This document is an excerpt from the EUR-Lex website
Document 62018CA0311
Case C-311/18: Judgment of the Court (Grand Chamber) of 16 July 2020 (request for a preliminary ruling from the High Court (Ireland) — Ireland) — Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems (Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Regulation (EU) 2016/679 — Article 2(2) — Scope — Transfers of personal data to third countries for commercial purposes — Article 45 — Commission adequacy decision — Article 46 — Transfers subject to appropriate safeguards — Article 58 — Powers of the supervisory authorities — Processing of the data transferred by the public authorities of a third country for national security purposes — Assessment of the adequacy of the level of protection in the third country — Decision 2010/87/EU — Protective standard clauses on the transfer of personal data to third countries — Suitable safeguards provided by the data controller — Validity — Implementing Decision (EU) 2016/1250 — Adequacy of the protection provided by the EU-US Privacy Shield — Validity — Complaint by a natural person whose data was transferred from the European Union to the United States)
Zadeva C-311/18: Sodba Sodišča (veliki senat) z dne 16. julija 2020 (predlog za sprejetje predhodne odločbe High Court – Irska) – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Listina Evropske unije o temeljnih pravicah – Členi 7, 8 in 47 – Uredba (EU) 2016/679 – Člen 2(2) – Področje uporabe – Prenosi osebnih podatkov v tretjo državo v komercialne namene – Člen 45 – Sklep Komisije o ustreznosti – Člen 46 – Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi – Člen 58 – Pooblastila nadzornih organov – Obdelava prenesenih podatkov, ki jo javni organi tretje države izvajajo zaradi nacionalne varnosti – Presoja ustreznosti ravni varstva, ki se zagotavlja v tretji državi – Sklep 2010/87/EU – Standardna določila o varstvu za prenos osebnih podatkov v tretje države – Ustrezni zaščitni ukrepi, ki jih zagotovi upravljavec – Veljavnost – Izvedbeni sklep (EU) 2016/1250 – Ustreznost varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA – Veljavnost – Pritožba fizične osebe, katere podatki so bili iz Evropske unije preneseni v Združene države)
Zadeva C-311/18: Sodba Sodišča (veliki senat) z dne 16. julija 2020 (predlog za sprejetje predhodne odločbe High Court – Irska) – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Listina Evropske unije o temeljnih pravicah – Členi 7, 8 in 47 – Uredba (EU) 2016/679 – Člen 2(2) – Področje uporabe – Prenosi osebnih podatkov v tretjo državo v komercialne namene – Člen 45 – Sklep Komisije o ustreznosti – Člen 46 – Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi – Člen 58 – Pooblastila nadzornih organov – Obdelava prenesenih podatkov, ki jo javni organi tretje države izvajajo zaradi nacionalne varnosti – Presoja ustreznosti ravni varstva, ki se zagotavlja v tretji državi – Sklep 2010/87/EU – Standardna določila o varstvu za prenos osebnih podatkov v tretje države – Ustrezni zaščitni ukrepi, ki jih zagotovi upravljavec – Veljavnost – Izvedbeni sklep (EU) 2016/1250 – Ustreznost varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA – Veljavnost – Pritožba fizične osebe, katere podatki so bili iz Evropske unije preneseni v Združene države)
UL C 297, 7.9.2020, p. 4–5
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.9.2020 |
SL |
Uradni list Evropske unije |
C 297/4 |
Sodba Sodišča (veliki senat) z dne 16. julija 2020 (predlog za sprejetje predhodne odločbe High Court – Irska) – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems
(Zadeva C-311/18) (1)
(Predhodno odločanje - Varstvo posameznikov pri obdelavi osebnih podatkov - Listina Evropske unije o temeljnih pravicah - Členi 7, 8 in 47 - Uredba (EU) 2016/679 - Člen 2(2) - Področje uporabe - Prenosi osebnih podatkov v tretjo državo v komercialne namene - Člen 45 - Sklep Komisije o ustreznosti - Člen 46 - Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi - Člen 58 - Pooblastila nadzornih organov - Obdelava prenesenih podatkov, ki jo javni organi tretje države izvajajo zaradi nacionalne varnosti - Presoja ustreznosti ravni varstva, ki se zagotavlja v tretji državi - Sklep 2010/87/EU - Standardna določila o varstvu za prenos osebnih podatkov v tretje države - Ustrezni zaščitni ukrepi, ki jih zagotovi upravljavec - Veljavnost - Izvedbeni sklep (EU) 2016/1250 - Ustreznost varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA - Veljavnost - Pritožba fizične osebe, katere podatki so bili iz Evropske unije preneseni v Združene države)
(2020/C 297/05)
Jezik postopka: angleščina
Predložitveno sodišče
High Court
Stranke v postopku v glavni stvari
Tožeča stranka: Data Protection Commissioner
Toženi stranki: Facebook Ireland Limited, Maximillian Schrems
Ob udeležbi: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope,
Izrek
1. |
Člen 2(1) in (2) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) je treba razlagati tako, da prenos osebnih podatkov, ki ga gospodarski subjekt s sedežem v državi članici v komercialne namene opravi drugemu gospodarskemu subjektu s sedežem v tretji državi, spada na področje uporabe te uredbe, ne glede na to, da lahko organi te tretje države te podatke med tem prenosom ali po njem obdelujejo za namene javne varnosti, obrambe in državne varnosti. |
2. |
Člen 46(1) in člen 46(2)(c) Uredbe 2016/679 je treba razlagati tako, da je treba z ustreznimi zaščitnimi ukrepi, izvršljivimi pravicami in učinkovitimi pravnimi sredstvi, ki se zahtevajo s tema določbama, zagotoviti, da je osebam, katerih osebni podatki se prenesejo v tretjo državo na podlagi standardnih določil o varstvu podatkov, zagotovljena raven varstva, ki je v bistvu enakovredna ravni varstva, ki se v Evropski uniji zagotavlja s to uredbo v povezavi z Listino Evropske unije o temeljnih pravicah. Da bi se to doseglo, je treba pri presoji ravni varstva, ki se zagotavlja v okviru takega prenosa, med drugim upoštevati tako pogodbena določila, dogovorjena med upravljavcem ali njegovim obdelovalcem s sedežem v Evropski uniji in prejemnikom prenosa s sedežem v tretji državi, kot – v zvezi z morebitnim dostopom javnih organov te tretje države do tako prenesenih osebnih podatkov – upoštevne elemente pravnega sistema te države, med drugim tiste, navedene v členu 45(2) navedene uredbe. |
3. |
Člen 58(2)(f) in (j) Uredbe 2016/679 je treba razlagati tako, da mora pristojni nadzorni organ, razen če obstaja sklep o ustreznosti, ki ga je veljavno sprejela Evropska komisija, začasno ustaviti ali prepovedati prenos osebnih podatkov v tretjo državo, ki temelji na standardnih določilih o varstvu podatkov, ki jih je sprejela Komisija, če ta nadzorni organ glede na vse okoliščine tega prenosa meni, da ta določila v tej tretji državi niso ali ne morejo biti spoštovana ter da varstva prenesenih podatkov, ki se zahteva s pravom Unije, zlasti s členoma 45 in 46 te uredbe in z Listino o temeljnih pravicah, ni mogoče zagotoviti na noben drug način, kadar upravljavec ali njegov obdelovalec s sedežem v Uniji nista sama začasno ustavila prenosa ali z njim prenehala. |
4. |
Pri preučitvi Sklepa Komisije z dne 5. februarja 2010 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo Evropskega parlamenta in Sveta 95/46/ES (2010/87/EU), kakor je bil spremenjen z Izvedbenim sklepom Komisije (EU) 2016/2297 z dne 16. decembra 2016, z vidika členov 7, 8 in 47 Listine o temeljnih pravicah ni bil ugotovljen noben element, ki bi lahko vplival na veljavnost tega sklepa. |
5. |
Izvedbeni sklep Komisije (EU) 2016/1250 z dne 12. julija 2016 na podlagi Direktive Evropskega parlamenta in Sveta 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA ni veljaven. |