This document is an excerpt from the EUR-Lex website
Document 62018CJ0311
Judgment of the Court (Grand Chamber) of 16 July 2020.#Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems.#Request for a preliminary ruling from the High Court (Ireland).#Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Regulation (EU) 2016/679 — Article 2(2) — Scope — Transfers of personal data to third countries for commercial purposes — Article 45 — Commission adequacy decision — Article 46 — Transfers subject to appropriate safeguards — Article 58 — Powers of the supervisory authorities — Processing of the data transferred by the public authorities of a third country for national security purposes — Assessment of the adequacy of the level of protection in the third country — Decision 2010/87/EU — Protective standard clauses on the transfer of personal data to third countries — Suitable safeguards provided by the data controller — Validity — Implementing Decision (EU) 2016/1250 — Adequacy of the protection provided by the EU-US Privacy Shield — Validity — Complaint by a natural person whose data was transferred from the European Union to the United States.#Case C-311/18.
A Bíróság ítélete (nagytanács), 2020. július 16.
Data Protection Commissioner kontra Facebook Ireland Limited és Maximillian Schrems.
A High Court (Írország) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Az Európai Unió Alapjogi Chartája – 7., 8. és 47. cikk – (EU) 2016/679 rendelet – A 2. cikk (2) bekezdése – Hatály – Személyes adatok kereskedelmi célú továbbítása harmadik országokba – 45. cikk – A Bizottság megfelelőségi határozata – 46. cikk – Megfelelő garanciák alapján történő adattovábbítások – 58. cikk – A felügyeleti hatóságok jogkörei – A továbbított adatoknak valamely harmadik ország hatóságai által nemzetbiztonsági célból történő kezelése – A harmadik országban biztosított védelmi szint megfelelőségének értékelése – 2010/87/EU határozat – Személyes adatok harmadik országokba történő továbbítására vonatkozó általános adatvédelmi kikötések – Az adatkezelő által nyújtott megfelelő garanciák – Érvényesség – (EU) 2016/1250 végrehajtási határozat – Az Európai Unió – Egyesült Államok adatvédelmi pajzs által biztosított védelem megfelelősége – Érvényesség – Olyan természetes személy panasza, akinek az adatait az Európai Unióból az Egyesült Államokba továbbították.
C-311/18. sz. ügy.
A Bíróság ítélete (nagytanács), 2020. július 16.
Data Protection Commissioner kontra Facebook Ireland Limited és Maximillian Schrems.
A High Court (Írország) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Az Európai Unió Alapjogi Chartája – 7., 8. és 47. cikk – (EU) 2016/679 rendelet – A 2. cikk (2) bekezdése – Hatály – Személyes adatok kereskedelmi célú továbbítása harmadik országokba – 45. cikk – A Bizottság megfelelőségi határozata – 46. cikk – Megfelelő garanciák alapján történő adattovábbítások – 58. cikk – A felügyeleti hatóságok jogkörei – A továbbított adatoknak valamely harmadik ország hatóságai által nemzetbiztonsági célból történő kezelése – A harmadik országban biztosított védelmi szint megfelelőségének értékelése – 2010/87/EU határozat – Személyes adatok harmadik országokba történő továbbítására vonatkozó általános adatvédelmi kikötések – Az adatkezelő által nyújtott megfelelő garanciák – Érvényesség – (EU) 2016/1250 végrehajtási határozat – Az Európai Unió – Egyesült Államok adatvédelmi pajzs által biztosított védelem megfelelősége – Érvényesség – Olyan természetes személy panasza, akinek az adatait az Európai Unióból az Egyesült Államokba továbbították.
C-311/18. sz. ügy.
ECLI identifier: ECLI:EU:C:2020:559
A BÍRÓSÁG ÍTÉLETE (nagytanács)
2020. július 16. ( *1 )
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Az Európai Unió Alapjogi Chartája – 7., 8. és 47. cikk – (EU) 2016/679 rendelet – A 2. cikk (2) bekezdése – Hatály – Személyes adatok kereskedelmi célú továbbítása harmadik országokba – 45. cikk – A Bizottság megfelelőségi határozata – 46. cikk – Megfelelő garanciák alapján történő adattovábbítások – 58. cikk – A felügyeleti hatóságok jogkörei – A továbbított adatoknak valamely harmadik ország hatóságai által nemzetbiztonsági célból történő kezelése – A harmadik országban biztosított védelmi szint megfelelőségének értékelése – 2010/87/EU határozat – Személyes adatok harmadik országokba történő továbbítására vonatkozó általános adatvédelmi kikötések – Az adatkezelő által nyújtott megfelelő garanciák – Érvényesség – (EU) 2016/1250 végrehajtási határozat – Az Európai Unió–Egyesült Államok adatvédelmi pajzs által biztosított védelem megfelelősége – Érvényesség – Olyan természetes személy panasza, akinek az adatait az Európai Unióból az Egyesült Államokba továbbították”
A C‑311/18. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a High Court (felsőbíróság, Írország) a Bírósághoz 2018. május 9‑én érkezett, 2018. május 4‑i határozatával terjesztett elő
a Data Protection Commissioner
és
a Facebook Ireland Ltd,
Maximillian Schrems
között,
The United States of America,
az Electronic Privacy Information Centre,
a BSA Business Software Alliance Inc.,
a Digitaleurope
részvételével folyamatban lévő eljárásban,
A BÍRÓSÁG (nagytanács),
tagjai: K. Lenaerts elnök, R. Silva de Lapuerta elnökhelyettes, A. Arabadjiev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P. G. Xuereb, L. S. Rossi és I. Jarukaitis, tanácselnökök, M. Ilešič, T. von Danwitz (előadó) és D. Šváby bírák,
főtanácsnok: H. Saugmandsgaard Øe,
hivatalvezető: C. Strömholm tanácsos,
tekintettel az írásbeli szakaszra és a 2019. július 9‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– |
a Data Protection Commissioner képviseletében D. Young solicitor, B. Murray és M. Collins SC, valamint C. Donnelly BL, |
– |
a Facebook Ireland Ltd képviseletében P. Gallagher és N. Hyland SC, A. Mulligan és F. Kieran BL, valamint P. Nolan, C. Monaghan, C. O’Neill és R. Woulfe solicitors, |
– |
M. Schrems képviseletében H. Hofmann Rechtsanwalt, E. McCullough, J. Doherty és S. O’Sullivan SC, valamint G. Rudden solicitor, |
– |
The United States of America képviseletében E. Barrington SC, S. Kingston BL, S. Barton és B. Walsh solicitors, |
– |
az Electronic Privacy Information Centre képviseletében S. Lucey solicitor, G. Gilmore és A. Butler BL, valamint C. O’Dwyer SC, |
– |
a BSA Business Software Alliance Inc. képviseletében B. Van Vooren és K. Van Quathem advocaten, |
– |
a Digitaleurope képviseletében N. Cahill barrister, J. Cahir solicitor és M. Cush SC, |
– |
Írország képviseletében A. Joyce és M. Browne, meghatalmazotti minőségben, segítőjük: D. Fennelly BL, |
– |
a belga kormány képviseletében J.‑C. Halleux és P. Cottin, meghatalmazotti minőségben, |
– |
a cseh kormány képviseletében M. Smolek, J. Vláčil, O. Serdula és A. Kasalická, meghatalmazotti minőségben, |
– |
a német kormány képviseletében J. Möller, D. Klebs és T. Henze, meghatalmazotti minőségben, |
– |
a francia kormány képviseletében A.‑L. Desjonquères, meghatalmazotti minőségben, |
– |
a holland kormány képviseletében C. S. Schillemans, M. K. Bulterman és M. Noort, meghatalmazotti minőségben, |
– |
az osztrák kormány képviseletében J. Schmoll és G. Kunnert, meghatalmazotti minőségben, |
– |
a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben, |
– |
a portugál kormány képviseletében L. Inez Fernandes, A. Pimenta és C. Vieira Guerra, meghatalmazotti minőségben, |
– |
az Egyesült Királyság kormánya képviseletében S. Brandon, meghatalmazotti minőségben, segítői: J. Holmes QC és M. C. Knight barrister, |
– |
az Európai Parlament képviseletében M. J. Martínez Iglesias és A. Caiola, meghatalmazotti minőségben, |
– |
az Európai Bizottság képviseletében D. Nardi, H. Krämer és H. Kranenborg, meghatalmazotti minőségben, |
– |
az Európai Adatvédelmi Testület (EDPB) képviseletében A. Jelinek és K. Behn, meghatalmazotti minőségben, |
a főtanácsnok indítványának a 2019. december 19‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 |
Az előzetes döntéshozatal iránti kérelem lényegében
|
2 |
E kérelmet a Data Protection Commissioner (adatvédelmi biztos, Írország) (a továbbiakban: biztos), valamint a Facebook Ireland Ltd és Maximillian Schrems között folyamatban lévő jogvita keretében terjesztették elő, amelynek tárgya az ez utóbbi által a személyes adatainak a Facebook Ireland által a Facebook Inc. részére az Egyesült Államokba történő továbbítása vonatkozásában benyújtott panasz. |
Jogi háttér
A 95/46 irányelv
3 |
A 95/46 irányelvnek „Az irányelv hatálya” címet viselő 3. cikke a (2) bekezdésében a következőket mondta ki: „Az irányelv nem alkalmazandó [helyesen: nem alkalmazható] az alábbi személyesadat‑feldolgozásokra [helyesen: személyesadat‑kezelésekre]:
[…]” |
4 |
Ezen irányelv 25. cikke a következőképpen rendelkezett: „(1) A tagállamoknak rendelkezniük kell arról, hogy a […] személyes adatok csak akkor továbbíthatók harmadik országba, ha – az ezen irányelv egyéb rendelkezései értelmében elfogadott nemzeti rendelkezéseknek való megfelelés sérelme nélkül – az adott harmadik ország megfelelő védelmi szintet tud biztosítani [helyesen: biztosít]. (2) A harmadik ország által nyújtott védelem szintjének megfelelő mivoltát az adattovábbítási művelet vagy adattovábbítási műveletsorozat feltételeinek figyelembevételével kell értékelni; […] […] (6) A Bizottság a 31. cikk (2) bekezdésében említett eljárásnak megfelelően megállapíthatja, hogy a harmadik ország megfelelő védelmi szintet biztosít e cikk (2) bekezdése értelmében, az egyének magánéletének, jogainak és szabadságainak védelmére vonatkozó belföldi jog, vagy a vállalt nemzetközi kötelezettségek, különösen az (5) bekezdésben említett tárgyalások végeredménye alapján [helyesen: belföldi joga vagy az egyének magánéletének, alapvető jogainak és szabadságainak védelme érdekében, különösen az (5) bekezdésben említett tárgyalások végeredménye alapján vállalt nemzetközi kötelezettségei alapján]. A tagállamok megteszik azokat az intézkedéseket, amelyek szükségesek ahhoz, hogy megfeleljenek a Bizottság határozatának.” |
5 |
Az említett irányelv 26. cikkének (2) és (4) bekezdése előírta: „(2) Az (1) bekezdés sérelme nélkül a tagállamok engedélyezhetik a személyes adatok olyan harmadik országba irányuló továbbítását vagy továbbítássorozatát, amely a 25. cikk (2) bekezdése értelmében nem biztosít megfelelő szintű védelmet, amennyiben az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében; ilyen garanciát jelenthetnek elsősorban a megfelelő szerződési feltételek. […] (4) Amennyiben a Bizottság a 31. cikk (2) bekezdésében említett eljárásnak megfelelően úgy dönt, hogy egyes általános szerződési feltételek megfelelő biztosítékot nyújtanak a (2) bekezdés értelmében, a tagállamok megteszik a szükséges intézkedéseket a Bizottság határozatának teljesítésére.” |
6 |
Ugyanezen irányelv 28. cikkének (3) bekezdése értelmében: „A hatóságok különösen a következő jogosultságokkal rendelkeznek:
[…]” |
A GDPR
7 |
Ezt az irányelvet hatályon kívül helyezte és felváltotta a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; a továbbiakban: GDPR). |
8 |
A GDPR (6), (10), (101), (103), (104), (107)–(109), (114), (116) és (141) preambulumbekezdése kimondja:
[…]
[…]
[…]
[…]
[…]
[…]
[…]
|
9 |
E rendelet 2. cikkének (1) és (2) bekezdése előírja: „(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon való kezelésére, amelyek valamely nyilvántartó rendszer részét képezik, vagy amelyeket egy nyilvántartó rendszer részévé kívánnak tenni. (2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
|
10 |
Az említett rendelet 4. cikke a következőképpen rendelkezik: „E rendelet alkalmazásában: […]
[…]
[…]” |
11 |
Ugyanezen rendelet 23. cikke kimondja: „(1) Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
[…] (2) Az (1) bekezdésben említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:
|
12 |
A GDPR‑nek „A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása” címet viselő V. fejezete tartalmazza e rendelet 44–50. cikkét. E rendeletnek „Az adattovábbításra vonatkozó általános elv” című 44. cikke a következőket mondja ki: „Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket a harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, e rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket. E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára e rendeletben biztosított védelem szintje ne sérüljön.” |
13 |
E rendeletnek az „Adattovábbítás megfelelőségi határozat alapján” címet viselő 45. cikkének (1)–(3) bekezdése a következőket írja elő: „(1) Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély. (2) A védelmi szint megfelelőségének mérlegelése során a Bizottság különösen a következő tényezőket veszi figyelembe:
(3) A védelmi szint megfelelőségének értékelését követően a Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet a (2) bekezdés értelmében biztosítja a megfelelő védelmi szintet. A végrehajtási jogi aktusban rendelkezni kell egy rendszeres, legalább négyévente elvégzendő felülvizsgálatra irányuló mechanizmusról, amely az adott harmadik országban vagy nemzetközi szervezetnél végbement valamennyi releváns fejleményt figyelembe vesz. A végrehajtási jogi aktusban pontosan rögzíteni kell annak területi és ágazati alkalmazási körét, és – adott esetben – meg kell határozni a (2) bekezdés b) pontjában említett felügyeleti hatóságot, illetve hatóságokat. A végrehajtási jogi aktust a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.” |
14 |
Az említett rendelet „Megfelelő garanciák alapján történő adattovábbítások” című 46. cikkének (1)–(3) bekezdése a következőképpen rendelkezik: „(1) A 45. cikk (3) bekezdése szerinti határozat hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. (2) A felügyeleti hatóság külön engedélye nélkül az (1) bekezdés szerinti megfelelő garanciákat az alábbiak jelenthetik:
(3) Az illetékes felügyeleti hatóság engedélyével az (1) bekezdésben említett megfelelő garanciákként különösen az alábbiak is szolgálhatnak:
|
15 |
Ugyanezen rendelet „Különös helyzetekben biztosított eltérések” című 49. cikke kimondja: „(1) A 45. cikk (3) bekezdése szerinti megfelelőségi határozat, illetve a 46. cikk szerinti megfelelő garanciák hiányában – beleértve a kötelező erejű vállalati szabályokat is –, a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:
Ha az adattovábbítás nem alapulhat a 45. vagy a 46. cikk rendelkezésein, beleértve a kötelező erejű vállalati szabályok rendelkezéseit is, és az első albekezdésben említett egyedi helyzetekre vonatkozó eltérések egyike sem alkalmazandó, harmadik országok és nemzetközi szervezetek részére történő adattovábbítás csak akkor történhet, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében. Az adatkezelőnek tájékoztatnia kell a felügyeleti hatóságot az adattovábbításról. Az adatkezelő a 13. és a 14. cikkben említett információk nyújtásán kívül az érintettet tájékoztatja az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről. (2) Az (1) bekezdés első albekezdésének g) pontja szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes adatok vagy személyes adatok kategóriáinak összességét. Ha a nyilvántartásba csak olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra csak e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek. (3) Az (1) bekezdés első albekezdésének a), b) és c) pontja, valamint második albekezdése nem alkalmazandó a közhatalmi szervek által közhatalmi jogosítványaik gyakorlása során végzett tevékenységekre. (4) Az (1) bekezdés első albekezdésének d) pontjában említett közérdeket akkor kell figyelembe venni, ha azt az uniós jog vagy az adatkezelőre vonatkozó tagállami jog elismeri. (5) Megfelelőségi határozat hiányában az uniós jog vagy a tagállami jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriákba tartozó személyes adatok valamely harmadik országba vagy nemzetközi szervezethez történő továbbítását. A tagállamok az ilyen rendelkezéseket bejelentik a Bizottságnak. (6) Az adatkezelő vagy az adatfeldolgozó az e cikk (1) bekezdésének második albekezdésében említett vizsgálatot és megfelelő garanciákat a 30. cikkben említett nyilvántartásban dokumentálja.” |
16 |
A GDPR 51. cikkének (1) bekezdése kimondja: „A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel.” |
17 |
E rendelet 55. cikkének (1) bekezdése szerint „[a] felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására”. |
18 |
Az említett rendelet 57. cikkének (1) bekezdése előírja: „Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:
[…]
[…]” |
19 |
Ugyanezen rendelet 58. cikkének (2) és (4) bekezdése értelmében: „(2) A felügyeleti hatóság korrekciós hatáskörében eljárva: […]
[…]
[…] (4) Az e cikk alapján a felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a tagállami jogban a Chartával összhangban meghatározott hatékony bírósági jogorvoslatot és tisztességes eljárást is.” |
20 |
A GDPR 64. cikkének (2) bekezdése kimondja: „Bármely felügyeleti hatóság, a Testület elnöke vagy a Bizottság kérheti, hogy a Testület vizsgáljon meg egy általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és bocsásson ki róla véleményt, különösen, ha valamely illetékes felügyeleti hatóság nem teljesíti a 61. cikk szerinti kölcsönös segítségnyújtás vagy a 62. cikk szerinti közös műveletek tekintetében fennálló kötelezettségeit.” |
21 |
E rendelet 65. cikkének (1) bekezdése szerint: „Annak érdekében, hogy az egyes esetekben biztosított legyen e rendelet helyes és egységes alkalmazása, a Testület kötelező erejű döntést fogad el az alábbi esetekben: […]
|
22 |
Az említett rendeletnek „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikke kimondja: „(1) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet. (2) Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.” |
23 |
Ugyanezen rendeletnek „A felügyelő hatósággal szembeni hatékony bírósági jogorvoslathoz való jog” című 78. cikkének (1) és (2) bekezdése a következőket írja elő: „(1) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben. (2) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.” |
24 |
A GDPR 94. cikke a következőképpen rendelkezik: „(1) A [95/46] irányelv 2018. május 25‑i hatállyal hatályát veszti. (2) A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni. A [95/46] irányelv 29. cikke által létrehozott, a természetes személyeknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoportra történő hivatkozást az e rendelet által létrehozott Európai Adatvédelmi Testületre történő hivatkozásnak kell tekinteni.” |
25 |
E rendelet 99. cikke szerint: „(1) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba. (2) Ezt a rendeletet 2018. május 25‑től kell alkalmazni.” |
Az ÁSZF‑határozat
26 |
A megtámadott ÁSZF‑határozat (11) preambulumbekezdésének szövege a következő: „A tagállamok felügyeleti hatóságai kulcsfontosságú szerepet játszanak e szerződéses mechanizmusban, mivel ők biztosítják, hogy a személyes adatok továbbításukat követően megfelelő védelemben részesüljenek. Kivételes esetekben, amikor az adatátadók nem hajlandók vagy nem képesek megfelelő módon tájékoztatni az adatátvevőket – ami az érintettek számára súlyos károkat okozhat –, az általános szerződési feltételeknek lehetővé kell tenniük, hogy a felügyeleti hatóságok ellenőrizhessék az adatátvevőket és további feldolgozókat, és – adott esetben – rájuk nézve kötelező határozatokat hozzanak. A felügyeleti hatóságoknak megfelelő hatáskörrel kell rendelkezniük ahhoz, hogy az általános szerződési feltételek alapján megtiltsanak vagy felfüggesszenek adattovábbítást vagy adattovábbításokat azokban a kivételes esetekben, amikor megállapítást nyer, hogy egy szerződés alapján teljesített adattovábbításnak vélhetően súlyosan hátrányos hatása lesz az érintettek számára megfelelő védelmet biztosító garanciákra és kötelezettségekre.” |
27 |
E határozat 1. cikke a következőképpen rendelkezik: „A mellékletben meghatározott általános szerződési feltételek megfelelő biztosítékokat kínálnak a magánélet tiszteletben tartásához való jog, az egyének alapvető jogainak és szabadságjogainak védelme tekintetében, valamint a [95/46] irányelv 26. cikke (2) bekezdése értelmében meghatározott, ezekhez kapcsolódó jogok érvényesítése tekintetében.” |
28 |
Az említett határozat 2. cikkének második bekezdése értelmében e határozat „a személyes adatok továbbításának azon eseteire vonatkozik, amikor az Európai Unióban letelepedett adatkezelők a személyes adatokat olyan, az Európai Unión kívül letelepedett adatátvevőknek továbbítják, akik csak adatfeldolgozói feladatokat látnak el”. |
29 |
Ugyanezen határozat 3. cikke ekként rendelkezik: „E határozat alkalmazásában: […]
[…]
[…]” |
30 |
A 2016/2297 végrehajtási határozat hatálybalépését megelőző eredeti változatában a 2010/87 határozat 4. cikke előírta: „(1) A [95/46] irányelv II., III., V. és VI. fejezete alapján elfogadott nemzeti rendelkezéseknek való megfelelés céljából tett intézkedésekre vonatkozó hatásköröket nem érintve, a tagállamok illetékes hatóságai a magánszemélyek – személyes adatainak feldolgozására tekintettel történő – védelme érdekében élhetnek azzal a jogukkal, hogy megtilthatják vagy felfüggeszthetik a harmadik országokba történő adattovábbítást olyan esetekben, ha:
(2) Az (1) bekezdésben említett tilalmat vagy felfüggesztést azonnal megszüntetik, amint a felfüggesztés vagy tilalom okai megszűnnek. (3) A tagállamok késedelem nélkül tájékoztatják a Bizottságot az (1) és (2) bekezdés értelmében elfogadott intézkedésekről, amely továbbítja ezt az információt a többi tagállamnak.” |
31 |
A 2015. október 6‑iSchrems ítélet (C‑362/14, EU:C:2015:650) kihirdetését követően elfogadott 2016/2297 végrehajtási határozat (5) preambulumbekezdésének szövege a következő: „A [95/46] irányelv 26. cikkének (4) bekezdése szerint elfogadott bizottsági határozat értelemszerűen kötelező erejű a tagállamok címzett szerveire, köztük a független felügyeleti hatóságokra nézve, amennyiben ennek következményeként elismerik, hogy az abban foglalt általános szerződési feltételek alapján végzett adattovábbítások – az említett irányelv 26. cikke (2) bekezdésében előírtak szerint – elegendő biztosítékot nyújtanak. Ez nem akadályozza meg, hogy a nemzeti felügyeleti hatóság gyakorolja az adatáramlások ellenőrzéséra vonatkozó jogkörét, beleértve a személyes adatok továbbításának felfüggesztését vagy tilalmát, ha a hatóság megállapítja, hogy az uniós vagy a nemzeti adatvédelmi jog megsértésével végzik az adattovábbítást, így például az adatátvevő nem tartja tiszteletben az általános szerződési feltételeket.” |
32 |
Az ÁSZF‑határozat 2016/2297 végrehajtási határozattal módosított 4. cikke kimondja: „Ha a tagállamok hatáskörrel rendelkező hatóságai oly módon gyakorolják a [95/46] irányelv 28. cikkének (3) bekezdése alapján őket megillető jogköreiket, hogy ez – az egyéneknek a személyes adataik kezelése tekintetében történő védelme érdekében – harmadik országokba irányuló adatáramlás felfüggesztéséhez vagy végleges tilalmához vezet, az érintett tagállam haladéktalanul tájékoztatja erről a Bizottságot, amely továbbítja ezt a tájékoztatást a többi tagállamnak.” |
33 |
Az ÁSZF‑határozat „Általános szerződési feltételek (adatfeldolgozók)” című melléklete tizenkét általános feltételt tartalmaz. E melléklet 3. általános feltétele, amelynek címe „A kedvezményezett harmadik személyről szóló rendelkezés”, a következőket írja elő: „(1) Az érintett az adatátadóval szemben – kedvezményezett harmadik személyként – érvényesítheti ezt az általános szerződési feltételt, a 4. általános szerződési feltétel b)–i) pontját, az 5. általános szerződési feltétel a)–e), valamint g)–j) pontját, a 6. általános szerződési feltétel (1) és (2) bekezdését, a 7. általános szerződési feltételt, a 8. általános szerződési feltétel (2) bekezdését, valamint a 9–12. általános szerződési feltételt. (2) Az érintett az adatátvevővel szemben érvényesítheti ezt az általános szerződés feltételt, az 5. általános szerződési feltétel a)–e) és g) pontját, a 6. és 7. általános szerződési feltételt, a 8. általános szerződési feltétel (2) bekezdését, valamint a 9–12. általános szerződési feltételt azokban az esetekben, amikor az adatátadó vállalkozása ténylegesen vagy jogilag megszűnik létezni, feltéve hogy nincs olyan jogutód, amely az adatátadó valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta, aminek eredményeként gyakorolja az adatátadó jogait és kötelezettségeit, amely esetben az érintett ezeket érvényesítheti e jogutóddal szemben. […]” |
34 |
E melléklet 4. általános feltétele szerint, amelynek címe „Az adatátadó kötelezettségei”: „Az adatátvevő elfogadja és garantálja, hogy:
[…]
[…]” |
35 |
Az említett mellékletnek „Az adatátadó kötelezettségei […]” című 5. általános feltétele a következőképpen rendelkezik: „Az adatátvevő elfogadja és garantálja, hogy:
[…]
[…]” |
36 |
Az ezen 5. feltétel címében hivatkozott lábjegyzet kimondja: „Az adatátvevőre vonatkozó nemzeti jogszabályok kötelező követelményei, amelyek nem lépnek túl azon, amire a 95/46/EK irányelv 13. cikkének (1) bekezdésében felsorolt érdekek valamelyike alapján egy demokratikus társadalomban szükség van; vagyis amennyiben ezek az érdekek olyan intézkedések alkalmazását írják elő, amelyek a nemzetbiztonsági, honvédelmi, közbiztonsági érdekek érvényesítését, a bűncselekmények megelőzését, a nyomozást, felderítését vagy üldözését, vagy – szabályozott szakmákban – etikai szabályok megsértését, az állam fontos gazdasági vagy pénzügyi érdekének védelmét, az érintett védelmét vagy mások jogainak vagy szabadságainak védelmét érintik, és nem ellentétesek az általános szerződési feltételekkel. […]” |
37 |
Az ÁSZF‑határozat mellékletének „Felelősség” című 6. feltétele a következőket írja elő: „(1) A felek megállapodnak abban, hogy az érintett, aki a 3. vagy a 11. általános szerződési feltételben említett kötelezettségek egyik fél vagy a további felhasználó általi megsértésének következményeként kárt szenved, kártérítésre jogosult az adatátadótól. (2) Amennyiben az érintett – az adatátvevőnek vagy az általa megbízott további feldolgozónak a 3. vagy a 11. általános szerződési feltételben meghatározott kötelezettsége valamelyikének megszegéséből eredően – nem tudja érvényesíteni az (1) bekezdés szerinti kártérítési igényt az adatátadóval szemben azért, mert az adatátadó ténylegesen megszűnt, jogilag megszűnt létezni vagy fizetésképtelenné vált, az adatátvevő hozzájárul ahhoz, hogy az érintett vele szemben érvényesíthesse az adatátadóval szembeni kártérítési igényét […]. […]” |
38 |
Az e melléklet „Együttműködés a felügyeleti hatóságokkal” című 8. feltételének (2) bekezdése a következőképpen rendelkezik: „A felek megállapodnak abban, hogy a felügyeleti hatóságnak jogában áll az adatátvevő és valamennyi további feldolgozó ellenőrzése; az ellenőrzés hatálya és feltételei megegyeznek az alkalmazandó adatvédelmi jog értelmében az adatátadónál elvégzendő ellenőrzés hatályával és feltételeivel.” |
39 |
Az említett melléklet „Irányadó jog” című 9. feltétele kifejti, hogy a feltételekre az adatátadó letelepedési helye szerinti tagállam joga az irányadó. |
40 |
Az ugyanezen melléklet „További feldolgozás” című 11. feltétele értelmében: „(1) Az adatátvevő az adatátadó előzetes írásos beleegyezése nélkül nem adhatja ki alvállalkozásba az általános szerződési feltételek alapján az adatátadó nevében végzett adatfeldolgozási tevékenységeit. Amennyiben az adatátvevő alvállalkozásba adja az általános szerződési feltételekből fakadó kötelezettségeit az adatátadó beleegyezésével, ezt kizárólag a további feldolgozóval kötött olyan írásos megállapodás útján teszi meg, amely az általános szerződési feltételek értelmében az adatátvevőre vonatkozóakkal azonos kötelezettségeket határoz meg. […] (2) Az adatátvevő és a további feldolgozó közötti előzetes írásos megállapodás tartalmazza a kedvezményezett harmadik személyről szóló rendelkezést is – a 3. általános szerződési feltételben megállapítottak szerint – azon esetekre vonatkozóan, amikor az érintett nem tudja érvényesíteni a 6. általános szerződési feltétel (1) bekezdésében említett kártérítési igényt az adatátadóval vagy az adatátvevővel szemben azért, mert ténylegesen megszűntek, jogilag megszűntek létezni vagy fizetésképtelenné váltak, és nincs olyan jogutód, amely az adatátadó vagy az adatátvevő valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta. A további feldolgozó harmadik féllel szembeni polgári jogi felelőssége az általános szerződési feltételek alapján végzett saját adatfeldolgozási műveleteire korlátozódik. […]” |
41 |
Az ÁSZF határozat mellékletének „A személyes adatok feldolgozásának megszüntetése után fennálló kötelezettség” című 12. feltétele az (1) bekezdésében kimondja: „A felek megállapodnak abban, hogy – amennyiben az adatátvevőre vonatkozó jogszabályok a részére továbbított személyes adatok egy részének vagy egészének visszaszolgáltatását vagy megsemmisítését nem tiltják – az adatfeldolgozás megszüntetését követően az adatátvevő és a további feldolgozó az adatátadó döntése alapján visszaszolgáltatja a számára megküldött valamennyi személyes adatot és azok másolatait az adatátadó részére, vagy megsemmisíti az összes személyes adatot, és ennek megtörténtét igazolja az adatátadó felé. […]” |
Az AVP‑határozat
42 |
A 2015. október 6‑iSchrems ítéletével (C‑362/14, EU:C:2015:650) a Bíróság érvénytelenítette a 95/46 irányelv alapján, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló, 2000. július 26‑i 2000/520/EK bizottsági határozatot (HL 2000. L 215., 7. o.; magyar nyelvű különkiadás 16. fejezet, 1. kötet, 119. o.), amelyben a Bizottság megállapította, hogy e harmadik ország megfelelő szintű védelmet biztosít. |
43 |
Ezen ítélet kihirdetését követően a Bizottság elfogadta az AVP‑határozatot, miután annak elfogadása céljából értékelte az Egyesült Államok szabályozását, amint azt az említett határozat (65) preambulumbekezdése kifejti: „A Bizottság megvizsgálta az Egyesült Államok jogában rendelkezésre álló korlátozásokat és biztosítékokat az Egyesült Államok hatóságainak az [Európai Unió–Egyesült Államok] adatvédelmi pajzs alapján továbbított személyes adatokhoz való nemzetbiztonsági, bűnüldözési és egyéb közérdekű célokból történő hozzáférése, és azok ilyen célokból történő felhasználása tekintetében. Ezenfelül az Egyesült Államok kormánya a nemzeti hírszerzés igazgatójának hivatala (ODNI) […] útján részletes nyilatkozatokat és kötelezettségvállalásokat szolgáltatott a Bizottságnak, amelyeket e határozat VI. melléklete tartalmaz. A külügyminiszter által aláírt és e határozat III. mellékletében csatolt levélben az Egyesült Államok kormánya kötelezettséget vállalt arra is, hogy létrehoz egy új, a nemzetbiztonsági beavatkozással foglalkozó felügyeleti mechanizmust, az adatvédelmi ombudsmant, aki független a hírszerzéstől. Végezetül az Egyesült Államok Igazságügyi Minisztériumának e határozat VII. mellékletébe foglalt nyilatkozata ismerteti a hatóságok bűnüldözési és egyéb közérdekű célokból történő adathozzáférésére és ‑használatára vonatkozó korlátozásokat és biztosítékokat. Az említett kötelezettségvállalások átláthatóságának fokozása és jogi jellegének kidomborítása érdekében az e határozatban felsorolt és ahhoz mellékelt minden egyes dokumentumot közzé fognak tenni az Egyesült Államok Szövetségi Közlönyében [U. S. Federal Register].” |
44 |
A Bizottságnak az e korlátozásokra és garanciákra vonatkozó elemzését az AVP‑határozat (67)–(135) preambulumbekezdése foglalja össze, míg ezen intézménynek az Európai Unió–Egyesült Államok adatvédelmi pajzs keretében biztosított védelem megfelelő szintjére vonatkozó következtetései a határozat (136)–(141) preambulumbekezdésében szerepelnek. |
45 |
E határozat (68), (69), (76), (77), (109), (112)–(116), (120), (136) és (140) preambulumbekezdése kimondja:
[…]
[…]
[…]
[…]
[…]
[…]
|
46 |
Az AVP‑határozat 1. cikkének szövege szerint: „(1) A [95/46 irányelv] 25. cikke (2) bekezdésének alkalmazásában az Egyesült Államok megfelelő szintű védelmet biztosít az [Európai Unió–Egyesült Államok] adatvédelmi pajzs keretében az Unióból az egyesült államokbeli szervezetekhez továbbított személyes adatok tekintetében. (2) Az [Európai Unió–Egyesült Államok] adatvédelmi pajzsot az Egyesült Államok Kereskedelmi minisztériuma által 2016. július 7‑én kibocsátott, a II. mellékletben ismertetett elvek, valamint az I. és a III–VII. mellékletben felsorolt dokumentumokban foglalt hivatalos nyilatkozatok és kötelezettségvállalások alkotják. (3) Az (1) bekezdés alkalmazásában a személyes adatok az [Európai Unió–Egyesült Államok] adatvédelmi pajzs keretében kerülnek továbbításra, amennyiben az Unióból egy olyan egyesült államokbeli szervezethez továbbítják azokat, amelyet – a II. mellékletben ismertetett elvek I. és III. szakaszának megfelelően – felvettek az »adatvédelmi pajzsban részt vevő szervezetek listájára«, amelyet az Egyesült Államok Kereskedelmi Minisztériuma vezet és a nyilvánosság számára hozzáférhetővé tesz.” |
47 |
Az AVP‑határozatnak „Az [Európai Unió–Egyesült Államok] adatvédelmi pajzs keretrendszer elvei[,] kiadta az Egyesült Államok Kereskedelmi Minisztériuma” című II. melléklete I.5. pontjában előírja, hogy az elvek betartása »a nemzetbiztonság, a közérdek vagy a bűnüldözés követelményeinek« révén korlátozhatók. |
48 |
E határozat III. melléklete tartalmazza az akkori Secretary of State (külügyminiszter, Egyesült Államok), John Kerry 2016. július 7‑i levelét, amelyet a jogérvényesülésért, a fogyasztópolitikáért és a nemek közötti esélyegyenlőségért felelős biztoshoz írt, és amelyhez az A. mellékletben csatolták az „[Európai Unió–Egyesült Államok] adatvédelmi pajzs ombudsmani mechanizmus [a jelfelderítés tekintetében]” című feljegyzést, amely a következő szövegrészt tartalmazza: „Jelfelderítés tekintetében az [Európai Unió–Egyesült Államok] adatvédelmi pajzs fontosságának elismeréseként ez a feljegyzés meghatározza az új mechanizmus megvalósításának a folyamatát, összhangban a jelfelderítésre vonatkozó 28. sz. elnöki rendelettel [PPD‑28]. […] Obama elnök bejelentette egy új elnöki rendelet, a PPD‑28 kibocsátását, amelynek célja »világosan leírni, hogy a tengerentúli felderítési tevékenységünk keretében mit teszünk és mit nem«. A PPD‑28 4(d) pontja arra utasítja a külügyminisztert, hogy nevezzen ki egy »nemzetközi informatikai diplomáciai főkoordinátort« (főkoordinátor), »aki a kapcsolattartó lesz azon külföldi kormányok felé, amelyek aggodalmukat akarják kifejezni az Egyesült Államok jelfelderítési tevékenysége kapcsán«. […]
[…]” |
49 |
Az AVP‑határozat VI. melléklete tartalmazza a nemzeti hírszerzés igazgatója irodájának (Office of the Director of National Intelligence) az amerikai kereskedelmi minisztérium és a nemzetközi kereskedelmi igazgatóság részére címzett 2016. június 21‑i levelét, amelyben az szerepel, hogy a PPD‑28 lehetővé teszi „a »nagy mennyiségű« gyűjtés[ét] viszonylag nagy mennyiségű jelfelderítési információ[nak] vagy adat[nak] olyan körülmények között, amikor a hírszerzés nem tud a konkrét célszemélyhez társítható azonosítót […] alkalmazni az adatgyűjtés fókuszálása céljából.” |
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
50 |
M. Schrems, Ausztriában lakóhellyel rendelkező osztrák állampolgár 2008 óta felhasználója a Facebook közösségi hálónak (a továbbiakban: Facebook). |
51 |
Az Unió területén lakó és a Facebookot használni kívánó valamennyi személynek a regisztráció során alá kell írnia egy szerződést az Egyesült Államokban letelepedett Facebook Inc. leányvállalatával, a Facebook Irelanddel. Az Unió területén lakóhellyel rendelkező Facebook‑felhasználókra vonatkozó személyes adatokat részben vagy egészben a Facebook Inc. Egyesült Államokban található szervereire továbbítják, és azokat ott kezelik. |
52 |
2013. június 25‑én M. Schrems panaszt nyújtott be a biztoshoz, amelyben lényegében azt kérte, hogy tiltsa meg a Facebook Ireland számára a személyes adatainak az Egyesült Államokba történő továbbítását, arra hivatkozva, hogy az ebben az országban hatályban lévő jog és gyakorlat nem biztosít a területén tárolt személyes adatok számára elégséges védelmet a hatóságok által folytatott megfigyelési tevékenységekkel szemben. E panaszt többek között azzal az indokkal utasították el, hogy a Bizottság a 2000/520 határozatában megállapította, hogy az Egyesült Államok megfelelő védelmi szintet biztosít. |
53 |
A High Court (felsőbíróság, Írország), amely előtt M. Schrems keresetet nyújtott be panaszának elutasításával szemben, előzetes döntéshozatal iránti kérelmet terjesztett a Bíróság elé a 2000/520 határozat értelmezésére és érvényességére vonatkozóan. A Bíróság a 2015. október 6‑iSchrems ítéletben (C‑362/14, EU:C:2015:650) e határozatot érvénytelennek nyilvánította. |
54 |
Ezen ítéletet követően a kérdést előterjesztő bíróság megsemmisítette M. Schrems panaszának elutasítását, és e panaszt visszautalta a biztos elé. Az utóbbi által megindított vizsgálat keretében a Facebook Ireland kifejtette, hogy a személyes adatok nagy részét az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötések alapján továbbították a Facebook Inc. részére. E tényezőkre tekintettel a biztos felhívta M. Schremset panaszának újrafogalmazására. |
55 |
Az így újrafogalmazott és 2015. december 1‑jén benyújtott panaszában M. Schrems többek között arra hivatkozott, hogy az amerikai jog arra kötelezi a Facebook Inc.‑t, hogy a neki továbbított személyes adatokat az amerikai hatóságok, így a National Security Agency (NSA) és a Federal Bureau of Investigation (FBI) rendelkezésére bocsássa. Azt állította, hogy mivel ezeket az adatokat különböző megfigyelési programok keretében a Charta 7., 8. és 47. cikkével összeegyeztethetetlen módon használták fel, az ÁSZF‑határozat nem igazolhatja az említett adatoknak az Egyesült Államokba történő továbbítását. E körülmények között M. Schrems azt kérte a biztostól, hogy tiltsa meg vagy függessze fel személyes adatainak a Facebook Inc. részére történő továbbítását. |
56 |
2016. május 24‑én a biztos a vizsgálatának ideiglenes következtetéseit összefoglaló „határozattervezetet” tett közzé. Ebben a tervezetben ideiglenesen úgy ítélte meg, hogy fennáll a veszélye annak, hogy az uniós polgároknak az Egyesült Államokba továbbított személyes adataihoz az amerikai hatóságok olyan módon férnek hozzá, és azokat olyan módon kezelik, amely összeegyeztethetetlen a Charta 7. és 8. cikkével, valamint hogy az Egyesült Államok joga nem biztosít e polgárok számára a Charta 47. cikkével összeegyeztethető jogorvoslati lehetőségeket. A biztos úgy ítélte meg, hogy az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötések nem orvosolják ezt a hiányosságot, mivel az érintett személyek számára kizárólag szerződéses jogokat biztosítanak az adatok átadójával és átvevőjével szemben, anélkül azonban, hogy kötnék az amerikai hatóságokat. |
57 |
Mivel a biztos úgy vélte, hogy e körülmények között M. Schrems újrafogalmazott panasza felvetette az ÁSZF‑határozat érvényességének kérdését, 2016. május 31‑én a High Courthoz (felsőbíróság) fordult a 2015. október 6‑iSchrems ítéletből (C‑362/14, EU:C:2015:650, 65. pont) eredő ítélkezési gyakorlatra támaszkodva, annak érdekében, hogy ez utóbbi ezzel kapcsolatban kérdést intézzen a Bírósághoz. 2018. május 4‑i határozatával a High Court (felsőbíróság) a jelen előzetes döntéshozatal iránti kérelemmel fordult a Bírósághoz. |
58 |
A High Court (felsőbíróság) ezen előzetes döntéshozatal iránti kérelemhez mellékelt egy 2017. október 3‑án kihirdetett ítéletet, amelyben rögzítette a nemzeti eljárás keretében elé terjesztett bizonyítékok vizsgálatának eredményét, amely eljárásban az amerikai kormány is részt vett. |
59 |
Ebben az ítéletben, amelyre az előzetes döntéshozatal iránti kérelem több alkalommal hivatkozik, a kérdést előterjesztő bíróság rámutatott, hogy főszabály szerint nemcsak jogosult, hanem köteles is megvizsgálni az elé terjesztett valamennyi tényt és érvet annak érdekében, hogy azok alapján eldöntse, hogy szükséges‑e az előzetes döntéshozatal iránti kérelem, vagy sem. Mindenesetre köteles figyelembe venni a jog azon esetleges módosításait, amelyek a kereset benyújtása és az előtte tartott tárgyalás között következtek be. E bíróság pontosította, hogy az alapeljárás keretében a saját értékelése nem korlátozódik a biztos által felhozott érvénytelenségi jogalapokra, így hivatalból más érvénytelenségi jogalapokra is hivatkozhat, és ezek alapján előzetes döntéshozatal iránti kérelmet terjeszthet elő. |
60 |
Az említett ítéletben szereplő megállapítások szerint az amerikai hatóságoknak az Egyesült Államokba továbbított személyes adatokra vonatkozó hírszerző tevékenységei többek között a FISA 702. cikkén és az EO 12333‑on alapulnak. |
61 |
A FISA 702. cikkét illetően a kérdést előterjesztő bíróság ugyanebben az ítéletben pontosítja, hogy e cikk lehetővé teszi a legfőbb ügyész és a nemzeti hírszerzési igazgató számára, hogy a FISC jóváhagyását követően a „külföldi hírszerzési információk” megszerzése céljából közösen engedélyezzék az Egyesült Államok területén kívül tartózkodó nem amerikai állampolgárok megfigyelését, és az többek között a PRISM és az UPSTREAM megfigyelési programok alapjául szolgál. A PRISM program keretében az internetszolgáltatók e bíróság megállapításai szerint kötelesek az NSA‑nak minden, „kiválasztási tényező” [selector] révén küldött és kapott közlést továbbítani, amelyek egy részét megküldik az FBI és a Central Intelligence Agency (CIA) (Központi Hírszerző Ügynökség) részére is. |
62 |
Az UPSTREAM programot illetően az említett bíróság megállapította, hogy e program keretében az internetes „gerinchálózatot”– vagyis a kábelek, kapcsolók és routerek hálózatát – üzemeltető távközlési vállalkozások kötelesek lehetővé tenni az NSA számára az internetes forgalom másolását és szűrését annak érdekében, hogy összegyűjtse a „kiválasztási tényező” révén megcélzott nem amerikai állampolgár által vagy vele kapcsolatban továbbított, illetve őt érintő közlést. Az említett program keretében az NSA – ugyanezen bíróság megállapításai szerint – hozzáfér mind az érintett közlések metaadataihoz, mind azok tartalmához. |
63 |
Ami az EO 12333‑at illeti, a kérdést előterjesztő bíróság megállapítja, hogy az lehetővé teszi az NSA számára, hogy az Egyesült Államokba irányuló „átmenő” adatokhoz hozzáférjen az Atlanti‑óceán fenekén elhelyezett tenger alatti kábelekhez való hozzáférés révén, valamint hogy ezeket az adatokat összegyűjtse és megőrizze azt megelőzően, hogy azok megérkeznek az Egyesült Államokba és ott a FISA rendelkezéseinek hatálya alá kerülnek. Kifejti, hogy az EO 12333 alapján végzett tevékenységeket nem szabályozza törvény. |
64 |
A hírszerző tevékenység korlátait illetően a kérdést előterjesztő bíróság arra a tényre helyezi a hangsúlyt, hogy a nem amerikai személyek kizárólag a PPD‑28 hatálya alá tartoznak, és hogy ez utóbbi csupán azt állapítja meg, hogy a hírszerző tevékenységeknek „a lehető legcélzottabbnak”(as tailored as feasible) kell lenniük. A megállapításai alapján az említett bíróság úgy véli, hogy az Egyesült Államok tömeges adatkezelést végez, anélkül hogy a Charta 7. és 8. cikkében biztosított védelemmel lényegében azonos védelmet biztosítana. |
65 |
A bírói jogvédelmet illetően ugyanezen bíróság kifejti, hogy az uniós polgárok nem férhetnek hozzá ugyanazon jogorvoslatokhoz, mint amelyekkel az amerikai állampolgárok rendelkeznek az amerikai hatóságok által végzett személyesadat‑kezeléssel szemben, mivel a Constitution of the United States (az Egyesült Államok alkotmánya) negyedik kiegészítése, amely a legfontosabb védelmet jelenti a jogellenes megfigyeléssel szemben, nem alkalmazható az uniós polgárokra. E tekintetben a kérdést előterjesztő bíróság pontosítja, hogy az ez utóbbiak rendelkezésére álló egyéb jogorvoslatok jelentős akadályokba, különösen a kereshetőségi joguk – szerinte túlzottan nehezen teljesíthető – igazolására vonatkozó kötelezettségbe ütköznek. Egyébiránt e bíróság megállapításai szerint az NSA EO 12333‑on alapuló tevékenységei nem tartoznak bírósági felügyelet alá, és nem lehet velük kapcsolatban bírósági jogorvoslattal élni. Végül az említett bíróság úgy véli, hogy mivel álláspontja szerint az adatvédelmi pajzs ombudsmanja nem minősül a Charta 47. cikke értelmében vett bíróságnak, az amerikai jog nem biztosít az uniós polgárok számára az e cikkben szentesített alapvető jog által biztosított védelmi szinttel lényegében azonos védelmi szintet. |
66 |
Előzetes döntéshozatal iránti kérelmében a kérdést előterjesztő bíróság pontosítja továbbá, hogy az alapeljárásban részt vevő felek nem értenek egyet többek között abban a kérdésben, hogy alkalmazható‑e az uniós jog az olyan személyes adatok harmadik országba történő továbbítására, amelyeket ezen ország hatóságai többek között nemzetbiztonsági célból kezelhetnek, valamint hogy mely tényezőket kell figyelembe venni az említett ország által biztosított megfelelő védelmi szint értékelése céljából. E bíróság különösen azt állapítja meg, hogy a Facebook Ireland szerint a Bizottságnak a harmadik ország által biztosított védelmi szint megfelelőségére vonatkozó megállapításai, mint amelyek az AVP‑határozatban szerepelnek, kötik a felügyeleti hatóságokat az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötéseken alapuló személyesadat‑továbbítással összefüggésben is. |
67 |
Ami ezen általános adatvédelmi kikötéseket illeti, az említett bíróság azt kérdezi, hogy az ÁSZF‑határozat érvényesnek tekinthető‑e, noha ugyanezen bíróság szerint az említett kikötések nem kötelezőek az érintett harmadik ország állami hatóságaira nézve, és ennélfogva nem alkalmasak arra, hogy orvosolják a megfelelő védelmi szint ezen országban esetlegesen fennálló hiányát. E tekintetben e bíróság úgy véli, hogy a 2010/87 határozat 4. cikke (1) bekezdése a) pontjának a 2016/2297 végrehajtási határozat hatálybalépését megelőző változata által a tagállamok illetékes hatóságai számára elismert azon lehetőség, hogy megtiltsák a személyes adatoknak az adatátvevő számára az ugyanezen kikötésekben foglalt biztosítékokkal összeegyeztethetetlen kötelezettségeket előíró harmadik országba történő továbbítását, azt bizonyítja, hogy a harmadik ország jogának állapota az – akár az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötések alapján megvalósított – adattovábbítás nyilvánvaló tilalmát igazolhatja, és így alátámasztja, hogy azok elégtelenek lehetnek a megfelelő védelem biztosításához. Mindemellett a kérdést előterjesztő bíróság arra keresi a választ, hogy milyen terjedelmű a biztosnak az e kikötéseken alapuló adattovábbításra vonatkozó jogköre, úgy ítélve meg, hogy a diszkrecionális jogkör nem lehet elegendő a megfelelő védelem biztosításához. |
68 |
E körülmények között a High Court (felsőbíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
|
Az előzetes döntéshozatal iránti kérelem elfogadhatóságáról
69 |
A Facebook Ireland, valamint a német kormány és az Egyesült Királyság kormánya arra hivatkozik, hogy az előzetes döntéshozatal iránti kérelem elfogadhatatlan. |
70 |
A Facebook Ireland által felhozott kifogást illetően e társaság megjegyzi, hogy a 95/46 irányelv azon rendelkezéseit, amelyeken az előzetes döntéshozatalra előterjesztett kérdések alapulnak, a GDPR hatályon kívül helyezte. |
71 |
E tekintetben igaz ugyan, hogy a 95/46 irányelvet a GDPR 94. cikkének (1) bekezdése értelmében 2018. május 25‑i hatállyal hatályon kívül helyezték, ezen irányelv még hatályban volt a Bírósághoz 2018. május 9‑én érkezett jelen előzetes döntéshozatal iránti kérelem 2018. május 4‑i megfogalmazásakor. Ezenkívül a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdését, 25. és 26. cikkét, valamint 28. cikkének (3) bekezdését, amelyekre az előzetes döntéshozatalra előterjesztett kérdések hivatkoznak, lényegében átvette a GDPR 2. cikkének (2) bekezdése, illetve 45., 46. és 58. cikke. Egyébiránt emlékeztetni kell arra, hogy a Bíróság feladata az uniós jog minden olyan rendelkezésének értelmezése, amelyre a nemzeti bíróságoknak az eléjük terjesztett jogviták eldöntése érdekében szükségük van, még akkor is, ha e bíróságok az általuk feltett kérdésekben nem jelölik meg kifejezetten ezeket a rendelkezéseket (2020. április 2‑iRuska Federacija ítélet, C‑897/19 PPU, EU:C:2020:262, 43. pont, valamint az ott hivatkozott ítélkezési gyakorlat). E különböző okok miatt az a körülmény, hogy az előterjesztő bíróság az előzetes döntéshozatalra előterjesztett kérdéseket kizárólag a 95/46 irányelv rendelkezéseire hivatkozva fogalmazta meg, nem vonja maga után a jelen előzetes döntéshozatal iránti kérelem elfogadhatatlanságát. |
72 |
A maga részéről a német kormány az elfogadhatatlansági kifogását arra a körülményre alapítja, hogy egyrészt a biztos az ÁSZF‑határozat érvényességével kapcsolatban csak kétségeket, nem pedig végleges véleményt fejtett ki, másrészt pedig arra, hogy a kérdést előterjesztő bíróság tartózkodott annak vizsgálatától, hogy M. Schrems vitathatatlanul hozzájárult‑e az alapügyben szóban forgó adattovábbításhoz, ami – ha ez lett volna a helyzet – azzal a hatással járna, hogy szükségtelenné tenné az e kérdésre adandó választ. Végül az Egyesült Királyság kormánya szerint az előzetes döntéshozatalra előterjesztett kérdések hipotetikus jellegűek, mivel e bíróság nem állapította meg, hogy ezeket az adatokat ténylegesen az említett határozat alapján továbbították. |
73 |
A Bíróság állandó ítélkezési gyakorlatából következik, hogy kizárólag az alapeljárásban eljáró és a meghozandó bírósági döntésért felelős nemzeti bíróság jogosult mérlegelni – az ügy sajátosságaira figyelemmel – egyrészt az előzetes döntéshozatal szükségességét annak érdekében, hogy döntését meghozhassa, másrészt azt, hogy a Bíróság számára feltett kérdések relevánsak‑e. Következésképpen, amennyiben a feltett kérdések valamely uniós jogi rendelkezés értelmezésére vagy érvényességére vonatkoznak, a Bíróság – főszabály szerint – köteles határozatot hozni. Ebből következik, hogy a nemzeti bíróságok által előterjesztett kérdések releváns voltát vélelmezni kell. A nemzeti bíróságok által előterjesztett előzetes döntéshozatal iránti kérelem Bíróság általi elutasítása csak abban az esetben lehetséges, ha nyilvánvaló, hogy a kért értelmezés nem függ össze az alapeljárás tényállásával vagy tárgyával, illetve ha a szóban forgó probléma hipotetikus jellegű, vagy a Bíróság nem rendelkezik azon ténybeli és jogi elemek ismeretével, amelyek szükségesek ahhoz, hogy az említett kérdésekre hasznos választ adjon (2015. június 16‑iGauweiler és társai ítélet, C‑62/14, EU:C:2015:400, 24. és 25. pont; 2018. október 2‑iMinisterio Fiscal ítélet, C‑207/16, EU:C:2018:788, 45. pont; 2019. december 19‑iDobersberger ítélet, C‑16/18, EU:C:2019:1110, 18. és 19. pont). |
74 |
A jelen ügyben az előzetes döntéshozatal iránti kérelem elegendő ténybeli és jogi elemet tartalmaz az előzetes döntéshozatalra előterjesztett kérdések terjedelmének megértéséhez. Ezenkívül és legfőképpen, a Bíróság rendelkezésére álló iratok egyike sem teszi lehetővé annak megállapítását, hogy az uniós jog kért értelmezése ne függene össze az alapeljárás tényállásával vagy tárgyával, illetve hogy hipotetikus jellegű lenne többek között amiatt, hogy az alapügyben szóban forgó személyes adatok továbbítása az érintettnek az e továbbításhoz való kifejezett hozzájárulásán, nem pedig az ÁSZF‑határozaton alapul. Az e kérelemben szereplő információk szerint ugyanis a Facebook Ireland elismerte, hogy a Facebook Inc.‑nek továbbítja az Unióban lakóhellyel rendelkező felhasználóinak személyes adatait, és hogy ezen adattovábbítások nagy része, amelynek jogszerűségét M. Schrems vitatja, az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötések alapján történik. |
75 |
Egyébiránt a jelen előzetes döntéshozatal iránti kérelem elfogadhatósága szempontjából nincs jelentősége annak, hogy a biztos nem fejtette ki végleges álláspontját e határozat érvényességét illetően, mivel a kérdést előterjesztő bíróság úgy véli, hogy az uniós jog szabályainak értelmezése és érvényessége vonatkozásában előzetes döntéshozatalra előterjesztett kérdések megválaszolása szükséges az alapjogvita elbírálásához. |
76 |
Ebből az következik, hogy az előzetes döntéshozatal iránti kérelem elfogadható. |
Az előzetes döntéshozatalra előterjesztett kérdésekről
77 |
Előzetesen emlékeztetni kell arra, hogy a jelen előzetes döntéshozatal iránti kérelem M. Schrems panaszából ered, amely arra irányul, hogy a biztos rendelje el a jövőre nézve a személyes adatainak a Facebook Ireland által a Facebook Inc. részére történő továbbításának felfüggesztését vagy megtiltását. Márpedig, jóllehet az előzetes döntéshozatalra előterjesztett kérdések a 95/46 irányelv rendelkezéseire hivatkoznak, nem vitatott, hogy a biztos még nem hozott végleges határozatot e panaszról, amikor ezt az irányelvet 2018. május 25‑i hatállyal hatályon kívül helyezte és felváltotta a GDPR. |
78 |
A nemzeti határozat e hiánya megkülönbözteti az alapügyben szóban forgó helyzetet a 2019. szeptember 24‑iGoogle (Linkek közüli törlés területi hatálya) ítélet (C‑507/17, EU:C:2019:772) és a 2019. október 1‑jei Planet49 ítélet (C‑673/17, EU:C:2019:801) alapjául szolgáló helyzetektől, amelyekben az említett irányelv hatályon kívül helyezését megelőzően elfogadott határozatokról volt szó. |
79 |
Ennélfogva az előzetes döntéshozatalra előterjesztett kérdésekre a GDPR rendelkezéseire, nem pedig a 95/46 irányelv rendelkezéseire tekintettel kell választ adni. |
Az első kérdésről
80 |
Az első kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 2. cikkének (1) bekezdését és 2. cikke (2) bekezdésének a), b) és d) pontját az EUSZ 4. cikk (2) bekezdésével összefüggésben úgy kell‑e értelmezni, hogy e rendelet hatálya alá tartozik a személyes adatoknak a valamely tagállamban letelepedett gazdasági szereplő által harmadik országban letelepedett másik gazdasági szereplő részére végzett továbbítása, amennyiben ezeket az adatokat e továbbítás során vagy azt követően ezen ország hatóságai közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik. |
81 |
E tekintetben először is meg kell állapítani, hogy az EUSZ 4. cikk (2) bekezdésében foglalt rendelkezés, amely szerint az Unión belül a nemzeti biztonság az egyes tagállamok kizárólagos feladata marad, kizárólag az Unió tagállamait érinti. Következésképpen e rendelkezés a jelen ügyben nem releváns a GDPR 2. cikke (1) bekezdésének és 2. cikke (2) bekezdése a), b) és d) pontjának értelmezése szempontjából. |
82 |
A GDPR 2. cikkének (1) bekezdése értelmében e törvényt kell alkalmazni a személyes adatok részben vagy egészben automatizált feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. E rendelet 4. cikkének 2. pontja úgy határozza meg a „kezelés” fogalmát, mint „a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége”, és példaként a „közléstovábbítás[t], terjesztés[t] vagy egyéb módon történő hozzáférhetővé tétel[t]” hozza fel, anélkül hogy különbséget tenne aszerint, hogy e műveletekre az Unión belül került‑e sor, vagy azok harmadik országhoz kapcsolódnak. Ezenkívül az említett rendelet a személyes adatok harmadik országokba irányuló továbbítását „A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása” című V. fejezetében szereplő különös szabályoknak veti alá, és egyébiránt az ugyanezen rendelet 58. cikke (2) bekezdésének j) pontjában szereplő, erre vonatkozó különös jogkörökkel ruházza fel a felügyeleti hatóságokat. |
83 |
Ebből következik, hogy a személyes adatok valamely tagállamból egy harmadik országba való továbbítására irányuló művelet önmagában a GDPR 4. cikkének 2. pontja értelmében vett, valamely tagállam területén végzett személyesadat‑kezelésnek minősül, amelyre e rendelet a 2. cikkének (1) bekezdése értelmében alkalmazandó (lásd analógia útján a 95/46 irányelv 2. cikkének b) pontját és 3. cikkének (1) bekezdését illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 45. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
84 |
Ami azt a kérdést illeti, hogy az ilyen művelet tekinthető‑e úgy, mint amely a GDPR 2. cikkének (2) bekezdése értelmében ki van zárva annak hatálya alól, emlékeztetni kell arra, hogy e rendelkezés kivételeket ír elő e rendeletnek a 2. cikkének (1) bekezdésében meghatározott hatálya alól, és hogy ezeket a kivételeket szigorúan kell értelmezni (lásd analógia útján a 95/46 irányelv 3. cikke (2) bekezdését illetően: 2018. július 10‑iJehovan Todistajat ítélet, C‑25/17, EU:C:2018:551, 37. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
85 |
A jelen ügyben, mivel a személyes adatoknak a Facebook Ireland által a Facebook Inc. részére, azaz két jogi személy között történő továbbítását a Facebook Ireland végzi, e továbbítás nem tartozik a GDPR 2. cikke (2) bekezdése c) pontjának hatálya alá, amely a természetes személyek által kizárólag személyes vagy otthoni tevékenységük keretében végzett adatkezelésre vonatkozik. Az említett adattovábbítás nem tartozik az e rendelet 2. cikke (2) bekezdésének a), b) és d) pontjában szereplő kivételek közé sem, mivel az ott példaként említett tevékenységek minden esetben az állam vagy az állami hatóságok sajátos tevékenységei, és nem tartoznak a magánszemélyek tevékenységei közé (lásd analógia útján a 95/46 irányelv 3. cikke (2) bekezdését illetően: 2018. július 10‑iJehovan Todistajat ítélet, C‑25/17, EU:C:2018:551, 38. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
86 |
Márpedig az a lehetőség, hogy a két gazdasági szereplő között kereskedelmi célból továbbított személyes adatokat a továbbítás során vagy azt követően az érintett harmadik ország hatóságai által közbiztonsági, honvédelmi és nemzetbiztonsági célból adatkezelés alá vonhatják, nem zárhatja ki az említett továbbítást a GDPR hatálya alól. |
87 |
Egyébiránt még az említett rendelet 45. cikke (2) bekezdése a) pontjának szövege is azáltal, hogy kifejezetten arra kötelezi a Bizottságot, hogy a harmadik ország által biztosított védelmi szint megfelelőségének értékelése során vegye figyelembe többek között „a vonatkozó általános és ágazati jogszabályok[at], köztük a közbiztonságra, a védelemre, valamint a nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések[et], a közhatalmi szerveknek a személyes adatokhoz való hozzáférését szabályozó rendelkezések[et], valamint e jogszabályok végrehajtás[át]”, arra helyezi a hangsúlyt, hogy a valamely harmadik ország által közbiztonsági, honvédelmi és nemzetbiztonsági célból történő adatkezelés nem kérdőjelezi meg, hogy az említett rendelet alkalmazható a szóban forgó adattovábbításra. |
88 |
Ebből következik, hogy az ilyen továbbítás nem kerülhet ki a GDPR hatálya alól azzal az indokkal, hogy a szóban forgó adatokat az érintett harmadik ország hatóságai e továbbítás során vagy azt követően közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik. |
89 |
Következésképpen az első kérdésre azt a választ kell adni, hogy a GDPR 2. cikkének (1) és (2) bekezdését úgy kell értelmezni, hogy e rendelet hatálya alá tartozik a személyes adatoknak a valamely tagállamban letelepedett gazdasági szereplő által valamely harmadik országban letelepedett másik gazdasági szereplő részére kereskedelmi célból végzett továbbítása, függetlenül attól, hogy ezeket az adatokat e továbbítás során vagy azt követően az érintett harmadik ország hatóságai közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik. |
A második, harmadik és hatodik kérdésről
90 |
A második, harmadik és hatodik kérdésével az előterjesztő bíróság lényegében a személyes adatok harmadik országba történő, általános adatvédelmi kikötéseken alapuló továbbítása keretében a GDPR 46. cikkének (1) bekezdésében és 46. cikke (2) bekezdésének c) pontjában megkövetelt védelmi szintről kérdezi a Bíróságot. E bíróság különösen azt kéri a Bíróságtól, hogy pontosítsa azokat az elemeket, amelyeket figyelembe kell venni annak meghatározása érdekében, hogy e védelmi szint biztosított‑e az ilyen adattovábbítással összefüggésben. |
91 |
Ami a védelem megkövetelt szintjét illeti, e rendelkezések együttes olvasatából az következik, hogy az e rendelet 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó csak akkor továbbíthat személyes adatokat harmadik országba, ha az „megfelelő garanciákat” írt elő, és feltéve, hogy az érintett személyek számára „érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre”, és e megfelelő garanciákként különösen a Bizottság által elfogadott általános adatvédelmi kikötések szolgálhatnak. |
92 |
Bár a GDPR 46. cikke nem határozza meg a „megfelelő garanciákra”, az „érvényesíthető jogokra” és a „hatékony jogorvoslati lehetőségekre” való utalásból eredő követelmények jellegét, meg kell állapítani, hogy e cikk e rendelet V. fejezetében szerepel. Következésképpen az említett cikket az említett rendeletnek „Az adattovábbításra vonatkozó általános elv” című 44. cikkére tekintettel kell értelmezni, és az úgy rendelkezik, hogy „[a]z [e fejezet] valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára [az ugyanezen] rendeletben biztosított védelem szintje ne sérüljön”. E védelmi szintet következésképpen az említett fejezet azon rendelkezésétől függetlenül kell biztosítani, amely alapján a személyes adatokat harmadik országba továbbítják. |
93 |
Ugyanis, amint arra a főtanácsnok az indítványának 117. pontjában rámutatott, a GDPR V. fejezete rendelkezéseinek célja e védelem magas szintjének folyamatos fenntartása a személyes adatok harmadik országba irányuló továbbítása esetén, az e rendelet (6) preambulumbekezdésében kifejtett célnak megfelelően. |
94 |
A GDPR 45. cikke (1) bekezdésének első mondata előírja, hogy a személyes adatok harmadik országba irányuló továbbítása a Bizottság által hozott olyan határozattal engedélyezhető, amely szerint ez a harmadik ország, ennek valamely területe, vagy egy vagy több meghatározott ágazata megfelelő védelmi szintet biztosít. E tekintetben, anélkül hogy megkövetelné, hogy az érintett harmadik ország az uniós jogrendben biztosítottal megegyező védelmi szintet biztosítson, a „megfelelő védelmi szint” kifejezést – amint azt e rendelet (104) preambulumbekezdése megerősíti – úgy kell érteni, mint amely megköveteli, hogy e harmadik ország – belföldi joga, vagy vállalt nemzetközi kötelezettségei alapján – az említett – Chartával összefüggésben értelmezett – rendelet által az Unióban biztosított védelmi szinttel lényegében azonos védelmi szintet biztosítson ténylegesen az alapvető jogok és szabadságok számára. E követelmény hiányában ugyanis figyelmen kívül maradna az előző pontban említett célkitűzés (lásd analógia útján a 95/46 irányelv 25. cikkének (6) bekezdését illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 73. pont). |
95 |
Ebben az összefüggésben a GDPR (107) preambulumbekezdése kimondja, hogy amennyiben valamely „harmadik ország valamely területe vagy meghatározott ágazata […] már nem biztosít megfelelő szintű adatvédelmet[,] a személyes adatok ilyen harmadik országba vagy nemzetközi szervezet részére történő továbbítását meg kell tiltani, kivéve, ha e rendeletbe foglalt, a személyes adatok [továbbítása] megfelelő garanciák alapján történik […]”. E tekintetben az említett rendelet (108) preambulumbekezdése pontosítja, hogy megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó által az ugyanezen rendelet 46. cikke (1) bekezdése alapján biztosítandó megfelelő garanciáknak „[kell ellensúlyozniuk] az adatvédelem harmadik országbeli hiányosságai[t]” annak érdekében, hogy „biztosít[s]ák az adatvédelmi követelményeknek való megfelelést, és az Unión belüli adatkezelés esetén biztosított jogokkal azonos szintű jogokat biztosít[s]anak az érintettek számára”. |
96 |
Ebből következik, amint arra a főtanácsnok az indítványának 115. pontjában rámutatott, hogy e megfelelő garanciáknak olyannak kell lenniük, hogy biztosítsák, hogy azon személyeket, akiknek az adatait az általános adatvédelmi kikötések alapján továbbítják, – mint a megfelelőségi határozaton alapuló adattovábbítás esetében is – az Unióban biztosított védelmi szinttel lényegében azonos védelmi szint illesse meg. |
97 |
A kérdést előterjesztő bíróság arra is keresi a választ, hogy az Unióban biztosított védelmi szinttel lényegében azonos védelmi szintet az uniós jog, különösen a Chartában biztosított jogok és/vagy az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményben (a továbbiakban: EJEE) biztosított alapvető jogok vagy még a tagállamok nemzeti joga alapján kell‑e meghatározni. |
98 |
E tekintetben emlékeztetni kell, hogy jóllehet – amint azt az EUSZ 6. cikk (3) bekezdése megerősíti – az EJEE által biztosított alapvető jogok az uniós jogrend részét képezik mint annak általános elvei, és ugyan a Charta 52. cikkének (3) bekezdése úgy rendelkezik, hogy a Chartában foglalt, az EJEE által biztosított jogoknak megfelelő jogok tartalmát és terjedelmét azonosnak kell tekinteni azokéval, amelyek az említett egyezményben szerepelnek, ez az egyezmény nem minősül az uniós jogrendbe szervesen beépülő jogforrásnak addig, amíg az Unió nem csatlakozott hozzá (2013. február 26‑iÅkerberg Fransson ítélet, C‑617/10, EU:C:2013:105, 44. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2018. március 20‑iMenci ítélet, C‑524/15, EU:C:2018:197, 22. pont). |
99 |
E körülmények között a Bíróság kimondta, hogy az uniós jog értelmezését és az uniós jogi aktusok érvényességének vizsgálatát a Charta által biztosított alapvető jogokra tekintettel kell elvégezni (lásd analógia útján: 2018. március 20‑iMenci ítélet, C‑524/15, EU:C:2018:197, 24. pont). |
100 |
Egyébiránt az állandó ítélkezési gyakorlat szerint az uniós jogi rendelkezések érvényessége, és a tagállamok nemzeti jogára való kifejezett utalás hiányában azok értelmezése nem értékelhető e nemzeti jog alapján, még az alkotmányos szintű nemzeti jog, különösen a nemzeti alkotmányukban megfogalmazott alapvető jogok alapján sem (lásd ebben az értelemben: 1970. december 17‑iInternationale Handelsgesellschaft ítélet, 11/70, EU:C:1970:114, 3. pont; 1979. december 13‑iHauer ítélet, 44/79, EU:C:1979:290, 14. pont; 2016. október 18‑iNikiforidis ítélet, C‑135/15, EU:C:2016:774, 28. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
101 |
Ebből következik, hogy mivel egyrészt az olyan személyes adatoknak, mint amelyek az alapeljárásban szerepelnek, a valamely tagállamban letelepedett gazdasági szereplő által valamely harmadik országban letelepedett másik gazdasági szereplő részére kereskedelmi célból történő továbbítása – amint az az első kérdésre adott válaszból kitűnik – a GDPR hatálya alá tartozik, másrészt pedig e rendelet – amint az a (10) preambulumbekezdéséből kitűnik – többek között arra irányul, hogy biztosítsa a természetes személyek következetes és magas szintű védelmét az Unión belül, és e célból biztosítsa e személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén, az alapvető jogok védelmének az említett rendelet 46. cikkének (1) bekezdésében megkövetelt szintjét ugyanezen rendeletnek – a Charta által biztosított alapvető jogok fényében értelmezett – rendelkezései alapján kell meghatározni. |
102 |
A kérdést előterjesztő bíróság továbbá azt kívánja megtudni, hogy milyen tényezőket kell figyelembe venni annak meghatározásához, hogy a személyes adatok harmadik országba irányuló továbbításával összefüggésben a GDPR 46. cikke (2) bekezdésének c) pontja alapján elfogadott általános adatvédelmi kikötések alapján megfelelő‑e a védelem szintje. |
103 |
E tekintetben, bár e rendelkezés nem sorolja fel azokat a különböző tényezőket, amelyeket az ilyen továbbítás során tiszteletben tartandó védelmi szint megfelelőségének értékelése során figyelembe kell venni, e rendelet 46. cikkének (1) bekezdése pontosítja, hogy az érintett személyeknek megfelelő garanciákkal, valamint érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel kell rendelkezniük. |
104 |
Az ilyen továbbítással összefüggésben ehhez megkövetelt értékelésnek figyelembe kell vennie többek között mind az Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója és a továbbításnak az érintett harmadik országban letelepedett címzettje között létrejött szerződéses kikötéseket, mind pedig – e harmadik ország hatóságainak a továbbított személyes adatokhoz való esetleges hozzáférését illetően – az ezen ország jogrendszerének releváns elemeit. Ez utóbbi tekintetben az említett rendelet 46. cikke összefüggésében figyelembe veendő tényezők megfelelnek az e rendelet 45. cikkének (2) bekezdésében nem kimerítő jelleggel felsorolt elemeknek. |
105 |
Következésképpen a második, harmadik és hatodik kérdésre azt a választ kell adni, hogy a GDPR 46. cikkének (1) bekezdését és 46. cikke (2) bekezdésének c) pontját úgy kell értelmezni, hogy az e rendelkezések által megkövetelt megfelelő garanciáknak, érvényesíthető jogoknak és hatékony jogorvoslati lehetőségeknek biztosítaniuk kell, hogy azon személyek jogai, akiknek a személyes adatait az általános adatvédelmi kikötések alapján továbbítják harmadik országba, olyan védelmi szinttel rendelkezzenek, amely lényegében azonos az ezen – Charta fényében értelmezett – rendelet által az Unióban biztosított védelmi szinttel. E célból az ilyen továbbítással összefüggésben biztosított védelmi szint értékelésének figyelembe kell vennie többek között mind az Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója és a továbbításnak az érintett harmadik országban letelepedett címzettje között létrejött szerződéses kikötéseket, mind pedig – e harmadik ország hatóságainak az így továbbított személyes adatokhoz való esetleges hozzáférését illetően – az ezen ország jogrendszerének releváns elemeit, különösen az említett rendelet 45. cikkének (2) bekezdésében felsorolt elemeket. |
A nyolcadik kérdésről
106 |
A nyolcadik kérdésével az előterjesztő bíróság lényegében arra keresi a választ, hogy a GDPR 58. cikke (2) bekezdésének f) és j) pontját úgy kell‑e értelmezni, hogy az illetékes felügyeleti hatóság köteles felfüggeszteni vagy megtiltani a személyes adatoknak a Bizottság által elfogadott általános adatvédelmi kikötéseken alapuló, harmadik országba irányuló továbbítását, amennyiben e felügyeleti hatóság úgy ítéli meg, hogy e kikötéseket e harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok védelme, amelyet az uniós jog, különösen a GDPR 45. és 46. cikke, valamint a Charta megkövetel, nem biztosítható, vagy abban az értelemben, hogy e hatáskörök gyakorlása csak kivételes esetekre korlátozódik. |
107 |
A Charta 8. cikke (3) bekezdésének, valamint a GDPR 51. cikke (1) bekezdésének és 57. cikke (1) bekezdése a) pontjának megfelelően a nemzeti felügyeleti hatóságok feladata a személyes adatok kezelése vonatkozásában a természetes személyek védelmére vonatkozó uniós szabályok tiszteletben tartásának ellenőrzése. Ezért mindegyik hatóság hatáskörrel rendelkezik annak ellenőrzésére, hogy a személyes adatoknak azon tagállamból valamely harmadik országba való továbbítása, amelyre a hatóság joghatósága kiterjed, tiszteletben tartja‑e az e rendeletben támasztott követelményeket (lásd analógia útján a 95/46 irányelv 28. cikkét illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 47. pont). |
108 |
E rendelkezésekből következik, hogy a felügyeleti hatóságok elsődleges feladata, hogy ellenőrizzék a GDPR alkalmazását, és gondoskodjanak annak tiszteletben tartásáról. E feladat ellátása különös jelentőséggel bír a személyes adatok harmadik országba irányuló továbbításával összefüggésben, mivel – amint az e rendelet (116) preambulumbekezdésének szövegéből kitűnik – „[a] személyes adatok uniós külső határokat átlépő továbbításakor megnövekedhet annak a kockázata, hogy a természetes személyek adatvédelmi jogaikat nem képesek gyakorolni, különösen ami az adatok jogellenes felhasználása vagy közlése elleni védelmet illeti”. Ebben az esetben, amint azt ugyanezen preambulumbekezdés kimondja, „a felügyeleti hatóságok nem tudnak az országuk határaikon kívül folyó tevékenységek tekintetében a panaszok kapcsán eljárni vagy vizsgálatot lefolytatni”. |
109 |
Ezenkívül a GDPR 57. cikke (1) bekezdésének f) pontja értelmében minden felügyeleti hatóság a saját területén köteles kezelni azokat a panaszokat, amelyeket bármely személy e rendelet 77. cikke (1) bekezdésének megfelelően jogosult benyújtani, amennyiben úgy ítéli meg, hogy a rá vonatkozó személyes adatok kezelése sérti az említett rendeletet, továbbá a szükséges mértékben köteles kivizsgálni e panaszok tárgyát. A felügyeleti hatóságnak az ilyen panaszt a kellő gondossággal kell kezelnie (lásd analógia útján a 95/46 irányelv 25. cikkének (6) bekezdését illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 63. pont). |
110 |
A GDPR 78. cikkének (1) és (2) bekezdése elismeri, hogy mindenkinek joga van a hatékony bírósági jogorvoslathoz, különösen akkor, ha a felügyeleti hatóság elmulasztja a panaszának kezelését. E rendelet (141) preambulumbekezdése „a Charta 47. cikkével összhangban hatékony bírósági jogorvoslat[ra]” is hivatkozik olyan esetekben, amikor e felügyeleti hatóság „nem jár el olyan esetben, amikor fellépése az érintett jogainak védelmében szükséges lenne”. |
111 |
A benyújtott panaszok elbírálása érdekében a GDPR 58. cikkének (1) bekezdése az egyes felügyeleti hatóságokat jelentős vizsgálati hatáskörökkel ruházza fel. Amennyiben egy ilyen hatóság a vizsgálata végén úgy ítéli meg, hogy az érintett személy, akinek a személyes adatait valamely harmadik országba továbbították, ott nem részesül megfelelő szintű védelemben, az uniós jog alapján köteles megfelelően reagálni a megállapított hiányosság orvoslása érdekében, mégpedig függetlenül e hiányosság eredetétől vagy jellegétől. E célból e rendelet 58. cikkének (2) bekezdése felsorolja azokat a különböző korrekciós intézkedéseket, amelyeket a felügyeleti hatóság elfogadhat. |
112 |
Noha a megfelelő és szükséges eszköz megválasztása a felügyeleti hatóság feladata, és e hatóságnak e választást a személyes adatok szóban forgó továbbítása valamennyi körülményének figyelembevételével kell meghoznia, e hatóságnak a GDPR teljes körű tiszteletben tartásának biztosításában álló feladatát is kellő gondossággal kell ellátnia. |
113 |
E tekintetben, és amint arra a főtanácsnok az indítványának 148. pontjában szintén rámutatott, az említett hatóság e rendelet 58. cikke (2) bekezdésének f) és j) pontja értelmében köteles felfüggeszteni vagy megtiltani a személyes adatok harmadik országba irányuló továbbítását, ha az e továbbítás sajátos körülményeinek összességére tekintettel úgy ítéli meg, hogy az általános adatvédelmi kikötéseket e harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok uniós jog által megkövetelt védelme más eszközzel nem biztosítható, amennyiben az Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója maga nem függesztette fel vagy fejezte be az adattovábbítást. |
114 |
Az előző pontban szereplő értelmezést nem kérdőjelezi meg a biztos azon érvelése, amely szerint a 2010/87 határozat 4. cikkének a 2016/2297 végrehajtási határozat hatálybalépését megelőző szövegváltozata – e határozat (11) preambulumbekezdésével összefüggésben értelmezve – bizonyos kivételes esetekre korlátozta a felügyeleti hatóságok arra vonatkozó hatáskörét, hogy felfüggesszék vagy megtiltsák a személyes adatok harmadik országba irányuló továbbítását. Az ÁSZT‑határozat 4. cikkének a 2016/2297 végrehajtási határozatból eredő szövegváltozata ugyanis anélkül hivatkozik arra, hogy e hatóságok – immár a GDPR 58. cikke (2) bekezdésének f) és j) pontja alapján – jogosultak az ilyen adattovábbítás felfüggesztésére vagy megtiltására, hogy e jogkör gyakorlását rendkívüli körülményekre korlátoznák. |
115 |
Mindenesetre a GDPR 46. cikke (2) bekezdésének c) pontja által a Bizottság számára az általános adatvédelmi kikötések elfogadása céljából elismert végrehajtási jogkör nem ruházza fel a Bizottságot azzal a hatáskörrel, hogy korlátozza azon jogköröket, amelyekkel a felügyeleti hatóságok e rendelet 58. cikkének (2) bekezdése alapján rendelkeznek (lásd analógia útján a 95/46 irányelv 25. cikkének (6) bekezdését és 28. cikkét illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 102. és 103. pont). Emellett a 2016/2297 végrehajtási határozat (5) preambulumbekezdése megerősíti, hogy az ÁSZF‑határozat „nem akadályozza meg, hogy a [felügyeleti hatóság] gyakorolja az adatáramlások ellenőrzésére vonatkozó jogkörét, beleértve a személyes adatok továbbításának felfüggesztését vagy tilalmát, ha a hatóság megállapítja, hogy az uniós vagy a nemzeti adatvédelmi jog megsértésével végzik az adattovábbítást”. |
116 |
Pontosítani kell azonban, hogy az illetékes felügyeleti hatóság hatásköreit azon határozatot teljes mértékben tiszteletben tartva kell gyakorolni, amelyben a Bizottság adott esetben a GDPR 45. cikke (1) bekezdésének első mondata alapján megállapítja, hogy egy adott harmadik ország megfelelő védelmi szintet biztosít. Ilyen esetben ugyanis e rendelet (103) preambulumbekezdésével összefüggésben értelmezett 45. cikke (1) bekezdésének második mondatából kitűnik, hogy a személyes adatoknak az érintett harmadik országba irányuló továbbítására külön engedély nélkül kerülhet sor. |
117 |
Az EUMSZ 288. cikk negyedik bekezdése értelmében a Bizottság megfelelőségi határozata minden elemében kötelező valamennyi címzett tagállamra nézve, és így valamennyi szervükre is kötelező, amennyiben megállapítja, hogy az érintett harmadik ország megfelelő védelmi szintet biztosít, és az a következménye, hogy engedélyezi ezeket az adattovábbításokat (lásd analógia útján a 95/46 irányelv 25. cikkének (6) bekezdését illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 51. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
118 |
Így, amíg a Bíróság nem állapítja meg a megfelelőségi határozat érvénytelenségét, a tagállamok és a szerveik, köztük a független felügyeleti hatóságaik, nem fogadhatnak el e határozattal ellentétes olyan intézkedéseket, mint az annak kötelező erejű megállapítására irányuló jogi aktusok, hogy az a harmadik ország, amelyre az említett határozat vonatkozik, nem biztosít megfelelő védelmi szintet (2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 52. pont, valamint az ott hivatkozott ítélkezési gyakorlat), és amelyek célja következésképpen a személyes adatok harmadik országba irányuló továbbításának felfüggesztése vagy megtiltása. |
119 |
Mindazonáltal a Bizottság által a GDPR 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozat nem akadályozhatja meg azokat a személyeket, akiknek a személyes adatait valamely harmadik országba továbbították vagy továbbíthatják, hogy a GDPR 77. cikkének (1) bekezdése alapján panaszt nyújtsanak be az illetékes nemzeti felügyeleti hatósághoz ezen adatok kezelése vonatkozásában a jogaik vagy szabadságaik védelmével kapcsolatban. Ehhez hasonlóan az ilyen jellegű határozat nem teheti semmissé, vagy nem csökkentheti a nemzeti felügyeleti hatóságok számára a Charta 8. cikkének (3) bekezdésében, valamint az említett rendelet 51. cikkének (1) bekezdésében és 57. cikke (1) bekezdésének a) pontjában kifejezetten elismert jogköröket (lásd analógia útján a 95/46 irányelv 25. cikkének (6) bekezdését és 28. cikkét illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 53. pont). |
120 |
Így még a Bizottság megfelelőségi határozata esetében is a valamely személy által a rá vonatkozó személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatban benyújtott panaszt elbíráló nemzeti felügyeleti hatóságnak jogosultnak kell lennie arra, hogy teljes függetlenséggel megvizsgálja, hogy ezen adattovábbítás tiszteletben tartja‑e a GDPR‑ben támasztott követelményeket, és adott esetben a nemzeti bíróságok előtt keresetet indítson annak érdekében, hogy amennyiben az utóbbiak osztják e hatóságnak a megfelelőségi határozat érvényessége tekintetében fennálló kétségeit, előzetes döntéshozatali eljárást kezdeményezhessenek ezen érvényesség vizsgálata céljából (lásd analógia útján a 95/46 irányelv 25. cikkének (6) bekezdését és 28. cikkét illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 57. és 65. pont). |
121 |
A fenti megfontolásokra tekintettel a nyolcadik kérdésre azt a választ kell adni, hogy a GDPR 58. cikke (2) bekezdésének f) és j) pontját úgy kell értelmezni, hogy az illetékes felügyeleti hatóság – feltéve, hogy nem létezik a Bizottság által érvényesen elfogadott megfelelőségi határozat – köteles felfüggeszteni vagy megtiltani a személyes adatoknak a Bizottság által elfogadott általános adatvédelmi kikötéseken alapuló, harmadik országba irányuló továbbítását, ha e felügyeleti hatóság az e továbbítás sajátos körülményeinek összességére tekintettel úgy ítéli meg, hogy e kikötéseket e harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok védelme, amelyet az uniós jog, különösen a GDPR 45. és 46. cikke, valamint a Charta megkövetel, más eszközzel nem biztosítható, amennyiben az Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója maga nem függesztette fel vagy fejezte be az adattovábbítást. |
A hetedik és tizenegyedik kérdésről
122 |
A hetedik és tizenegyedik kérdésével, amelyeket célszerű együtt vizsgálni, az előterjesztő bíróság lényegében az ÁSZF‑határozatnak a Charta 7., 8. és 47. cikkére tekintettel fennálló érvényességéről kérdezi a Bíróságot. |
123 |
Különösen, amint az magából a hetedik kérdés szövegéből és az előzetes döntéshozatal iránti kérelemben szereplő magyarázatokból kitűnik, a kérdést előterjesztő bíróságban felmerül a kérdés, hogy az ÁSZF‑határozat alkalmas‑e arra, hogy megfelelő védelmi szintet biztosítson a harmadik országokba továbbított személyes adatok számára, amennyiben az abban előírt általános adatvédelmi kikötések nem kötik e harmadik országok hatóságait. |
124 |
Az ÁSZF‑határozat 1. cikke úgy rendelkezik, hogy az e rendelet mellékletében szereplő általános szerződési feltételek megfelelő biztosítékot nyújtónak minősülnek, tekintettel az egyének magánélethez való jogának, alapvető jogainak és szabadságjogainak védelmére, valamint a [95/46] irányelv 26. cikkének (2) bekezdése által előírt megfelelő jogok gyakorlására. Ez utóbbi rendelkezést lényegében átvette a GDPR 46. cikkének (1) bekezdése és 46. cikke (2) bekezdésének c) pontja. |
125 |
Ugyanakkor, noha e kikötések kötelezőek az Unióban letelepedett adatkezelőre és a személyes adatok továbbításának harmadik országban letelepedett címzettjére nézve abban az esetben, ha e kikötésekre hivatkozva kötöttek szerződést, nem vitatott, hogy az említett kikötések nem kötelezhetik e harmadik ország hatóságait, mivel ez utóbbiak nem szerződő felek. |
126 |
Amennyiben tehát léteznek olyan helyzetek, amelyekben az ilyen továbbítás címzettje az érintett harmadik országban fennálló jogi helyzettől és gyakorlattól függően képes biztosítani a szükséges adatok védelmét kizárólag az általános adatvédelmi kikötések alapján, léteznek más olyan helyzetek, amelyekben az e kikötésekben szereplő rendelkezések esetleg nem jelenthetnek elegendő eszközt az érintett harmadik országba továbbított személyes adatok hatékony védelmének a gyakorlatban történő biztosítására. Ez az eset áll fenn különösen akkor, ha e harmadik ország joga lehetővé teszi ezen ország hatóságai számára az érintett személyek ezen adatokkal kapcsolatos jogaiba való beavatkozást. |
127 |
Így felmerül a kérdés, hogy az általános adatvédelmi kikötések vonatkozásában a GDPR 46. cikke (2) bekezdésének c) pontja alapján elfogadott bizottsági határozat érvénytelen‑e abban az esetben, ha e határozatban nincsenek azon harmadik országok hatóságaival szemben érvényesíthető garanciák, amelyekhez e kikötések alapján a személyes adatokat továbbítják vagy továbbíthatják. |
128 |
A GDPR 46. cikkének (1) bekezdése előírja, hogy megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó csak akkor továbbíthat személyes adatokat egy harmadik országba, ha megfelelő garanciákat nyújtott, és feltéve, hogy az érintett személyek érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel rendelkeznek. E rendelet 46. cikke (2) bekezdésének c) pontja szerint és e garanciákként különösen a Bizottság által elfogadott általános adatvédelmi kikötések szolgálhatnak. Márpedig e rendelkezések nem írják elő, hogy az említett garanciák összességét szükségszerűen tartalmaznia kell egy olyan bizottsági határozatnak, mint amilyen az ÁSZF‑határozat. |
129 |
E tekintetben meg kell állapítani, hogy az ilyen határozat különbözik a GDPR 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozattól, amely az érintett harmadik ország szabályozásának vizsgálatát követően – figyelembe véve többek között a nemzetbiztonságra és a hatóságok személyes adatokhoz való hozzáférésére vonatkozó releváns jogszabályokat – arra irányul, hogy kötelező erővel állapítsa meg, hogy valamely harmadik ország, ennek valamely területe, vagy egy vagy több meghatározott ágazata megfelelő védelmi szintet biztosít, és hogy ezért az említett harmadik ország hatóságainak ezen adatokhoz való hozzáférése nem képezi akadályát annak, hogy azokat ugyanezen harmadik országba továbbítsák. Ilyen megfelelőségi határozatot a Bizottság tehát csak akkor fogadhat el, ha megállapította, hogy e harmadik ország vonatkozó jogszabályai ténylegesen tartalmazzák az összes olyan szükséges garanciát, amely lehetővé teszi annak megállapítását, hogy megfelelő védelmi szintet biztosít. |
130 |
Ezzel szemben, ami az általános adatvédelmi kikötéseket elfogadó, ÁSZF‑határozathoz hasonló bizottsági határozatot illeti, amennyiben az ilyen határozat nem valamely harmadik országra, ennek valamely területére, vagy egy vagy több meghatározott ágazatára vonatkozik, a GDPR 46. cikkének (1) bekezdéséből és 46. cikke (2) bekezdésének c) pontjából nem vonható le az a következtetés, hogy a Bizottság az ilyen határozat elfogadása előtt köteles lenne értékelni azon harmadik ország által biztosított védelem szintjének megfelelő jellegét, amelybe a személyes adatokat ilyen kikötések alapján továbbíthatják. |
131 |
E tekintetben emlékeztetni kell arra, hogy e rendelet 46. cikkének (1) bekezdése értelmében a Bizottság megfelelőségi határozatának hiányában az Unióban letelepedett adatkezelőnek vagy adatfeldolgozónak kell többek között megfelelő garanciákat nyújtania. Az említett rendelet (108) és (114) preambulumbekezdése megerősíti, hogy amennyiben a Bizottság valamely harmadik országot illetően nem nyilatkozott az adatvédelem megfelelő szintjéről, az adatkezelőnek vagy adott esetben az adatfeldolgozójának „a megfelelő garanciák érintett számára való biztosítása útján gondoskodik az adatvédelem harmadik országbeli hiányosságainak ellensúlyozásáról”, és hogy „[e] garanciák biztosítják az adatvédelmi követelményeknek való megfelelést, és az Unión belüli adatkezelés esetén biztosított jogokkal azonos szintű jogokat biztosítanak az érintettek számára, beleértve az érintettek jogainak érvényesíthetőségét és a hatékony jogorvoslat lehetőségét […] az Unióban vagy egy harmadik országban”. |
132 |
Mivel – amint az a jelen ítélet 125. pontjából kitűnik – az általános adatvédelmi kikötések szerződéses jellegéhez szorosan kapcsolódik, hogy azok nem köthetik harmadik országok hatóságait, hanem a GDPR 44. cikke, 46. cikkének (1) bekezdése és 46. cikke (2) bekezdésének c) pontja – a Charta 7., 8. és 47. cikkével összefüggésben értelmezve – megköveteli, hogy a természetes személyek számára az e rendelet által biztosított védelem szintje ne sérüljön, szükségesnek bizonyulhat azon garanciák kiegészítése, amelyeket ezen általános adatvédelmi kikötések tartalmaznak. E tekintetben az említett rendelet (109) preambulumbekezdése kimondja, hogy „[a]z a lehetőség, mely szerint az adatkezelő […] alkalmazhatja a Bizottság […] által elfogadott általános adatvédelmi kikötéseket [nem] zárja ki, hogy […] további rendelkezéseket vagy garanciákat adjon hozzá”, és pontosítja különösen, hogy ezeket „arra kell ösztönözni, hogy az általános adatvédelmi kikötéseket kiegészítő […] még erőteljesebb garanciákat nyújtsanak”. |
133 |
Úgy tűnik tehát, hogy a Bizottság által az ugyanezen rendelet 46. cikke (2) bekezdésének c) pontja alapján elfogadott általános adatvédelmi kikötések kizárólag arra irányulnak, hogy az Unióban letelepedett adatkezelőknek vagy az ott letelepedett adatfeldolgozóiknak minden harmadik országban egységesen alkalmazandó szerződéses garanciákat biztosítsanak, és ennélfogva függetlenül az egyes országokban biztosított védelem szintjétől. Mivel ezen általános adatvédelmi kikötések – jellegükre tekintettel – nem nyújthatnak az uniós jog által megkövetelt védelmi szint tiszteletben tartásának biztosítására irányuló szerződéses kötelezettségen túlmenő garanciákat, az egyes harmadik országokban fennálló helyzettől függően szükségessé tehetik, hogy az adatkezelő további intézkedéseket hozzon e védelmi szint tiszteletben tartásának biztosítása érdekében. |
134 |
E tekintetben, amint arra a főtanácsnok az indítványának 126. pontjában rámutatott, a GDPR 46. cikke (2) bekezdésének c) pontjában előírt szerződéses mechanizmus az Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója, valamint másodlagosan az illetékes felügyeleti hatóság felelősségvállalásán alapul. Ennélfogva mindenekelőtt ezen adatkezelőnek vagy adatfeldolgozójának feladata, hogy esetről esetre és adott esetben a továbbítás címzettjével együttműködve ellenőrizze, hogy a célországnak számító harmadik ország joga megfelelő védelmet biztosít‑e az uniós jog tekintetében az általános adatvédelmi kikötések alapján továbbított személyes adatoknak, szükség esetén az e kikötések által biztosított garanciákon felül további garanciákat nyújtva. |
135 |
Ha az Unióban letelepedett adatkezelő vagy adatfeldolgozója nem hozhat az ilyen védelem biztosításához szükséges további intézkedéseket, az adatkezelő, vagy másodlagosan az illetékes felügyeleti hatóság köteles felfüggeszteni vagy megszüntetni a személyes adatoknak az érintett harmadik országba irányuló továbbítását. Ez az eset áll fenn különösen akkor, ha e harmadik ország joga az Unióból származó személyes adatok továbbításának címzettjével szemben olyan kötelezettségeket ír elő, amelyek ellentétesek az említett kikötésekkel, és amelyek ennélfogva megkérdőjelezhetik az említett harmadik ország hatóságainak ezen adatokhoz való hozzáférésével szembeni megfelelő szintű védelem szerződéses garanciáját. |
136 |
Következésképpen önmagában az a tény, hogy a Bizottság által a GDPR 46. cikke (2) bekezdésének c) pontja alapján elfogadott határozatban szereplő olyan általános adatvédelmi kikötések, mint amelyek az ÁSZF‑határozat mellékletében szerepelnek, nem kötik azon harmadik országok hatóságait, amelyekbe a személyes adatok továbbíthatók, nem érintheti e határozat érvényességét. |
137 |
Ez az érvényesség viszont attól függ, hogy a Charta 7., 8. és 47. cikkével összefüggésben értelmezett, a GDPR 46. cikkének (1) bekezdéséből és 46. cikke (2) bekezdésének c) pontjából eredő követelménynek megfelelően az ilyen határozat tartalmaz‑e olyan hatékony mechanizmusokat, amelyek a gyakorlatban lehetővé teszik annak biztosítását, hogy az uniós jog által megkövetelt védelmi szintet tiszteletben tartsák, és hogy a személyes adatok ilyen kikötéseken alapuló továbbítását az e kikötések megsértése, illetve tiszteletben tartásuk lehetetlensége esetén felfüggesszék vagy megtiltsák. |
138 |
Ami az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötésekben foglalt garanciákat illeti, e melléklet 4. általános szerződési feltételének a) és b) pontjából, 5. általános szerződési feltételének a) pontjából, 9. általános szerződési feltételéből, valamint 11. általános szerződési feltételének (1) bekezdéséből kitűnik, hogy az Unióban letelepedett adatkezelő, a személyes adatok továbbításának címzettje, valamint ennek esetleges adatfeldolgozója kölcsönösen kötelezettséget vállal arra, hogy ezen adatok kezelése megfelelt és továbbra is megfelel az „alkalmazandó adatvédelmi jog[nak]”, mégpedig az említett határozat 3. cikkének f) pontjában szereplő fogalommeghatározás szerint „az egyének alapvető jogaik és szabadságjogaik, különösen – a személyes adatok feldolgozásával kapcsolatban – a magánélet tiszteletben tartásához való jogaik védelméről szóló, az adatátadó letelepedési helye szerinti tagállamban tevékenykedő adatkezelőre vonatkozó jogszabály[oknak]”. Márpedig a GDPR‑nek a Chartával összefüggésben értelmezett rendelkezései e jogszabályok részét képezik. |
139 |
Ezenkívül a személyes adatok továbbításának harmadik országban letelepedett címzettje ezen 5. általános szerződési feltétel a) pontja értelmében kötelezettséget vállal arra, hogy haladéktalanul tájékoztatja az Unióban letelepedett adatkezelőt arról, hogy esetlegesen nem tudja teljesíteni a megkötött szerződésből eredő kötelezettségeit. Különösen az említett 5. általános szerződési feltétel b) pontja szerint e címzett igazolja, hogy nincs tudomása arról, hogy a rá vonatkozó jogszabályok akadályoznák a szerződésben vállalt kötelezettségek teljesítését, és kötelezettséget vállal, hogy mihelyt tudomást szerez erről, azonnal értesíti az adatátadót a nemzeti jogszabályok minden olyan módosításról, amely előreláthatóan jelentősen hátrányos hatással lenne az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötésekben megállapított garanciákra és kötelezettségekre. Egyébiránt, bár ugyanezen 5. általános szerződési feltétel d) pontjának i. alpontja lehetővé teszi a személyes adatok továbbításának címzettje számára, hogy az őt védő olyan jogszabály esetén, mint például egy bűnügyi nyomozás titkosságának megőrzése érdekében fennálló büntetőjogi tilalom, ne közölje az Unióban letelepedett adatkezelővel a személyes adatok közlésére irányuló, a bűnüldöző szervek jogilag kötelező erejű felhívását, az ÁSZF‑határozat melléklete 5. általános szerződési feltétele a) pontjának megfelelően azonban köteles tájékoztatni az adatkezelőt arról, hogy nem képes eleget tenni az általános szerződési feltételeknek. |
140 |
Ezen 5. általános szerződési feltétel a) és b) pontja az általa érintett két esetben feljogosítja az Unióban letelepedett adatkezelőt az adattovábbítás felfüggesztésére és/vagy a szerződéstől való elállásra. A Charta 7. és 8. cikkével összefüggésben értelmezett GDPR 46. cikkének (1) bekezdéséből és 46. cikke (2) bekezdésének c) pontjából eredő követelményekre tekintettel az adattovábbítás felfüggesztése és/vagy a szerződéstől való elállás kötelező az adatkezelőre nézve, ha a továbbítás címzettje nem, vagy már nem képes tiszteletben tartani az általános adatvédelmi kikötéseket. Ennek hiányában az adatkezelő nem teljesíti a GDPR és a Charta rendelkezéseinek fényében értelmezett, az ÁSZF határozat melléklete 4. általános szerződési feltételének a) pontjából eredő követelményeket. |
141 |
Úgy tűnik tehát, hogy e melléklet 4. általános szerződési feltételének a) pontja, valamint 5. általános szerződési feltételének a) és b) pontja arra kötelezi az Unióban letelepedett adatkezelőt és a személyes adatok továbbításának címzettjét, hogy győződjön meg arról, hogy a célországnak számító harmadik ország joga lehetővé teszi az említett címzett számára, hogy a személyes adatok e harmadik országba történő továbbítását megelőzően megfeleljen az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötéseknek. Ezen ellenőrzést illetően az említett 5. általános szerződési feltételre vonatkozó lábjegyzet pontosítja, hogy e jogszabályok kötelező követelményei, amelyek nem lépnek túl azon, amire egy demokratikus társadalomban szükség van többek között a nemzetbiztonság, honvédelem, közbiztonság biztosításához, nem ellentétesek az általános szerződési feltételekkel. Ezzel szemben, amint azt a főtanácsnok az indítványának 131. pontjában hangsúlyozta, a célországnak számító harmadik ország joga által előírt, az e célok eléréséhez szükséges mértéket meghaladó kötelezettségnek való megfelelést az említett kikötések megsértésének kell tekinteni. E gazdasági szereplők részéről az ilyen kötelezettség szükséges jellegének értékelésekor adott esetben figyelembe kell venni az érintett harmadik ország által biztosított védelmi szint megfelelőségének megállapítását, amely a Bizottság által a GDPR 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozatban szerepel. |
142 |
Ebből következik, hogy az Unióban letelepedett adatkezelő és a személyes adatok továbbításának címzettje köteles előzetesen ellenőrizni, hogy az érintett harmadik országban tiszteletben tartják‑e az uniós jog által megkövetelt védelmi szintet. Az e továbbítás címzettjének az ugyanezen 5. általános szerződési feltétel b) pontja értelmében adott esetben tájékoztatnia kell az adatkezelőt arról, hogy esetleg nem képes eleget tenni e feltételeknek, ez utóbbi pedig köteles felfüggeszteni az adattovábbítást, és/vagy a szerződéstől elállni. |
143 |
Ha a személyes adatok harmadik országba való továbbításának címzettje az ÁSZF‑határozat melléklete 5. általános szerződési feltételének b) pontja alapján tudatta az adatkezelővel, hogy az érintett harmadik ország jogszabályai nem teszik lehetővé számára az e mellékletben szereplő általános adatvédelmi kikötéseknek való megfelelést, az említett melléklet 12. általános szerződési feltételéből az következik, hogy az e harmadik országba már továbbított adatokat és a másolatokat teljes egészükben vissza kell szolgáltatni vagy meg kell semmisíteni. Mindenesetre az ugyanezen melléklet 6. általános szerződési feltétele szankcionálja ezen általános feltételek megsértését, és biztosítja az érintett személy számára az elszenvedett kár megtérítéséhez való jogot. |
144 |
Hozzá kell tenni, hogy az ÁSZF határozat melléklete 4. általános szerződési feltételének f) pontja szerint az Unióban letelepedett adatkezelő kötelezettséget vállal arra, hogy amennyiben különleges adatkategóriákat továbbíthatnának olyan harmadik országnak, amely nem biztosít megfelelő védelmi szintet, erről az érintett személyt a továbbítás előtt vagy azt követően a lehető leghamarabb tájékoztatni köteles. Ez az információ alkalmas arra, hogy lehetővé tegye e személy számára az e melléklet 3. általános szerződési feltételének (1) bekezdésében az adatkezelővel szemben biztosított jogorvoslati jog gyakorlását annak érdekében, hogy az függessze fel a tervezett továbbítást, álljon el a személyes adatok továbbításának címzettjével kötött szerződéstől, vagy adott esetben ez utóbbitól a továbbított adatok visszaszolgáltatását vagy megsemmisítését kérje. |
145 |
Végül az említett melléklet 4. általános szerződési feltételének g) pontja értelmében az Unióban letelepedett adatkezelő, ha a személyes adatok továbbításának címzettje e melléklet 5. általános szerződési feltételének b) pontja alapján közli vele, hogy a rá vonatkozó jogszabályok olyan módosítás tárgyát képezik, amely jelentősen hátrányos hatással járhat az általános adatvédelmi kikötések által nyújtott biztosítékokra és előírt kötelezettségekre nézve, köteles ezt az értesítést továbbítani az illetékes felügyeleti hatóságnak, ha az említett értesítés ellenére úgy dönt, hogy folytatja az adattovábbítást vagy megszünteti a felfüggesztést. Az ilyen értesítésnek e felügyeleti hatóság részére történő továbbítása, valamint e hatóságnak a személyes adatok továbbításának címzettjével szembeni, ugyanezen melléklet 8. általános szerződési feltételének (2) bekezdése szerinti ellenőrzési joga lehetővé teszi az említett felügyeleti hatóság számára annak ellenőrzését, hogy a megfelelő védelmi szint biztosítása érdekében fel kell‑e függeszteni, vagy meg kell‑e tiltani a tervezett továbbítást. |
146 |
Ebben az összefüggésben az ÁSZF‑határozatnak a 2016/2297 végrehajtási határozat (5) preambulumbekezdésével összefüggésben értelmezett 4. cikke megerősíti, hogy az ÁSZF‑határozat egyáltalán nem akadályozza meg az illetékes felügyeleti hatóságot abban, hogy adott esetben felfüggessze vagy megtiltsa a személyes adatoknak az e határozat mellékletében szereplő általános adatvédelmi kikötéseken alapuló, harmadik országba irányuló továbbítását. E tekintetben, amint az a nyolcadik kérdésre adott válaszból következik, az illetékes felügyeleti hatóság – feltéve, hogy nem létezik a Bizottság által érvényesen elfogadott megfelelőségi határozat – a GDPR 58. cikke (2) bekezdésének f) és j) pontja értelmében köteles felfüggeszteni vagy megtiltani az ilyen továbbítást, amennyiben az e továbbítás sajátos körülményeinek összességére tekintettel úgy ítéli meg, hogy e kikötéseket e harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok védelme, amelyet az uniós jog megkövetel, más eszközzel nem biztosítható, amennyiben az Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója maga nem függesztette fel vagy fejezte be az adattovábbítást. |
147 |
Ami a biztos által hivatkozott azon körülményt illeti, amely szerint a személyes adatok ilyen harmadik országba történő továbbítása a különböző tagállamokban esetlegesen a felügyeleti hatóságok eltérő határozatainak tárgyát képezheti, hozzá kell tenni, hogy a GDPR 55. cikkének (1) bekezdéséből és 57. cikke (1) bekezdésének a) pontjából az következik, hogy az e rendelet tiszteletben tartásának felügyeletére vonatkozó feladat főszabály szerint minden egyes felügyeleti hatóságra hárul a saját tagállamának területén. Ezenkívül az eltérő határozatok elkerülése érdekében az említett rendelet 64. cikkének (2) bekezdése előírja annak lehetőségét, hogy az a felügyeleti hatóság, amely úgy ítéli meg, hogy a harmadik országba irányuló adattovábbításokat általános jelleggel meg kell tiltani, vélemény kibocsátása céljából az Európai Adatvédelmi Testülethez forduljon, amely az ugyanezen rendelet 65. cikke (1) bekezdésének c) pontja alapján kötelező erejű döntést fogadhat el, különösen, ha valamely felügyeleti hatóság nem a kibocsátott vélemény alapján jár el. |
148 |
Ebből következik, hogy az ÁSZF‑határozat olyan hatékony mechanizmusokat ír elő, amelyek a gyakorlatban lehetővé teszik annak biztosítását, hogy a személyes adatoknak az e határozat mellékletében szereplő általános adatvédelmi kikötések alapján valamely harmadik országba történő továbbítását felfüggesszék vagy megtiltsák, ha az adattovábbítás címzettje nem tartja tiszteletben vagy nem tudja betartani az említett kikötéseket. |
149 |
A fenti megfontolások összességére tekintettel a hetedik és a tizenegyedik kérdésre azt a választ kell adni, hogy az ÁSZF‑határozatnak a Charta 7., 8. és 47. cikkére tekintettel történő vizsgálata nem tárt fel olyan tényezőt, amely e határozat érvényességét érintené. |
A negyedik, ötödik, kilencedik és tizedik kérdésről
150 |
A kilencedik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy kötik‑e, és ha igen, milyen mértékben valamely tagállam felügyeleti hatóságát az AVP‑határozatban szereplő azon megállapítások, amelyek szerint az Egyesült Államok megfelelő védelmi szintet biztosít. A negyedik, ötödik és tizedik kérdésével e bíróság lényegében arra vár választ, hogy – figyelembe véve az Egyesült Államok jogára vonatkozó saját megállapításait – a személyes adatoknak az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötések alapján történő továbbítása e harmadik országba sérti‑e a Charta 7., 8. és 47. cikkében biztosított jogokat, és különösen azt kérdezi a Bíróságtól, hogy az AVP‑határozat III. mellékletében említett ombudsman létrehozása összeegyeztethető‑e ezen 47. cikkel. |
151 |
Elöljáróban meg kell állapítani, hogy bár a biztos által benyújtott kereset kizárólag az ÁSZF‑határozat érvényességét vonja kétségbe, e keresetet az AVP‑határozat elfogadását megelőzően nyújtották be a kérdést előterjesztő bírósághoz. Mivel e bíróság a negyedik és ötödik kérdésével általános jelleggel azt kérdezi a Bíróságtól, hogy milyen védelmet kell biztosítani a Charta 7., 8. és 47. cikke alapján az ilyen adattovábbítással összefüggésben, a Bíróság vizsgálatának figyelembe kell vennie az AVP‑határozat időközben bekövetkezett elfogadásából eredő következményeket. Ez annál is inkább így van, mivel az említett bíróság a tizedik kérdésével kifejezetten azt kérdezi, hogy az e 47. cikkben előírt védelmet az ezen utóbbi határozatban említett ombudsman révén biztosítják‑e. |
152 |
Ezenkívül az előzetes döntéshozatal iránti kérelemben szereplő információkból kitűnik, hogy az alapeljárás keretében a Facebook Ireland arra hivatkozott, hogy az AVP‑határozat a biztos számára kötelező erővel bír az Egyesült Államok által biztosított védelmi szint megfelelőségének megállapítását, és következésképpen a személyes adatoknak az e harmadik országba történő, az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötéseken alapuló továbbítása jogszerű jellegét illetően. |
153 |
Márpedig, amint az a jelen ítélet 59. pontjából kitűnik, az előzetes döntéshozatal iránti kérelemhez csatolt 2017. október 3‑i ítéletében a kérdést előterjesztő bíróság hangsúlyozta, hogy figyelembe kell vennie a jog azon módosításait, amelyek a kereset benyújtása és az előtte tartott tárgyalás között következtek be. Úgy tűnik tehát, hogy e bíróság az alapjogvita eldöntése érdekében köteles figyelembe venni a körülmények AVP‑határozat elfogadásából eredő megváltozását, valamint e határozat esetleges kötelező hatásait. |
154 |
Különösen az ahhoz fűződő kötelező hatások fennállása, hogy az AVP‑határozat megállapítja a megfelelő védelmi szintet az Egyesült Államokban, releváns mind a jelen ítélet 141. és 142. pontjában felidézett, az adatkezelőt és a személyes adatoknak az ÁSZF‑határozat mellékletében szereplő általános adatvédelmi kikötések alapján harmadik országba történő továbbításának címzettjét terhelő kötelezettségek, mind pedig az adott esetben a hatóságot terhelő azon kötelezettségek értékelése szempontjából, hogy felfüggessze vagy megtiltsa az adattovábbítást. |
155 |
Ami ugyanis az AVP‑határozat kötelező hatásait illeti, e határozat 1. cikkének (1) bekezdése úgy rendelkezik, hogy a GDPR 45. cikkének (1) bekezdése alkalmazásában „az Egyesült Államok megfelelő szintű védelmet biztosít az [Európai Unió–Egyesült Államok] adatvédelmi pajzs keretében az Unióból az egyesült államokbeli szervezetekhez továbbított személyes adatok tekintetében”. Az említett határozat 1. cikkének (3) bekezdése értelmében úgy kell tekinteni, hogy a személyes adatok e pajzs keretében kerülnek továbbításra, amennyiben az Unióból olyan egyesült államokbeli szervezetekhez továbbítják azokat, amelyeket – az ugyanezen határozat II. mellékletében ismertetett elvek I. és III. szakaszának megfelelően – felvettek az e pajzsban részt vevő szervezetek listájára, amelyet az Egyesült Államok Kereskedelmi Minisztériuma vezet és a nyilvánosság számára hozzáférhetővé tesz. |
156 |
Amint az a jelen ítélet 117. és 118. pontjában felidézett ítélkezési gyakorlatból következik, az AVP‑határozat a felügyeleti hatóságokra nézve kötelező erejű, amennyiben azt állapítja meg, hogy az Egyesült Államok megfelelő védelmi szintet biztosít, és következésképpen azzal a hatással jár, hogy engedélyezi a személyes adatoknak az Európai Unió–Egyesült Államok adatvédelmi pajzs keretében történő továbbítását. Következésképpen mindaddig, amíg e határozatot a Bíróság nem nyilvánítja érvénytelennek, az illetékes felügyeleti hatóság nem függesztheti fel vagy tilthatja meg a személyes adatoknak az e pajzshoz tartozó szervezet részére történő továbbítását azzal az indokkal, hogy a Bizottság által az említett határozatban elfogadott értékeléssel ellentétben úgy ítéli meg, hogy az Egyesült Államok azon jogszabályai, amelyek e harmadik ország hatóságainak az említett pajzs keretében továbbított személyes adatokhoz nemzetbiztonsági, bűnüldözési és egyéb közérdekű célokból történő való hozzáférésére és ezen adatok ilyen célokból történő felhasználására vonatkoznak, nem biztosítanak megfelelő védelmet. |
157 |
Mindazonáltal a jelen ítélet 119. és 120. pontjában felidézett ítélkezési gyakorlatnak megfelelően, ha valamely személy panasszal fordul hozzá, az illetékes felügyeleti hatóságnak teljes függetlenséggel kell megvizsgálnia, hogy a személyes adatok szóban forgó továbbítása tiszteletben tartja‑e a GDPR által támasztott követelményeket, és amennyiben megalapozottnak ítéli az e személy által a megfelelőségi határozat érvényességének vitatása érdekében előterjesztett kifogásokat, a nemzeti bíróságok előtt keresetet kell indítania annak érdekében, hogy utóbbiak e határozat érvényességének elbírálása érdekében előzetes döntéshozatal iránti kérelemmel forduljanak a Bírósághoz. |
158 |
Ugyanis a GDPR 77. cikkének (1) bekezdése címén benyújtott kérelmet, amelyben valamely személy, akinek a személyes adatait valamely harmadik országba továbbították vagy továbbíthatják, arra hivatkozik, hogy ezen ország joga és gyakorlatai – a Bizottság által az e rendelet 45. cikkének (3) bekezdése alapján elfogadott határozatban tett megállapítás ellenére – nem biztosítanak megfelelő védelmi szintet, úgy kell érteni, hogy az lényegében e határozatnak a személyek magánélete, valamint alapvető jogai és szabadságai védelmével való összeegyeztethetőségére vonatkozik (lásd analógia útján a 95/46 irányelv 25. cikkének (6) bekezdését és 28. cikkének (4) bekezdését illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 59. pont). |
159 |
A jelen ügyben M. Schrems lényegében azt kérte a biztostól, hogy tiltsa meg vagy függessze fel személyes adatainak a Facebook Ireland által az Egyesült Államokban letelepedett Facebook Inc. részére történő továbbítását, azzal az indokkal, hogy e harmadik ország nem biztosít megfelelő védelmi szintet. Mivel a biztos az M. Schrems állításaira vonatkozó vizsgálatot követően a kérdést előterjesztő bírósághoz fordult, úgy tűnik, hogy ez utóbbi a benyújtott bizonyítékokra és az előtte folyó kontradiktórius vitára tekintettel vizsgálat alá vonja az M. Schrems arra vonatkozó kételyeinek megalapozottságát, hogy megfelelő‑e az említett harmadik országban biztosított védelmi szint, annak ellenére, hogy a Bizottság ezt az AVP‑határozatban időközben megállapította, ami e bíróságot arra indította, hogy előzetes döntéshozatal céljából előterjessze a negyedik, ötödik és tizedik kérdést. |
160 |
Amint arra a főtanácsnok az indítványának 175. pontjában rámutatott, ezeket az előzetes döntéshozatalra előterjesztett kérdéseket úgy kell értelmezni, hogy azok lényegében a Bizottságnak az AVP‑határozatban szereplő azon megállapítását kérdőjelezik meg, amely szerint az Egyesült Államok megfelelő szintű védelmet biztosít az Unióból e harmadik országba továbbított személyes adatok tekintetében, és ennélfogva e határozat érvényességét vonják kétségbe. |
161 |
A jelen ítélet 121. és 157–160. pontjában említett megfontolásokra tekintettel, és annak érdekében, hogy a kérdést előterjesztő bíróság számára teljes körű választ lehessen adni, meg kell tehát vizsgálni, hogy az AVP‑határozat megfelel‑e a Chartával összefüggésben értelmezett GDPR‑ből eredő követelményeknek (lásd analógia útján: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 67. pont). |
162 |
Valamely határozatnak a Bizottság által a GDPR 45. cikkének (3) bekezdése alapján történő elfogadása megköveteli, hogy ezen intézmény kellően megindokolja azon megállapítását, hogy az érintett harmadik ország – belföldi joga, vagy vállalt nemzetközi kötelezettségei alapján – ténylegesen az Unió jogrendjében biztosított védelmi szinttel lényegében megegyező védelmi szintet biztosít az alapvető jogok számára (lásd analógia útján a 95/46 irányelv 25. cikkének (6) bekezdését illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 96. pont). |
Az AVP‑határozat tartalmáról
163 |
A Bizottság az AVP‑határozat 1. cikkének (1) bekezdésében megállapította, hogy az Egyesült Államok megfelelő szintű védelmet biztosít az Európai Unió–Egyesült Államok adatvédelmi pajzs keretében az Európai Unióból az egyesült államokbeli szervezetekhez továbbított személyes adatok tekintetében, amely pajzsot az Egyesült Államok Kereskedelmi Minisztériuma által 2016. július 7‑én kibocsátott, az e határozat II. mellékletében ismertetett elvek, valamint az ugyanezen határozat I. és a III–VII. mellékletében felsorolt dokumentumokban foglalt hivatalos nyilatkozatok és kötelezettségvállalások alkotják. |
164 |
Ugyanakkor az AVP‑határozat szintén pontosítja az „[Európai Unió–Egyesült Államok] adatvédelmi pajzs keretrendszer elvei” című II. mellékletének I.5. pontjában, hogy ezen elvek betartása többek között „a nemzetbiztonság, a közérdek vagy a bűnüldözés követelményeinek teljesítéséhez szükséges mértékben” korlátozható. Így e határozat a 2000/520 határozathoz hasonlóan e követelmények elsőbbségét fejezi ki az említett elvekkel szemben, amely elsőbbség értelmében azok az amerikai szervezetek, amelyek öntanúsítással rendelkeznek, és személyes adatokat fogadnak az Unióból, korlátozások nélkül kötelesek eltérni ezen elvektől, amennyiben ez utóbbiak összeütközésbe kerülnek e követelményekkel, és azokkal összeegyeztethetetlennek bizonyulnak (lásd analógia útján a 2000/520 határozatot illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 86. pont). |
165 |
Az AVP‑határozat II. mellékletének I.5. pontjában szereplő eltérés általános jellegére tekintettel, az a nemzetbiztonságra, a közérdekre vagy az Egyesült Államok belső jogára vonatkozó követelmények alapján így lehetővé teszi a beavatkozást azon személyek alapvető jogaiba, akiknek a személyes adatait az Unióból az Egyesült Államokba továbbítják vagy továbbíthatják (lásd analógia útján a 2000/520 határozatot illetően: 2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 87. pont). Konkrétabban, és amint azt az AVP‑határozat megállapítja, az ilyen beavatkozások származhatnak az Unióból az Egyesült Államokba továbbított személyes adatokhoz való hozzáférésből és ezen adatoknak az amerikai hatóságok által a PRISM és az UPSTREAM megfigyelési programok keretében a FISA 702. cikkén, valamint az EO 12333 alapján történő felhasználásából. |
166 |
Ebben az összefüggésben a Bizottság az AVP‑határozat (67)–(135) preambulumbekezdésében megvizsgálta az Egyesült Államok szabályozásában, különösen a FISA 702. cikkében, az EO 12333‑ban és a PPD‑28‑ban előírt korlátozásokat és garanciákat az amerikai hatóságoknak az Európai Unió–Egyesült Államok adatvédelmi pajzs alapján továbbított személyes adatokhoz való nemzetbiztonsági, bűnüldözési és egyéb közérdekű célokból történő hozzáférése, és azok ilyen célokból történő felhasználása tekintetében. |
167 |
Ezen értékelés végén a Bizottság e határozat (136) preambulumbekezdésében megállapította, hogy „az Egyesült Államok megfelelő szintű védelmet biztosít […] az Unióból az öntanúsított egyesült államokbeli szervezetekhez továbbított személyes adatok tekintetében”, valamint az említett határozat (140) preambulumbekezdésében úgy vélte, hogy „az Egyesült Államok jogrendszerével kapcsolatban rendelkezésre álló információk […] alapján […] az Egyesült Államok hatóságainak nemzetbiztonsági, bűnüldözési vagy egyéb közérdekű célokból azon személyek alapvető jogaiba történő beavatkozása, akiknek az adatait az adatvédelmi pajzs keretében az Unióból az Egyesült Államokba továbbították, valamint ebből következően az öntanúsított vállalatokra az elvek elfogadása tekintetében meghatározott korlátozások a szóban forgó törvényes cél eléréséhez feltétlenül szükséges mértékűre fognak korlátozódni, továbbá hogy hatékony jogvédelem létezik az ilyen beavatkozással szemben”. |
A megfelelő védelmi szintre vonatkozó megállapításról
168 |
A Bizottság által az AVP‑határozatban említett elemekre, valamint a kérdést előterjesztő bíróság által az alapeljárásban megállapított körülményekre tekintettel e bíróságnak kétségei vannak azzal kapcsolatban, hogy az Egyesült Államok joga ténylegesen biztosítja‑e a Charta 7., 8. és 47. cikkében biztosított alapvető jogok fényében értelmezett GDPR 45. cikkében előírt megfelelő védelmi szintet. Az említett bíróság különösen úgy véli, hogy e harmadik ország joga nem írja elő a nemzeti szabályozása által engedélyezett beavatkozások tekintetében szükséges korlátozásokat és garanciákat, valamint az ilyen beavatkozásokkal szembeni hatékony bírói jogvédelmet sem biztosítja. Ez utóbbi tekintetben hozzáteszi, hogy az adatvédelmi pajzs ombudsmanja intézményének létrehozása szerinte nem orvosolhatja e hiányosságokat, mivel ez az ombudsman nem tekinthető a Charta 47. cikke értelmében vett bíróságnak. |
169 |
Ami először is a Charta 7. és 8. cikkét illeti, amelyek az Unión belül megkövetelt védelmi szinthez tartoznak, amelynek tiszteletben tartását a Bizottságnak meg kell állapítania, mielőtt a GDPR 45. cikkének (1) bekezdése alapján megfelelőségi határozatot fogadna el, emlékeztetni kell arra, hogy a Charta 7. cikke mindenki számára biztosítja a jogot a magán‑ és családi életének, otthonának és kapcsolattartásának tiszteletben tartásához. Ami a Charta 8. cikkének (1) bekezdését illeti, ez kifejezetten elismeri, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. |
170 |
Így valamely természetes személy személyes adataihoz a megőrzésük vagy felhasználásuk érdekében való hozzáférés sérti e személynek a Charta 7. cikkében biztosított, a magánélet tiszteletben tartásához való alapvető jogát, mivel e jog az azonosított vagy azonosítható természetes személyre vonatkozó valamennyi információra vonatkozik. Az említett adatkezelések a Charta 8. cikkéhez is kapcsolódnak, mert az e cikk értelmében vett személyesadat‑kezelésnek minősülnek, és következésképpen szükségszerűen meg kell felelniük az említett cikkben előírt adatvédelmi követelményeknek (lásd ebben az értelemben: 2010. november 9‑iVolker und Markus Schecke és Eifert ítélet, C‑92/09 és C‑93/09, EU:C:2010:662, 49. és 52. pont; 2014. április 8‑iDigital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 29. pont; 2017. július 26‑i1/15 [EU‑Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 122. és 123. pont). |
171 |
A Bíróság már megállapította, hogy a személyes adatok harmadik személlyel – így például valamely állami hatósággal – való közlése a Charta 7. és 8. cikkében biztosított alapvető jogokba történő beavatkozásnak minősül, függetlenül attól, hogy a közölt információkat utóbb mire használják. Ugyanez vonatkozik a személyes adatok megőrzésére, valamint az említett adatokhoz a hatóságok általi felhasználásuk érdekében való hozzáférésre, függetlenül attól, hogy az érintett, magánéletre vonatkozó információk érzékeny jellegűek‑e, vagy hogy az érintetteknek ez a beavatkozás okozott‑e esetleges kellemetlenséget, vagy sem (lásd ebben az értelemben: 2003. május 20‑iÖsterreichischer Rundfunk és társai ítélet, C‑465/00, C‑138/01 és C‑139/01, EU:C:2003:294, 74. és 75. pont; 2014. április 8‑iDigital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 33–36. pont; 2017. július 26‑i1/15 [EU‑Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 124. és 126. pont). |
172 |
Azonban a Charta 7. és 8. cikkében biztosított jogok nem korlátlan jogosultságokat jelentenek, hanem azokat a társadalomban betöltött szerepük alapján kell megítélni (lásd ebben az értelemben: 2010. november 9‑iVolker und Markus Schecke és Eifert ítélet, C‑92/09 és C‑93/09, EU:C:2010:662, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2013. október 17‑iSchwarz ítélet, C‑291/12, EU:C:2013:670, 33. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2017. július 26‑i1/15 [EU‑Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 136. pont). |
173 |
E tekintetben meg kell állapítani azt is, hogy a Charta 8. cikkének (2) bekezdése szerint a személyes adatokat többek között csak „meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni”. |
174 |
Továbbá a Charta 52. cikke (1) bekezdésének első mondata szerint a Chartában elismert jogok és szabadságok gyakorlása csak a törvény által, és e jogok és szabadságok lényeges tartalmának tiszteletben tartásával korlátozható. A Charta 52. cikke (1) bekezdésének második mondata szerint az arányosság elvére figyelemmel, e jogok és szabadságok korlátozására csak akkor és annyiban kerülhet sor, ha és amennyiben az elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja. |
175 |
Ez utóbbi tekintetben hozzá kell tenni, hogy az a követelmény, miszerint e jog gyakorlása csak a törvény által korlátozható, magában foglalja, hogy a beavatkozást lehetővé tevő jogalapnak magának kell meghatároznia az érintett jog gyakorlásával kapcsolatos korlátozás terjedelmét (2017. július 26‑i1/15 [EU‑Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 139. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
176 |
Végül az arányosság követelményének való megfelelés érdekében, amely szerint a személyes adatok védelme alóli eltéréseknek és e védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk, mivel a szóban forgó, beavatkozást tartalmazó szabályozásnak egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatálya és alkalmazása tekintetében, és minimumkövetelményeket kell előírnia, oly módon, hogy azok a személyek, akiknek az adatait továbbították, elegendő garanciákkal rendelkezzenek, amelyek lehetővé teszik a személyes adataiknak a visszaélések veszélyeivel szembeni hatékony védelmét. Meg kell jelölnie különösen, hogy milyen körülmények között és milyen feltételek mellett lehet az ilyen adatok kezelését előíró intézkedést megtenni, biztosítva ezáltal, hogy a beavatkozás a szigorúan szükséges mértékre korlátozódjék. Az ilyen biztosítékokkal való rendelkezés szükségessége még fontosabb abban az esetben, ha a személyes adatokat automatikusan kezelik (lásd ebben az értelemben: 2017. július 26‑i1/15 [EU‑Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 140. és 141. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
177 |
E tekintetben a GDPR 45. cikke (2) bekezdésének a) pontja pontosítja, hogy annak mérlegelése során, hogy a harmadik ország által biztosított védelmi szint megfelelő‑e, a Bizottság figyelembe veszi többek között „[azon érintettek] hatékonyan érvényesíthető [jogait]”, akiknek a személyes adatait továbbítják. |
178 |
A jelen ügyben megkérdőjelezték a Bizottság által az AVP‑határozatban tett azon megállapítást, amely szerint az Egyesült Államok a Charta 7. és 8. cikkével összefüggésben értelmezett GDPR által az Unióban biztosított védelmi szinttel lényegében azonos védelmi szintet biztosít, többek között azzal az indokkal, hogy a FISA 702. cikkén és az EO 12333‑on alapuló megfigyelési programokból eredő beavatkozásokra nem vonatkoznak olyan követelmények, amelyek az arányosság elvének tiszteletben tartása mellett lényegében a Charta 52. cikke (1) bekezdésének második mondata által biztosított védelmi szinttel lényegében azonos védelmi szintet biztosítanak. Meg kell tehát vizsgálni, hogy e megfigyelési programokat e követelmények betartásával hajtják‑e végre, anélkül hogy előzetesen vizsgálni kellene, hogy e harmadik ország tiszteletben tartja‑e a Charta 52. cikke (1) bekezdésének első mondatában előírtakkal lényegében azonos feltételeket. |
179 |
E tekintetben a FISA 702. cikkén alapuló megfigyelési programokat illetően a Bizottság az AVP‑határozat (109) preambulumbekezdésében megállapította, hogy az említett cikk szerint „a FISC nem egyéni megfigyelési intézkedéseket, hanem megfigyelési programokat (mint a PRISM, UPSTREAM) engedélyez a legfőbb ügyész és a nemzeti hírszerzési igazgató által készített éves tanúsítványok alapján”. Amint az ugyanezen preambulumbekezdésből kitűnik, a FISC által végzett ellenőrzés így annak vizsgálatára irányul, hogy e megfigyelési programok megfelelnek‑e a külföldi hírszerzési információk megszerzésére irányuló célnak, de nem terjed ki arra a kérdésre, hogy „az egyéneket megfelelően veszik‑e célba a külföldi hírszerzési információk megszerzéséhez”. |
180 |
Úgy tűnik tehát, hogy a FISA 702. cikkéből semmilyen módon nem következik az abban foglalt, a megfigyelési programok külföldi hírszerzés céljából történő végrehajtására vonatkozó felhatalmazás korlátozásának létezése, sem pedig az e programok által esetlegesen érintett, nem amerikai személyek számára szóló garanciák fennállása. E körülmények között, és amint arra a főtanácsnok az indítványának 291., 292. és 297. pontjában lényegében rámutatott, e cikk nem alkalmas arra, hogy a Charta által biztosított, a jelen ítélet 175. és 176. pontjában felidézett ítélkezési gyakorlat által értelmezett védelmi szinttel lényegében azonos védelmi szintet biztosítson, amely szerint az alapvető jogokba való beavatkozást lehetővé tevő jogalapnak az arányosság elvének való megfelelés érdekében magának kell meghatároznia az érintett jog gyakorlása korlátozásának terjedelmét, és egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatálya és alkalmazása tekintetében, valamint minimumkövetelményeket kell előírnia. |
181 |
Az AVP‑határozatban szereplő megállapítások szerint a FISA 702. cikkén alapuló megfigyelési programokat kétségtelenül a PPD‑28‑ból eredő követelmények tiszteletben tartásával kell végrehajtani. Ugyanakkor, bár a Bizottság az AVP‑határozat (69) és (77) preambulumbekezdésében hangsúlyozta, hogy az ilyen követelmények kötelező jellegűek az amerikai hírszerzési szervezetekre nézve, az amerikai kormány a Bíróság kérdésére adott válaszában elismerte, hogy a PPD‑28 nem biztosít az érintett személyek számára az amerikai hatóságokkal szemben a bíróságok előtt érvényesíthető jogokat. Ennélfogva nem alkalmas arra, hogy a Chartából eredő védelmi szinttel lényegében azonos védelmi szintet biztosítson, ellentétben azzal, amit a GDPR 45. cikke (2) bekezdésének a) pontja megkövetel, amely szerint e szint megállapítása többek között azon tényleges és érvényesíthető jogok fennállásától függ, amelyek azokat a személyeket illetik, akiknek az adatait a szóban forgó harmadik országba továbbították. |
182 |
Az EO 12333‑on alapuló megfigyelési programokat illetően a Bíróság rendelkezésére álló iratanyagból kitűnik, hogy e rendelet sem biztosít az amerikai hatóságokkal szemben a bíróságok előtt érvényesíthető jogokat. |
183 |
Hozzá kell tenni, hogy a PPD‑28, amelyet tiszteletben kell tartani az előző két pontban említett programok alkalmazása során, lehetővé teszi „a „nagy mennyiségű” gyűjtés[ét] viszonylag nagy mennyiségű jelfelderítési információ[nak] vagy adat[nak] olyan körülmények között, amikor a hírszerzés nem tud a konkrét célszemélyhez társítható azonosítót […] alkalmazni az adatgyűjtés fókuszálása céljából”, amint azt az AVP‑határozat VI. mellékletében szereplő, a nemzeti hírszerzés igazgatója irodájának (Office of the Director of National Intelligence) az amerikai kereskedelmi minisztérium és a nemzetközi kereskedelmi igazgatóság részére címzett 2016. június 21‑i levelében kifejtették. Márpedig ez a lehetőség, amely az EO 12333‑on alapuló megfigyelési programok keretében megengedi az Egyesült Államokba továbbított adatokhoz való hozzáférést anélkül, hogy e hozzáférés bármiféle bírósági felügyelet alá tartozna, semmi esetre sem szabályozza kellőképpen egyértelműen és pontosan a személyes adatok ilyen tömeges gyűjtésének terjedelmét. |
184 |
Ennélfogva úgy tűnik, hogy sem a FISA 702. cikke, sem az EO 12333 – a PPD‑28‑cal összefüggésben értelmezve – nem felel meg az uniós jogban az arányosság elvéhez társított minimális követelményeknek, így nem lehet úgy tekinteni, hogy az e rendelkezéseken alapuló megfigyelési programok a feltétlenül szükséges mértékre korlátozódnak. |
185 |
E körülmények között a személyes adatok védelmének korlátozásai, amelyek az Egyesült Államok azon belső szabályozásából erednek, amelyek az amerikai hatóságok által az Unióból az Egyesült Államokba továbbított ilyen adatokhoz való hozzáférésre és azok felhasználására vonatkoznak, és amely korlátozásokat a Bizottság az AVP‑határozatban értékelt, nem úgy lettek szabályozva, hogy megfeleljenek a Charta 52. cikke (1) bekezdésének második mondata által az uniós jogban megkövetelt követelményekkel lényegében azonos követelményeknek. |
186 |
Másodszor, ami a Charta 47. cikkét illeti, amely szintén része az Unión belül megkövetelt védelmi szintnek, és amelynek tiszteletben tartását a Bizottságnak meg kell állapítania, mielőtt a GDPR 45. cikkének (1) bekezdése alapján megfelelőségi határozatot fogadna el, emlékeztetni kell arra, hogy e 47. cikk első bekezdése megköveteli, hogy mindenkinek, akinek az Unió joga által biztosított jogait és szabadságait megsértették, a hivatkozott cikkben megállapított feltételek mellett joga van a bíróság előtti hatékony jogorvoslathoz. E cikk második bekezdése szerint mindenkinek joga van arra, hogy ügyét független és pártatlan bíróság tárgyalja. |
187 |
Az állandó ítélkezési gyakorlat szerint az uniós jogi rendelkezések tiszteletben tartásának biztosítására irányuló hatékony bírói felülvizsgálat fennállása a jogállamiság létének velejárója. Így az olyan szabályozás, amely nem biztosít a jogalany számára semmilyen jogorvoslati lehetőséget abból a célból, hogy a rá vonatkozó személyes adatokhoz hozzáférést kapjon, vagy azokat helyesbíttesse, illetve töröltesse, nem tartja tiszteletben a hatékony bírói jogvédelemhez való jog lényegét, amelyet a Charta 47. cikke mond ki (2015. október 6‑iSchrems ítélet, C‑362/14, EU:C:2015:650, 95. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
188 |
E célból a GDPR 45. cikke (2) bekezdésének a) pontja megköveteli, hogy a Bizottság a harmadik ország által biztosított védelmi szint megfelelőségének értékelésekor figyelembe vegye többek között azt, hogy „az érintettek, akiknek a személyes adatait továbbítják, rendelkeznek‑e […] hatékony közigazgatási és bírósági jogorvoslat[tal]”. A GDPR (104) preambulumbekezdése e tekintetben hangsúlyozza, hogy a harmadik országnak „gondoskodnia kell a tényleges, független adatvédelmi felügyeletről és tagállami adatvédelmi hatóságokkal való együttműködési mechanizmusairól, továbbá biztosítania kell, hogy az érintettek tényleges és érvényesíthető jogokkal, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségekkel rendelkezzenek”. |
189 |
Az ilyen hatékony jogorvoslati lehetőségeknek az érintett harmadik országban való fennállása különös jelentőséggel bír a személyes adatoknak az e harmadik országba irányuló továbbításával összefüggésben, mivel – amint az a GDPR (116) preambulumbekezdéséből kitűnik – az érintett személyek szembesülhetnek a tagállamok közigazgatási és igazságügyi hatóságainak arra vonatkozó hatásköreinek és eszközeinek elégtelenségével, hogy kielégítő választ adjanak az így továbbított adatok e harmadik országban történő állítólagosan jogellenes kezelésén alapuló panaszaikra, amely arra kényszeríti őket, hogy ugyanezen harmadik ország nemzeti hatóságaihoz és bíróságaihoz forduljanak. |
190 |
A jelen ügyben megkérdőjelezték a Bizottság által az AVP‑határozatban tett azon megállapítást, amely szerint az Egyesült Államok a Charta 47. cikkében biztosított védelmi szinttel lényegében azonos védelmi szintet biztosít, többek között azzal az indokkal, hogy az adatvédelmi pajzs ombudsmanja intézményének létrehozása nem küszöbölheti ki a Bizottság által azon személyek bírói jogvédelmét illetően megállapított hiányosságokat, akiknek a személyes adatait e harmadik országba továbbítják. |
191 |
E tekintetben a Bizottság az AVP‑határozat (115) preambulumbekezdésében rámutatott, hogy jóllehet „az egyéneknek – köztük az uniós érintetteknek – tehát számos jogorvoslati lehetőség áll a rendelkezésére, ha nemzetbiztonsági célú, jogellenes (elektronikus) megfigyelést folytatnak velük szemben, az is egyértelmű, hogy e jogorvoslati lehetőségek nem terjednek ki legalább néhány olyan jogalapra (pl. az [EO 12333]), amelyet az Egyesült Államok hírszerzési hatóságai igénybe vehetnek”. Így az EO 12333 kapcsán az említett (115) preambulumbekezdésben a jogorvoslati lehetőségek hiányára helyezi a hangsúlyt. Márpedig a jelen ítélet 187. pontjában felidézett ítélkezési gyakorlat szerint az ezen elnöki rendeleten alapuló megfigyelési programokhoz kapcsolódó beavatkozásokkal kapcsolatos bírói jogvédelemben mutatkozó ilyen hiányosság megakadályozza annak megállapítását, hogy – amint azt a Bizottság az AVP‑határozatban tette – az Egyesült Államok joga a Charta 47. cikkében biztosított védelmi szinttel lényegében azonos védelmi szintet biztosít. |
192 |
Egyébiránt, ami mind a FISA 702. cikkén alapuló megfigyelési programokat, mind pedig az EO 12333‑on alapuló megfigyelési programokat illeti, a jelen ítélet 181. és 182. pontjában megállapításra került, hogy sem a PPD‑28, sem az EO 12333 nem biztosít az érintett személyeknek olyan jogokat, amelyek az amerikai hatóságokkal szemben érvényesíthetők a bíróságok előtt, így e személyek nem rendelkeznek hatékony jogorvoslathoz való joggal. |
193 |
A Bizottság azonban az AVP‑határozat (115) és (116) preambulumbekezdésében megállapította, hogy az amerikai hatóságok által bevezetett ombudsmani mechanizmus fennállása miatt, amint azt az amerikai külügyminiszter által a jogérvényesülésért, a fogyasztópolitikáért és a nemek közötti esélyegyenlőségért felelős európai biztoshoz intézett, e határozat III. mellékletében szereplő 2016. július 7‑i levél kifejti, valamint az ombudsmanra háruló feladatkör jellege okán, amely a jelen esetben „nemzetközi informatikai diplomáciai főkoordinátor”, az Egyesült Államok úgy tekinthető, mint amely a Charta 47. cikkében biztosított védelmi szinttel lényegében azonos védelmi szintet biztosít. |
194 |
Azon kérdés vizsgálatának, hogy az AVP‑határozatban említett ombudsmani mechanizmus valóban alkalmas‑e arra, hogy kiküszöbölje a bírói jogvédelemhez való jog Bizottság által megállapított korlátozásait, a Charta 47. cikkéből és a jelen ítélet 187. pontjában felidézett ítélkezési gyakorlatból eredő követelményeknek megfelelően abból az elvből kell kiindulnia, hogy a jogalanyoknak rendelkezniük kell azzal a lehetőséggel, hogy független és pártatlan bíróság előtt éljenek jogorvoslati lehetőségekkel abból a célból, hogy a rájuk vonatkozó személyes adatokhoz hozzáférést kapjanak, vagy az ilyen adatokat helyesbíttetni vagy töröltetni tudják. |
195 |
Márpedig a jelen ítélet 193. pontjában hivatkozott levélben az adatvédelmi pajzs ombudsmanját, jóllehet úgy jellemzik, hogy a „[hírszerző szervezetektől] független”, úgy mutatták be, hogy „közvetlenül a külügyminiszternek tesz jelentést, aki biztosítja, hogy az ombudsman tárgyilagosan az adandó válasz megváltoztatására alkalmas, helytelen befolyásolásától mentesen láthassa el a feladatát”. Egyébiránt, azon a tényen kívül, hogy – amint azt a Bizottság e határozat (116) preambulumbekezdésében megállapította – az ombudsmant a külügyminiszter nevezi ki, és az Egyesült Államok külügyminisztériumának szerves részét képezi, az említett határozatban – amint azt a főtanácsnok az indítványának 337. pontjában megállapította – nincs arra vonatkozó utalás, hogy az ombudsman visszahívásához vagy kinevezésének megszüntetéséhez bármilyen különös garancia kapcsolódna, ami olyan jellegű, hogy megkérdőjelezi az ombudsmannak a végrehajtó hatalomtól való függetlenségét (lásd ebben az értelemben: 2020. január 21‑iBanco de Santander ítélet, C‑274/14, EU:C:2020:17, 60. és 63. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
196 |
Ugyanígy, amint azt a főtanácsnok az indítványának 338. pontjában hangsúlyozta, bár az AVP‑határozat (120) preambulumbekezdése említést tesz az amerikai kormány azon kötelezettségvállalásáról, hogy a hírszerzési szervezetek érintett egységének orvosolnia kell az alkalmazandó szabályoknak az adatvédelmi pajzs ombudsmanja által észlelt bármely megsértését, az említett határozat semmilyen utalást nem tartalmaz arra vonatkozóan, hogy ezen ombudsmannak felhatalmazása lenne arra, hogy e szervezetekkel szemben kötelező erejű határozatokat hozzon, és nem tartalmaz olyan jogszabályi garanciákat sem, amelyek e kötelezettségvállaláshoz társulnának, és amelyekre az érintett személyek hivatkozhatnának. |
197 |
Ennélfogva az AVP‑határozatban említett ombudsmani mechanizmus nem biztosít jogorvoslati lehetőséget olyan szerv előtt, amely a Charta 47. cikkében előírt garanciákkal lényegében azonos garanciákat nyújtana azon személyek számára, akiknek az adatait az Egyesült Államokba továbbították. |
198 |
Következésképpen a Bizottság azzal, hogy az AVP‑határozat 1. cikkének (1) bekezdésében megállapította, hogy az Egyesült Államok megfelelő szintű védelmet biztosít az Unióból az Európai Unió–Egyesült Államok adatvédelmi pajzs keretében az e harmadik országban letelepedett szervezetek részére továbbított személyes adatok tekintetében, megsértette a Charta 7., 8. és 47. cikkével összefüggésben értelmezett GDPR 45. cikkének (1) bekezdéséből eredő követelményeket. |
199 |
Ebből következik, hogy az AVP‑határozat 1. cikke összeegyeztethetetlen a Charta 7., 8. és 47. cikkével összefüggésben értelmezett GDPR 45. cikkének (1) bekezdésével, és ezért érvénytelen. |
200 |
Mivel az AVP‑határozat 1. cikke elválaszthatatlan annak 2–6. cikkétől, valamint a mellékleteitől, annak érvénytelensége e határozat egészének érvényességét érinti. |
201 |
A fenti megfontolások összességére tekintettel meg kell állapítani, hogy az AVP‑határozat érvénytelen. |
202 |
Azon kérdés kapcsán, hogy fenn kell‑e tartani e határozat joghatásait a joghézag kialakulásának elkerülése érdekében (lásd ebben az értelemben: 2016. április 28‑iBorealis Polyolefine és társai ítélet, C‑191/14, C‑192/14, C‑295/14, C‑389/14 és C‑391/14–C‑393/14, EU:C:2016:311, 106. pont), mindenesetre meg kell jegyezni, hogy tekintettel a GDPR 49. cikkére, az AVP‑határozathoz hasonló megfelelőségi határozat megsemmisítése nem keletkeztethet ilyen joghézagot. E cikk ugyanis pontosan meghatározza azokat a feltételeket, amelyek mellett a személyes adatok harmadik országba történő továbbítására az említett rendelet 45. cikkének (3) bekezdése szerinti megfelelőségi határozat vagy az ugyanezen rendelet 46. cikke szerinti megfelelő garanciák hiányában sor kerülhet. |
A költségekről
203 |
Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg. |
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott: |
|
|
|
|
|
Aláírások |
( *1 ) Az eljárás nyelve: angol.