiciel afgørelse er en klage indgivet af Maximillian Schrems, hvori han har anmodet Commissioner om at træffe beslutning om fremadrettet at suspendere eller forbyde Facebook Irelands overførsel af hans personoplysninger til Facebook Inc. Selv om de præjudicielle spørgsmål henviser til bestemmelserne i direktiv 95/46, er det imidlertid ubestridt, at Commissioner endnu ikke havde truffet nogen endelig afgørelse vedrørende denne klage, da dette direktiv blev ophævet og erstattet af databeskyttelsesforordningen med virkning fra den 25. maj 2018. |
78 |
Den omstændighed, at der ikke foreligger en national afgørelse, betyder, at den situation, der er omhandlet i hovedsagen, adskiller sig fra de situationer, der gav anledning til dom af 24. september 2019, Google (territorial rækkevidde af retten til at få fjernet links) (C-507/17, EU:C:2019:772), og af 1. oktober 2019, Planet49 (C-673/17, EU:C:2019:801), som omhandlede afgørelser, der var vedtaget før ophævelsen af det nævnte direktiv. |
79 |
De præjudicielle spørgsmål skal derfor besvares på grundlag af bestemmelserne i databeskyttelsesforordningen og ikke bestemmelserne i direktiv 95/46. |
Det første spørgsmål
80 |
Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 2, stk. 1, og artikel 2, stk. 2, litra a), b) og d), sammenholdt med artikel 4, stk. 2, TEU, skal fortolkes således, at en overførsel af personoplysninger, der foretages af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, er omfattet af denne forordnings anvendelsesområde, når disse oplysninger under eller efter overførslen kan blive behandlet af dette tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed. |
81 |
Det skal i denne forbindelse indledningsvis bemærkes, at bestemmelsen i artikel 4, stk. 2, TEU, hvorefter den nationale sikkerhed inden for Unionen forbliver den enkelte medlemsstats eneansvar, alene vedrører EU-medlemsstaterne. Denne bestemmelse er derfor ikke relevant i den foreliggende sag ved fortolkningen af databeskyttelsesforordningens artikel 2, stk. 1, og artikel 2, stk. 2, litra a), b) og d). |
82 |
I henhold til databeskyttelsesforordningens artikel 2, stk. 1, finder denne anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. I forordningens artikel 4, nr. 2), defineres begrebet »behandling« som »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for«, og som eksempler nævnes »videregivelse ved transmission, formidling eller enhver anden form for overladelse«, uden at der sondres mellem, om aktiviteterne foretages inden for Unionen eller har forbindelse til et tredjeland. Den nævnte forordning underkaster desuden overførsler af personoplysninger til tredjelande særlige regler, som findes i dens kapitel V, der har overskriften »Overførsler af personoplysninger til tredjelande eller internationale organisationer«, og samme forordning giver i øvrigt i denne henseende tilsynsmyndighederne specifikke beføjelser, som er angivet i artikel 58, stk. 2, litra j). |
83 |
Det følger heraf, at den transaktion, der består i at overføre personoplysninger fra en medlemsstat til et tredjeland, som sådan udgør en behandling af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), foretaget på en medlemsstats område, som denne forordning finder anvendelse på i henhold til dens artikel 2, stk. 1 [jf. analogt for så vidt angår artikel 2, litra b), og artikel 3, stk. 1, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 45 og den deri nævnte retspraksis]. |
84 |
Hvad angår spørgsmålet om, hvorvidt en sådan transaktion kan anses for at være udelukket fra anvendelsesområdet for databeskyttelsesforordningen i henhold til dennes artikel 2, stk. 2, bemærkes, at denne bestemmelse fastsætter undtagelser fra forordningens anvendelsesområde som defineret i dens artikel 2, stk. 1, og at disse undtagelser skal fortolkes strengt (jf. analogt for så vidt angår artikel 3, stk. 2, i direktiv 95/46 dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 37 og den deri nævnte retspraksis). |
85 |
Eftersom den i hovedsagen omhandlede overførsel af personoplysninger blev foretaget af Facebook Ireland til Facebook Inc., dvs. mellem to juridiske personer, er overførslen i det foreliggende tilfælde ikke omfattet af databeskyttelsesforordningens artikel 2, stk. 2, litra c), der omhandler behandling af oplysninger, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Den nævnte overførsel er heller ikke omfattet af undtagelserne i denne forordnings artikel 2, stk. 2, litra a), b) og d), eftersom de aktiviteter, der er nævnt som eksempler heri, under alle omstændigheder er statens eller statslige myndigheders aktiviteter, og de vedrører ikke området for den enkelte borgers aktiviteter (jf. analogt for så vidt angår artikel 3, stk. 2, i direktiv 95/46 dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 38 og den deri nævnte retspraksis). |
86 |
Den mulighed, at personoplysninger, der overføres mellem to erhvervsdrivende til forretningsmæssige formål, under eller efter overførslen bliver behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed, kan ikke udelukke en sådan overførsel fra anvendelsesområdet for databeskyttelsesforordningen. |
87 |
Ved udtrykkeligt at forpligte Kommissionen til ved vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, bl.a. at tage hensyn til »relevant lovgivning, både generel og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og offentlige myndigheders adgang til personoplysninger, samt gennemførelsen af sådan lovgivning« fremhæver selve ordlyden af denne forordnings artikel 45, stk. 2, litra a), i øvrigt, at et tredjelands eventuelle behandling af de pågældende oplysninger af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed ikke skaber usikkerhed om, at forordningen finder anvendelse på den omhandlede overførsel. |
88 |
Det følger heraf, at en sådan overførsel ikke kan undtages fra databeskyttelsesforordningens anvendelsesområde af den grund, at de omhandlede oplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed. |
89 |
Det første spørgsmål skal derfor besvares med, at databeskyttelsesforordningens artikel 2, stk. 1 og 2, skal fortolkes således, at en overførsel af personoplysninger, som foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, er omfattet af denne forordnings anvendelsesområde, uanset at disse oplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed. |
Det andet, det tredje og det sjette spørgsmål
90 |
Med det andet, det tredje og det sjette spørgsmål anmoder den forelæggende ret nærmere bestemt Domstolen om at oplyse, hvilket beskyttelsesniveau der kræves efter databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forbindelse med en overførsel af personoplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse. Den forelæggende ret anmoder navnlig Domstolen om at præcisere, hvilke forhold der skal tages i betragtning ved afgørelsen af, om dette beskyttelsesniveau er sikret i forbindelse med en sådan overførsel. |
91 |
Med hensyn til det krævede beskyttelsesniveau følger det af disse bestemmelser, når de sammenholdes, at hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til forordningens artikel 45, stk. 3, må den dataansvarlige eller databehandleren kun overføre personoplysninger til et tredjeland, hvis vedkommende har givet de »fornødne garantier«, og på betingelse af at »rettigheder, som kan håndhæves, og effektive retsmidler« er tilgængelige for de registrerede, idet disse fornødne garantier navnlig kan sikres gennem standardbestemmelser om databeskyttelse vedtaget af Kommissionen. |
92 |
Selv om databeskyttelsesforordningens artikel 46 ikke nærmere angiver karakteren af de krav, der følger af denne henvisning til »fornødne garantier«, til »rettigheder, som kan håndhæves«, og til »effektive retsmidler«, skal det bemærkes, at denne artikel findes i forordningens kapitel V og derfor skal læses i sammenhæng med artikel 44, der har overskriften »Generelt princip for overførsler«, og som bestemmer, at »[a]lle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres«. Dette beskyttelsesniveau skal derfor være garanteret, uanset hvilken bestemmelse i det nævnte kapitel en overførsel af personoplysninger til et tredjeland er baseret på. |
93 |
Som generaladvokaten har anført i punkt 117 i forslaget til afgørelse, tager bestemmelserne i databeskyttelsesforordningens kapitel V nemlig sigte på at sikre opretholdelsen af det høje niveau for denne beskyttelse ved overførsel af personoplysninger til et tredjeland, i overensstemmelse med det formål, som er angivet i sjette betragtning til denne forordning. |
94 |
Databeskyttelsesforordningens artikel 45, stk. 1, første punktum, fastsætter, at overførsel af personoplysninger til et tredjeland kan være tilladt ved en afgørelse truffet af Kommissionen, hvorefter dette tredjeland, et område eller en eller flere specifikke sektorer i dette har et tilstrækkeligt beskyttelsesniveau. I denne henseende kræver udtrykket »et tilstrækkeligt beskyttelsesniveau« ikke, at det pågældende tredjeland garanterer et beskyttelsesniveau, som er identisk med det niveau, som er sikret i Unionens retsorden, men det skal, således som det bekræftes i 104. betragtning til denne forordning, forstås således, at det opstiller et krav om, at dette tredjeland som følge af sin nationale lovgivning eller sine internationale forpligtelser faktisk sikrer et beskyttelsesniveau for frihedsrettighederne og de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret inden for Unionen i medfør af den nævnte forordning, sammenholdt med chartret. Såfremt der ikke blev opstillet et sådant krav, ville det formål, som er anført i den foregående præmis, nemlig være tilsidesat (jf. analogt for så vidt angår artikel 25, stk. 6, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 73). |
95 |
I denne sammenhæng er det i 107. betragtning til databeskyttelsesforordningen anført, at når »et tredjeland, et område eller en specifik sektor i et tredjeland […] ikke længere sikrer et tilstrækkeligt databeskyttelsesniveau[, bør] [o]verførsel af personoplysninger til et sådant tredjeland […] forbydes, medmindre kravene i denne forordning vedrørende overførsel omfattet af fornødne garantier […] er opfyldt«. I denne henseende er det i 108. betragtning til den nævnte forordning præciseret, at i mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet skal de fornødne garantier, som det tilkommer den dataansvarlige eller databehandleren at give i overensstemmelse med samme forordnings artikel 46, stk. 1, »kompensere for den manglende databeskyttelse i et tredjeland« for at »sikre overholdelse af databeskyttelseskravene og de registreredes rettigheder i forbindelse med intern behandling i Unionen«. |
96 |
Det følger heraf, således som generaladvokaten har anført i punkt 115 i forslaget til afgørelse, at disse »fornødne garantier« skal være af en sådan art, at de sikrer, at der for de personer, hvis personoplysninger overføres til et tredjeland på grundlag af standardbestemmelser om databeskyttelse, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret inden for Unionen, således som det er tilfældet for en overførsel baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet. |
97 |
Den forelæggende ret ønsker ligeledes oplyst, om dette beskyttelsesniveau, der i det væsentlige skal svare til det niveau, der er sikret inden for Unionen, skal fastlægges på grundlag af EU-retten, herunder bl.a. de rettigheder, der er sikret ved chartret, og/eller på grundlag af de grundlæggende rettigheder, som er fastsat i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (herefter »EMRK«), eller på grundlag af medlemsstaternes nationale lovgivning. |
98 |
I denne henseende bemærkes, at selv om de grundlæggende rettigheder, som er fastsat i EMRK, udgør generelle principper i EU-retten, således som det bekræftes af artikel 6, stk. 3, TEU, og selv om chartrets artikel 52, stk. 3, bestemmer, at de af chartrets rettigheder, som svarer til dem, der er sikret ved EMRK, har samme betydning og omfang som i nævnte konvention, udgør EMRK ikke et retligt instrument, der er formelt integreret i Unionens retsorden, idet Unionen ikke har tiltrådt den (dom af 26.2.2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, præmis 44 og den deri nævnte retspraksis, og af 20.3.2018, Menci, C-524/15, EU:C:2018:197, præmis 22). |
99 |
Domstolen har under disse omstændigheder fastslået, at fortolkningen af EU-retten og prøvelsen af gyldigheden af EU-retsakter skal foretages i lyset af de grundlæggende rettigheder, der er garanteret ved chartret (jf. analogt dom af 20.3.2018, Menci, C-524/15, EU:C:2018:197, præmis 24). |
100 |
Det fremgår i øvrigt af fast retspraksis, at spørgsmålet om gyldigheden af EU-retlige bestemmelser og, i mangel af en udtrykkelig henvisning til medlemsstaternes ret, fortolkningen af disse ikke kan bedømmes under hensyn til denne nationale ret, selv om den har forfatningsrang, herunder navnlig de grundlæggende rettigheder, således som de er udformet i medlemsstaternes nationale forfatning (jf. i denne retning dom af 17.12.1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, præmis 3, af 13.12.1979, Hauer, 44/79, EU:C:1979:290, præmis 14, og af 18.10.2016, Nikiforidis, C-135/15, EU:C:2016:774, præmis 28 og den deri nævnte retspraksis). |
101 |
Det følger heraf, at eftersom en overførsel af personoplysninger som den i hovedsagen omhandlede, som foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, for det første, således som det fremgår af besvarelsen af det første spørgsmål, er omfattet af databeskyttelsesforordningens anvendelsesområde, og denne forordning for det andet, således som det fremgår af tiende betragtning til denne, har til formål at sikre et ensartet og højt niveau for beskyttelse af fysiske personer inden for Unionen og med henblik herpå sikre, at reglerne for beskyttelse af disse personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen, skal det niveau for beskyttelse af de grundlæggende rettigheder, som kræves i henhold til denne forordnings artikel 46, stk. 1, fastlægges på grundlag af bestemmelserne i netop denne forordning, sammenholdt med de grundlæggende rettigheder, som er sikret ved chartret. |
102 |
Den forelæggende ret ønsker endvidere oplyst, hvilke forhold der skal tages i betragtning ved afgørelsen af, om et tilstrækkeligt beskyttelsesniveau er sikret i forbindelse med en overførsel af personoplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget i henhold til databeskyttelsesforordningens artikel 46, stk. 2, litra c). |
103 |
I denne henseende opregner denne bestemmelse ganske vist ikke de forskellige forhold, der skal tages i betragtning ved vurderingen af, om et tilstrækkeligt beskyttelsesniveau er sikret i forbindelse med en sådan overførsel, men det er i forordningens artikel 46, stk. 1, præciseret, at de registrerede skal være omfattet af fornødne garantier samt have rettigheder, der kan håndhæves, og effektive retsmidler. |
104 |
Ved den vurdering, der med henblik herpå kræves i forbindelse med en sådan overførsel, skal der navnlig tages hensyn til både de kontraktvilkår, som er aftalt mellem den dataansvarlige eller dennes databehandler, som er etableret i Unionen, og modtageren af overførslen, som er etableret i det pågældende tredjeland, og – for så vidt angår en eventuel adgang for dette tredjelands offentlige myndigheder til de overførte personoplysninger – til de relevante forhold i dettes retssystem. Hvad det sidstnævnte angår svarer de forhold, der skal tages i betragtning i forbindelse med den nævnte forordnings artikel 46, til de elementer, som på ikke udtømmende vis er opregnet i dens artikel 45, stk. 2. |
105 |
Det andet, det tredje og det sjette spørgsmål skal derfor besvares med, at databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c), skal fortolkes således, at de fornødne garantier, de rettigheder, som kan håndhæves, og de effektive retsmidler, som kræves ved disse bestemmelser, skal sikre, at der for de rettigheder, som tilkommer personer, hvis oplysninger overføres til et tredjeland på grundlag af standardbestemmelser om databeskyttelse, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i Unionen ved denne forordning, sammenholdt med chartret. Med henblik herpå skal der ved vurderingen af det beskyttelsesniveau, som er sikret i forbindelse med en sådan overførsel, navnlig tages hensyn til både de kontraktvilkår, som er aftalt mellem den dataansvarlige eller dennes databehandler, der er etableret i Unionen, og modtageren af overførslen, der er etableret i det pågældende tredjeland, og – for så vidt angår en eventuel adgang for dette tredjelands offentlige myndigheder til de således overførte personoplysninger – til de relevante forhold i dettes retssystem, herunder navnlig de elementer, som er opregnet i den nævnte forordnings artikel 45, stk. 2. |
Det ottende spørgsmål
106 |
Med det ottende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), skal fortolkes således, at den kompetente tilsynsmyndighed har pligt til at suspendere eller forbyde en overførsel af personoplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, når denne tilsynsmyndighed er af den opfattelse, at disse bestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at den beskyttelse af de overførte oplysninger, som kræves i henhold til EU-retten, herunder navnlig ved databeskyttelsesforordningens artikel 45 og 46 og chartret, ikke kan sikres, eller således, at udøvelsen af disse beføjelser er begrænset til undtagelsestilfælde. |
107 |
I overensstemmelse med chartrets artikel 8, stk. 3, og databeskyttelsesforordningens artikel 51, stk. 1, og artikel 57, stk. 1, litra a), er de nationale tilsynsmyndigheder ansvarlige for at føre tilsyn med overholdelsen af EU-reglerne om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. Hver af disse er derfor blevet tillagt beføjelse til at undersøge, om en overførsel af personoplysninger fra den medlemsstat, som myndigheden henhører under, til et tredjeland overholder de ved denne forordning fastsatte krav (jf. analogt for så vidt angår artikel 28 i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 47). |
108 |
Det følger af disse bestemmelser, at tilsynsmyndighederne først og fremmest har til opgave at føre tilsyn med anvendelsen af databeskyttelsesforordningen og sikre dens overholdelse. Udførelsen af denne opgave er særligt vigtig i forbindelse med overførsel af personoplysninger til et tredjeland, for som det fremgår af selve ordlyden af 116. betragtning til denne forordning, »[kan det,] [n]år personoplysninger overføres på tværs af grænser uden for Unionen, […] medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger«. Som det er anført i samme betragtning, »må tilsynsmyndighederne [da] i nogle tilfælde konstatere, at de er ude af stand til at følge op på klager eller foretage undersøgelser vedrørende aktiviteter uden for deres grænser«. |
109 |
I henhold til databeskyttelsesforordningens artikel 57, stk. 1, litra f), skal hver tilsynsmyndighed desuden på sit område behandle de klager, som enhver registreret i henhold til denne forordnings artikel 77, stk. 1, har ret til at indgive, når den pågældende finder, at en behandling af personoplysninger vedrørende vedkommende overtræder den nævnte forordning, og, for så vidt det er nødvendigt, undersøge genstanden for klagen. Tilsynsmyndigheden skal behandle en sådan klage med den fornødne omhu (jf. analogt for så vidt angår artikel 25, stk. 6, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 63). |
110 |
Ifølge databeskyttelsesforordningens artikel 78, stk. 1 og 2, har enhver ret til effektive retsmidler, navnlig hvis tilsynsmyndigheden undlader at behandle den pågældendes klage. I 141. betragtning til denne forordning henvises der ligeledes til denne »adgang til effektive retsmidler i overensstemmelse med artikel 47 i chartret«, hvis tilsynsmyndigheden »ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder«. |
111 |
Med henblik på behandlingen af de indgivne klager tillægger databeskyttelsesforordningens artikel 58, stk. 1, hver tilsynsmyndighed væsentlige undersøgelsesbeføjelser. Når en sådan myndighed i forbindelse med sin undersøgelse finder, at den registrerede, hvis personoplysninger er blevet overført til et tredjeland, ikke nyder godt af et tilstrækkeligt beskyttelsesniveau i dette land, har den i henhold til EU-retten pligt til at reagere på en passende måde med henblik på at afhjælpe det konstaterede utilstrækkelige beskyttelsesniveau, uanset hvad der er årsagen til eller karakteren af denne utilstrækkelighed. Med henblik herpå opregnes i forordningens artikel 58, stk. 2, de forskellige korrigerende foranstaltninger, som tilsynsmyndigheden kan vedtage. |
112 |
Selv om det er op til tilsynsmyndigheden at vælge det middel, som er hensigtsmæssigt og nødvendigt, og selv om denne myndighed skal foretage dette valg under hensyntagen til samtlige omstændigheder i forbindelse med den omhandlede overførsel af personoplysninger, har den dog pligt til at gøre dette med den fornødne omhu, som kræves af dens opgave bestående i at sikre den fulde overholdelse af databeskyttelsesforordningen. |
113 |
I denne henseende har tilsynsmyndigheden i henhold til denne forordnings artikel 58, stk. 2, litra f) og j), således som generaladvokaten ligeledes har anført i punkt 148 i forslaget til afgørelse, pligt til at suspendere eller forbyde en overførsel af personoplysninger til et tredjeland, såfremt den i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at standardbestemmelserne om databeskyttelse ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør. |
114 |
Den i den foregående præmis anførte fortolkning afkræftes ikke af Commissioners argumentation om, at artikel 4 i afgørelsen om standardkontraktbestemmelser i den affattelse, der var gældende inden ikrafttrædelsen af gennemførelsesafgørelse 2016/2297, sammenholdt med 11. betragtning til denne afgørelse, begrænsede tilsynsmyndighedernes beføjelse til at suspendere eller forbyde en overførsel af personoplysninger til et tredjeland til undtagelsestilfælde. I den affattelse, der følger af gennemførelsesafgørelse 2016/2297, henvises der nemlig i artikel 4 i afgørelsen om standardkontraktbestemmelser til den beføjelse, som disse myndigheder nu har i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), til at suspendere eller forbyde en sådan overførsel, uden at udøvelsen af denne beføjelse på nogen måde begrænses til undtagelsestilfælde. |
115 |
Under alle omstændigheder giver den gennemførelsesbeføjelse, som Kommissionen er indrømmet ved databeskyttelsesforordningens artikel 46, stk. 2, litra c), med henblik på vedtagelse af standardbestemmelser om databeskyttelse, ikke Kommissionen kompetence til at begrænse de beføjelser, som tilsynsmyndighederne har i medfør af denne forordnings artikel 58, stk. 2 (jf. analogt for så vidt angår artikel 25, stk. 6, og artikel 28 i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 102 og 103). I øvrigt bekræfter femte betragtning til gennemførelsesafgørelse 2016/2297, at afgørelsen om standardkontraktbestemmelser »[ikke] forhindrer […] en […] tilsynsmyndighed i at udøve sine beføjelser til at overvåge videregivelser af oplysninger, herunder beføjelsen til at suspendere eller forbyde en videregivelse af personoplysninger, hvis den finder, at videregivelsen udføres i strid med EU’s databeskyttelsesregler eller de nationale databeskyttelsesregler«. |
116 |
Det skal imidlertid præciseres, at den kompetente tilsynsmyndigheds beføjelser skal udøves under fuld overholdelse af den afgørelse, hvorved Kommissionen i henhold til databeskyttelsesforordningens artikel 45, stk. 1, første punktum, i givet fald har fastslået, at et bestemt tredjeland har et tilstrækkeligt beskyttelsesniveau. I et sådant tilfælde fremgår det nemlig af denne forordnings artikel 45, stk. 1, andet punktum, sammenholdt med 103. betragtning til denne, at overførsler af personoplysninger til det pågældende tredjeland kan finde sted, uden at det er nødvendigt at opnå en specifik godkendelse. |
117 |
I medfør af artikel 288, stk. 4, TEUF er Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet bindende for alle de medlemsstater, som den er rettet til, og den omfatter derfor også samtlige deres organer, for så vidt som den fastslår, at det pågældende tredjeland garanterer et tilstrækkeligt beskyttelsesniveau, og bevirker, at der gives tilladelse til disse overførsler af oplysninger (jf. analogt for så vidt angår artikel 25, stk. 6, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 51 og den deri nævnte retspraksis). |
118 |
Så længe Domstolen ikke har fastslået, at afgørelsen om tilstrækkeligheden af beskyttelsesniveauet er ugyldig, kan medlemsstaterne og deres organer, herunder deres uafhængige tilsynsmyndigheder, således ikke vedtage foranstaltninger, der er i strid med denne afgørelse, såsom retsakter, ved hvilke det med bindende virkning tilsigtes at konstatere, at det i afgørelsen omhandlede tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau (dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 52 og den deri nævnte retspraksis), og følgelig suspendere eller forbyde overførsler af personoplysninger til dette tredjeland. |
119 |
En afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er vedtaget af Kommissionen i henhold til databeskyttelsesforordningens artikel 45, stk. 3, kan imidlertid ikke forhindre de personer, hvis personoplysninger er blevet eller kan blive overført til et tredjeland, i at indgive en klage i henhold til databeskyttelsesforordningens artikel 77, stk. 1, til den kompetente nationale tilsynsmyndighed vedrørende beskyttelse af deres rettigheder og frihedsrettigheder i forbindelse med behandlingen af disse oplysninger. Tilsvarende kan en afgørelse af en sådan art hverken ophæve eller begrænse de beføjelser, der udtrykkeligt er tillagt de nationale tilsynsmyndigheder ved chartrets artikel 8, stk. 3, og ved den nævnte forordnings artikel 51, stk. 1, og artikel 57, stk. 1, litra a) (jf. analogt for så vidt angår artikel 25, stk. 6, og artikel 28 i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 53). |
120 |
Selv når der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedtaget af Kommissionen, skal den kompetente nationale tilsynsmyndighed, for hvilken en person har indgivet en klage vedrørende beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med en behandling af personoplysninger vedrørende den pågældende, således i fuld uafhængighed kunne undersøge, om overførslen af disse oplysninger opfylder de ved databeskyttelsesforordningen fastsatte krav og, hvor det er relevant, kunne anlægge sag ved de nationale domstole, således at disse, såfremt de deler myndighedens tvivl vedrørende gyldigheden af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet, kan foretage en præjudiciel forelæggelse med henblik på en efterprøvelse af dennes gyldighed (jf. analogt for så vidt angår artikel 25, stk. 6, og artikel 28 i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 57 og 65). |
121 |
Henset til ovenstående betragtninger skal det ottende spørgsmål besvares med, at databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), skal fortolkes således, at medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er gyldigt vedtaget af Kommissionen, har den kompetente tilsynsmyndighed pligt til at suspendere eller forbyde en overførsel af oplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, såfremt denne tilsynsmyndighed i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at disse standardbestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, herunder navnlig databeskyttelsesforordningens artikel 45 og 46 og chartret, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør. |
Det syvende og det ellevte spørgsmål
122 |
Med det syvende og det ellevte spørgsmål, der skal behandles samlet, anmoder den forelæggende ret nærmere bestemt Domstolen om at tage stilling til gyldigheden af afgørelsen om standardkontraktbestemmelser i lyset af chartrets artikel 7, 8 og 47. |
123 |
Som det fremgår af selve ordlyden af det syvende spørgsmål og forklaringerne hertil i anmodningen om præjudiciel afgørelse, er den forelæggende ret nærmere bestemt i tvivl om, hvorvidt afgørelsen om standardkontraktbestemmelser kan sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres til tredjelande, for så vidt som de heri fastsatte standardbestemmelser om databeskyttelse ikke er bindende for disse tredjelandes myndigheder. |
124 |
Artikel 1 i afgørelsen om standardkontraktbestemmelser bestemmer, at de i bilaget til denne afgørelse fastsatte standardbestemmelser om databeskyttelse anses for at yde de fornødne garantier for beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder i overensstemmelse med kravene i artikel 26, stk. 2, i direktiv 95/46. Sidstnævnte bestemmelse er i det væsentlige gentaget i databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c). |
125 |
Mens disse standardbestemmelser er bindende for den dataansvarlige, som er etableret i Unionen, og modtageren af overførslen af personoplysninger, som er etableret i et tredjeland, såfremt de har indgået en kontrakt under henvisning til disse bestemmelser, er det ubestridt, at de ikke kan binde myndighederne i dette tredjeland, eftersom disse ikke er parter i kontrakten. |
126 |
Selv om der således findes situationer, hvor modtageren af en sådan overførsel, under hensyn til retstilstanden og gældende praksis i det pågældende tredjeland, kan garantere den fornødne beskyttelse af oplysningerne alene på grundlag af standardbestemmelserne om databeskyttelse, er der andre situationer, hvor vilkårene i disse bestemmelser muligvis ikke udgør et tilstrækkeligt middel til at sikre den effektive beskyttelse af de personoplysninger, som er overført til det pågældende tredjeland, i praksis. Dette er navnlig tilfældet, når lovgivningen i dette tredjeland tillader, at dets offentlige myndigheder gør indgreb i de registreredes rettigheder vedrørende disse oplysninger. |
127 |
Spørgsmålet er derfor, om en afgørelse om standardbestemmelser om databeskyttelse vedtaget af Kommissionen på grundlag af databeskyttelsesforordningens artikel 46, stk. 2, litra c), er ugyldig, når den ikke indeholder garantier, som kan gøres gældende over for de offentlige myndigheder i de tredjelande, som personoplysninger bliver eller kan blive overført til på grundlag af disse bestemmelser. |
128 |
Databeskyttelsesforordningens artikel 46, stk. 1, fastsætter, at hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland, hvis vedkommende har givet de fornødne garantier, og på betingelse af at rettigheder, som kan håndhæves, og effektive retsmidler er tilgængelige for de registrerede. Ifølge denne forordnings artikel 46, stk. 2, litra c), kan disse garantier sikres gennem standardbestemmelser om databeskyttelse vedtaget af Kommissionen. Disse bestemmelser angiver imidlertid ikke, at samtlige disse garantier nødvendigvis skal være fastsat ved en afgørelse vedtaget af Kommissionen som f.eks. afgørelsen om standardkontraktbestemmelser. |
129 |
Det skal i denne henseende bemærkes, at en sådan afgørelse adskiller sig fra en afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedtaget i henhold til databeskyttelsesforordningens artikel 45, stk. 3, der tager sigte på, at det – efter en undersøgelse af det pågældende tredjelands lovgivning og navnlig den relevante lovgivning om national sikkerhed og offentlige myndigheders adgang til personoplysninger – med bindende virkning konstateres, at et tredjeland, et område eller en eller flere specifikke sektorer i dette har et tilstrækkeligt beskyttelsesniveau, og at det forhold, at dette tredjelands offentlige myndigheder har adgang til sådanne oplysninger, derfor ikke er til hinder for overførsel af dem til samme tredjeland. En sådan afgørelse om tilstrækkeligheden af beskyttelsesniveauet kan således kun vedtages af Kommissionen på den betingelse, at den har konstateret, at dette tredjelands relevante lovgivning på området faktisk omfatter samtlige de fornødne garantier, som gør det muligt at lægge til grund, at den sikrer et tilstrækkeligt beskyttelsesniveau. |
130 |
Derimod kan det hvad angår en afgørelse, hvorved Kommissionen har vedtaget standardbestemmelser om databeskyttelse, såsom afgørelsen om standardkontraktbestemmelser, for så vidt som en sådan afgørelse ikke tager sigte på et tredjeland, et område eller en eller flere specifikke sektorer i dette, ikke udledes af databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c), at Kommissionen inden vedtagelsen af en sådan afgørelse har pligt til at foretage en vurdering af tilstrækkeligheden af beskyttelsesniveauet i de tredjelande, hvortil personoplysninger kan blive overført på grundlag af sådanne bestemmelser. |
131 |
I denne henseende bemærkes, at i henhold til denne forordnings artikel 46, stk. 1, påhviler det, hvis Kommissionen ikke har vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, den dataansvarlige eller databehandleren, som er etableret i Unionen, navnlig at give de fornødne garantier. 108. og 114. betragtning til forordningen bekræfter, at hvis Kommissionen ikke har truffet afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den dataansvarlige eller eventuelt dennes databehandler »træffe foranstaltninger for at kompensere for den manglende databeskyttelse i et tredjeland i form af fornødne garantier for den registrerede«, og at »[d]isse garantier bør sikre overholdelse af databeskyttelseskravene og de registreredes rettigheder i forbindelse med intern behandling i Unionen, herunder tilgængelighed af rettigheder, som kan håndhæves, for registrerede og effektive retsmidler, […] i Unionen eller et tredjeland«. |
132 |
Eftersom det ligger i den kontraktlige karakter af standardbestemmelserne om databeskyttelse, at disse, således som det fremgår af nærværende doms præmis 125, ikke kan binde myndighederne i tredjelande, men databeskyttelsesforordningens artikel 44, artikel 46, stk. 1, og artikel 46, stk. 2, litra c), fortolket i lyset af chartrets artikel 7, 8 og 47, kræver, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres, kan det blive nødvendigt at supplere de garantier, som disse standardbestemmelser om databeskyttelse indeholder. I denne forbindelse er det i 109. betragtning til forordningen anført, at »[d]en dataansvarliges […] mulighed for at bruge standardbestemmelser om databeskyttelse vedtaget af Kommissionen […] [ikke bør] udelukke muligheden for, at den dataansvarlige […] medtager andre bestemmelser eller yderligere garantier«, og det er navnlig præciseret, at den dataansvarlige »bør tilskyndes til at give yderligere garantier […], der supplerer standardbestemmelserne om [data]beskyttelse«. |
133 |
Det fremgår således, at de standardbestemmelser om databeskyttelse, som Kommissionen har vedtaget i medfør af databeskyttelsesforordningens artikel 46, stk. 2, litra c), alene tager sigte på at give dataansvarlige eller databehandlere, som er etableret i unionen, kontraktlige garantier, der anvendes ens i alle tredjelande og dermed uafhængigt af det beskyttelsesniveau, som garanteres i hvert af disse. For så vidt som disse standardbestemmelser om databeskyttelse, henset til deres karakter, ikke kan give garantier, der rækker videre end en kontraktlig forpligtelse til at sikre, at det beskyttelsesniveau, der kræves efter EU-retten, er overholdt, kan der i forhold til disse, afhængigt af situationen i tredjelandet eller tredjelandene, være behov for, at den dataansvarlige vedtager supplerende foranstaltninger for at sikre, at dette beskyttelsesniveau er overholdt. |
134 |
I denne henseende forudsætter den kontraktmekanisme, der er fastsat i databeskyttelsesforordningens artikel 46, stk. 2, litra c), således som generaladvokaten har anført i punkt 126 i forslaget til afgørelse, at ansvaret placeres hos den dataansvarlige eller dennes databehandler, som er etableret i Unionen, og subsidiært hos den kompetente tilsynsmyndighed. Det tilkommer derfor først og fremmest den dataansvarlige eller dennes databehandler i hvert enkelt tilfælde og, hvor det er relevant, i samarbejde med modtageren af overførslen at undersøge, om lovgivningen i bestemmelsestredjelandet sikrer den fornødne beskyttelse henset til EU-retten af de personoplysninger, som overføres på grundlag af standardbestemmelser om databeskyttelse, ved efter behov at give supplerende garantier i forhold til de garantier, som disse bestemmelser yder. |
135 |
Såfremt den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke er i stand til at træffe supplerende foranstaltninger, som er tilstrækkelige til at garantere en sådan beskyttelse, skal de, eller subsidiært den kompetente tilsynsmyndighed, suspendere eller indstille overførslen af personoplysninger til det pågældende tredjeland. Dette er navnlig tilfældet, når lovgivningen i dette tredjeland pålægger modtageren af en overførsel af personoplysninger fra Unionen forpligtelser, som er i strid med disse bestemmelser og derfor kan bringe den kontraktlige garanti for en tilstrækkelig beskyttelse mod adgang for de offentlige myndigheder i tredjelandet til disse oplysninger i fare. |
136 |
Den omstændighed alene, at standardbestemmelser om databeskyttelse i en afgørelse vedtaget af Kommissionen i henhold til databeskyttelsesforordningens artikel 46, stk. 2, litra c), såsom bestemmelserne i bilaget til afgørelsen om standardkontraktbestemmelser, ikke er bindende for myndighederne i de tredjelande, som personoplysninger kan blive overført til, kan derfor ikke påvirke gyldigheden af denne afgørelse. |
137 |
Gyldigheden af en sådan afgørelse afhænger derimod af, om den i overensstemmelse med det krav, der følger af databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c), fortolket i lyset af chartrets artikel 7, 8 og 47, omfatter effektive mekanismer, som i praksis gør det muligt at sikre, at det i EU-retten krævede beskyttelsesniveau overholdes, og at overførslerne af personoplysninger på grundlag af sådanne bestemmelser suspenderes eller forbydes, hvis disse bestemmelser overtrædes, eller hvis det er umuligt at overholde dem. |
138 |
Med hensyn til de garantier, som er fastsat i standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser, fremgår det af standardbestemmelse 4, litra a) og b), standardbestemmelse 5, litra a), standardbestemmelse 9 og standardbestemmelse 11, stk. 1, at den dataansvarlige, som er etableret i Unionen, modtageren af overførslen af personoplysninger og dennes eventuelle databehandler gensidigt forpligter sig til at sikre, at behandlingen af oplysningerne, herunder videregivelsen af dem, har været, og fortsat vil være i overensstemmelse med »den gældende databeskyttelseslovgivning«, nemlig – ifølge definitionen i den nævnte afgørelses artikel 3, litra f) – »den lovgivning, der beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især deres ret til beskyttelse af privatlivets fred, med hensyn til behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret«. Databeskyttelsesforordningens bestemmelser, sammenholdt med chartret, indgår i denne lovgivning. |
139 |
Modtageren af overførslen af personoplysninger, som er etableret i et tredjeland, forpligter sig desuden i henhold til standardbestemmelse 5, litra a), til straks at underrette den dataansvarlige, som er etableret i Unionen, såfremt denne modtager eventuelt ikke er i stand til at overholde sine forpligtelser i henhold til den indgåede kontrakt. Ifølge standardbestemmelse 5, litra b), skal modtageren navnlig bekræfte, at han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at overholde sine forpligtelser i henhold til den indgåede kontrakt, og han forpligter sig til, så snart han får kendskab til enhver ændring af den nationale lovgivning, han er underlagt, som sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser, straks at give den dataansvarlige meddelelse herom. Selv om standardbestemmelse 5, litra d), nr. i), i øvrigt giver modtageren af overførslen af personoplysninger mulighed for ikke at give den dataansvarlige, som er etableret i Unionen, meddelelse om en retshåndhævende myndigheds retligt bindende anmodning om videregivelse af personoplysninger, såfremt der findes lovgivning, som forbyder ham dette, som f.eks. et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager, har han ikke desto mindre i henhold til standardbestemmelse 5, litra a), pligt til at underrette den dataansvarlige om, at han ikke er i stand til at overholde standardbestemmelserne om databeskyttelse. |
140 |
Standardbestemmelse 5, litra a) og b), giver i de to tilfælde, som er omhandlet heri, den dataansvarlige, som er etableret i Unionen, ret til at suspendere dataoverførslen og/eller ophæve kontrakten. Under hensyn til de krav, der følger af databeskyttelsesforordningens artikel 46, stk. 1, og artikel 46, stk. 2, litra c), sammenholdt med chartrets artikel 7 og 8, er suspension af dataoverførslen og/eller ophævelse af kontrakten obligatorisk for den dataansvarlige, når modtageren af overførslen ikke, eller ikke længere, er i stand til at overholde standardbestemmelserne om databeskyttelse. I modsat fald ville den dataansvarlige ikke overholde de krav, som denne er pålagt i henhold til standardbestemmelse 4, litra a), i bilaget til afgørelsen om standardkontraktbestemmelser fortolket i lyset af databeskyttelsesforordningens og chartrets bestemmelser. |
141 |
Det fremgår således, at standardbestemmelse 4, litra a), og standardbestemmelse 5, litra a) og b), i det nævnte bilag pålægger den dataansvarlige, som er etableret i Unionen, og modtageren af overførslen af personoplysninger en pligt til at sikre, at lovgivningen i bestemmelsestredjelandet gør det muligt for denne modtager at overholde standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser, inden en overførsel af personoplysninger til dette tredjeland foretages. Med hensyn til denne undersøgelse er det i fodnoten vedrørende standardbestemmelse 5 præciseret, at obligatoriske krav i denne lovgivning, som ikke er mere vidtgående end dem, der er nødvendige i et demokratisk samfund af hensyn til navnlig statens sikkerhed, forsvaret og den offentlige sikkerhed, ikke er i strid med disse standardbestemmelser om databeskyttelse. Omvendt skal overholdelse af en forpligtelse i henhold til lovgivningen i bestemmelsestredjelandet, som går videre end nødvendigt i forhold til disse formål, således som generaladvokaten har fremhævet i punkt 131 i forslaget til afgørelse, anses for en tilsidesættelse af disse bestemmelser. Ved disse erhvervsdrivendes vurdering af, om en sådan forpligtelse går videre end nødvendigt, skal der, såfremt det er relevant, tages hensyn til den konstatering af, at det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, som er foretaget i en afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedtaget af Kommissionen i henhold til databeskyttelsesforordningens artikel 45, stk. 3. |
142 |
Det følger heraf, at den dataansvarlige, som er etableret i unionen, og modtageren af overførslen af personoplysninger, har pligt til forudgående at undersøge, om det i EU-retten krævede beskyttelsesniveau er overholdt i det pågældende tredjeland. Modtageren af denne overførsel har, såfremt det er relevant, i henhold til standardbestemmelse 5, litra b), pligt til at underrette den dataansvarlige, såfremt den pågældende ikke er i stand til at overholde disse bestemmelser, hvorefter det påhviler den dataansvarlige at suspendere dataoverførslen og/eller ophæve kontrakten. |
143 |
Hvis modtageren af overførslen af personoplysninger til et tredjeland i henhold til standardbestemmelse 5, litra b), i bilaget til afgørelsen om standardkontraktbestemmelser har underrettet den dataansvarlige om, at lovgivningen i det pågældende tredjeland ikke gør det muligt for denne modtager at overholde standardbestemmelserne om databeskyttelse i dette bilag, følger det af standardbestemmelse 12 i dette bilag, at alle oplysninger, som allerede er videregivet til dette tredjeland, og kopier heraf skal returneres eller destrueres. Under alle omstændigheder sanktionerer standardbestemmelse 6 i samme bilag en tilsidesættelse af disse standardbestemmelser ved at give den registrerede ret til erstatning for den lidte skade. |
144 |
Det skal tilføjes, at ifølge standardbestemmelse 4, litra f), i bilaget til afgørelsen om standardkontraktbestemmelser forpligter den dataansvarlige, som er etableret i Unionen, når særlige kategorier af oplysninger kan blive videregivet til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau, sig til at informere den registrerede herom inden eller snarest muligt efter videregivelsen. Denne information kan sætte den registrerede i stand til at udnytte det retsmiddel over for den dataansvarlige, som standardbestemmelse 3, stk. 1, i dette bilag tildeler den registrerede, med henblik på at den dataansvarlige suspenderer den påtænkte videregivelse, ophæver den kontrakt, som er indgået med modtageren af overførslen af personoplysninger, eller, hvor det er relevant, anmoder sidstnævnte om at returnere eller destruere de videregivne oplysninger. |
145 |
Endelig har den dataansvarlige, som er etableret i Unionen, i henhold til standardbestemmelse 4, litra b), i det nævnte bilag, når modtageren af overførslen af personoplysninger i overensstemmelse med standardbestemmelse 5, litra b), giver den dataansvarlige meddelelse om, at den lovgivning, som denne modtager er underlagt, ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier, der opnås, og de forpligtelser, der pålægges ved standardbestemmelserne om databeskyttelse, pligt til at sende denne meddelelse videre til den kompetente tilsynsmyndighed, hvis den dataansvarlige på trods af denne meddelelse beslutter at fortsætte videregivelsen eller at ophæve suspensionen. Videresendelsen af en sådan meddelelse til denne tilsynsmyndighed og dennes ret til at foretage inspektioner hos modtageren af overførslen af personoplysninger i henhold til standardbestemmelse 8, stk. 2, i samme bilag gør det muligt for tilsynsmyndigheden at undersøge, om den påtænkte videregivelse skal suspenderes eller forbydes med henblik på at sikre et tilstrækkeligt beskyttelsesniveau. |
146 |
I denne forbindelse bekræfter artikel 4 i afgørelsen om standardkontraktbestemmelser, sammenholdt med femte betragtning til gennemførelsesafgørelse 2016/2297, at afgørelsen om standardkontraktbestemmelser ikke forhindrer den kompetente tilsynsmyndighed i at suspendere eller, hvor det er relevant, forbyde en overførsel af personoplysninger til et tredjeland på grundlag af standardbestemmelserne om databeskyttelse i bilaget til denne afgørelse. I denne henseende har den kompetente tilsynsmyndighed, således som det fremgår af besvarelsen af det ottende spørgsmål, medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er gyldigt vedtaget af Kommissionen, i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra f) og j), pligt til at suspendere eller forbyde en sådan overførsel, når den i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at disse standardbestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør. |
147 |
Med hensyn til den af Commissioner anførte omstændighed, at tilsynsmyndighederne i forskellige medlemsstater eventuelt ville kunne træffe forskellige afgørelser vedrørende overførsler af personoplysninger til et tredjeland, skal det tilføjes, at som det fremgår af databeskyttelsesforordningens artikel 55, stk. 1, og artikel 57, stk. 1, litra a), er den opgave, der består i at håndhæve anvendelsen af denne forordning, principielt tildelt hver tilsynsmyndighed på dens egen medlemsstats område. Med henblik på at undgå forskellige afgørelser giver denne forordnings artikel 64, stk. 2, desuden en tilsynsmyndighed, som finder, at dataoverførsler til et tredjeland generelt skal forbydes, mulighed for at anmode Det Europæiske Databeskyttelsesråd (EDPB) om en udtalelse, idet dette i henhold til forordningens artikel 65, stk. 1, litra c), kan vedtage en bindende afgørelse, bl.a. når en tilsynsmyndighed ikke følger den afgivne udtalelse. |
148 |
Det følger heraf, at afgørelsen om standardkontraktbestemmelser fastsætter effektive mekanismer, der i praksis gør det muligt at sikre, at overførsel til et tredjeland af personoplysninger på grundlag af standardbestemmelserne om databeskyttelse i bilaget til denne afgørelse suspenderes eller forbydes, når modtageren af overførslen ikke overholder eller ikke er i stand til at overholde disse bestemmelser. |
149 |
Henset til samtlige ovenstående betragtninger skal det syvende og det ellevte spørgsmål besvares med, at undersøgelsen af afgørelsen om standardkontraktbestemmelser i lyset af chartrets artikel 7, 8 og 47 intet har frembragt, der kan påvirke gyldigheden af denne afgørelse. |
Det fjerde, det femte, det niende og det tiende spørgsmål
150 |
Med det niende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om og i hvilket omfang en medlemsstats tilsynsmyndighed er bundet af konstateringerne i afgørelsen om værnet om privatlivets fred om, at USA sikrer et tilstrækkeligt beskyttelsesniveau. Med det fjerde, det femte og det tiende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om overførsel til dette tredjeland af personoplysninger på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser under hensyntagen til dens egne konstateringer vedrørende amerikansk ret udgør en tilsidesættelse af de rettigheder, som er sikret ved chartrets artikel 7, 8 og 47, idet den særligt anmoder Domstolen om at oplyse, om oprettelsen af den ombudsmand, der er nævnt i bilag III til afgørelsen om værnet om privatlivets fred, er forenelig med chartrets artikel 47. |
151 |
Det skal indledningsvis bemærkes, at selv om Commissioners søgsmål i hovedsagen alene rejser tvivl om gyldigheden af afgørelsen om standardkontraktbestemmelser, er søgsmålet anlagt ved den forelæggende ret før vedtagelsen af afgørelsen om værnet om privatlivets fred. For så vidt som den forelæggende ret ved det fjerde og det femte spørgsmål anmoder Domstolen om generelt at tage stilling til, hvilken beskyttelse der i henhold til chartrets artikel 7, 8 og 47 skal sikres i forbindelse med en sådan overførsel, skal Domstolens undersøgelse inddrage konsekvenserne af den i mellemtiden vedtagne afgørelse om værnet om privatlivets fred. Dette gælder så meget desto mere, som den forelæggende ret med det tiende spørgsmål udtrykkeligt ønsker oplyst, om den ved chartrets artikel 47 krævede beskyttelse sikres ved hjælp af den ombudsmand, der er nævnt i sidstnævnte afgørelse. |
152 |
Det fremgår desuden af oplysningerne i anmodningen om præjudiciel afgørelse, at Facebook Ireland i forbindelse med hovedsagen har gjort gældende, at afgørelsen om værnet om privatlivets fred havde bindende virkninger for Commissioner hvad angår konstateringen af tilstrækkeligheden af det beskyttelsesniveau, som er sikret i USA, og følgelig vedrørende lovligheden af en overførsel til dette tredjeland af personoplysninger på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser. |
153 |
Som det fremgår af nærværende doms præmis 59, har den forelæggende ret i sin dom af 3. oktober 2017, som er vedlagt anmodningen om præjudiciel afgørelse, imidlertid fremhævet, at den havde pligt til at tage hensyn til ændringer af lovgivningen i perioden mellem sagens anlæggelse og afholdelsen af retsmødet for den. Den forelæggende ret synes således at være forpligtet til ved afgørelsen af tvisten i hovedsagen at tage hensyn til de ændrede omstændigheder som følge af vedtagelsen af afgørelsen om værnet om privatlivets fred og de eventuelle bindende virkninger af denne. |
154 |
Spørgsmålet om, hvorvidt der er bindende virkninger knyttet til konstateringen i afgørelsen om værnet om privatlivets fred af, at USA har et tilstrækkeligt beskyttelsesniveau, er navnlig relevant med henblik på vurderingen af både de i nærværende doms præmis 141 og 142 nævnte forpligtelser, som påhviler den dataansvarlige og modtageren af en overførsel af personoplysninger til et tredjeland på grundlag af standardbestemmelserne om databeskyttelse i bilaget til afgørelsen om standardkontraktbestemmelser, og de forpligtelser, som tilsynsmyndigheden i påkommende tilfælde har til at suspendere eller forbyde en sådan overførsel. |
155 |
Hvad angår de bindende virkninger af afgørelsen om værnet om privatlivets fred bestemmer denne afgørelses artikel 1, stk. 1, at med henblik på databeskyttelsesforordningens artikel 45, stk. 1, »sikrer USA et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til foretagender i USA under [Den Europæiske Unions] og USA’s værn om privatlivets fred«. I henhold til denne afgørelses artikel 1, stk. 3, anses personoplysninger for at være overført under dette værn, hvis de overføres fra Unionen til foretagender i USA, der er opført på listen over deltagere i dette værn, som føres og offentliggøres af det amerikanske handelsministerium i overensstemmelse med afsnit I og III i principperne i bilag II til samme afgørelse. |
156 |
Som det fremgår af den i nærværende doms præmis 117 og 118 anførte retspraksis, har afgørelsen om værnet om privatlivets fred bindende virkning for tilsynsmyndighederne, for så vidt som det heri fastslås, at USA sikrer et tilstrækkeligt beskyttelsesniveau, og den bevirker derfor, at der gives tilladelse til overførsel af personoplysninger inden for rammerne af Den Europæiske Unions og USA’s værn om privatlivets fred. Så længe Domstolen ikke har fastslået, at denne afgørelse er ugyldig, kan den kompetente tilsynsmyndighed derfor ikke suspendere eller forbyde en overførsel af personoplysninger til et foretagende, som deltager i dette værn, med den begrundelse, at den – i strid med Kommissionens vurdering i den nævnte afgørelse – er af den opfattelse, at USA’s lovgivning om adgang til personoplysninger, der er overført under dette værn, og dette tredjelands offentlige myndigheders brug af disse oplysninger med henblik på beskyttelsen af den nationale sikkerhed, retshåndhævelse og andre offentlige interesser ikke sikrer et tilstrækkeligt beskyttelsesniveau. |
157 |
Ikke desto mindre forholder det sig således, at når den kompetente tilsynsmyndighed modtager en klage fra en person, skal den i overensstemmelse med den retspraksis, der er henvist til i nærværende doms præmis 119 og 120, i fuld uafhængighed undersøge, om den pågældende overførsel af personoplysninger opfylder de ved databeskyttelsesforordningen fastsatte krav, og – hvis den finder, at de klagepunkter, som denne person har fremsat med henblik på at anfægte gyldigheden af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, er begrundede – anlægge sag ved de nationale domstole, med henblik på at disse anmoder Domstolen om at træffe præjudiciel afgørelse vedrørende denne afgørelses gyldighed. |
158 |
En klage indgivet i henhold til databeskyttelsesforordningens artikel 77, stk. 1, hvorved en person, hvis personoplysninger er blevet eller kan blive overført til et tredjeland, gør gældende, at dette lands lovgivning og praksis – uanset det af Kommissionen fastslåede i en afgørelse vedtaget i henhold til denne forordnings artikel 45, stk. 3 – ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal nemlig forstås således, at den i det væsentlige vedrører denne afgørelses forenelighed med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder (jf. analogt for så vidt angår artikel 25, stk. 6, og artikel 28, stk. 4, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 59). |
159 |
I den foreliggende sag har Maximillian Schrems i det væsentlige anmodet Commissioner om at forbyde eller suspendere Facebook Irelands overførsel af hans personoplysninger til Facebook Inc., der er etableret i USA, med den begrundelse, at dette tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau. Commissioner har i forbindelse med en undersøgelse af Maximillian Schrems’ påstande anlagt sag ved den forelæggende ret, som i lyset af de fremlagte beviser og den kontradiktoriske forhandling for denne synes at sætte spørgsmålstegn ved grundlaget for Maximillian Schrems’ tvivl vedrørende tilstrækkeligheden af beskyttelsesniveauet i det nævnte tredjeland, uanset hvad Kommissionen i mellemtiden har fastslået i afgørelsen om værnet om privatlivets fred, hvilket har fået denne ret til at forelægge Domstolen det fjerde, det femte og det tiende præjudicielle spørgsmål. |
160 |
Som generaladvokaten har anført i punkt 175 i forslaget til afgørelse, skal disse præjudicielle spørgsmål derfor forstås således, at de nærmere bestemt rejser tvivl om Kommissionens konstatering i afgørelsen om værnet om privatlivets fred af, at USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra Unionen til dette tredjeland, og dermed om gyldigheden af denne afgørelse. |
161 |
Henset til de betragtninger, der er anført i nærværende doms præmis 121 og 157-160, og med henblik på at give den forelæggende ret en fyldestgørende besvarelse, skal det derfor undersøges, om afgørelsen om værnet om privatlivets fred er i overensstemmelse med de krav, der følger af databeskyttelsesforordningen, sammenholdt med chartret (jf. analogt dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 67). |
162 |
Kommissionens vedtagelse af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til databeskyttelsesforordningens artikel 45, stk. 3, kræver, at Kommissionen behørigt konstaterer, at det pågældende tredjeland på grundlag af sin nationale lovgivning eller sine internationale forpligtelser faktisk sikrer et beskyttelsesniveau for de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret i Unionens retsorden (jf. analogt for så vidt angår artikel 25, stk. 6, i direktiv 95/46 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 96). |
Indholdet af afgørelsen om værnet om privatlivets fred
163 |
Kommissionen konstaterede i artikel 1, stk. 1, i afgørelsen om værnet om privatlivets fred, at USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra Unionen til foretagender i USA under Den Europæiske Unions og USA’s værn om privatlivets fred, som i henhold til denne afgørelses artikel 1, stk. 2, navnlig består af de principper, som er opstillet af det amerikanske handelsministerium den 7. juli 2016 som fastsat i bilag II til afgørelsen og de officielle udredninger og tilsagn indeholdt i de dokumenter, der er opført i bilag I, III og VII til samme afgørelse. |
164 |
Det er imidlertid ligeledes præciseret i afgørelsen om værnet om privatlivets fred – i punkt I.5 i bilag II hertil, der har overskriften »Principperne i ordningen for [Den Europæiske Unions] og USA’s værn om privatlivets fred« – at tilslutningen til disse principper navnlig kan være begrænset »til et niveau, der er tilstrækkeligt til at opfylde kravene med hensyn til den nationale sikkerhed, den offentlige interesse eller retshåndhævelsen«. Denne afgørelse fastsætter således, ligesom beslutning 2000/520, at disse krav har forrang for de nævnte principper, og i medfør af denne forrang er de selvcertificerede amerikanske foretagender, der modtager personoplysninger fra Unionen, forpligtet til uden begrænsning at se bort fra de samme principper, når disse er i modstrid med de nævnte krav og derfor viser sig uforenelige med disse (jf. analogt for så vidt angår beslutning 2000/520 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 86). |
165 |
Henset til den generelle karakter af undtagelsen i punkt I.5 i bilag II til afgørelsen om værnet om privatlivets fred åbner denne undtagelse således op for, at der på grundlag af kravene vedrørende statens sikkerhed og almenvellet eller på grundlag af den nationale amerikanske lovgivning foretages indgreb i de grundlæggende rettigheder hos de personer, hvis personoplysninger bliver eller kan blive overført fra Unionen til USA (jf. analogt for så vidt angår beslutning 2000/520 dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 87). Som det er fastslået i afgørelsen om værnet om privatlivets fred, kan sådanne indgreb nærmere bestemt følge af de amerikanske offentlige myndigheders adgang til personoplysninger, der er overført fra Unionen til USA, og deres brug af disse oplysninger inden for rammerne af overvågningsprogrammerne Prism og Upstream baseret på FISA’s section 702 og på grundlag af E.O. 12333. |
166 |
I denne sammenhæng har Kommissionen i 67.-135. betragtning til afgørelsen om værnet om privatlivets fred vurderet begrænsningerne og garantierne i amerikansk ret, herunder navnlig i FISA’s section 702, i E.O. 12333 og i PPD-28, med hensyn til de amerikanske myndigheders adgang til og brug af personoplysninger overført under Den Europæiske Unions og USA’s værn om privatlivets fred med henblik på beskyttelsen af den nationale sikkerhed, retshåndhævelse og andre offentlige interesser. |
167 |
Efter denne vurdering fastslog Kommissionen i 136. betragtning til denne afgørelse, at »USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til [selvcertificerede] foretagender i USA«, og i 140. betragtning til denne afgørelse fandt den »[p]å baggrund af de tilgængelige oplysninger om den amerikanske retsorden […], at eventuelle indgreb fra de amerikanske offentlige myndigheders side i de grundlæggende rettigheder for de personer, hvis oplysninger overføres fra EU til USA under [Den Europæiske Unions] og USA’s værn om privatlivets fred med henblik på beskyttelse af den nationale sikkerhed, retshåndhævelse og andre offentlige interesser, vil blive begrænset til det strengt nødvendige med henblik på at nå det tilsigtede legitime mål, og at der er en effektiv retsbeskyttelse mod sådanne indgreb«. |
Konstateringen vedrørende tilstrækkeligheden af beskyttelsesniveauet
168 |
Henset til de forhold, som Kommissionen nævner i afgørelsen om værnet om privatlivets fred, og de forhold, som den forelæggende ret har lagt til grund i hovedsagen, er denne ret i tvivl om, hvorvidt amerikansk ret faktisk sikrer det tilstrækkelige beskyttelsesniveau, som kræves i henhold til databeskyttelsesforordningens artikel 45, sammenholdt med de grundlæggende rettigheder, som er sikret ved chartrets artikel 7, 8 og 47. Den forelæggende ret er navnlig af den opfattelse, at dette tredjelands lovgivning ikke fastsætter de nødvendige begrænsninger og garantier i forhold til indgreb, som dets nationale bestemmelser tillader, og heller ikke sikrer en effektiv domstolsbeskyttelse mod sådanne indgreb. I sidstnævnte henseende har den forelæggende ret tilføjet, at oprettelsen af ombudsmanden i værnet om privatlivets fred efter dens opfattelse ikke kan afhjælpe disse mangler, eftersom denne ombudsmand ikke kan sidestilles med en domstol som omhandlet i chartrets artikel 47. |
169 |
Hvad for det første angår chartrets artikel 7 og 8, der indgår i det i Unionen krævede beskyttelsesniveau, som Kommissionen skal fastslå er overholdt, før den vedtager en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til databeskyttelsesforordningens artikel 45, stk. 1, bemærkes, at chartrets artikel 7 fastsætter, at enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation. Med hensyn til chartrets artikel 8, stk. 1, tillægger denne bestemmelse udtrykkeligt enhver person ret til beskyttelse af personoplysninger, der vedrører den pågældende. |
170 |
Adgang til personoplysninger vedrørende en fysisk person med henblik på opbevaring eller brug griber således ind i denne persons grundlæggende ret til respekt for privatlivet, som er sikret ved chartrets artikel 7, idet denne ret vedrører enhver form for information om en identificeret eller identificerbar fysisk person. De nævnte behandlinger af oplysninger er tillige omfattet af chartrets artikel 8, idet de udgør behandlinger af personoplysninger i denne artikels forstand og derfor nødvendigvis skal opfylde de krav vedrørende beskyttelse af sådanne oplysninger, der er fastsat i denne artikel (jf. denne retning dom af 9.11.2010, Volker und Markus Schecke og Eifert, C-92/09 og C-93/09, EU:C:2010:662, præmis 49 og 52, og af 8.4.2014, Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 29, samt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 122 og 123). |
171 |
Domstolen har allerede fastslået, at videregivelse af personoplysninger til en tredjemand såsom en offentlig myndighed udgør et indgreb i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, uanset hvad de videregivne oplysninger efterfølgende bruges til. Det samme gælder opbevaring af personoplysninger og de offentlige myndigheders adgang hertil med henblik på brug heraf, uanset om de pågældende oplysninger vedrørende privatlivet er følsomme oplysninger, eller om indgrebet har medført eventuelle ubehageligheder for de berørte (jf. denne retning dom af 20.5.2003, Österreichischer Rundfunk m.fl., C-465/00, C-138/01 og C-139/01, EU:C:2003:294, præmis 74 og 75, og af 8.4.2014, Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 33-36, samt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 124 og 126). |
172 |
De rettigheder, der er sikret ved chartrets artikel 7 og 8, er imidlertid ikke absolutte rettigheder, men skal ses i sammenhæng med deres funktion i samfundet (jf. i denne retning dom af 9.11.2010, Volker und Markus Schecke og Eifert, C-92/09 og C-93/09, EU:C:2010:662, præmis 48 og den deri nævnte retspraksis, og af 17.10.2013, Schwarz, C-291/12, EU:C:2013:670, præmis 33 og den deri nævnte retspraksis, samt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 136). |
173 |
I denne henseende bemærkes ligeledes, at det fremgår af chartrets artikel 8, stk. 2, at personoplysninger bl.a. skal behandles »til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag«. |
174 |
I henhold til chartrets artikel 52, stk. 1, første punktum, skal enhver begrænsning i udøvelsen af de rettigheder og friheder, der anerkendes ved chartret, desuden være fastlagt i lovgivningen og respektere disse rettigheders og friheders væsentligste indhold. Ifølge chartrets artikel 52, stk. 1, andet punktum, kan der under iagttagelse af proportionalitetsprincippet kun indføres begrænsninger til disse rettigheder og friheder, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder. |
175 |
Det skal i sidstnævnte henseende tilføjes, at kravet om, at enhver begrænsning af udøvelsen af de grundlæggende rettigheder skal være fastlagt i lovgivningen, indebærer, at det retsgrundlag, som tillader et indgreb i disse rettigheder, selv skal definere rækkevidden af begrænsningen af udøvelsen af den pågældende rettighed (udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 139 og den deri nævnte retspraksis). |
176 |
For at opfylde kravet om proportionalitet, ifølge hvilket undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger skal holdes inden for det strengt nødvendige, skal den pågældende lovgivning, som indebærer indgrebet, endelig fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning, og som opstiller en række mindstekrav, således at de personer, hvis data er blevet overført, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personoplysninger mod risikoen for misbrug. Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødvendige. Nødvendigheden af at råde over sådanne garantier er så meget desto større, når personoplysningerne er undergivet en automatiseret behandling (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 140 og 141 og den deri nævnte retspraksis). |
177 |
Med henblik herpå præciseres det i databeskyttelsesforordningens artikel 45, stk. 2, litra a), at Kommissionen ved sin vurdering af tilstrækkeligheden af beskyttelsesniveauet i et tredjeland bl.a. skal tage hensyn til »effektive rettigheder […], som kan håndhæves [for registrerede]«, hvis personoplysninger overføres. |
178 |
I den foreliggende sag er der rejst tvivl om Kommissionens konstatering i afgørelsen om værnet om privatlivets fred af, at USA sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er garanteret inden for Unionen i medfør af databeskyttelsesforordningen, sammenholdt med chartrets artikel 7 og 8, navnlig med den begrundelse, at de indgreb, der følger af de overvågningsprogrammer, der er vedtaget på grundlag af FISA’s section 702 og E.O. 12333, ikke er undergivet krav, som under overholdelse af proportionalitetsprincippet sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er sikret ved chartrets artikel 52, stk. 1, andet punktum. Det skal derfor undersøges, om disse overvågningsprogrammer gennemføres under overholdelse af sådanne krav, uden at det er nødvendigt først at undersøge, om dette tredjeland overholder betingelser, som i det væsentlige svarer til dem, der er fastsat i chartrets artikel 52, stk. 1, første punktum. |
179 |
Med hensyn til de overvågningsprogrammer, der er vedtaget på grundlag af FISA’s section 702, konstaterede Kommissionen i denne henseende i 109. betragtning til afgørelsen om værnet om privatlivets fred, at i henhold til denne bestemmelse »tillader FISC […] ikke individuelle overvågningsforanstaltninger, men overvågningsprogrammer (f.eks. Prism, Upstream) på grundlag af årlige certificeringer udformet af den amerikanske justitsminister og direktøren for National Intelligence«. Som det fremgår af samme betragtning, tager FISC’s kontrol således sigte på at efterprøve, om disse overvågningsprogrammer er i overensstemmelse med formålet om at indhente udenlandske efterretningsoplysninger, men vedrører ikke spørgsmålet, »[om] fysiske personer […] er velegnede mål for indsamling af udenlandske efterretningsoplysninger«. |
180 |
Det ses således, at FISA’s artikel 702 på ingen måde lader fremgå, at der er begrænsninger af beføjelsen i medfør af denne bestemmelse til at gennemføre overvågningsprogrammer med henblik på at indhente udenlandske efterretningsoplysninger, og heller ikke, at der er garantier for ikke-amerikanske personer, som potentielt kan være omfattet af disse programmer. Under disse omstændigheder kan denne bestemmelse, således som generaladvokaten i det væsentlige har anført i punkt 291, 292 og 297 i forslaget til afgørelse, ikke sikre et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er sikret ved chartret, således som det er fortolket i den retspraksis, der er nævnt i nærværende doms præmis 175 og 176, og hvorefter et retsgrundlag, som tillader indgreb i de grundlæggende rettigheder, for at være i overensstemmelse med proportionalitetsprincippet selv skal definere rækkevidden af begrænsningen af udøvelsen af den pågældende rettighed og fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning, og som opstiller en række mindstekrav. |
181 |
Ifølge konstateringerne i afgørelsen om værnet om privatlivets fred skal overvågningsprogrammer vedtaget i henhold til FISA’s artikel 702 ganske vist gennemføres under overholdelse af de krav, der følger af PPD-28. Selv om Kommissionen i 69. og 77. betragtning til afgørelsen om værnet om privatlivets fred har fremhævet, at disse krav er bindende for de amerikanske efterretningstjenester, har den amerikanske regering imidlertid som svar på et spørgsmål fra Domstolen medgivet, at PPD-28 ikke giver de registrerede rettigheder, som kan håndhæves over for de amerikanske myndigheder ved domstolene. PPD-28 kan derfor ikke sikre et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der følger af chartret, hvilket er i strid med kravene i databeskyttelsesforordningens artikel 45, stk. 2, litra a), hvorefter en konstatering af, at dette niveau foreligger, navnlig afhænger af, at der findes effektive rettigheder, som kan håndhæves, for de registrerede, hvis personoplysninger er blevet overført til det pågældende tredjeland. |
182 |
Med hensyn til overvågningsprogrammer baseret på E.O. 12333 fremgår det af sagsakterne for Domstolen, at dette dekret heller ikke giver de registrerede rettigheder, som kan håndhæves over for de amerikanske myndigheder ved domstolene. |
183 |
Det skal tilføjes, at PPD-28, som skal være overholdt i forbindelse med de overvågningsprogrammer, der er omhandlet i de to foregående præmisser, tillader, at der foretages »»masseindsamling« af et forholdsvist højt antal signalefterretningsoplysninger eller ‑data under omstændigheder, hvor efterretningstjenesterne ikke kan anvende en identifikator knyttet til et specifikt mål […] for at målrette indsamlingen«, således som det er præciseret i en skrivelse af 21. juni 2016 fra Office of the Director of National Intelligence (kontoret for direktøren for den nationale efterretningstjeneste) til den amerikanske handelsminister og til International Trade Administration, der er indeholdt i bilag VI til afgørelsen om værnet om privatlivets fred. Denne mulighed, som inden for rammerne af overvågningsprogrammer baseret på E.O. 12333 tillader adgang til oplysninger i transit til USA, uden at denne adgang er underlagt noget retsligt tilsyn, afgrænser dog under alle omstændigheder ikke tilstrækkeligt klart og præcist omfanget af en sådan masseindsamling af personoplysninger. |
184 |
Det fremgår derfor, at hverken FISA’s section 702 eller E.O. 12333, sammenholdt med PPD-28, opfylder de mindstekrav, som i henhold til EU-retten er knyttet til proportionalitetsprincippet, således at det ikke kan fastslås, at de overvågningsprogrammer, som er baseret på disse bestemmelser, er begrænset til det strengt nødvendige. |
185 |
Under disse omstændigheder er de begrænsninger af beskyttelsen af personoplysninger, som følger af USA’s nationale lovgivning om de amerikanske offentlige myndigheders adgang til og brug af sådanne oplysninger, der overføres fra Unionen til USA, og som Kommissionen har vurderet i afgørelsen om værnet om privatlivets fred, ikke afgrænset på en sådan måde, at de lever op til krav, som i det væsentlige svarer til dem, der er foreskrevet i EU-retten ved chartrets artikel 52, stk. 1, andet punktum. |
186 |
Hvad for det andet angår chartrets artikel 47, der ligeledes indgår i det i Unionen krævede beskyttelsesniveau, som Kommissionen skal fastslå er overholdt, før den vedtager en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til databeskyttelsesforordningens artikel 45, stk. 1, bemærkes, at chartrets artikel 47, stk. 1, kræver, at enhver, hvis rettigheder og friheder som sikret af EU-retten er blevet krænket, skal have adgang til effektive retsmidler for en domstol under overholdelse af de betingelser, der er fastsat i denne artikel. I henhold til den nævnte artikels stk. 2 har enhver ret til en rettergang for en uafhængig og upartisk domstol. |
187 |
Ifølge fast retspraksis er selve eksistensen af en effektiv domstolsbeskyttelse, som skal sikre overholdelsen af de EU-retlige bestemmelser, uløseligt forbundet med eksistensen af en retsstat. En lovgivning, der ikke fastsætter nogen mulighed for retssubjektet til at gøre brug af retsmidler med henblik på at få adgang til personoplysninger, som vedrører den pågældende, eller til at få sådanne oplysninger berigtiget eller slettet, opfylder således ikke det væsentligste indhold af den grundlæggende ret til en effektiv domstolsbeskyttelse, således som denne er sikret ved chartrets artikel 47 (dom af 6.10.2015, Schrems, C-362/14, EU:C:2015:650, præmis 95 og den deri nævnte retspraksis). |
188 |
Med henblik herpå kræver databeskyttelsesforordningens artikel 45, stk. 2, litra a), at Kommissionen ved sin vurdering af tilstrækkeligheden af beskyttelsesniveauet i et tredjeland bl.a. tager hensyn til »effektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger overføres«. I denne henseende er det i 104. betragtning til databeskyttelsesforordningen fremhævet, at tredjelandet »bør […] sikre et effektivt uafhængigt databeskyttelsestilsyn og […] fastlægge samarbejdsmekanismer med medlemsstaternes databeskyttelsesmyndigheder«, og præciseret, at »de registrerede bør have effektive rettigheder, som kan håndhæves, og adgang til effektiv administrativ og retslig prøvelse«. |
189 |
En sådan adgang til effektiv prøvelse i det pågældende tredjeland er særligt vigtig i forbindelse med en overførsel af personoplysninger til dette tredjeland, for så vidt som de registrerede, således som det fremgår af 116. betragtning til databeskyttelsesforordningen, i nogle tilfælde må konstatere, at medlemsstaternes administrative og retslige myndigheder ikke har tilstrækkelige beføjelser og midler til på behørig vis at behandle deres klager over en angiveligt ulovlig behandling i dette tredjeland af deres således overførte oplysninger, hvilket kan gøre det nødvendigt for dem at henvende sig til de nationale myndigheder og domstole i samme tredjeland. |
190 |
I den foreliggende sag er der rejst tvivl om Kommissionens konstatering i afgørelsen om værnet om privatlivets fred af, at USA sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er garanteret i chartrets artikel 47, navnlig med den begrundelse, at oprettelsen af ombudsmanden i værnet om privatlivets fred ikke kan afhjælpe de mangler, som Kommissionen selv har konstateret vedrørende domstolsbeskyttelsen for personer, hvis personoplysninger overføres til dette tredjeland. |
191 |
I denne forbindelse anførte Kommissionen i 115. betragtning til afgørelsen om værnet om privatlivets fred, at selv om »personer, herunder registrerede i EU, […] har en række klagemuligheder, når de har været genstand for ulovlig (elektronisk) overvågning af hensyn til den nationale sikkerhed, står det ligeledes klart, at i hvert fald nogle af de retsgrundlag, som de amerikanske efterretningsmyndigheder kan anvende (f.eks. E.O. 12333), ikke er omfattet«. Med hensyn til E.O. 12333 lagde Kommissionen således i 115. betragtning vægt på, at der helt savnes retsmidler. Ifølge den retspraksis, som er nævnt i nærværende doms præmis 187, er en sådan mangel i domstolsbeskyttelsen mod indgreb i forbindelse med efterretningsprogrammer baseret på dette præsidentielle dekret imidlertid til hinder for, at det konkluderes – således som Kommissionen gjorde det i afgørelsen om værnet om privatlivets fred – at amerikansk ret sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er garanteret i chartrets artikel 47. |
192 |
Med hensyn til både de overvågningsprogrammer, som er baseret på FISA’s section 702, og dem, der er baseret på E.O. 12333, er det desuden blevet fremhævet i nærværende doms præmis 181 og 182, at hverken PPD-28 eller E.O. 12333 giver de registrerede rettigheder, som kan håndhæves over for de amerikanske myndigheder ved domstolene, og de registrerede har derfor ikke adgang til effektive retsmidler. |
193 |
Kommissionen konstaterede imidlertid i 115. og 116. betragtning til afgørelsen om værnet om privatlivets fred, at som følge af den af de amerikanske myndigheder oprettede ombudsmandsmekanisme, således som denne er beskrevet i den skrivelse, som den amerikanske udenrigsminister sendte til EU-kommissæren med ansvar for retlige anliggender, forbrugere og ligestilling mellem mænd og kvinder den 7. juli 2016, og som er indeholdt i bilag III til denne afgørelse, og karakteren af de opgaver, som er betroet ombudsmanden – i det foreliggende tilfælde en »Senior Coordinator for International Information Technology Diplomacy« – kunne USA anses for at sikre et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er garanteret i chartrets artikel 47. |
194 |
Undersøgelsen af spørgsmålet, om den ombudsmandsmekanisme, som er omhandlet i afgørelsen om værnet om privatlivets fred, faktisk kan have en afbødende virkning på de af Kommissionen konstaterede begrænsninger af retten til domstolsbeskyttelse, skal i overensstemmelse med de krav, der følger af chartrets artikel 47 og den retspraksis, der er nævnt i nærværende doms præmis 187, tage udgangspunkt i princippet om, at retssubjekterne skal have mulighed for at gøre brug af retsmidler ved en uafhængig og upartisk domstol med henblik på at få adgang til personoplysninger, som vedrører de pågældende, eller til at få sådanne oplysninger berigtiget eller slettet. |
195 |
I den skrivelse, som er nævnt i nærværende doms præmis 193, hedder det om ombudsmanden i værnet om privatlivets fred – selv om denne beskrives som værende »uafhængig af efterretningstjenesterne« – at ombudsmanden »indberetter direkte til den amerikanske udenrigsminister, der sørger for, at ombudsmanden udøver sin funktion på objektiv vis og fri for indflydelse, som kan påvirke de svar, der skal gives«. Ud over at ombudsmanden, således som Kommissionen konstaterede i 116. betragtning til denne afgørelse, udpeges af udenrigsministeren og udgør en del af det amerikanske udenrigsministerium, indeholder denne afgørelse, således som generaladvokaten har anført i punkt 337 i forslaget til afgørelse, i øvrigt ingen oplysninger om, at en nedlæggelse af ombudsmandsfunktionen eller en tilbagekaldelse af udpegningen er omfattet af særlige garantier, hvilket rejser tvivl om ombudsmandens uafhængighed af den udøvende magt (jf. i denne retning dom af 21.1.2020, Banco de Santander, C-274/14, EU:C:2020:17, præmis 60 og 63 og den deri nævnte retspraksis). |
196 |
Selv om der i 120. betragtning til afgørelsen om værnet om privatlivets fred, således som generaladvokaten har fremhævet i punkt 338 i forslaget til afgørelse, henvises til en forpligtelse for USA’s regering til at sikre, at den relevante enhed inden for efterretningstjenesterne pålægges at bringe enhver tilsidesættelse af de gældende regler, som ombudsmanden i værnet om privatlivets fred måtte konstatere, til ophør, indeholder denne afgørelse på samme måde ingen oplysninger om, at ombudsmanden har beføjelse til at træffe bindende afgørelser i forhold til disse tjenester, og den henviser heller ikke til lovbestemte garantier knyttet til denne forpligtelse, som de registrerede ville kunne påberåbe sig. |
197 |
Den ombudsmandsmekanisme, som er omhandlet i afgørelsen om værnet om privatlivets fred, tilvejebringer derfor ikke et retsmiddel for et organ, som giver personer, hvis oplysninger overføres til USA, garantier, der i det væsentlige svarer til dem, der kræves i henhold til chartrets artikel 47. |
198 |
Kommissionen har derfor ved i artikel 1, stk. 1, i afgørelsen om værnet om privatlivets fred at fastslå, at USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra Unionen til foretagender i dette tredjeland under Den Europæiske Unions og USA’s værn om privatlivets fred, tilsidesat de krav, der følger af databeskyttelsesforordningens artikel 45, stk. 1, sammenholdt med chartrets artikel 7, 8 og 47. |
199 |
Det følger heraf, at artikel 1 i afgørelsen om værnet om privatlivets fred er uforenelig med databeskyttelsesforordningens artikel 45, stk. 1, sammenholdt med chartrets artikel 7, 8 og 47, og at den derfor er ugyldig. |
200 |
Da artikel 1 i afgørelsen om værnet om privatlivets fred ikke kan adskilles fra denne afgørelses artikel 2-6 og fra bilagene til afgørelsen, indebærer dens ugyldighed, at gyldigheden af afgørelsen i sin helhed berøres. |
201 |
Henset til samtlige ovenstående betragtninger må det fastslås, at afgørelsen om værnet om privatlivets fred er ugyldig. |
202 |
Hvad angår spørgsmålet om, hvorvidt virkningerne af denne afgørelse bør opretholdes med henblik på at undgå, at der opstår et retligt tomrum (jf. i denne retning dom af 28.4.2016, Borealis Polyolefine m.fl., C-191/14, C-192/14, C-295/14, C-389/14 og C-391/14 – C-393/14, EU:C:2016:311, præmis 106), bemærkes, at annullation af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet såsom afgørelsen om værnet om privatlivets fred, henset til databeskyttelsesforordningens artikel 49, under alle omstændigheder ikke kan skabe et sådant retligt tomrum. Denne artikel fastsætter nemlig præcist, på hvilke betingelser overførsler af personoplysninger til tredjelande må finde sted i mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til denne forordnings artikel 45, stk. 3, eller fornødne garantier i henhold til dens artikel 46. |
Sagsomkostninger
203 |
Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes. |
På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret: |
|
|
|
|
|
Underskrifter |
( *1 ) – Processprog: engelsk.